безопасност и защита Cloud computing 10995

Безопасност и защита при Cloud Computing

[Pick the date]

Безопасност и защита при

Cloud Computing

Изготвил: Петя Радкова Радева

фн. 10995 спец. Информатика

59 група


1

Съдържание Безопасност и защита при Cloud Computing ............................................................................ 0

1. История на термина cloud computing ................................................................................ 2

2. Същност на Cloud computing. .............................................................................................. 3

3. Публични cloud платформи, инфраструктури и услуги ............................................ 6

IaaS (Infrastructure as a Service) ...................................................................................... 7

PaaS (Platform as a Service).............................................................................................. 8

SaaS (Software as a Service) ............................................................................................. 9

4. Кои са големите публични cloud платформи на пазара? ........................................ 10

5. Мерки за безопасност и защита: ....................................................................................... 16

6. Пет погрешни схващания за сигурността при Cloud Computing ........................... 20

6.1. Данните в облака са по-малко сигурни в сравнение с корпоративната

защитна стена. ............................................................................................................................. 20

6.2. Всички облаци са създадени равни. ....................................................................... 21

6.3. Сигурната виртуална машина в обществения облак се равнява на

защитена физическа машина вътре в предприятието. ................................................ 22

6.4. Cloud приложенията не са толкова сигурни, колкото

традиционния софтуер. ........................................................................................................... 22

6.5. Облакът е само върхът на айсберга. ...................................................................... 23

Източници .......................................................................................................................................... 24


2

Облаците не се отнасят вече само за времето навън, а

терминът навлезе и в интернет пространството. Cloud computing е

сравнително ново понятие в World Wide Web и има много хора,

които все още не знаят какво означава този израз. В крайна сметка,

какво е cloud computing? Това е следващата голяма стъпка в

еволюцията на Интернет. Сloud computing позволява на

потребителите да използват приложения без инсталация и да имат

достъп до личната си информация от всеки компютър, който е

свързан към Интернет.

1. История на термина cloud computing

Смята се, че терминът „cloud computing“ е въведен от Ерик

Шмидт от Google на 9 август 2006 г. на конференция, посветена на

машините за търсене, на която обяснява един възможен подход към

софтуера като услуга (SaaS). Споменаването му в контекста на

Google става предпоставка за асоциацията на платформата и

инфраструктурата като услуга (PaaS/IaaS) с начина, по който Google

Inc. управляват своите изчислителни центрове и инфраструктура.

Съществува мнението, че Шмидт е използвал предоставената

на конференцията възможност да използва израза „cloud computing“

в опит да отвлече вниманието от новостартиращия проект

на Amazon.com, Amazon Elastic Compute Cloud (EC2), чието

лансиране е било планирано за малко по-късно същия месец

(лимитирана публична бета версия на EC2 е официално пусната на

25 август 2006).

Преди това, през април 2001 година в статия в Ню Йорк Таймс

на Джон Маркоф се появява изразът „cloud of computers“ („облак от

http://bg.wikipedia.org/wiki/Amazon.com

http://bg.wikipedia.org/w/index.php?title=Amazon_Elastic_Compute_Cloud&action=edit&redlink=1


3

компютри“). Статията коментира платформата Microsoft .NET и

отрицателната позиция към нея на софтуерния инженер Дейвид

Уайнър и използва понятието облак в същата светлина, в която то

се използва и днес:

За Microsoft идеята зад .Net се състои в софтуерни програми,

които не се намират на нито един компютър, а съществуват в

облака от компютри, който съставлява Интернет.

През май 1997 година компанията NetCentric прави опит да

запази търговската марка „cloud computing“, но впоследствие, през

април 1999, изоставя идеята си.

През март 2007, компютърният гигант Dell също подава в

Патентното ведомство на САЩ заявка за защита на израза като

търговска марка. През август 2008 година заявката е отхвърлена с

мотив, че изразът се е превърнал в генерична марка и е

„неспособен да идентифицира услугите на кандидата по

недвусмислен начин“.

2. Същност на Cloud computing.

За да навлезем в cloud материята, трябва да изясним едно по

едно понятията, свързани с облачните технологии (cloud

technologies): облак (cloud), облачни изчисления (cloud computing),

облачни инфраструктури (cloud infrastructures), облачни платформи

(cloud platforms), облачни услуги (cloud services) и т.н.

