Mākoņa drošība: ceļvedis mākoņu lietotājiem

Mākoņa drošība

Mākonis bija satraukums 2010.-2011. Gadā, taču šodien tas ir kļuvis par nepieciešamību. Daudzām organizācijām pārejot uz mākoņiem, nepieciešamība pēc mākoņa drošības ir kļuvusi par galveno prioritāti.

Bet pirms tam tie no jums, kas ir jauni mākoņdatošanas jomā, ātri apskatīsim, kas ir mākoņdatošana,

Kas ir mākoņdatošana?

Mākoņdatošana bieži tiek dēvēta par “mākoni”, vienkārši sakot, tas nozīmē datu un programmu glabāšanu vai piekļuvi tiem internetā, nevis paša cietajā diskā.

Apspriedīsim mākoņu veidus tūlīt:

Publisks mākonis

Publiskā mākoņa izvietošanas režīmā izvietotie pakalpojumi ir atvērti publiskai lietošanai, un parasti publiski mākoņpakalpojumi ir bez maksas. Tehniski varbūt nav atšķirības starp publisku mākoni un privātu mākoni, taču drošības parametri ir ļoti atšķirīgi, jo publiskais mākonis ir pieejams ikvienam, ar to ir saistīts arī lielāks riska faktors.

Privāts mākonis

Privātu mākoni vada tikai viena organizācija, to var veikt tā pati organizācija vai trešās puses organizācija. Bet parasti izmaksas ir augstas, ja izmantojat pats savu mākoni, jo aparatūra tiek periodiski atjaunināta, arī drošība ir jāpārbauda, ​​jo katru dienu rodas jauni draudi.

Hibrīds mākonis

Hibrīds mākonis sastāv gan no privātā, gan publiskā mākoņa funkcionalitātes

Kā klienti izlemj starp publiskiem, privātiem un hibrīdiem mākoņiem?

Nu, tas ir atkarīgs no lietotāja prasības, tas ir, ja lietotājs uzskata, ka viņa informācija ir pārāk jutīga, lai atrastos jebkurā sistēmā, nevis viņu pašu, viņš izvēlētos privātu mākoni

Labākais piemērs tam varētu būt DropBox, jo pirmajos laikos viņi sāka izmantot AWS S3 kā savu aizmuguri objektu glabāšanai, bet tagad viņi ir izveidojuši savu glabāšanas tehnoloģiju, kuru paši pārrauga.

Kāpēc viņi to izdarīja?

Nu, viņi kļuva tik lieli, ka publiskajai mākoņa cenai vairs nebija jēgas. Pēc viņu domām, viņu programmatūras un aparatūras optimizācija ir ekonomiski izdevīgāka nekā to uzglabāšana Amazon S3.

Bet tad, ja jūs neesat tāds liels vīrietis kā DropBox, un jūs joprojām izmantojat privāto infrastruktūru, varbūt jūs domājat, kāpēc ne publiskais mākonis?

Kāpēc klients izmantos publisko mākoni?

Pirmkārt, cenu noteikšana ir diezgan mazāka, salīdzinot ar ieguldījumiem, kas uzņēmumam būtu nepieciešami, lai izveidotu savus serverus.

Otrkārt, kad esat saistīts ar pazīstamu mākoņa nodrošinātāju, jūsu failu pieejamība mākonī kļūst lielāka.

Joprojām neizpratnē, vai vēlaties saglabāt savus failus vai datus privātā vai publiskā mākonī.

Ļaujiet man pastāstīt par hibrīdmākoni. Izmantojot hibrīdmākoņu, jūs varat saglabāt savus “dārgākos” datus par savu privāto infrastruktūru, bet pārējos - publiskajā mākonī, tas būtu “hibrīds mākonis”

Tātad secinot, viss ir atkarīgs no lietotāja prasībām, pamatojoties uz kuru viņš izvēlēsies publisko, privāto un hibrīdo mākoņu.

Vai mākoņdatošanas drošība var paātrināt klientu pārvietošanos uz mākoni?

Jā, apskatīsim dažus gartnera veiktos pētījumus. Lūdzu, izlasiet zemāk redzamo statistiku:

Avots: Gartner

Tagad šis pētījums tika veikts uzņēmumiem, kuri nedaudz nevēlas pāriet uz mākoņiem, un, kā jūs iepriekš redzamajā attēlā skaidri redzat, ka galvenais iemesls ir drošība.

Tagad tas nenozīmē, ka mākonis nav drošs, bet cilvēkiem ir šāda uztvere. Tātad, ja jūs varat cilvēkiem apliecināt, ka mākonis ir drošs, kustībā uz mākoņu var paātrināties.

