Domanda:
Quali sono i problemi di sicurezza specifici del cloud computing?
rem
2010-11-14 22:30:19 UTC
view on stackexchange narkive permalink

Il passaggio di quasi tutto al Cloud diventa gradualmente un mainstream.

Ci sono problemi di sicurezza, che sono apparsi insieme a questa tendenza?

Ciò che tutti dovrebbero controllare, dalla sicurezza punto di vista, prima di spostare le sue webapp e database su Amazon Cloud, Azure, ecc.?

Undici risposte:
#1
+14
atdre
2010-11-14 23:40:17 UTC
view on stackexchange narkive permalink

C'è una quantità infinita di problemi di sicurezza con il cloud. Per vedere una brutta lista di cose da fare, controlla i documenti di ENISA.

Non vuoi essere pignolo, ma una quantità "infinita"? ;)
@ Nev Stokes: Beh, stiamo ancora presentando nuovi problemi di sicurezza ogni giorno in ambienti non cloud, perché non anche cloud?
Sarei interessato a vedere un confronto del rischio nel mondo reale tra distribuzioni cloud e non cloud. Poiché la maggior parte dei rischi proviene da addetti ai lavori, si potrebbe pensare che la soluzione cloud sia più sicura. Dubito che la distribuzione locale non cloud sarà sicura quanto la distribuzione cloud nella maggior parte dei casi.
@makerofthings - Ho la sensazione che la tua supposizione che la maggior parte dei rischi provenga da addetti ai lavori è obsoleta di alcuni anni. La maggior parte del rischio reale misurato a livello di C-suite è esterno (possibilmente con un elemento di collusione interna, ma non sempre) poiché le applicazioni sono sempre più esterne. Finora le prove dimostrano che il cloud è decisamente meno sicuro, ma ad essere onesti, questo potrebbe essere principalmente dovuto a una configurazione errata :-)
@Rory,, inoltre, non dimenticare che i fornitori di servizi cloud hanno i loro "addetti ai lavori": in pratica stai solo trasferendo il rischio di insider dai tuoi stessi addetti (che potresti avere la possibilità di controllare un po ') ai loro addetti ai lavori (cosa che non fai. t).
In effetti, il (molto buono) collegamento ENISA elenca 35 rischi e 53 vulnerabilità - questo è un totale di solo 88 che era inferiore a * infinito * l'ultima volta che ho controllato. "Infinito" mi suona molto come tattiche di paura paranoica. Certo, se ci fosse più contenuto nella risposta o nell'argomento indiretto contro il cloud computing che contiene, sarei felice di lasciar passare l'attacco o addirittura di unirmi alla folla, ma detto così semplicemente non c'è.
Non è possibile ottenere un'assicurazione informatica sui dati archiviati o che transitano su un cloud pubblico.
#2
+11
Anonymous Type
2010-12-30 09:06:22 UTC
view on stackexchange narkive permalink

Dal pdf ENISA a cui @atdre ha già linkato nella sua risposta.

