го провайдера.
Порушені сервіс-моделі:
IaaS
PaaS
Загроза безпеки №2
Небезпечні програмні інтерфейси (API)
Опис:
Провайдери хмарної інфраструктури надають користувачам набір програмних інтерфейсів для управління ресурсами, віртуальними машинами або сервісами. Безпека всієї системи залежить від безпеки цих інтерфейсів.
Починаючи від процедури аутентифікації та авторизації і закінчуючи шифруванням, програмні інтерфейси повинні забезпечувати максимальний рівень захисту від різного сорту атак зловмисників.
Приклади:
Анонімний доступ до інтерфейсу і передача облікових даних відкритим текстом є основними ознаками небезпечних програмних інтерфейсів. Обмежені можливості моніторингу використання API, відсутність систем журналирования, а так само невідомі взаємозв'язку між різними сервісами тільки підвищує ризики злому.
Рекомендації щодо усунення:
Виконати аналіз моделі безпеки хмарного провайдера
Переконатися, що використовуються стійкі алгоритми шифрування
Переконатися, що використовуються надійні методи аутентифікації та авторизації
Зрозуміти весь ланцюжок залежності між різними сервісами.
Порушені сервіс моделі:
IaaS
PaaS
SaaS
Загроза безпеки №3
Внутрішні порушники
Опис:
Проблема неправомірного доступу до інформації зсередини надзвичайно небезпечна. Найчастіше, на стороні провайдера не запроваджена система моніторингу за активністю співробітників, а це означає, що зловмисник може отримати доступ до інформації клієнта, використовуючи своє службове становище. Так як провайдер не розкриває своєї політики набору співробітників, то загроза може виходити як від хакера-любителя, так і від організованої злочинної структури, що проникла в ряди співробітників провайдера.
Приклади:
На даний момент немає прикладів подібного роду зловживань.
Рекомендації щодо усунення:
Впровадження строгих правил закупівель обладнання та використання відповідних систем виявлення несанкціонованого доступу
Регламентування правил найму співробітників в публічних контрактах з користувачами
Створення прозорої системи безпеки, поряд з публікаціями звітів про аудит безпеки внутрішніх систем провайдера
Порушені сервіс моделі:
IaaS
PaaS
SaaS
Рис. 12 Приклад внутрішнього порушника
Загроза безпеки №4
Уразливості в хмарних технологіях
Опис:
Провайдери IaaS сервісу використовують абстракцію апаратних ресурсів за допомогою систем віртуалізації. Однак апаратні засоби можуть бути спроектовані без обліку роботи з розділяються ресурсами. Для того, що б мінімізувати вплив даного чинника, гіпервізор управляє доступом віртуальної машини до апаратних ресурсів, проте навіть в гіпервізорами можуть існувати серйозні уразливості, використання яких може призвести до підвищення привілеїв чи отриманню неправомірного доступу до фізичного обладнання.
Для того, що б захистити системи від такого роду проблем необхідно впровадження механізмів ізоляції віртуальних середовищ і систем виявлення збоїв. Користувачі віртуальної машини не повинні отримати доступ до ресурсів, що розділяються.
Приклади:
Є приклади потенційних вразливостей, а так само теоретичні методи обходу ізоляції у віртуальних середовищах.
Рекомендації щодо усунення:
Впровадження самих передових методів установки, настройки та захисту віртуальних середовищ
Використання систем виявлення несанкціонованого доступу
Застосування надійних правил аутентифікації та авторизації на проведення адміністративних робіт
Жорсткість вимог до часу застосування патчів і оновлень
Проведення своєчасних процедур сканування і виявлення вразливостей.
Порушені сервіс моделі:
IaaS
Загроза безпеки №5
Втрата або витік даних
Опис:
Втрата даних може статися через тисячі причин. Наприклад, умисне знищення ключа шифрування призведе до того, що зашифрована інформація не підлягатиме відновленню. Видалення даних або частини даних, неправомірний доступ до важливої ??інформації, зміна записів або ви...
