am dori să menționăm că amenințările și vulnerabilitățile implicate în migrarea în cloud sunt în continuă evoluție, iar cele enumerate aici nu sunt în niciun caz exhaustive. Este important să se ia în considerare alte provocări și riscuri asociate adoptării cloud specifice misiunilor, sistemelor și datelor lor.
modelul de cloud al Institutului Național de standarde și Tehnologie (NIST) oferă o definiție a cloud computing-ului și a modului în care acesta poate fi utilizat și implementat.
NIST identifică următoarele caracteristici și modele pentru cloud computing:
- caracteristici esențiale: autoservire la cerere, acces larg la rețea, punerea în comun a resurselor, elasticitate rapidă și servicii măsurate
- modele de servicii: software ca serviciu (SaaS), platformă ca serviciu (PaaS) și infrastructură ca serviciu (IaaS)
- modele de implementare: cloud privat, Cloud comunitar, Cloud public și cloud hibrid
amenințări, riscuri și vulnerabilități Cloud Computing
mediile Cloud experimentează-la un nivel înalt-aceleași amenințări ca mediile tradiționale din centrele de date; imaginea amenințării este aceeași. Adică, cloud computing rulează software, software-ul are vulnerabilități, iar adversarii încearcă să exploateze aceste vulnerabilități. Cu toate acestea, spre deosebire de sistemele de tehnologie a informației dintr-un centru de date tradițional, în cloud computing, responsabilitatea pentru atenuarea riscurilor care rezultă din aceste vulnerabilități software este împărțită între CSP și consumatorul de cloud. Drept urmare, consumatorii trebuie să înțeleagă împărțirea responsabilităților și să aibă încredere că CSP își îndeplinește responsabilitățile. Pe baza căutărilor noastre de literatură și a eforturilor de analiză, a fost identificată următoarea listă de vulnerabilități și amenințări cloud/on-premise unice și partajate. Figura de mai jos detaliază, de asemenea, imaginea amenințării pentru platformele de cloud computing.
amenințări și riscuri unice în Cloud
următoarele vulnerabilități sunt rezultatul implementării de către CSP a celor cinci caracteristici de cloud computing. Aceste vulnerabilități nu există în centrele de date IT clasice.
#1 consumatorii au redus vizibilitatea și controlul. La trecerea activelor/operațiunilor în cloud, organizațiile pierd o anumită vizibilitate și control asupra acestor active/operațiuni. Atunci când utilizați servicii cloud externe, responsabilitatea pentru unele dintre politici și infrastructură se mută la CSP.
schimbarea efectivă a responsabilității depinde de modelul(modelele) serviciilor cloud utilizate, ceea ce duce la o schimbare de paradigmă pentru agenții în ceea ce privește monitorizarea și înregistrarea securității. Organizațiile trebuie să efectueze monitorizarea și analiza informațiilor despre aplicații, servicii, date și utilizatori, fără a utiliza monitorizarea și înregistrarea bazată pe rețea, care este disponibilă pentru IT local.
#2 Serviciul De Autoservire La Cerere Simplifică Utilizarea Neautorizată. CSP – urile facilitează furnizarea de noi servicii. Caracteristicile de aprovizionare cu autoservire la cerere ale cloud-ului permit personalului unei organizații să furnizeze servicii suplimentare de la CSP-ul agenției fără consimțământul IT. Practica utilizării software-ului într-o organizație care nu este susținută de departamentul IT al organizației este denumită în mod obișnuit shadow IT.
datorită costurilor mai mici și ușurinței implementării produselor PaaS și SaaS, probabilitatea utilizării neautorizate a serviciilor cloud crește. Cu toate acestea, serviciile furnizate sau utilizate fără cunoștințele sale prezintă riscuri pentru o organizație. Utilizarea serviciilor cloud neautorizate ar putea duce la o creștere a infecțiilor malware sau a exfiltrării datelor, deoarece organizația nu este în măsură să protejeze resursele despre care nu știe. Utilizarea serviciilor cloud neautorizate scade, de asemenea, vizibilitatea unei organizații și controlul rețelei și datelor sale.
#3 API-urile de gestionare accesibile la Internet pot fi compromise. CSP-urile expun un set de interfețe de programare a aplicațiilor (API-uri) pe care clienții le folosesc pentru a gestiona și interacționa cu serviciile cloud (cunoscute și sub numele de plan de gestionare). Organizațiile folosesc aceste API-uri pentru a furniza, gestiona, orchestra și monitoriza activele și utilizatorii lor. Aceste API-uri pot conține aceleași vulnerabilități software ca un API pentru un sistem de operare, bibliotecă etc. Spre deosebire de API-urile de gestionare pentru calculul local, API-urile CSP sunt accesibile prin Internet, expunându-le mai larg la exploatarea potențială.
actorii amenințărilor caută vulnerabilități în API-urile de gestionare. Dacă sunt descoperite, aceste vulnerabilități pot fi transformate în atacuri de succes, iar activele cloud ale organizației pot fi compromise. De acolo, atacatorii pot folosi activele organizației pentru a comite atacuri suplimentare împotriva altor clienți CSP.