PERDITA DI GOVERNANCE: nell'utilizzo di infrastrutture cloud, il cliente cede necessariamente il controllo al Cloud Provider ( CP) su una serie di questioni che possono influire sulla sicurezza. Allo stesso tempo, gli SLA potrebbero non offrire un impegno a fornire tali servizi da parte del fornitore di servizi cloud, lasciando così una lacuna nelle difese di sicurezza.
LOCK-IN: attualmente c'è poco da fare offrire sotto forma di strumenti, procedure o formati di dati standard o interfacce di servizi che possano garantire la portabilità dei dati, delle applicazioni e dei servizi. Ciò può rendere difficile per il cliente la migrazione da un provider a un altro o la migrazione di dati e servizi in un ambiente IT interno. Questo introduce una dipendenza da un particolare CP per la fornitura del servizio, soprattutto se la portabilità dei dati, come l'aspetto più fondamentale, non è abilitata.
FALLIMENTO DI ISOLAMENTO: multi-tenancy e risorse condivise sono caratteristiche che definiscono del cloud computing. Questa categoria di rischio copre il fallimento dei meccanismi che separano l'archiviazione, la memoria, il routing e persino la reputazione tra diversi tenant (ad esempio, i cosiddetti attacchi guest-hopping). Tuttavia, va considerato che gli attacchi ai meccanismi di isolamento delle risorse (ad es. Contro hypervisor) sono ancora meno numerosi e molto più difficili da mettere in pratica per un attaccante rispetto agli attacchi ai sistemi operativi tradizionali.
RISCHI DI COMPLIANCE: l'investimento per ottenere la certificazione (ad esempio, standard di settore o requisiti normativi) può essere messo a rischio dalla migrazione al cloud:
se il CP non è in grado di fornire la prova della propria conformità ai requisiti pertinenti
se il CP non consente l'audit da parte del cliente cloud (CC).
In alcuni casi, significa anche che l'utilizzo di un'infrastruttura cloud pubblica implica che non è possibile ottenere determinati tipi di conformità (ad esempio, PCI DSS (4)).
COMPROMESSO DELL'INTERFACCIA DI GESTIONE: le interfacce di gestione dei clienti di un provider di cloud pubblico sono accessibili tramite Internet e mediano l'accesso a set di risorse più ampi (rispetto ai provider di hosting tradizionali) e rappresentano quindi un rischio maggiore, soprattutto se combinati con il remoto accesso e vulnerabilità del browser web.
PROTEZIONE DEI DATI: il cloud computing pone diversi rischi di protezione dei dati per i clienti e i fornitori di cloud. In alcuni casi, può essere difficile per il cliente cloud (nel suo ruolo di responsabile del trattamento dei dati) controllare efficacemente le pratiche di trattamento dei dati del provider cloud e quindi essere sicuro che i dati siano gestiti in modo lecito. Questo problema è aggravato in caso di trasferimenti multipli di dati, ad esempio tra cloud federati. D'altra parte, alcuni fornitori di servizi cloud forniscono informazioni sulle loro pratiche di trattamento dei dati. Alcuni offrono anche riepiloghi di certificazione sulle loro attività di elaborazione e sicurezza dei dati e sui controlli dei dati che hanno in atto, ad esempio la certificazione SAS70.
CANCELLAZIONE DEI DATI INSICURA O INCOMPLETA: quando viene richiesta l'eliminazione di un cloud viene creata una risorsa, come con la maggior parte dei sistemi operativi, ciò potrebbe non comportare una vera cancellazione dei dati. Anche l'eliminazione adeguata o tempestiva dei dati può essere impossibile (o indesiderabile dal punto di vista del cliente), o perché copie extra dei dati sono archiviate ma non sono disponibili, o perché il disco da distruggere memorizza anche i dati di altri client. In caso di più locazioni e di riutilizzo delle risorse hardware, questo rappresenta un rischio maggiore per il cliente rispetto a un hardware dedicato.
DANNOSO INSIDER: mentre di solito è meno probabile, il danno che può essere causato da addetti ai lavori malintenzionati è spesso molto maggiore. Le architetture cloud richiedono determinati ruoli che sono estremamente ad alto rischio. Gli esempi includono amministratori di sistema CP e fornitori di servizi di sicurezza gestiti.

Oppure il provider muore dall'oggi al domani senza preavviso e tutti i tuoi dati vengono persi.
#3
+8
AviD
2010-11-15 02:29:27 UTC
view on stackexchange narkive permalink

Un piccolo sottoinsieme di problemi di sicurezza (non necessariamente nuovi di per sé per il cloud, ma decisamente più difficili):

  • Controllo degli accessi
  • Privacy e riservatezza
  • Disponibilità (quanto è forte il tuo SLA, davvero? Il tuo provider indennizza per eventuali danni derivanti dall'essere offline?)
  • connessione con i sistemi interni: dovrai spesso fare buchi nel tuo firewall per consentire ad altri protocolli di raggiungere i tuoi sistemi interni sensibili.
  • Conformità: ci sono alcune normative, in particolare PCI-DSS, che attualmente non puoi raggiungere la conformità, se utilizzi sistemi basati su cloud. Tieni presente che potrebbero non vietare esplicitamente i sistemi cloud, ma è semplicemente impossibile essere conformi durante l'utilizzo di sistemi cloud come sono oggi .
  • Ci sono alcune leggi, in alcuni paesi, che ti vietano di spostare i dati privati ​​dei loro cittadini fuori dal loro paese. Ci sono altri paesi in cui non vuoi spostare i tuoi dati, perché non vuoi essere soggetto alle loro leggi ... Quando sei offuscato , non sai davvero dove si trovano i tuoi sistemi e i tuoi dati, quindi come puoi garantire ai tuoi utenti qualsiasi cosa rispetto alla loro posizione? Del resto come fai a sapere quali leggi devi rispettare e in quale momento? E come fai a sapere di non essere già illegale?
Aspetti positivi Avid anche se non sono sicuro che ogni elemento che hai elencato rientri nella categoria della sicurezza, ma comunque tutti molto rilevanti per le app Cloud. Penso che il tuo ultimo punto sia molto importante. La sicurezza delle persone (l'utente della tua app) è importante almeno quanto la sicurezza della tua azienda.
@Anonymous, in realtà non considero le leggi come tutelare la sicurezza dell'individuo - posso farlo meglio di qualsiasi legge vaga e generica. Tuttavia, questa è "sicurezza" perché si riferisce alla conformità a quelle leggi.
#4
+6
Andreas Arnold
2010-11-22 19:56:30 UTC
view on stackexchange narkive permalink

