Bezpieczeństwo wirtualizacji i cloud computing

Cloud computing i wirtualizacja zasobów mają wiele zalet, wynikających głównie z konsolidacji i elastyczności infrastruktury. Z drugiej jednak strony stają się problemem dla tradycyjnych schematów ochrony i zarządzania tożsamością.

Cloud computing to nie są po prostu konwencjonalne aplikacje pracujące w sieciach WAN - chmura wprowadza zupełnie nowy model obliczeniowy, który jest wyzwaniem dla tradycyjnych domen bezpieczeństwa. W ocenie specjalistów od bezpieczeństwa, zdarza się, że organizacje "wchodzą w chmurę" zbyt szybko, a potrzebne jest podejście pragmatyczne, oparte na kalkulacji ryzyka i możliwości jego redukcji.

Na ogół wyróżnia się trzy podstawowe modele cloud computing: Infrastructure as a Service (IaaS), Software as a Service (SaaS) i Platform as a Service (PaaS). Istnieje też inny podział: chmura publiczna jest tworzona przez jednego dostawcę i oferowana szerokiej publiczności (dostępna przez internet i współdzielona), a chmura prywatna - hostowana przez tę samą organizację, która korzysta z tej usługi (jest jeszcze mieszane środowisko, czyli chmura hybrydowa). Największe problemy bezpieczeństwa stwarza chmura publiczna.

Zobacz również:

  • Wirtualizacja aplikacji
  • 16 innowacji w chmurze, którym nie sposób się oprzeć
  • Rosyjska policja namierzyła i zlikwidowała hakerską grupę REvil

Główne problemy bezpieczeństwa w chmurze

W tradycyjnych centrach danych wdraża się procedury i środki kontroli w celu utworzenia ochrony obwodowej wokół infrastruktury i danych, które chce się zabezpieczyć. Taka ochrona jest relatywnie łatwa do zarządzania, ponieważ firmy mają kontrolę nad swoimi serwerami i wykorzystują sprzęt fizyczny wyłącznie dla własnych celów. Jednak w chmurze granice zacierają się, a kontrola nad bezpieczeństwem jest ograniczona - aplikacje przemieszczają się dynamicznie, a zdalnie zlokalizowany zasoby współdzielone są z nieznajomymi.

Publiczna natura chmury stawia wyjątkowe wymagania w zakresie prywatności i poufności danych. Dane przechowywane w niej wiodą żywot w wirtualnym świecie, trudnym do zlokalizowania. Administratorzy mogą w łatwy sposób replikować dane użytkownika w różne miejsca, w celu umożliwienia np. konserwacji serwera, bez przerywania usługi czy powiadamiania właściciela danych. Do podstawowych cech chmury stawiających nowe wyzwania w zakresie bezpieczeństwa można zaliczyć m.in.:

• Dostępność przez internet (lub intranet).

• Współużytkowanie (jedna instancja oprogramowania udostępniana wielu użytkownikom).

• Rozległy schemat uwierzytelniania.

• Brak konkretnej lokalizacji.

W tradycyjnym środowisku przetwarzania jedynie niewielki procent serwerów jest dostępnych przez internet - w cloud computing większość, a udostępnianie zasobów komputerowych przez internet stwarza większe ryzyko bezpieczeństwa. Fakt ten zasadniczo zmienia podejście do ochrony. W miarę rozwoju usług cloud, większość zadań, które były realizowane przy użyciu jednego komputera, będzie wykonywane przez zestaw serwerów webowych, zazwyczaj połączonych przez XML, SOAP (lub REST) i SAML. Specjaliści od bezpieczeństwa muszą mieć wiedzę o tych usługach i protokołach i zabezpieczać się przed ich słabościami.

Współużytkowanie jest główną cechą chmur publicznych - wielu różnych użytkowników końcowych współdzieli te same usługi i zasoby fizyczne za pośrednictwem warstw oprogramowania wirtualizacji. Takie współdzielone środowisko wprowadza specyficzne ryzyko - użytkownik jest całkowicie nieświadomy tożsamości sąsiadów, ich profilu bezpieczeństwa czy intencji. Maszyny wirtualne pracujące w sąsiedztwie środowiska użytkownika mogą być złośliwe i poszukiwać okazji do ataku na innych dzierżawców hyperwizora lub namierzać komunikację przechodząca przez system. Napastnicy mogą przejmować dane i zasoby innych dzierżawców przez rozpoznanie ich adresów IP i zasobów komputerowych lub przeszukując resztki danych pozostałych po zwolnieniu ich zasobów (brak automatycznego mechanizmu usuwania danych z pamięci masowej czy operacyjnej po rozłączeniu się użytkownika).

Bezpieczeństwo wirtualizacji i cloud computing
W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200