Kā CIO apvieno spriedzi starp risku, izmaksām un lietotāju pieredzi?

Nu es to kaut kur lasīju, Cloud Security ir zinātnes un mākslas sajaukums.

Apjucis? Tā ir māksla zināt, līdz kādam līmenim jums jāievieš pakalpojuma drošība, lai lietotāja pieredze nemazinātos.

Piemēram: Pieņemsim, ka jums ir lietojumprogramma, un, lai to padarītu drošu, katrā darbībā prasāt lietotājvārdu un paroli, kas ir jēga attiecībā uz drošību, bet pēc tam tas kavē lietotāju pieredzi.

Tāpēc ir māksla zināt, kad apstāties, bet tajā pašā laikā tā ir zinātne, jo jums ir jāizveido algoritmi vai rīki, kas nodrošina maksimālu klienta datu drošību.

Tagad, kad attēlā parādās kāda jauna lieta, cilvēki par to skeptiski izturas.

Cilvēkiem šķiet, ka ir daudz “risku”, kas ir mākoņdatošana, pievērsīsimies šiem riskiem pa vienam:

1. Mākonis ir nedrošs

Lielākajā daļā gadījumu, kad jūs runājat par mākoni, būtu daudz cilvēku, kas apgalvo, ka dati ir drošāki viņu pašu infrastruktūrā, nevis saka kaut kādu AWS serveri ar AWS drošību.

Tam varētu būt jēga, ja uzņēmums koncentrētos tikai uz sava privātā mākoņa drošību, kas acīmredzami tā nav. Bet, ja uzņēmums to dara, kad viņi koncentrēsies uz saviem mērķiem?

Parunāsim par mākoņu nodrošinātājiem, teiksim, AWS (lielākais no visiem), vai jūs domājat, ka AWS vienīgais mērķis ir padarīt jūsu datus drošākus? Kāpēc, jo tieši par to viņiem maksā.

Arī patīkams fakts, ka Amazon ir izvietojusi savu e-komercijas vietni AWS, kas atbrīvo gaisu no tā, vai AWS ir uzticama.

Mākoņu nodrošinātāji dzīvo, ēd un elpo mākoņu drošību.

2. Mākoņā ir vairāk pārkāpumu

2014. gada Spring Alert Logic Report pētījums rāda, ka kiberuzbrukumi 2012. – 2013. Gadā bija vērsti gan uz privātiem, gan uz publiskiem mākoņiem, taču privātie mākoņi bija vairāk uzņēmīgi pret uzbrukumiem. Kāpēc? Tā kā uzņēmumi, kas izveido savus serverus, nav tik aprīkoti, salīdzinot ar AWS vai Azure vai jebkuru citu mākoņa nodrošinātāju.

3. Viena īrnieka sistēmas ir drošākas nekā daudzu īrnieku sistēmas.

Ja jūs domājat loģiski, vai jūs nedomājat, ka ar vairāku īrnieku sistēmām jums ir pievienots papildu drošības slānis. Kāpēc? Tā kā jūsu saturs tiks loģiski izolēts no pārējiem sistēmas īrniekiem vai lietotājiem, kas nav tur, ja izmantojat viena nomnieka sistēmas. Tādēļ, ja hakeris vēlas iziet cauri jūsu sistēmai, viņam ir jāiziet vēl viens drošības slānis.

Noslēgumā jāsaka, ka šie visi ir mīti, un, ņemot vērā arī ietaupījumus ieguldījumos, ko jūs darīsit, pārvietojot datus uz mākoni, un arī citas priekšrocības, tas ievērojami atsver mākoņa drošībai saistītos riskus.

To sakot, pāriesim pie šīs diskusijas uzmanības centra, kā jūsu mākoņa nodrošinātāji rīkojas ar drošību.

Tāpēc pieņemsim šeit piemēru un pieņemsim, ka izmantojat lietotni sociālajiem tīkliem. Jūs noklikšķināt uz kādas nejaušas saites, un nekas nenotiek. Vēlāk jūs uzzināsiet, ka surogātpasta ziņas no jūsu konta tiek sūtītas visiem jūsu kontaktiem, kuri ir saistīti ar jums šajā lietojumprogrammā.

Bet tad, pirms jūs pat varētu nomest pastu vai sūdzēties par lietotnes atbalstu, viņi jau zinātu problēmu un būtu gatavi to atrisināt. Kā? Sapratīsim.