C'era solo un post sul blog di Lenny Zeltser su questo argomento: I 10 principali rischi per la sicurezza del cloud

La maggior parte dei suoi punti parla del problema che non hai completamente controllo sull'infrastruttura e potrebbe anche non sapere come funziona internamente. Inoltre non si sa più chi altro si trova sullo stesso sistema e una vulnerabilità nel loro sistema potrebbe trapelare ai tuoi dati.

Un altro problema è che devi fidarti di un estraneo per proteggere i tuoi dati. Una configurazione errata e tutti i tuoi dati potrebbero perdere.

#5
+5
D.W.
2011-01-07 14:31:20 UTC
view on stackexchange narkive permalink

Consiglio vivamente questo sondaggio sui problemi di sicurezza con l'hosting basato su cloud: Self hosting vs. cloud hosting: contabilizzazione dell'impatto sulla sicurezza dell'hosting nel cloud.

#6
+4
goodguys_activate
2010-11-20 21:51:21 UTC
view on stackexchange narkive permalink

In pratica, ho visto aziende spostare siti Web nel cloud senza una revisione del codice. Il codice è stato scritto per una singola macchina che esegue ASP.NET.

Il cloud offre principalmente capacità di scalabilità orizzontale. Se il sito non è stato progettato per la scalabilità orizzontale, si verificano problemi di concorrenza con l'integrità dei dati o la sicurezza della sessione. Per affrontare questi problemi, gli sviluppatori rimuoveranno il codice non concorrente (a volte rendendolo meno sicuro) o riscriveranno il codice necessario per supportare distribuzioni simultanee senza sessioni.

#7
+3
Rory Alsop
2010-12-30 08:01:19 UTC
view on stackexchange narkive permalink

Oltre agli aspetti positivi di AviD, sono molto importanti anche i seguenti:

  • Disponibilità - sì, AviD l'ha menzionato, ma non posso sottolineare abbastanza quanto sia fondamentale che tu capisca il tuo affidarsi al cloud. Spesso i fornitori di servizi cloud menzionano l'invulnerabilità del cloud, ma in realtà un attacco di negazione del servizio è ancora valido se non è possibile accedere tempestivamente alla propria applicazione.
  • Conformità normativa - su due fronti: dov'è i tuoi dati? Potete garantire che rimanga nella giurisdizione corretta e, per l'e-discovery, potete garantire di aver recuperato ogni elemento di dati connesso a un individuo / evento?

Il cloud rende entrambi questi più difficile da confermare.

In realtà sulla disponibilità con le enormi risorse di hoster come Msft, Amazon, ecc. In realtà è meno probabile che subisca attacchi DDOS / DOS rispetto a un normale web hoster. Pertanto, mentre gli stessi avvertimenti che si applicano alle app Web si applicano anche alle app cloud, non sono sicuro che il problema di disponibilità sia necessariamente "peggiore" nel cloud.
-1
#8
+3
Cloud Computing India
2011-01-10 14:59:44 UTC
view on stackexchange narkive permalink

Al fine di garantire che i dati siano protetti e che la riservatezza dei dati sia mantenuta, i fornitori di cloud computing si occupano delle seguenti aree:

Protezione dei dati - Per essere considerati protetti, i dati da un cliente deve essere adeguatamente separato da quello di un altro; deve essere conservato in modo sicuro quando "a riposo" e deve essere in grado di spostarsi in sicurezza da un luogo a un altro. I fornitori di servizi cloud dispongono di sistemi per prevenire la fuga di dati o l'accesso da parte di terzi. Una corretta separazione dei compiti dovrebbe garantire che l'audit e / o il monitoraggio non possano essere sconfitti, anche da utenti privilegiati presso il fornitore di servizi cloud.

Gestione delle identità : ogni azienda avrà la propria gestione delle identità sistema per controllare l'accesso alle informazioni e alle risorse informatiche. I fornitori di servizi cloud integrano il sistema di gestione delle identità del cliente nella propria infrastruttura, utilizzando la tecnologia federativa o SSO, oppure forniscono una propria soluzione di gestione delle identità.