Cloud computing (изчисления в облака) е термин от

информационните технологии, който означава обединяване

изчислителната мощ на много компютри (и други хардуерни

устройства) в единна система, която се използва споделено от

множество потребители и приложения. Вместо всеки да си купува

http://bg.wikipedia.org/wiki/Microsoft_.NET

http://bg.wikipedia.org/wiki/%D0%A2%D1%8A%D1%80%D0%B3%D0%BE%D0%B2%D1%81%D0%BA%D0%B0_%D0%BC%D0%B0%D1%80%D0%BA%D0%B0

http://bg.wikipedia.org/wiki/Dell

http://bg.wikipedia.org/wiki/%D0%93%D0%B5%D0%BD%D0%B5%D1%80%D0%B8%D1%87%D0%BD%D0%B0_%D0%BC%D0%B0%D1%80%D0%BA%D0%B0


4

компютър или сървърна машина, която в огромната част от времето

бездейства (докато чака да се появи потребител за обслужване),

големи фирми купуват няколко хиляди компютъра, слагат ги в data

центрове по целия свят и продават техните обединени ресурси на

други потребители (на дребно).

Изчисленията в облака позволяват да кажем върху само 20-30

по-мощни сървъра да работят едновременно няколко стотици

виртуални машини с хиляди приложения и десетки хиляди

потребители. Всеки ползва част от облака, когато има нужда и

колкото има нужда и на практика с по-малко хардуер се обслужват

повече потребители. Това е ИТ феномен, познат под името

“виртуализация” – възможността на един физическа хардуерна

машина да работят едновременно много виртуални машини

(виртуални компютри, VMs). Ако дадена система има нужда от

изчислителна мощ примерно за 10 секунди, облакът може да й

предостави необходимото изчислително време да си свърши

работата, а след това може часове на ред системата да бездейства

и ресурсите на облака ще се алокират за друга система.

Един реален пример за изчисления в облака е следният: ако

имате пощенски сървър, той има нужда от ресурси (интернет

трафик, база данни, дискови операции, процесорно време и т.н.)

само когато някой изпраща e-mail или си проверява пощата. В

останалото време пощенският сървър бездейства (чака нови

мейли). Ако пощенският сървър работи на самостоятелна

хардуерна машина, той ще ползва сигурно по-малко от 1% от

нейните ресурси, а в останалото време те ще стоят неизползвани.

Ако същият пощенски сървър е някъде в облака, той ще ползва

много по-малко ресурси и на същия физически хардуер може да


5

работят едновременно още 100 пощенски сървъра на други

потребители. В крайна сметка облакът пести разходи и вдига

качеството на ИТ услугите – купувате и стопанисвате по-малко

компютри за да стопанисвате, оперирате и поддържате едни и същи

ИТ услуги.

Cloud technologies (облачни технологии)

предоставят изчислителни и други ИТ ресурси под наем. Те

консолидират ИТ инфраструктурата и пестят разходи. При

събирането на голям брой потребители и клиенти в даден център за

данни (data center), където работи някакъв cloud се вдига

значително качеството на поддръжката, намалява се downtime на

системите и пада цената. Не всяка фирма има ресурси да си

изгради собствен център за данни, с резервно захранване, с

няколко независими доставчика на интернет, с денонощен

мониторинг и с денонощна техническа поддръжка, с надеждна

охладителна система, с противопожарна обезопасеност, с

автоматизиран backup и т.н. Всичко това е много скъпо да си го

организираш и оперираш сам, но в облака струва на порядъци по-

малко.

Според видимостта си облаците могат да бъдат публични

(public), частни (private) и хибридни (hybrid).

Публичен cloud (public cloud) означава ИТ инфраструктура,

платформа или услуга, която е публично достъпна в Интернет

(срещу заплащане или безплатно), както е примерно GMail.

Частен cloud (private cloud) означава вътрешнофирмена

cloud инфраструктура (хардуер + софтуер), която консолидира

ИТ услугите на дадена фирма или организация, но не е

достъпна за външни организации. Частният cloud се


6

стопанисва и оперира в частен вътрешен за организацията

data center и така фирмата подсигурява неприкосновеност и

сигурност на данните си (например в банковия сектор). Пример

за private cloud е ИТ инфраструктурата на всяка голяма банка.

Хибриден cloud (hybrid cloud) е смесица между частен и

публичен cloud с цел намаляване на разходите. Пример: банка

стопанисва данните и ИТ системите си локално (in-house), но

ползва за backup публичен cloud като Amazon S3, където

съхранява резервно криптирано копие на данните си.