Tātad būtībā mākoņdrošībai ir trīs posmi:

• Monitoringa dati
• Gūt redzamību
• Piekļuves pārvaldība

The Mākoņu monitorings rīks, kas pastāvīgi analizē jūsu mākoņa lietojumprogrammas datu plūsmu, brīdinās, tiklīdz jūsu lietojumprogrammā sāk notikt daži 'dīvaini'. Kā viņi vērtē “dīvainās” lietas?

Mākoņa uzraudzības rīkam būtu uzlaboti mašīnmācīšanās algoritmi, kas reģistrē normālu sistēmas darbību.

Tātad jebkura novirze no parastās sistēmas uzvedības būtu sarkans karodziņš, arī zināmās uzlaušanas tehnikas ir uzskaitītas tās datu bāzēs. Tātad, visu to uzņemot vienā attēlā, jūsu uzraudzības rīks rada brīdinājumu ikreiz, kad notiek kaut kas neticams.

Kad jūs uzzinātu, ka notiek kaut kas “ne normāls”, jūs vēlaties uzzināt, kad un kur nāk 2. posms, iegūt redzamību .

To var izdarīt, izmantojot rīkus, kas nodrošina redzamību datiem, kas nāk un nāk no jūsu mākoņa. Izmantojot tos, jūs varat izsekot ne tikai vietai, kur radusies kļūda, bet arī to, kurš ir atbildīgs par to pašu. Kā?

Šie rīki meklē modeļus un uzskaitīs visas darbības, kas ir aizdomīgas, un tādējādi redzēs, kurš lietotājs ir atbildīgs par to pašu.

Tagad atbildīgā persona vispirms būtu jāizņem no sistēmas, vai ne?

Nāk 3. posms, piekļuves pārvaldīšana.

Rīki, kas pārvaldīs piekļuvi, uzskaitīs visus lietotājus, kas tur atrodas sistēmā. Tādējādi jūs varat izsekot šo personu un iznīcināt viņu no sistēmas.

Kā šī persona vai hakeris ieguva administratora piekļuvi jūsu sistēmai?

Visticamāk, hakeris uzlauzis jūsu vadības konsoles paroli un izveidojis sev administratora lomu no Access Management rīka, un pārējā daļa kļuva par vēsturi.

Tagad, ko pēc tam darītu jūsu mākoņa nodrošinātājs? Viņi mācītos no tā un attīstītos tā, lai tas nekad neatkārtotos.

Tagad šis piemērs ir tikai izpratnes labad, parasti neviens hakeris nevar piekļūt jūsu parolei tāpat.

Šeit galvenā uzmanība jāpievērš tam, ka mākoņu uzņēmums attīstījās pēc šī pārtraukuma, viņi veica pasākumus, lai uzlabotu savu mākoņa drošību, lai to pašu nekad nevarētu atkārtot.

Tagad visi mākoņu nodrošinātāji ievēro šos posmus. Parunāsim par lielāko mākoņu nodrošinātāju AWS.

Vai AWS seko šiem posmiem, lai nodrošinātu aws mākoņu drošību? Paskatīsimies:

Mākoņa uzraudzībai AWS ir CloudWatch

Datu redzamībai AWS ir CloudTrail

Un piekļuves pārvaldībai AWS ir JAU

Šie ir rīki, kurus AWS izmanto. Sīkāk apskatīsim to darbību.

CloudWatch

Tas dod jums iespēju analizēt datus, kas ienāk un iziet no AWS resursiem. Tam ir šādas funkcijas, kas saistītas ar mākoņa drošību:

• Monitor EC2 un citus AWS resursus:
  • Neinstalējot papildu programmatūru, varat uzraudzīt EC2 veiktspēju, izmantojot AWS CloudWatch.
• Spēja pārraudzīt pielāgotu metriku:
  • Jūs varat izveidot pielāgotu metriku un uzraudzīt to, izmantojot CloudWatch.
• Monitorēt un glabāt žurnālus:
  • Varat uzraudzīt un glabāt žurnālus, kas saistīti ar darbībām, kas notiek jūsu AWS resursos.
• Iestatīt trauksmes:
  • Jūs varat iestatīt trauksmes signālus konkrētiem izraisītājiem, piemēram, darbībai, kurai nepieciešama tūlītēja uzmanība utt.
• Skatīt diagrammas un statistiku:
  • Šos datus varat vizualizēt grafiku un citu vizuālu attēlojumu veidā.
• Pārraudzīt un reaģēt uz resursu izmaiņām:
  • To var konfigurēt tā, lai reaģētu uz izmaiņām resursa pieejamībā vai kad resurss nedarbojas pareizi.

