Cloud Security: Priročnik za uporabnike v oblaku

Varnost v oblaku

Cloud je bil v letih 2010–2011 hype, danes pa je postal nujen. Z veliko organizacijami, ki se selijo v oblak, je potreba po varnosti v oblaku postala najpomembnejša prednostna naloga.

Pred tem pa tisti, ki ste novi v računalništvu v oblaku, na hitro poglejmo, kaj je računalništvo v oblaku,

Kaj je računalništvo v oblaku?

Računalništvo v oblaku, ki ga pogosto imenujemo 'oblak', preprosto pomeni shranjevanje ali dostop do vaših podatkov in programov prek interneta in ne lastnega trdega diska.

Pogovorimo se zdaj o vrstah oblakov:

Javni oblak

V načinu uvajanja v javni oblak so storitve, ki so uvedene, odprte za javno uporabo in na splošno so javne storitve v oblaku brezplačne. Tehnično morda ni nobene razlike med javnim oblakom in zasebnim oblakom, vendar so varnostni parametri zelo različni, saj je javni oblak dostopen vsem, obstaja več dejavnikov tveganja, povezanih z istim.

Zasebni oblak

Zasebni oblak deluje izključno za eno samo organizacijo, lahko to stori ista organizacija ali tretja organizacija. Toda ponavadi so stroški visoki, ko uporabljate svoj oblak, saj bi se strojna oprema občasno posodabljala, tudi varnost je treba nadzorovati, saj se vsak dan pojavljajo nove grožnje.

Hibridni oblak

Hibridni oblak vključuje funkcionalnosti zasebnega in javnega oblaka

Kako se stranke odločajo med javnimi, zasebnimi in hibridnimi oblaki?

No, to je odvisno od uporabniške zahteve, to je, če se uporabnik počuti, da so njegove informacije preveč občutljive, da bi bile v katerem koli sistemu in ne njihovem, bi se odločil za zasebni oblak

Najboljši primer za to bi lahko bil DropBox, v zgodnjih dneh so začeli uporabljati AWS S3 kot zaledje za shranjevanje predmetov, zdaj pa so ustvarili lastno tehnologijo shranjevanja, ki jo sami nadzirajo.

Zakaj so to storili?

No, postali so tako veliki, da cene javnih oblakov niso imele več smisla. Po njihovem mnenju je njihova optimizacija programske in strojne opreme bolj ekonomična kot shranjevanje njihovih stvari na Amazon S3.

Ampak potem, če niste velikan kot DropBox in ste še vedno v zasebni infrastrukturi, morda pomislite, zakaj ne v javnem oblaku?

Zakaj bo stranka zdaj uporabljala javni oblak?

Najprej so cene precej manjše v primerjavi z naložbo, ki bi jo podjetje potrebovalo za nastavitev lastnih strežnikov.

Drugič, ko ste povezani s cenjenim ponudnikom oblakov, postane razpoložljivost vaših datotek v oblaku večja.

Še vedno zmedeno, ali želite datoteke ali podatke shraniti v zasebni ali javni oblak.

Naj vam povem o hibridnem oblaku, s hibridnim oblakom lahko hranite svoje bolj 'dragocene' podatke na svoji zasebni infrastrukturi, ostalo pa na javnem oblaku, to bi bil 'hibridni oblak'

Skratka, vse je odvisno od zahteve uporabnika, na podlagi katerega bo izbiral med javnim, zasebnim in hibridnim oblakom.

Ali lahko varnost računalništva v oblaku pospeši gibanje strank v oblak?

Ja, poglejmo si nekaj raziskav, ki jih je opravil gartner. Prosimo, preglejte spodnjo statistiko:

Vir: Gartner

Zdaj je bila ta raziskava izvedena za podjetja, ki se nekoliko neradi preusmerijo v oblak, in kot lahko jasno vidite na zgornji sliki, da je glavni razlog varnost.

Zdaj to še ne pomeni, da oblak ni varen, vendar ljudje to dojemajo. V bistvu, če lahko ljudem zagotovite, da je oblak varen, lahko pride do pospeška pri premikanju proti oblaku.

