Bezpieczeństwo w chmurze

Silne uwierzytelnianie

Trzeba się upewnić, czy system Identity 2.0, w którym się partycypuje, ma dobrą historię bezpieczeństwa i używa otwartych protokołów. Własne systemy uwierzytelniania, tworzone dla jednej witryny, mogą sprawiać wrażenie mniejszego ryzyka niż systemy współdzielone, ale informacje dotyczące własnych systemów rzadko są udostępniane. Systemy używające i obsługujące otwarte standardy mają zazwyczaj dodatkową ochronę ze strony społeczności analityków - ich słabe punkty wcześniej są odnajdywane i łatane.

Ochrona DNS

Jeżeli dostawca cloud zapewnia wsparcie usług DNS, należy rozważyć wdrożenie DNSSec (DNS Security) między własnym DNS a serwerami DNS dostawcy usługi. DNSSec gwarantuje dostarczanie zależnemu klientowi zweryfikowanych, uwierzytelnionych danych DNS, z autoryzowanego serwera DNS. Niestety, DNSSec zostało wdrożone jedynie u niewielu dostawców DNS. Konieczne jest więc odpytanie dostawcy, czy rozważa stworzenie zaufanych kanałów DNSSec między klientem a dostawcą, lub alternatywnie zaimplementowanie statycznych rekordów DNS po stronie usługobiorcy, co pozwoli zabezpieczyć się przed atakami DNS redirection.

Zobacz również:

• 5 priorytetów, które obniżają koszty chmury i usprawniają operacje IT
• Akcje Intel spadają - winna rosnąca konkurencja w AI
• Ransomware - liczba ataków spada, ale są bardziej kosztowne

Kontrola danych

Dane transmitowane i zapisywane w pamięciach masowych powinny być szyfrowane (z wykorzystaniem oddzielnych kluczy symetrycznych). Prawidłowo wdrożone szyfrowanie chroni informacje zawarte w danych nawet wtedy, kiedy inny dzierżawca usługi ma do nich dostęp. Współdzielone klucze symetryczne do szyfrowania danych nie powinny być stosowane - każdy dzierżawca powinien mieć dostęp tylko do własnych kluczy szyfrowania i zmieniać je tylko wtedy, gdy jest to niezbędne. Dostawcy cloud nie powinni mieć łatwego dostępu do kluczy szyfrowania dzierżawców.

Aby zabezpieczyć się przed wyciekiem danych w chmurze, można zaimplementować system wczesnego ostrzegania: niektórzy dostawcy cloud i ich klienci tworzą "dane znaczone" (red herring), umieszczają je w bazie danych oraz monitorują ich wyciek. Jeżeli takie dane znajdą się poza systemem dostawcy usługi, to jest to ostrzeżenie, że pojawił się złodziej danych i należy wdrożyć śledztwo w tej sprawie.

Dostawca cloud powinien również zapewniać, żeby wszystkie niepotrzebne już dane były systematycznie usuwane z pamięci operacyjnej komputerów i pamięci masowej. Klienci powinni upewnić się, czy dostawca usługi zapewnia wyłączność kontroli nad swoimi danymi klientowi oraz jakie środki udostępnia do stałego usuwania niepotrzebnych danych.

Opracowano na podstawie "InfoWorld Cloud Security Deep Dive".