хід з ладу носія так само є прикладом подібних ситуацій. У складній хмарної інфраструктурі ймовірність кожного з подій зростає з огляду тісної взаємодії компонентів.
Приклади:
Неправильне застосування правил аутентифікації, авторизації та аудиту, невірне використання правил і методів шифрування і поломки устаткування можуть призвести до втрати або витоку даних.
Рекомендації щодо усунення:
Використання надійного і безпечного API
Шифрування і захист переданих даних
Аналіз моделі захисту даних на всіх етапах функціонування системи
Впровадження надійної системи управління ключами шифрування
Відбір і придбання тільки найнадійніших носіїв
Забезпечення своєчасного резервного копіювання даних
Порушені сервіс моделі:
IaaS
PaaS
SaaS
Загроза безпеки №6
Крадіжка персональних даних та неправомірний доступ до сервісу
Опис:
Подібний вид загрози не новий. З ним стикаються щодня мільйони користувачів. Основною метою зловмисників є ім'я користувача (логін) і його пароль. У контексті хмарних систем, крадіжка пароля та імені користувача збільшує ризик використання даних, що зберігаються в хмарної інфраструктурі провайдера. Так зловмисник має можливість використовувати репутацію жертви для своєї діяльності.
Приклади:
Використання вкрадених даних для розсилки спаму.
Рекомендації щодо усунення:
?? апрет на передачу облікових записів
Використання двох факторних методів аутентифікації
Впровадження проактивного моніторингу несанкціонованого доступу
Опис моделі безпеки хмарного провайдера.
Порушені сервіс моделі:
IaaS
PaaS
SaaS
Загроза безпеки №7
Інші уразливості
Опис:
Застосування хмарних технологій для ведення бізнесу дозволяє компанії зосередитися на своїй справі, надавши турботу про IT-інфраструктурі і сервісах хмарному провайдеру. Рекламуючи свій сервіс, хмарний провайдер прагне показати всі можливості, розкриваючи при цьому деталі реалізації. Це може становити серйозну загрозу, оскільки знання внутрішньої інфраструктури дає зловмисникові можливість знайти незакриту вразливість і провести атаку на систему. Для того, щоб уникнути подібних ситуацій, хмарні провайдери можуть не надають інформацію про внутрішній устрій хмари, однак, такий підхід також не сприяє підвищенню довіри, оскільки потенційні користувачі не мають можливості оцінити ступінь захищеності даних. До того ж подібний підхід обмежує можливості у своєчасному знаходженні та усуненні вразливостей.
Приклади:
Відмова компанії Amazon від проведення аудиту безпеки EC2 cloud
Уразливість в процесинговому ПО, яка призвела до злому системи безпеки дата центру Hearthland
Рекомендації щодо усунення:
Розкриття журнальних даних
Повне або часткове розкриття даних про архітектуру системи і деталей про встановлений ПО
Використання систем моніторингу вразливостей.
Порушені сервіс моделі:
IaaS
PaaS
SaaS
1. Юридична база
За заявами експертів 70% проблем з безпекою в хмарі можна уникнути, якщо грамотно скласти договір про надання послуг.
Базою для такого договору може послужити Білль про права хмари
Білль про права хмари був розроблений ще в 2008 р Джеймсом Уркухарт (James Urquhart). Цей матеріал він опублікував у своєму блозі, який викликав стільки інтересу і суперечок, що автор періодично оновлює свій манускрипт у відповідність з реаліями.
Стаття 1 (частково): Клієнти володіють своїми даними
· Жоден виробник (або постачальник) не повинен в процесі взаємодії з клієнтами будь-якого плану обговорювати права на будь-які дані, завантажені, створені, згенеровані, модифіковані або будь-які інші, права на які має клієнт.
· Виробники повинні спочатку забезпечувати мінімальну можливість доступу до даних клієнтів ще на стадії розробки рішень і сервісів.
· Клієнти володіють своїми даними, що означає, що вони відповідають за те, що дані ці відповідають законодавчим нормам і законам.
· Оскільки питання відповідності регуляторним нормам щодо використання даних, забезпечення безпеки та дотримання безпеки є дуже важливими, необхідно, щоб клієнт визначав географічне місце розташування своїх власних даних. В іншому випадку, виробники повинні надати користувачам всі гарантії, що їхні дані будуть зберігатися у відповідності з усіма нормами і правилами. ...