3. Публични cloud платформи, инфраструктури и услуги

Cloud платформите, инфраструктурите и услугите са силно

скалируеми и дават възможност клиентът да плаща толкова,

колкото ползва (on demand), според нуждите на неговия

бизнес. Публичните cloud технологии дават възможност да си

наемете (или да ползвате безплатно) различни ИТ ресурси като: ИТ

инфраструктура (виртуални машини), изчислителна мощ

(процесорно време), съхранение на данни (база данни, дисково

пространство), обработка на данни, доставка на съдържание,

доставка на съобщения и много други ИТ услуги и ресурси.

Големите правят собствени cloud платформи и

инфраструктури (например Amazon, Google, Microsoft и Rackspace).

Малките стъпват върху платформите на големите. Всички ползват

cloud. И в крайна сметка всички печелят: спестяват си разходи,

намаляват си усилията по поддръжка на ИТ инфраструктурата и си

вдигат си качеството на ИТ услугите.

Публичните cloud услуги са най-общо разделени в три

категории: IaaS, PaaS и SaaS.


7

IaaS (Infrastructure as a Service)

IaaS (Infrastructure as a Service, инфраструктура като услуга) е

концепция за cloud, при която се предоставят виртуални машини

под наем, на които наемателят може да си инсталира каквото

прецени, че му трябва (примерно Linux + Java + Oracle или Windows

+ SQL Server + ASP.NET или Linux + Apache + PHP + MySQL).

Примери за масово използвани публични IaaS услуги са Amazon

EC2, Rackspace Cloud Servers и Windows Azure Compute.


8

От гледна точка на софтуерния инженер разработката за IaaS

cloud среда не се различава почти по нищо от традиционната

разработка от преди ерата на cloud технологиите. IaaS средите са

интересни по-скоро за системните администратори и ИТ

мениджърите, а не за софтуерните разработчици.

PaaS (Platform as a Service)

PaaS (Platform as a Service, платформа като услуга) е фамилия

cloud технологии, при които се предоставят среда за разработка и

cloud услуги към софтуерния разработчик с прилежащи APIs

(програмни интерфейси). Обикновено PaaS доставчиците

предоставят цялостен стек от технологии за разработка и

изпълнение на приложения, примерно:

Java + JBoss application server + Java ServerFaces + JBoss

Rich Faces + Java Persistence API + Oracle database

.NET Framework + C# + ASP.NET + WCF + SQL Server +

Nginx load balancer + IIS web server

PHP + Zend Framework + Cassandra DB + Nginx load balancer

+ Apache web server

Често пъти при PaaS платформите се предлагат cloud-

ориентирани услуги, оптимизирани за работа в cloud среда.

Например вместо традиционните релационни бази данни, много

PaaS доставчици предлагат нерелационни (NoSQL) бази данни,

които работят бързо, скалират много добре при огромни обеми

данни и огромни натоварвания, но се използват по-трудно от

традиционния релационен модел с SQL и им липсва гъвкавост

(например нямат операция “съединение на таблици”). Други типични

услуги в PaaS cloud среда са съхранението на обемни данни (blob /


9

file storage), доставката на съдържание (content delivery network),

услуги за разпращане на email, услуги за доставка на съобщения

(message queue), услуги за кеширане на данни (caching) и услуги за

разпределяне на натоварването (load balancing).

Типични PaaS платформи са например Google App Engine

(GAE), Windows Azure, Amazon AWS, VMware Cloudfoundry,

CloudBees, OpenLogic CloudSwing и Force.com.

От гледна точка на софтуерния инженер разработката за PaaS

cloud среда изисква значителни усилия: развиване на нов начин на

мислене и нови умения, изучаване на нови парадигми и нови APIs,

качествено нова архитектура на приложенията и натрупване на

много специфичен опит за конкретната платформа. Преминаването

към нова PaaS платформа обикновено не е лесно, все едно да

преминеш от PHP и MySQL към Java EE + Oracle или към .NET +

SQL Server.

PaaS платформите са предназначени за програмисти и ще

имат сериозна роля в бъдещето на софтуерния разработчик.

SaaS (Software as a Service)

SaaS (Software as a Service, софтуер като услуга) е

концепцията, при която вместо да си инсталираш и стопанисваш

локално дадена софтуерна система, го ползваш като услуга (hosted

service). Прилага се при огромен набор и най-разнообразни

приложения: системи са управление на уеб сайтове (CMS), CRM

системи, ERP системи, HR системи, счетоводни системи, системи за

управление на проекти и много други.