#4 Separarea Între Mai Mulți Chiriași Eșuează. Exploatarea vulnerabilităților de sistem și software în cadrul infrastructurii, platformelor sau aplicațiilor CSP care acceptă mai multe închirieri poate duce la eșecul menținerii separării între chiriași. Acest eșec poate fi folosit de un atacator pentru a obține acces de la resursa unei organizații la activele sau datele unui alt utilizator sau organizație. Multi-închiriere crește suprafața de atac, ceea ce duce la o șansă crescută de scurgere a datelor în cazul în care controalele de separare nu reușesc.
acest atac poate fi realizat prin exploatarea vulnerabilităților din aplicațiile, hipervizorul sau hardware-ul CSP, subminând controalele de izolare logică sau atacurile asupra API-ului de management al CSP. Până în prezent, nu a existat un eșec de securitate documentat al platformei SaaS a CSP, care a dus la accesul unui atacator extern la datele chiriașilor.
nu au fost identificate rapoarte despre un atac bazat pe eșecul separării logice; cu toate acestea, au fost demonstrate exploatări ale proof-of-concept.
#5 ștergerea datelor este incompletă. Amenințările asociate cu ștergerea datelor există deoarece consumatorul a redus vizibilitatea în cazul în care datele lor sunt stocate fizic în cloud și o capacitate redusă de a verifica ștergerea sigură a datelor lor. Acest risc este îngrijorător, deoarece datele sunt distribuite pe mai multe dispozitive de stocare diferite din cadrul infrastructurii CSP într-un mediu cu mai multe închirieri. În plus, procedurile de ștergere pot diferi de la Furnizor la furnizor. Este posibil ca organizațiile să nu poată verifica dacă datele lor au fost șterse în siguranță și că rămășițele datelor nu sunt disponibile atacatorilor. Această amenințare crește pe măsură ce o agenție utilizează mai multe servicii CSP.
amenințări și riscuri în Cloud și On-Premise
următoarele sunt riscuri care se aplică atât centrelor de date IT cloud, cât și on-premise pe care organizațiile trebuie să le abordeze.
#6 acreditările sunt furate. Dacă un atacator obține acces la acreditările cloud ale unui utilizator, atacatorul poate avea acces la serviciile CSP pentru a furniza resurse suplimentare (dacă acreditările permit accesul la aprovizionare), precum și pentru a viza activele organizației. Atacatorul ar putea folosi resursele de cloud computing pentru a viza utilizatorii administrativi ai Organizației, alte organizații care utilizează același CSP sau administratorii CSP. Un atacator care obține acces la acreditările cloud ale unui administrator CSP poate utiliza aceste acreditări pentru a accesa sistemele și datele Agenției.
rolurile de Administrator variază între un CSP și o organizație. Administratorul CSP are acces la rețeaua, sistemele și aplicațiile CSP (în funcție de serviciu) ale infrastructurii CSP, în timp ce administratorii consumatorului au acces doar la implementările cloud ale organizației. În esență, administratorul CSP are drepturi de administrare asupra mai multor clienți și acceptă mai multe servicii.
#7 blocarea furnizorului complică trecerea la alte CSP-uri. Blocarea furnizorului devine o problemă atunci când o organizație ia în considerare mutarea activelor/operațiunilor sale de la un CSP la altul. Organizația descoperă că timpul de cost/efort / program necesar pentru mutare este mult mai mare decât s-a considerat inițial din cauza unor factori precum formatele de date non-standard, API-urile non-standard și dependența de instrumentele proprietare ale CSP și API-urile unice.
această problemă crește în modelele de servicii în care CSP își asumă mai multă responsabilitate. Pe măsură ce o agenție utilizează mai multe caracteristici, servicii sau API-uri, expunerea la implementările unice ale CSP crește. Aceste implementări unice necesită modificări atunci când o capacitate este mutată într-un alt CSP. Dacă un CSP selectat iese din afaceri, devine o problemă majoră, deoarece datele pot fi pierdute sau nu pot fi transferate la un alt CSP în timp util.
#8 complexitatea crescută a personalului IT. Migrarea către cloud poate introduce complexitate în operațiunile IT. Gestionarea, integrarea și operarea în cloud poate necesita ca personalul IT existent al agenției să învețe un nou model. Personalul IT trebuie să aibă capacitatea și nivelul de calificare pentru a gestiona, integra și menține migrarea activelor și datelor către cloud, pe lângă responsabilitățile actuale pentru IT-ul local.
serviciile de gestionare a cheilor și de criptare devin mai complexe în cloud. Serviciile, tehnicile și instrumentele disponibile pentru logarea și monitorizarea serviciilor cloud variază de obicei între CSP-uri, crescând și mai mult complexitatea. De asemenea, pot exista amenințări/riscuri emergente în implementările cloud hibride datorită tehnologiei, politicilor și metodelor de implementare, care adaugă complexitate. Această complexitate adăugată duce la un potențial crescut de lacune de securitate în cloud-ul unei agenții și în implementările locale.