Sicurezza fisica e del personale - Fornitori garantire che le macchine fisiche siano adeguatamente protette e che l'accesso a queste macchine e a tutti i dati rilevanti dei clienti non solo sia limitato, ma che l'accesso sia documentato.

Disponibilità - I fornitori di cloud assicurano ai clienti che avranno un accesso regolare e prevedibile ai propri dati e applicazioni.

Sicurezza delle applicazioni : i fornitori di cloud garantiscono che le applicazioni disponibili come servizio tramite il cloud siano sicure implementando test e accettazione procedure per codice applicativo in outsourcing o in pacchetto. Richiede inoltre l'adozione di misure di sicurezza dell'applicazione (firewall a livello di applicazione) nell'ambiente di produzione.

Privacy : infine, i fornitori garantiscono che tutti i dati critici (ad esempio i numeri di carta di credito) siano mascherati e che solo gli utenti autorizzati abbiano accesso ai dati nella loro interezza. Inoltre, le identità e le credenziali digitali devono essere protette, così come i dati che il provider raccoglie o produce sull'attività dei clienti nel cloud.

Per ulteriori informazioni sul cloud computing in India, visita - Link rimosso da mod

il PO ha richiesto problemi di sicurezza specifici per il cloud. Ciò che hai pubblicato contiene un elenco ragionevole di titoli di sicurezza ma si legge come un annuncio. Il collegamento che hai aggiunto è anche una prima pagina di marketing, non una fonte di informazioni sulla sicurezza.
Annunci come questi di solito danneggiano l'attività più di quanto potrebbe fare bene.
#9
+2
anonymous
2010-11-17 02:02:01 UTC
view on stackexchange narkive permalink

La virtualizzazione, che è la radice della tecnologia del cloud computing, rimuove il cosiddetto termine "perimetro", che era come una guida nei normali DC (data center) da dove iniziare la difesa e cosa fare. Poiché la maggior parte dei dati nei cloud viene trasferita tra server fisici e macchine virtuali, il controllo di tale sistema diminuisce: minori possibilità di segmentazione della rete e utilizzo della protezione di tipo hardware. Questa nuova virtualizzazione DC richiede nuovi criteri di accesso e software di gestione dei dati.

È stata creata l'organizzazione no profit Cloud Security Alliance (CSA) che mira alla sicurezza del cloud: http://www.cloudsecurityalliance.org/. Lì puoi trovare guide e best practice su come gestire il cloud computing.

Il termine "perimetro" stava morendo molto prima che il clouding e la virtualizzazione diventassero la tecnologia del giorno. Per esempio. controlla [Jericho Forum] (https://www.opengroup.org/jericho/index.htm), è in circolazione da un po 'di tempo ormai ...
@AviD, non tutti i paesi hanno lo stesso livello di sviluppo IT - capita ancora spesso di osservare l'uso di questo termine nel suo significato principale. Inoltre, l'ho usato qui, quindi è chiaro di cosa si parla: gli utenti che vogliono ottenere maggiori informazioni dovrebbero controllare il collegamento che è stato fornito nella mia risposta.
@Ams, mi dispiace, non ero chiaro - non volevo dire che non usassero il * termine *, volevo dire che il concetto era stato gradualmente eliminato. Cioè, è stato riconosciuto che il "perimetro" attorno all'organizzazione, ai suoi sistemi e agli utenti non è più realmente fattibile; con il mobile computing, i sistemi aperti, l'extranet, i sistemi in hosting, ecc. ecc. Naturalmente, si potrebbe sostenere che quello era l'inizio della moda del cloud / virtzation, ma questo stava accadendo irrilevante per il cloud.
#10
+1
nealmcb
2020-08-26 00:39:41 UTC
view on stackexchange narkive permalink

NIST è uscito nel 2020 con NISTIR 8006, NIST Cloud Computing Forensic Science Challenges | CSRC. Documenta e classifica le sfide specifiche dell'indagine forense sul cloud computing, ma include molti problemi correlati.