Типични SaaS доставчици са например:


10

WordPress.com – предоставя услуга за хостинг и

управление на уеб сайтове и блогове чрез CMS системата

за управление на съдържание WordPress

Basecamp – предоставя цялостна уеб базирана система за

управление на проекти и задачи и онлайн колаборация

между участниците в даден проект

Salesforce.com – предоставя като услуга солидна CRM

система (информационна система за управление на

взаимоотношенията с клиенти, която обхваща процесите на

маркетинг, продажби, обслужване на клиенти, техническа

поддръжка и други)

Adobe Creative Cloud – предоставя като услуга богат набор

от инструменти за дизайн и издателска дейност (Adobe

Photoshop, Illustrator, InDesign, Dreamweaver и други)

достъпни от уеб и като cloud-базирани приложения за

таблети и телефони

В голяма степен и добре познатите ни услуги GMail, Google

Docs и Flickr притежават характеристиките на Saas модела, тъй като

предоставят някакво софтуерно решение, достъпно през уеб като

публична услуга, стопанисвано на техни сървъри (hosted service)

срещу някаква такса или безплатно.

От гледна точка на софтуерния инженер SaaS cloud моделът няма

съществено значение. Той е предназначен на-вече за крайните

потребители, които не е необходимо да са софтуерни инженери.

4. Кои са големите публични cloud платформи на пазара?

Настоящият списък включва по-значими публични cloud

платформи. Той е актуален към февруари 2012 г. :


11

Amazon Web Services (AWS) – най-старата масова

публична cloud платформа (и една от най-напредналите).

Предлага предимно IaaS и PaaS услуги като Amazon EC2

(computing cloud – виртуални машини), Amazon SimpleDB

(non-relational database), Amazon RDB (ralational database

cloud /MySQL and Oracle/), Amazon S3 Storage, Amazon EBS

(block store), Amazon SQS (message queue), Amazon

CloudFront (content delivery), Amazon ElastiCache (caching),

Amazon Route 53 (cloud DNS), Amazon SES (email). Amazon

AWS предлага безплатна лимитирана пробна (trial) версия

за 1 година, но изисква кредитна карта при регистрация.

Google App Engine (GAE) – една от най-големите публични

cloud платформи. Това е инфраструктурата, която стои зад

GMail, Google търсачката, Google Docs и останалите Google

услуги, предоставена публично. GAE предоставя среда,

платформа, услуги и библиотеки за разработка и

изпълнение на Java и Python приложения. По-важни PaaS

услуги в GAE са: GAE backends, datastores (high-replication

datastore /HRD/, master-slave datastore, BlobStore, Cloud

Storage), MapReduce API, Channel API, Task Queues. GAE

има напълно безплатна версия (без кредитна карта),

която предоставя голямо количество изчислителни ресурси,

достатъчни за лична употреба или малък бизнес.

Microsoft Windows Azure – голяма и бързо развиваща се

глобална публична cloud платформа, поддържана и

развивана от Майкрософт. Предлага IaaS (Windows

виртуални машини) и PaaS cloud технологии. Може да се

инсталира Java, PHP, Python, Ruby и други езици,


12

платформи и технологии. По-важни PaaS услуги: Windows

Azure Compute (Web role, Worker role, VM role), Azure storage

(Azure Tables, Azure Queues, Azure Blobs), SQL Azure, Azure

CDN, Azure Cache. Windows Azure струва по-скъпо в

сравнение с GAE и AWS, има 90 дни ограничена пробна

(trial) версия и няма безплатен вариант. Изисква кредитна

карта при регистрация и има проблеми ако си от България.

Rackspace – един от големите глобални доставчици на

публична IaaS cloud инфраструктура. Предлагат виртуални

машини в техния cloud (Linux или Windows) + някои cloud

услуги като file storage, web site хостинг и load balancers.

Няма безплатна версия (има 30-дни пробна

версия, изисква кредитна карта).