Kako direktorji informacijske tehnologije usklajujejo napetost med tveganjem, stroški in uporabniško izkušnjo?

No, to sem nekje že prebral, Cloud Security je mešanica znanosti in umetnosti.

Zmeden? No, umetnost je vedeti, do kolikšne mere bi morali storitev zaščititi, da uporabniška izkušnja ne bi zmanjšala.

Na primer: Recimo, da imate aplikacijo, in da jo zagotovite varno, pri vsaki operaciji povprašate po uporabniškem imenu in geslu, kar je smiselno, kar zadeva varnost, potem pa ovira uporabniško izkušnjo.

Umetnost je torej vedeti, kdaj se ustaviti, hkrati pa je to tudi znanost, saj morate ustvariti algoritme ali orodja, ki zagotavljajo največjo varnost podatkov vaše stranke.

Zdaj, ko se pojavi kakšna nova stvar, so ljudje do nje dvomljivi.

Ljudje mislijo, da ima računalništvo v oblaku veliko 'tveganj', obravnavamo ta tveganja eno za drugim:

1. Oblak je negotov

V večini primerov, ko bi govorili o oblaku, bi veliko ljudi reklo, da so podatki bolj varni na lastni infrastrukturi, kot da bi rekli neki strežnik AWS z varnostjo AWS.

No, to bi lahko bilo smiselno, če bi se podjetje osredotočilo le na varnost njihovega zasebnega oblaka, kar očitno ni tako. Kdaj pa se bo podjetje osredotočilo na lastne cilje, če bo to storilo podjetje?

Pogovorimo se o ponudnikih oblakov, recimo AWS (največji izmed vseh), ali se vam ne zdi edini namen AWS zagotoviti vaše podatke najbolj varne? Zakaj, ker je to tisto, za kar so plačani.

Zabavno dejstvo je tudi, da je Amazon na spletnem mestu AWS gostil lastno spletno stran za e-poslovanje, ki razjasnjuje, ali je AWS zanesljiv.

Ponudniki v oblaku živijo, jedo in dihajo varnost v oblaku.

2. V oblaku je več kršitev

Študija iz poročila Spring Alert Logic iz leta 2014 kaže, da so bili kibernetski napadi v letih 2012–2013 namenjeni zasebnim in javnim oblakom, vendar so bili zasebni oblaki bolj dovzetni za napade. Zakaj? Ker podjetja, ki si nastavijo lastne strežnike, v primerjavi s AWS ali Azure ali katerim koli drugim ponudnikom oblakov niso tako opremljena.

3. Sistemi z enim najemnikom so varnejši od sistemov z več najemniki.

No, če razmišljate logično, ali se vam ne zdi, da imate pri sistemih z več najemniki dodatno varnostno stopnjo. Zakaj? Ker bo vaša vsebina logično izolirana od ostalih najemnikov ali uporabnikov v sistemu, česar pa ni, če uporabljate sisteme z enim najemnikom. Torej, če hoče heker iti skozi vaš sistem, mora iti skozi en dodaten nivo varnosti.

Sklepno je, da gre za vse mite in tudi glede na prihranek pri naložbah, ki jih boste naredili, ko boste svoje podatke prenesli v oblak, in tudi druge koristi, to veliko presega tveganja, povezana z varnostjo v oblaku.

Po tem pojdimo na težišče današnje razprave, kako vaši ponudniki v oblaku skrbijo za varnost.

Vzemimo torej primer tukaj in predpostavimo, da uporabljate aplikacijo za družabno mreženje. Kliknite neko naključno povezavo in nič se ne zgodi. Pozneje spoznate, da se vsiljena sporočila pošiljajo iz vašega računa vsem vašim stikom, ki so povezani z vami v tej aplikaciji.

Toda preden bi sploh lahko spustili pošto ali se pritožili na podporo za aplikacijo, bi že poznali težavo in bi jo začeli reševati. Kako? Razumejmo.