Di seguito è riportato l'elenco delle sfide della sezione 3.2.3 Classificazione delle sfide :

  • Architettura (ad esempio, diversità, complessità, provenienza, multi-tenancy, segregazione dei dati).
    • Gestire la variabilità nelle architetture cloud tra fornitori
    • Tenant compartimentalizzazione e isolamento dei dati durante il provisioning delle risorse
    • Proliferazione di sistemi, posizioni ed endpoint in grado di memorizzare i dati
    • Provenienza accurata e sicura per mantenere e preservare la catena di custodia
  • Raccolta dei dati (ad es. integrità dei dati, ripristino dei dati, posizione dei dati, imaging).
    • Individuazione di artefatti forensi in sistemi grandi, distribuiti e dinamici
    • Individuazione e raccolta di dati volatili
    • Raccolta di dati da macchine virtuali
    • Integrità dei dati in un ambiente multi-tenant in cui i dati vengono condivisi tra di loro g più computer in più posizioni e accessibili da più parti
    • Impossibilità di visualizzare tutti gli artefatti forensi nel cloud
    • Accesso ai dati di un tenant senza violare la riservatezza degli altri tenant
    • Recupero di dati cancellati in un ambiente virtuale condiviso e distribuito
  • Analisi (ad esempio, correlazione, ricostruzione, sincronizzazione dell'ora, log, metadati, timeline).
    • Correlazione di artefatti forensi tra e all'interno di provider cloud
    • Ricostruzione di eventi da immagini virtuali o archiviazione
    • Integrità dei metadati
    • Analisi della sequenza temporale di dati di registro, inclusa la sincronizzazione dei timestamp
  • Anti-forensics (ad es. offuscamento, occultamento dei dati, malware). Gli anti-forensi sono un insieme di tecniche utilizzate specificamente per prevenire o fuorviare l'analisi forense.
    • L'uso di offuscamento, malware, occultamento dei dati o altre tecniche per compromettere l'integrità delle prove
    • Il malware può aggirare i metodi di isolamento delle macchine virtuali
  • Operatori di primo intervento in caso di incidente (ad esempio, affidabilità dei fornitori di servizi cloud, tempo di risposta, ricostruzione).
    • Fiducia, competenza e affidabilità dei fornitori di servizi cloud per agire come primi risponditori ed eseguire la raccolta dei dati
    • esecuzione della valutazione iniziale
    • Elaborazione di un grande volume di artefatti forensi raccolti
  • Gestione dei ruoli (ad esempio, proprietari dei dati, gestione delle identità, utenti, controllo degli accessi). Ruolo
    • Identificazione univoca del proprietario di un account
    • Disaccoppiamento tra credenziali utente cloud e utenti fisici
    • Facilità di anonimato e creazione di identità fittizie online
    • Determinazione della proprietà esatta dei dati
    • Autenticazione e controllo dell'accesso
  • Legale (ad es. Giurisdizioni, leggi, accordi sul livello di servizio, contratti, citazioni in giudizio, cooperazione internazionale , privacy, etica).
    • Identificazione e risoluzione di questioni di giurisdizioni per l'accesso legale ai dati
    • Mancanza di canali efficaci per la comunicazione e la cooperazione internazionale durante un'indagine
    • Acquisizione dei dati che si basa sulla collaborazione dei fornitori di servizi cloud, nonché sulla loro competenza e affidabilità
    • Termini mancanti nei contratti e negli accordi sul livello di servizio
    • Emissione di citazioni in giudizio senza la conoscenza della posizione fisica dei dati
  • Standard (ad esempio, procedure operative standard, interoperabilità, test, convalida).
    • Mancanza di e ven SOP, pratiche e strumenti minimi / di base
    • Mancanza di interoperabilità tra fornitori di cloud
    • Mancanza di procedure di test e convalida
  • Formazione (ad es. Investigatori forensi, fornitori di cloud, qualifiche, certificazioni).
    • Uso improprio di materiali di formazione forense digitali non applicabili alla scienza forense nel cloud
    • Mancanza di formazione e competenze forensi nel cloud sia per gli investigatori che per gli istruttori
    • Conoscenza limitata da parte del personale addetto alla tenuta dei registri nel cloud Fornitori di prove
#11
  0
goodguys_activate
2012-03-16 21:26:05 UTC
view on stackexchange narkive permalink

Gli ambienti multi-tenant sono vulnerabili agli attacchi correlati ai cookie di dominio

Non mi è chiaro quanto sia grande questo problema in pratica o quanti fornitori di servizi cloud siano a rischio. Gli ambienti multi-tenant sono a rischio di attacchi ai cookie di domini correlati solo se a più tenant vengono assegnati domini correlati. Sebbene alcuni fornitori di servizi cloud possano farlo, è anche vero che molti fornitori di servizi cloud (come Amazon EC2) non lo fanno.


Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 2.0 con cui è distribuito.
Loading...