Bezpieczeństwo w chmurze

Silne uwierzytelnianie

Trzeba się upewnić, czy system Identity 2.0, w którym się partycypuje, ma dobrą historię bezpieczeństwa i używa otwartych protokołów. Własne systemy uwierzytelniania, tworzone dla jednej witryny, mogą sprawiać wrażenie mniejszego ryzyka niż systemy współdzielone, ale informacje dotyczące własnych systemów rzadko są udostępniane. Systemy używające i obsługujące otwarte standardy mają zazwyczaj dodatkową ochronę ze strony społeczności analityków - ich słabe punkty wcześniej są odnajdywane i łatane.

Ochrona DNS

Jeżeli dostawca cloud zapewnia wsparcie usług DNS, należy rozważyć wdrożenie DNSSec (DNS Security) między własnym DNS a serwerami DNS dostawcy usługi. DNSSec gwarantuje dostarczanie zależnemu klientowi zweryfikowanych, uwierzytelnionych danych DNS, z autoryzowanego serwera DNS. Niestety, DNSSec zostało wdrożone jedynie u niewielu dostawców DNS. Konieczne jest więc odpytanie dostawcy, czy rozważa stworzenie zaufanych kanałów DNSSec między klientem a dostawcą, lub alternatywnie zaimplementowanie statycznych rekordów DNS po stronie usługobiorcy, co pozwoli zabezpieczyć się przed atakami DNS redirection.

Zobacz również:

  • Wirtualizacja aplikacji
  • Chmura 2022. Strategia, wyzwania i bariery – badanie redakcyjne Computerworld
  • Luka w Zoomie wykorzystywana do rozsiewania wirusów

Kontrola danych

Dane transmitowane i zapisywane w pamięciach masowych powinny być szyfrowane (z wykorzystaniem oddzielnych kluczy symetrycznych). Prawidłowo wdrożone szyfrowanie chroni informacje zawarte w danych nawet wtedy, kiedy inny dzierżawca usługi ma do nich dostęp. Współdzielone klucze symetryczne do szyfrowania danych nie powinny być stosowane - każdy dzierżawca powinien mieć dostęp tylko do własnych kluczy szyfrowania i zmieniać je tylko wtedy, gdy jest to niezbędne. Dostawcy cloud nie powinni mieć łatwego dostępu do kluczy szyfrowania dzierżawców.

Aby zabezpieczyć się przed wyciekiem danych w chmurze, można zaimplementować system wczesnego ostrzegania: niektórzy dostawcy cloud i ich klienci tworzą "dane znaczone" (red herring), umieszczają je w bazie danych oraz monitorują ich wyciek. Jeżeli takie dane znajdą się poza systemem dostawcy usługi, to jest to ostrzeżenie, że pojawił się złodziej danych i należy wdrożyć śledztwo w tej sprawie.

Dostawca cloud powinien również zapewniać, żeby wszystkie niepotrzebne już dane były systematycznie usuwane z pamięci operacyjnej komputerów i pamięci masowej. Klienci powinni upewnić się, czy dostawca usługi zapewnia wyłączność kontroli nad swoimi danymi klientowi oraz jakie środki udostępnia do stałego usuwania niepotrzebnych danych.

Bezpieczeństwo w chmurze

Opracowano na podstawie "InfoWorld Cloud Security Deep Dive".


TOP 200