V bistvu ima varnost v oblaku tri stopnje:

• Podatki o spremljanju
• Pridobivanje prepoznavnosti
• Upravljanje dostopa

The Nadzor v oblaku orodje, ki nenehno analizira pretok podatkov v vaši aplikaciji v oblaku, bi opozorilo takoj, ko se v vaši aplikaciji začnejo dogajati nekatere 'čudne' stvari. Kako ocenjujejo 'čudne' stvari?

No, orodje za spremljanje v oblaku bi imelo napredne algoritme strojnega učenja, ki beležijo normalno vedenje sistema.

Vsako odstopanje od običajnega vedenja sistema bi bilo torej rdeča zastava, v njegovih zbirkah podatkov so navedene tudi znane tehnike vdiranja. Torej, če vse to vzamete v eno sliko, vaše orodje za spremljanje sproži opozorilo, kadar koli se zgodi kaj ribolovnega.

Zdaj, ko bi ugotovili, da se dogaja nekaj 'nenavadnega', bi želeli vedeti, kdaj in kje, nastopi 2. stopnja, pridobivanje prepoznavnosti .

To lahko storite z orodji, ki vam omogočajo vpogled v podatke, ki prihajajo in izstopajo iz vašega oblaka. Z njimi lahko spremljate ne samo, kje je prišlo do napake, ampak tudi, kdo je za to odgovoren. Kako?

No, ta orodja iščejo vzorce in bodo naštela vse sumljive dejavnosti ter tako videli, kateri uporabnik je za to odgovoren.

Zdaj bi morali odgovornega posameznika najprej odstraniti iz sistema, kajne?

Pride 3. stopnja, upravljanje dostopa.

V orodjih, ki bodo upravljala dostop, bodo navedeni vsi uporabniki, ki so v sistemu. Tako lahko sledite temu posamezniku in ga izbrišete iz sistema.

Kako je zdaj ta posameznik ali heker dobil skrbniški dostop do vašega sistema?

Najverjetneje je heker zlomil geslo za vašo konzolo za upravljanje in si ustvaril skrbniško vlogo iz orodja za upravljanje dostopa, ostalo pa je postalo zgodovina.

Kaj bi po tem storil vaš ponudnik v oblaku? Iz tega bi se učili in se razvijali tako, da se to ne bo več ponovilo.

Zdaj je ta primer zgolj zaradi razumevanja, običajno noben heker ne more dostopati do vašega gesla kar tako.

Tu se moramo osredotočiti predvsem na to, da se je podjetje v oblaku razvilo iz tega vdora in sprejelo ukrepe za izboljšanje varnosti v oblaku, tako da istega ni več mogoče ponoviti.

Zdaj vsi ponudniki oblakov sledijo tem fazam. Pogovorimo se o največjem ponudniku oblakov, AWS.

Ali AWS upošteva te faze za varnost v oblaku aws? Poglejmo:

Za nadzor v oblaku ima AWS CloudWatch

Za vidnost podatkov ima AWS CloudTrail

java globoka kopija vs plitva kopija

In za upravljanje dostopa ima AWS ŽE

To so orodja, ki jih uporablja AWS, poglejmo si podrobneje, kako delujejo.

CloudWatch

Omogoča vam analizo podatkov, ki prihajajo in izvirajo iz virov AWS. Ima naslednje funkcije, povezane z varnostjo v oblaku:

• Nadzirajte EC2 in druge vire AWS:
  • Brez namestitve dodatne programske opreme lahko s pomočjo AWS CloudWatch spremljate delovanje EC2.
• Možnost spremljanja meritev po meri:
  • Ustvarite lahko meritve po meri in jih spremljate prek storitve CloudWatch.
• Spremljanje in shranjevanje dnevnikov:
  • Lahko spremljate in shranjujete dnevnike, povezane z dejavnostmi, ki se dogajajo na vaših virih AWS.
• Nastavi alarme:
  • Alarme lahko nastavite na določene sprožilce, na primer na dejavnost, ki zahteva takojšnjo pozornost itd.
• Ogled grafov in statistik:
  • Te podatke lahko vizualizirate v obliki grafov in drugih vizualnih predstavitev.
• Spremljanje sprememb virov in odziv nanje:
  • Lahko ga konfigurirate tako, da se odzove na spremembe razpoložljivosti vira ali kadar vir ne deluje pravilno.