#9 Insideri Abuz De Acces Autorizat. Persoanele din interior, cum ar fi personalul și administratorii atât pentru organizații, cât și pentru CSP, care abuzează de accesul autorizat la rețelele, sistemele și datele organizației sau CSP, sunt poziționate în mod unic pentru a provoca daune sau pentru a extrage informații.
impactul este cel mai probabil mai grav atunci când se utilizează IaaS datorită capacității unui insider de a furniza resurse sau de a efectua activități nefaste care necesită criminalistică pentru detectare. Este posibil ca aceste capabilități medico-legale să nu fie disponibile cu resursele cloud.
#10 datele stocate sunt pierdute. Datele stocate în cloud pot fi pierdute din alte motive decât atacurile rău intenționate. Ștergerea accidentală a datelor de către furnizorul de servicii cloud sau o catastrofă fizică, cum ar fi un incendiu sau un cutremur, poate duce la pierderea permanentă a datelor clienților. Sarcina de a evita pierderea de date nu cade doar pe umerii furnizorului. Dacă un client își criptează datele înainte de a le încărca în cloud, dar pierde cheia de criptare, datele vor fi pierdute. În plus, înțelegerea inadecvată a modelului de stocare al CSP poate duce la pierderea datelor. Agențiile trebuie să ia în considerare recuperarea datelor și să fie pregătite pentru posibilitatea ca CSP-ul lor să fie achiziționat, să schimbe ofertele de servicii sau să intre în faliment.
această amenințare crește pe măsură ce o agenție utilizează mai multe servicii CSP. Recuperarea datelor pe un CSP poate fi mai ușoară decât recuperarea acestora la o agenție, deoarece un SLA desemnează procente de disponibilitate/uptime. Aceste procente ar trebui investigate atunci când agenția selectează un CSP.
#11 lanțul de aprovizionare CSP este compromis. Dacă CSP externalizează părți din infrastructura, operațiunile sau întreținerea sa, este posibil ca aceste terțe părți să nu satisfacă/susțină cerințele pe care CSP este contractat să le furnizeze unei organizații. O organizație trebuie să evalueze modul în care CSP impune conformitatea și să verifice dacă CSP își transmite propriile cerințe către terți. Dacă cerințele nu sunt percepute pe lanțul de aprovizionare, atunci amenințarea la adresa Agenției crește.
această amenințare crește pe măsură ce o organizație utilizează mai multe servicii CSP și depinde de CSP-urile individuale și de politicile lanțului de aprovizionare.
#12 Diligența Insuficientă Crește Riscul De Securitate Cibernetică. Organizațiile care migrează în cloud efectuează adesea o diligență insuficientă. Aceștia mută datele în cloud fără a înțelege întregul domeniu de aplicare al acestui lucru, măsurile de securitate utilizate de CSP și propria responsabilitate de a oferi măsuri de securitate. Ei iau decizii de utilizare a serviciilor cloud fără a înțelege pe deplin modul în care aceste servicii trebuie securizate.
încheiere și perspectivă
este important să ne amintim că CSP-urile folosesc un model de responsabilitate comună pentru securitate. CSP își asumă responsabilitatea pentru anumite aspecte ale securității. Alte aspecte ale securității sunt împărțite între CSP și consumator. În cele din urmă, unele aspecte ale securității rămân responsabilitatea exclusivă a consumatorului. Securitatea eficientă în cloud depinde de cunoașterea și îndeplinirea tuturor responsabilităților consumatorilor. Eșecul consumatorilor de a înțelege sau de a-și îndeplini responsabilitățile este o cauză principală a incidentelor de securitate în sistemele bazate pe cloud.
în această postare pe blog, am identificat cinci amenințări unice în cloud și șapte amenințări cloud și on-premise cu care se confruntă organizațiile în timp ce consideră că își migrează datele și activele în cloud. În următoarea postare din această serie, vom explora o serie de cele mai bune practici menite să ajute organizațiile să mute în siguranță datele și aplicațiile în cloud.
resurse suplimentare
citiți următoarea postare din această serie, Cele mai bune practici pentru securitatea Cloud.
pentru mai multe informații despre securitatea cloud computing, vizitați următoarele site-uri:
Programul Federal de gestionare a riscurilor și autorizațiilor (FedRAMP) este un program la nivel guvernamental care oferă o abordare standardizată a evaluării securității, autorizării și monitorizării continue a produselor și serviciilor cloud.
Cloud Security Alliance lucrează pentru a promova utilizarea celor mai bune practici pentru asigurarea securității în Cloud Computing și oferă educație cu privire la utilizările Cloud Computing pentru a ajuta la securizarea tuturor celorlalte forme de calcul
Agenția Uniunii Europene pentru securitatea rețelelor și informațiilor (ENISA) pagina privind securitatea cloud.