CloudTrail

CloudTrail ir reģistrēšanas pakalpojums, ko var izmantot, lai reģistrētu API zvanu vēsturi. To var arī izmantot, lai identificētu, kurš lietotājs no AWS Management Console pieprasīja konkrēto pakalpojumu. Ņemot vērā mūsu piemēru, šis ir rīks, no kura jūs identificēsit bēdīgi slaveno hakeri.

JAU

Identitātes un piekļuves pārvaldība (IAM) tiek izmantota, lai piešķirtu kopīgu piekļuvi jūsu AWS kontam. Tam ir šādas funkcijas:

• Detalizētas atļaujas:
  • To var izmantot, lai piešķirtu piekļuves tiesības dažāda veida lietotājiem ļoti mobilajā līmenī. Piemēram: Jūs varat piešķirt lasīšanas piekļuvi konkrētam lietotājam un lasīšanas un rakstīšanas piekļuvi citam lietotājam.
• Droša piekļuve lietojumprogrammām, kas darbojas EC2 vidē:
  • IAM var izmantot, lai piešķirtu drošu piekļuvi, liekot lietotājam ievadīt akreditācijas datus, piekļūt attiecīgajiem EC2 resursiem.
• Bezmaksas lietošana:
  • AWS ir padarījis IAM pakalpojumus brīvi izmantojamus ar visiem awS pakalpojumiem, kas ir saderīgi.

AWS vairogs

Tas tiek pārvaldīts DDOS atteikuma pakalpojumā. Ātri apskatīsim, kas ir DDoS?

DDoS būtībā pārslogo jūsu vietni ar neatbilstošu datplūsmu ar nolūku nojaukt jūsu vietni. Kā tas darbojas? Hakeri izveido robotu tīklu, inficējot daudzus datorus, kas savienoti internetā, kā? Vai atceraties tos dīvainos e-pastus, kurus dažkārt saņemat pa pastu? Loterija, medicīniskā palīdzība utt. Būtībā tie liek jums noklikšķināt uz kaut kā, kas jūsu datorā instalē ļaunprātīgu programmatūru, kas pēc tam tiek aktivizēta, lai padarītu jūsu datoru plus vienu par neatbilstošu datplūsmu.

Vai neesat pārliecināts par savu tīmekļa lietojumprogrammu? Do not be AWS Shield ir šeit.

Tas piedāvā divu veidu pakalpojumus:

1. Standarta
2. Papildu

The Standarta pakete visiem lietotājiem ir bez maksas, un jūsu tīmekļa lietojumprogramma AWS automātiski tiek pārklāta ar šo pakotni. Tas ietver šādas funkcijas:

• Ātra noteikšana
  • Atklāj ļaunprātīgu datplūsmu, atrodoties ceļā, izmantojot anomāliju algoritmus.
• Iekļautie uzbrukumi mazināšanai
  • Automātiskās mazināšanas metodes ir iebūvētas AWS Shield, kas nodrošina aizsardzību pret izplatītiem uzbrukumiem.
• Pievienojiet pielāgotus noteikumus, lai atbalstītu jūsu lietojumprogrammu.

Nepietiekami? Ir Papildu iesaiņojums arī. Ar nelielām papildu izmaksām jūs varat segt savus elastīgās slodzes līdzsvarotājus, 53. maršruta un CloudFront resursus.

masīvs

Kas viss ir iekļauts? Paskatīsimies:

• Uzlabota noteikšana
  • Tas ietver papildu paņēmienus, piemēram, resursu specifisku uzraudzību, kā arī nodrošina detalizētu DDoS uzbrukumu noteikšanu.
• Uzlabota uzbrukuma mazināšana
  • Sarežģītākas automātiskās mazināšanas.
• Redzamība un uzbrukuma paziņošana
  • Reāllaika paziņojumi, izmantojot CloudWatch.
• Specializēts atbalsts
  • 24 × 7 atbalsts no īpašas DDoS reaģēšanas komandas.
• DDoS izmaksu aizsardzība
  • Novērš izmaksu kāpumu no pārslodzes, ko veic DDoS uzbrukumi.

Visbeidzot, jebkurš mākoņa nodrošinātājs gūst panākumus, ievērojot visaugstākos mākoņa drošības standartus, un pakāpeniski, ja ne uzreiz, cilvēki, kuriem joprojām nav ticības mākonim, sapratīs, ka ir nepieciešams pāriet uz to.

Vai mums ir jautājums? Lūdzu, pieminējiet to šī Cloud Security emuāra komentāru sadaļā, un mēs ar jums sazināsimies.