CloudTrail

CloudTrail je storitev beleženja, ki se lahko uporablja za beleženje zgodovine klicev API. Prav tako se lahko uporablja za ugotavljanje, kateri uporabnik iz AWS Management Console je zahteval določeno storitev. Če povzamemo naš primer, je to orodje, od koder boste prepoznali razvpitega 'hekerja'.

ŽE

Upravljanje identitete in dostopa (IAM) se uporablja za odobritev skupnega dostopa do vašega računa AWS. Ima naslednje funkcije:

• Drobna dovoljenja:
  • Uporablja se lahko za dodelitev pravic dostopa različnim vrstam uporabnikov na zelo celični ravni. Na primer: Dostop do branja lahko dodelite določenemu uporabniku in dostop do branja in pisanja drugemu uporabniku.
• Varni dostop do aplikacij, ki se izvajajo v okolju EC2:
  • IAM lahko uporabimo za varen dostop tako, da uporabniku omogočimo vnos poverilnic za dostop do ustreznih virov EC2.
• Brezplačna uporaba:
  • AWS je omogočil brezplačno uporabo storitev IAM s katero koli združljivo storitvijo aws.

AWS ščit

Upravlja se storitev zavračanja DDOS. Poglejmo na hitro, kaj je DDoS?

DDoS v bistvu preobremeni vaše spletno mesto z nepomembnim prometom z namenom, da bi vaše spletno mesto podrlo. Kako deluje? Hekerji ustvarijo bot-mrežo z okužbo številnih računalnikov, povezanih na internet, kako? Se spomnite tistih čudnih e-poštnih sporočil, ki jih včasih dobite na svojo pošto? Loterija, medicinska pomoč itd. V bistvu vas kliknejo na nekaj, kar namesti zlonamerno programsko opremo v vaš računalnik, ki se nato sproži, da postane vaš računalnik plus ena v nepomembnem prometu.

Niste prepričani o svoji spletni aplikaciji? Ne bodite AWS Shield je tukaj.

Ponuja dve vrsti storitev:

1. Standardno
2. Napredno

The Standardno paket je brezplačen za vse uporabnike, vaša spletna aplikacija na AWS pa je samodejno zajeta s tem paketom. Vključuje naslednje funkcije:

• Hitro zaznavanje
  • Z zlonamernimi algoritmi zazna zlonamerni promet na poti.
• Inline napadi za ublažitev
  • V AWS Shield so vgrajene samodejne tehnike ublažitve, ki vam zagotavljajo zaščito pred običajnimi napadi.
• Za podporo svoji prijavi dodajte pravila po meri.

Ne dovolj? Obstaja Napredno paket. Z malo dodatnih stroškov lahko pokrijete vire Elastic Load Balancers, Route 53 in CloudFront.

Kaj vse je vključeno? Poglejmo:

• Izboljšano zaznavanje
  • Vključuje dodatne tehnike, kot je spremljanje virov, in tudi natančno odkrivanje napadov DDoS.
• Napredno ublažitev napadov
  • Prefinjenejše samodejne omilitve.
• Obvestilo o vidnosti in napadu
  • Obvestila v realnem času z uporabo CloudWatch.
• Specializirana podpora
  • Podpora 24 × 7 s strani posebne odzivne skupine DDoS.
• Zaščita DDoS stroškov
  • Preprečuje zvišanje stroškov pred preobremenitvijo z napadi DDoS.

Skratka, vsak ponudnik oblaka za svoj uspeh sledi najvišjim standardom v oblačni varnosti in postopoma, če ne takoj, bodo ljudje, ki še vedno ne verjamejo v oblak, razumeli, da je treba iti naprej.

Imate vprašanje za nas? Prosimo, omenite ga v oddelku za komentarje tega spletnega dnevnika Cloud Security in mi se vam bomo oglasili.