PHP Fog – добре развита, стабилна платформа за хостинг

на PHP приложения, която комбинира PaaS и SaaS

моделите. Поддържа стандартен PHP + MySQL стек + много

PHP frameworks (CakePHP, Zend Framework, Yii Framework,

Code Igniter и други) + популярни cloud add-ons (MongoHQ

database, Mailgun mail server, Blitz performance testing,

IronWorker task queue, IronMQ message queue, MongoLab

MongoDB, NewRelic performance monitoring). Позволява one-

click install на популярни PHP приложения с отворен код

(WordPress, Joomla, Drupal, MediaWiki, SugarCRM и

други). Напълно безплатно PHP Fog предлагат хостинг на

3 PHP приложения, 20 MB база данни и 100 MB Интернет

трафик (не се изисква кредитна карта).

Heroku – една от най-развитите cloud PaaS платформи.

Предлагат поддръжка на много широк стек от технологии


13

(почти всичко без Windows и .NET): Java + Spring + Hibernate

+ PostgreSQL / MySQL / MongoDB + Tomcat + Jetty; Ruby +

Rails + MongoDB / MySQL; Python + Django + memcache /

Redis; JavaScript + Node.js. Поддържат огромен брой add-on

cloud услуги: Airbrake, Amazon RDS, Apigee for Facebook,

Apigee for Twitter, Appoxy SimpleWorker, Blitz, Chargify,

ClearDB MySQL, Cloudant (CouchDB + MapReduce),

CloudMailin, Cron, Custom Domains, DbInsights, Deploy Hooks,

DocRaptor, DynectSMB, Exceptional, Flying Sphinx, Heroku PG

Backups, Heroku PostgreSQL, Heroku Scheduler, Heroku

Shared PostgreSQL, Hoptoad, IndexTank, IronMQ, IronWorker,

JustOneDB, Loggly, Mailgun, Memcache, MongoHQ,

MongoLab, Moonshado SMS, Neo4j, New Relic, Panda Stream,

Progstr Logger, PubNub, Pusher, RabbitMQ, Ranger, Redis To

Go, RESTful Metrics, RhoConnect, Searchify IndexTank,

Sendgrid, SimpleGeo, SSL, Stackmob, StatsMix, StatsMix

Heroku, Integration Tutorial, StillAlive, Tddium, Treasure Data

Hadoop, Tronprint, Websolr, Xeround, Zencoder, Zerigo

DNS. Напълно безплатно Heroku предлагат 750

изчислителни часа, 100 MB дисково пространство и 5 MB

база данни (не се изисква кредитна карта).

Engineyard – PaaS cloud платформа за Java, Ruby и PHP

приложения. Поддържа Java, PHP, Ruby, Node.js, Nginx,

Unicorn, MySQL, PostgreSQL, MongoDB, memcache, redis.

Предлагат се безплатна версия, която е силно

лимитирана.

Force.com AppForce – PaaS proprietary платформа за

построяване на информационни системи и бизнес


14

приложения. Предназначена е за бизнес потребители (не за

програмисти). Приложенията се правят без да се пише код,

с визуален редактор. Използват се собствени (proprietary)

технологии и езици за програмиране. Няма безплатна

версия, но има free tiral.

AppHarbor – PaaS платформа за .NET разработчици.

Поддържа стандартен стек от Microsoft технологии: C# /

VB.NET + .NET Framework + ASP.NET Web Forms + MVC +

WCF + MS SQL Server / CouchDB / MongoDB / MySQL + IIS

web server + Nginx load balancer. Поддържат се доста add-on

cloud услуги: Airbrake (error logger), blitz (performance testing),

Cloudant (CouchDB + mapReduce), CloudMailin (mail server),

Dedicated / Shared MS SQL Server, JustOneDB, Logentries

(log management), Mailgun (email service), Memcacher,

MongoHQ / MongoLab (hosted MongoDB), Shared MySQL,

Redis To Go, SendGrid (email delivery), StillAlive (uptime

monitoring). Предлага се напълно безплатна версия, която

предоставя достатъчно ресурси за хостинг на .NET сайтове

и проекти (лични и за малкия бизнес).

OpenShift – публична PaaS услуга от Red Hat за хостинг на

PHP, Python, Perl и Ruby приложения върху платформа

LAMP и Java приложения върху платформа Java EE и JBoss

application server. По-конкретно има вградена поддръжка

за Ruby (Rails, Sinatra), Python (Pylons, Turbogears, Django),

Perl (PerlDancer), PHP (Zend Framework, CakePHP, Symfony,

CodeIgniter), Java (Java EE6, CDI/Weld, Spring Framework,

JBoss Seam) и няколко релационни и NoSQL бази данни

(MySQL, PostgreSQL, SQLite, MongoDB).


