"Siedem grzechów głównych" bezpieczeństwa w chmurach

Eksperci ds. bezpieczeństwa ostrzegają organizacje wkraczające w obszar cloud computing, że chociaż takie pojęcia jak "wielodzierżawność" czy "wirtualizacja" mogą wydawać się im znajome, to jeszcze nie znaczy, że rozumieją wszystko, co jest związane z przeniesieniem aplikacji "w chmurę".

W świecie cloud computing techniki te powiązano, aby stworzyć nowej klasy aplikacje z unikatowym zestawem reguł nimi rządzących. Według specjalistów Cloud Security Alliance (CSA), oznacza to początek nowej epoki w przetwarzaniu danych, i nawet jeżeli pojęcia te brzmią znajomo, to sięgając nieco głębiej - można odkryć całkiem nowy zbiór zagrożeń.

W ocenie specjalistów zajmujących się bezpieczeństwem, organizacje często wchodzą w obszar cloud computing zbyt szybko, a potrzebne tu jest podejście pragmatyczne, oparte na kalkulacji ryzyka, zrozumieniu tego ryzyka oraz rozpoznaniu możliwości jego obniżenia.

CSA, we współpracy z Hewlett-Packard, przygotowała listę "siedmiu grzechów głównych" bezpieczeństwa w chmurze. Lista ta powstała na podstawie ankiety przeprowadzonej wśród 29 przedsiębiorstw, dostawców technologii i firm konsultingowych.

1. Utrata lub wyciek danych. Jest to skutek niedostatecznej kontroli nad danymi w chmurze. Niektóre aplikacje mogą dopuszczać wycieki danych z powodu słabości API kontroli dostępu oraz systemu generowania, przechowywania i zarządzania kluczami. Może to być też skutek braku odpowiedniej polityki zabezpieczającej przed uszkodzeniem danych.
2. Słabe punkty technologii współdzielenia zasobów. W chmurze pojedynczy błąd w konfiguracji może powielać się w całym środowisku, gdzie wiele wirtualnych serwerów wykorzystuje te same ustawienia konfiguracyjne.
3.Napastnik wewnętrzny. Poziom kontroli zaplecza osobowego, jaki zapewnia dostawca usług cloud może różnić się od stosowanego w centrach danych przedsiębiorstw. Ważna jest tu ocena dostawcy usługi i przedstawienie przez niego poziomu sprawdzenia pracowników.
4.Uprowadzanie kont, usług i ruchu. W chmurze koncentruje się mnóstwo danych, aplikacji i zasobów, a przy słabym systemie uwierzytelniania napastnik może uzyskać dostęp do kont i dostać się do wirtualnych maszyn użytkownika.
5.Niezabezpieczone API. Przy projektowaniu aplikacji ważne jest, aby mieć na uwadze fakt, że cloud to nowa platforma, a nie tylko forma outsourcingu. Dlatego proces cyklu życia aplikacji powinno się weryfikować pod kątem zwrócenia szczególnej uwagi projektantów na uwierzytelnianie, kontrolę dostępu i szyfrowanie.
6.Nadużywanie lub wykorzystanie w niecnych celach cloud computing. Napastnicy są na ogół bardziej "postępowi" w wykorzystywaniu nowych technologii i szybko stwarzają nowe zagrożenia, powiązane z możliwością łatwego skalowania w cloud.
7.Nieznany profil ryzyka. Istnieją problemy przejrzystości związane z dostawcami cloud. Konto użytkownika jedynie współdziała z interfejsem sytemu dostawcy i tak naprawdę nie wiadomo, z jakich platform i jak połatanych korzysta dostawca.

Te "siedem grzechów" to oczywiście nie jedyne problemy bezpieczeństwa, ale pokzaują, jak szybko zmienia się sytuacja w zakresie bezpieczeństwa cloud. Specjaliści zajmujący się bezpieczeństwem muszą uwzględniać wiele czynników, które wpływają na działania biznesowe i oceniać, czy mieszczą się one w granicach dopuszczalnego ryzyka. Chociaż organizacje mogą mieć zaufanie do cloud, to jednak nie uwalnia je to od odpowiedzialności za własne bezpieczeństwo.