7 grzechów bezpieczeństwa w chmurach
- (jm),
- 13.04.2010
Specjaliści Cloud Security Alliance, we współpracy z HP, przygotowała listę zagrożeń dla danych i systemów umieszczanych w chmurze.
1. Utrata lub wyciek danych. Niektóre aplikacje mogą dopuszczać wycieki danych z powodu słabości API kontroli dostępu oraz systemu generowania, przechowywania i zarządzania kluczami. Może to być też skutek braku odpowiedniej polityki zabezpieczającej.
2. Słabe punkty technologii współdzielenia zasobów. W chmurze pojedynczy błąd w konfiguracji może powielać się w całym środowisku, gdzie wiele wirtualnych serwerów wykorzystuje te same ustawienia konfiguracyjne.
3.Napastnik wewnętrzny. Poziom kontroli zaplecza osobowego, jaki zapewnia dostawca usług cloud może różnić się od stosowanego w centrach danych przedsiębiorstw.
4.Uprowadzanie kont, usług i ruchu. W chmurze koncentruje się mnóstwo danych, aplikacji i zasobów, a przy słabym systemie uwierzytelniania napastnik może uzyskać dostęp do kont i dostać się do wirtualnych maszyn użytkownika.
5.Niezabezpieczone API. Przy projektowaniu aplikacji ważne jest, aby mieć na uwadze fakt, że cloud to nowa platforma, a nie tylko forma outsourcingu. Dlatego proces cyklu życia aplikacji powinno się weryfikować pod kątem zwrócenia szczególnej uwagi projektantów na uwierzytelnianie, kontrolę dostępu i szyfrowanie.
6.Nadużywanie lub wykorzystanie w niecnych celach cloud computing.
7.Nieznany profil ryzyka. Istnieją problemy przejrzystości związane z dostawcami cloud. Konto użytkownika jedynie współdziała z interfejsem sytemu dostawcy i tak naprawdę nie wiadomo, z jakich platform i jak połatanych korzysta dostawca.
Te "siedem grzechów" to oczywiście nie jedyne problemy bezpieczeństwa, ale pokazują, jak szybko zmienia się sytuacja w zakresie bezpieczeństwa cloud.