15

OpenShift предоставя SSH достъп до сървъра за

администрация и деплоймънт. Поддържат се споделени или

dedicated cloud сървъри. Споделената версия на услугата

е напълно безплатна.

CloudBees – PaaS за Java-ориентирани приложения.

Поддържа стандартен Java стек от технологии (Java +

Spring + Java EE 6 Web Profile + JSP + JSF + Servlet + EJB +

JPA + JAX-RS + JAX-WS + Derby / MySQL / CouchDB /

PostgreSQL + Liferay), както и PHP и Ruby on Rails.

Поддържа широк набор add-on cloud услуги. CloudBees

предлагат лимитирана безплатна версия.

OpenLogic CloudSwing – гъвкаво PaaS решение, което

поддържа много широк стек от технологии с отворен код

(като Linux, Apache, MySQL, Perl, PHP, Python, LAMP, Java,

Tomcat, Ruby, Rails, JavaScript, Node.js, Unicorn, NGinX),

който може да се настройва (customize) и да преминава в

собствен стек от технологии. След като веднъж си

настроите вашия cloud стек, той може да се деплойва в

Amazon, Rackspace и Azure. CloudSwing предлагат силно

лимитирана безплатна версия.

VMware Cloud Foundry – PaaS платформа за Java, Ruby и

Node.js. Поддържа стандартен Java cloud стек (Java + Spring

+ MySQL / PostgreSQL / MongoDB + Redis + RabbitMQ +

Tomcat) и стандартен Ruby on Rails стек (Ruby + Rails +

MySQL / PostgreSQL / MongoDB + Redis +

RabbitMQ). Ценовата политика е неясна към февруари

2012 г.


16

Oracle Public Cloud – PaaS платформа за Java EE + Oracle

DB. Поддържа сериозен стек от Java EE технологии (Java +

WebLogic application server + Java EE + JSP + JSF + Servlet +

EJB + JPA + JAX-RS + JAX-WS + Spring + Hibernate +

EclipseLink + ADF + ADF Faces + Oracle database + Oracle

CRM + Oracle HRM + Oracle Social Network). Ценовата

политика е неясна към февруари 2012 г.

GoGrid– преглагат надеждна и силно скалируема публична

IaaS cloud услуга, подобна на Rackspace cloud и Amazon

EC2. Инфраструктурата включва hardware load balancers,

виртуални cloud сървъри, dedicated физически сървъри,

cloud storage, content delivery network (CDN).

Ценообразуването е според консумираните ресурси (CPU,

RAM, network traffic, etc.). Няма безплатна версия. Няма и

trial версия.

5. Мерки за безопасност и защита:

Виртуализацията и изчислителните облаци обещават да

оптимизират IT инфраструктурата и да намалят разходите. Въпреки

това, всяка нова технология въвежда нови рискове. Никой не е бил

притеснен за Wardriving и паролата sniffing . Сега, защитата срещу

тези заплахи е стандарт.

Рисковете за сигурността на движението на данните в „облака“

все още не са напълно изяснени. Едно нещо, което е ясно обаче, е

че предимствата по отношение на разходите в „облака“ са въпрос

на време.

Фирмите, които не са приели облака, бързо ще бъдат в

неизгодна позиция спрямо техните облак съперници. ИТ

инструментите за сигурност ще бъдат много различни през


17

следващите пет години, в сравнение с днес.Cloud сигурността може

и да има нейния WEP момент, но в последствие ще се развива. Как

ще се промени обаче, е много трудно да се каже, когато става дума

за облак сигурността, която не е висока. Погледнете cloud

сигурността чрез корпоративния LAN. Много хора смятат, че всички

данни, извън корпоративната защитна стена са вече загубени. Други

пък смятат, за наивно, че облак доставчиците ще се грижат за тези

проблеми.

Откажете се се от DMZ

Една от най-големите разлики на облака с традиционния

компютинг е мащабът на достъпа – целта на облака е да е

навсякъде. Така периметърната мрежа (DMZ) става

безполезна – тя никога не е предлагала силна защита, а

облакът със своите автентикирани потребители просто

забива последния пирон в ковчега.

Затова е нужно класификацията и собствеността на данните

да бъдат обвързани със силна изолация на домейна.

Облачните доставчици трябва да дадат на клиентите си

начини да маркират или етикират данните с определена

собственост и класификация на сигурността и да позволят

защити въз основа на тези атрибути. Информацията трябва

да е защитена така, че неоторизираният, но все пак

автентикиран достъп да бъде ограничен.

Криптирайте данните

Данните винаги трябва да са криптирани при съхранение и

прехвърляне. Ако тази предпазна мярка е приложена

правилно, дори ако друг наемател на облака може да


18

достъпи информацията, тя няма да е разпознаваема. Не е

препоръчително използването на споделени криптиращи

ключове, но все пак потребителите трябва да могат да

достъпват своите ключове и да ги променят, ако е нужно.

Облачните доставчици не трябва да разполагат с готов

достъп до криптиращите ключове на наемателите.

Използвайте силна автентикация

Убедете се, че всяка Identity 2.0 система, в която участвате,

има добра история зад гърба си и използва отворени

протоколи. Несвободните (proprietary), „single-site“ системи

за автентикация може да изглежда, че крият по-малък риск

от споделените, но информация за тях по-рядко се споделя.

При системите, които използват и поддържат отворени

стандарти, обикновено е плюс, че идват с добавената

защита на обществения анализ. Също така слабостите им

често бързо биват откривани и адресирани.

Пригответе се за DDoS атаки

Понякога хакерите са доволни дори и само да попречат на

една организация да обслужва потребителите си чрез DDoS

атаки. За щастие облачните системи обикновено са много

издръжливи на прости „наводняващи“ атаки и могат да

впрегнат повече честота и ресурси, за да се борят с

гигабайтове зловреден трафик. Въпреки това трябва да се

има предвид, че нападателите може да се опитат да свалят

upstream или downstream възлите, които не са под контрола

на облачния доставчик. Затова е нужно цялата подготовка

на защитата и пиъринг споразуменията да са факт отрано.

Използвайте DNS


19

Ако DNS (Domain Name System) услугите на вашия облачен

доставчик поддържат такава опция, внедрете DNSSEC

(DNS Security) между вашите DNS сървъри и DNS

сървърите на доставчика. Протоколът DNSSEC осигурява

допълнителна защита на системата за домейн имена чрез

проверка на отговорите на DNS сървъра в процес, наречен

„верига на доверие”, което увеличава защитата на

системата за домейн имена. За нещастие малко DNS

доставчици поддържат DNSSEC. Попитайте вашия

доставчик дали би създал т. нар. „DNSSEC trust anchors“

между своя и вашия сайт/сайтове. Друга опция е да

внедрите статични DNS записи от вашата страна, за да

предотвратите зловредни пренасочващи DNS атаки.

Използвайте „red herring“ и система за ранно

предупреждение.

Някои облачни доставчици и потребители създават т. нар.

„red herring“ данни – такива, които умишлено отвличат

вниманието – за да ги ползват като ранна предупредителна

система. Тази информация е фалшива и се инжектира в

базата данни, след което се следи дали изтича. Например

един облачен доставчик може да създаде пълни клиентски

записи за Фред и Уилма Флинтстоун – такива, каквито едва

ли съществуват в реалния свят. След това вендорът или

клиентът използва системи и процедури за засичане на

загуба на данни, за да следи тези конкретни записи. Ако

информацията бъде открита извън системата на облачния

доставчик, това ще е ранно предупреждение, че е възможна


20

и се е случила кражба на данни и има нужда от

разследване.

Изтривайте старите данни

Облачните доставчици трябва да са сигурни, че

информацията, която вече не е необходима, бива изтривана

от паметта и съхранението. Споделените ресурси не е

нужно да означават перманентно споделен сторидж. Всеки

клиент е препоръчително да се свърже с облачния си

доставчик, за да е сигурен, че всички подадени данни са

притежавани само от него и да научи какви мерки взема

вендорът за изтриването на ненужната информация.

6. Пет погрешни схващания за сигурността при Cloud

Computing

Представям ви пет опасни заблуди относно cloud сигурността,

които могат да нарушат цялостната сигурност.

6.1. Данните в облака са по-малко сигурни в сравнение

с корпоративната защитна стена.

Една от най-големите пречки за приемането на облака е

сигурността. И все пак заблуди по отношение на cloud сигурността

действително могат да подкопават сигурността.

Тъй като фирмите са притиснати от корпоративните

съкращения на бюджета, има все по-голяма нужда да сте в крак с

всички подобрения и уязвимости. Схващането, че можете да се

справите със сигурността по-добре от голям доставчик на cloud

услуги с дълбоки джобове и специализиран персонал за сигурност е

погрешно.

„Не забравяйте, че когато една корпорация губи важни данни,

обикновено това е вътрешна работа“, казва Брайън Къри,


21

вицепрезидент на отдела за продукти и бизнес стратегии на

YouSendIt, доставчик на надеждни цифрови услуги за доставка на

съдържание. „Хора, разполагащи с вътрешна информация ще имат

достъп до системите, което не трябва да е така и данните ще са

изложени на риск.“ Ясно е, че намаляването или премахването на

търговията с вътрешни атаки е огромно предимство за сигурността.

Cloud доставчиците имат множество центрове за данни – за

архивиране и възстановяване след бедствие и всеки, който влиза

следва да преминава през слоя на физическа и често биометрична

сигурност. Освен това, уважаваните облак търговци трябва да

отговарят на множество регламенти, като се проверява често и

техния бизнес, който зависи от предоставянето на сигурен достъп

до данни.

6.2. Всички облаци са създадени равни.

Въпреки, че cloud доставчиците следва да осигурят по-голяма

сигурност, това не означава че те го правят.

„SLA, сигурността, надеждността и непрекъснатата работа,

всички те могат да се различават значително от един доставчик до

друг“, каза Rami Habal, директор на продуктовия маркетинг за

Proofpoint, SaaS и доставчик на сигурност.

Habal смята, че е важно да има SLA, които излизат извън

основната непрекъсната работа и надеждност. SLA следва да

обхваща приложения, и дори това, което продавачите ще правят в

случай на нарушение или погром на DDoS.

Cloud търговците следва да се контролират също толкова тясно с

традиционните хардуерни и софтуерни производители.


22

6.3. Сигурната виртуална машина в обществения облак се

равнява на защитена физическа машина вътре в

предприятието.

Голяма е заблудата че виртуалните машини са също толкова

сигурни, колкото физическите. „Има множеството атаки срещу

виртуалните машини, които може да се стартират от друга

виртуална машина, движещи се по един и същ хардуерен облак.

Така че, осигуряването на сигурност на данните, като с HTTPS или

VPN, ще продължи да бъде несигурно „заяви Pravin Kothari,

основател и главен изпълнителен директор на CipherCloud“.

„Важно е да сте сигурни, че данните ви са криптирани – дори

преди да напуснат предприятието“, каза Kothari. Ако вашият

доставчик на облак услуги не криптира данните, то той вероятно не

е толкова сериозен за сигурността.

6.4. Cloud приложенията не са толкова сигурни, колкото

традиционния софтуер.

Традиционния софтуер минава през по-дълъг процес на

проверка, по-голямо участие в проучване на процеса в сравнение с

cloud-базираните приложения. Пропуските обаче, показват нещо

различно.

Cloud-базираните приложения постоянно се осъвременяват.

„Като cloud продавач, ние пускаме софтуер всяка седмица. Всяко

тримесечие, правим обновяване на база клиентски код и работим

ежедневно по определени уеб приложения.“, заяви Къри.

Стандартните приложения не са освежени и актуализирани всяка

седмица или всеки ден. SaaS доставчиците се съсредоточават

върху дадено приложение или набор от приложения и се стремят да

го подобрят по най-добрия начин.


23

6.5. Облакът е само върхът на айсберга.

Това всъщност не е погрешно схващане. Cloud Computing-a

прави много по-лесно да се въвеждат устройства като смартфони и

таблети в контакт с корпоративни приложения. Хакерите са все по-

насочени към смартфоните, като можете да заложите, че ще има

уязвими места, открити в 99 процента приложения.

Погрешното схващане е, че мобилните устройства са много по-

рискови от персоналните компютри. Това не е непременно вярно.

Мобилните устройства, които използват обработка и съхранение в

„облака“ вече са по-сигурни.

Критичната част от сигурността при мобилните устройства е в

самоличността на потребителите и препоръките. Един изгубен

телефон може да представлява нищо повече от малко неудобство.

Сравнете това с един изгубен лаптоп. Забравени лаптопи са

отговорни за много сериозни инциденти за загуба на данни.

Сигурността при мобилните устройства ще се развива, за да

предложи по-добри защити за устройствата.


24

Източници

1. http://computerworld.bg

2. http://pcworld.bg/

3. http://www.wikepedia.org/

http://computerworld.bg/

http://pcworld.bg/

http://www.wikepedia.org/

безопасност и защита Cloud computing 10995

Documents

Transcript of безопасност и защита Cloud computing 10995