Debesies sauga: vadovas debesies vartotojams

Debesų sauga

2010–2011 m. Debesis buvo ažiotažas, tačiau šiandien tai tapo būtinybe. Daugybei organizacijų pereinant prie debesų, debesų saugumo poreikis tapo svarbiausiu prioritetu.

Bet prieš tai tie iš jūsų, kurie dar nesinaudojo debesų kompiuterija, pažvelkime greitai į tai, kas yra debesų kompiuterija,

Kas yra debesų kompiuterija?

„Debesų kompiuterija“ dažnai vadinama „debesimi“, paprastai sakant, reiškia duomenų ir programų saugojimą ar prieigą internete, o ne savo standžiajame diske.

Aptarkime debesų tipus dabar:

Viešas debesis

Viešojo debesies diegimo režimu diegiamos paslaugos yra atviros viešam naudojimui ir paprastai viešosios debesų paslaugos yra nemokamos. Techniškai galbūt nėra jokio skirtumo tarp viešojo ir privataus debesies, tačiau saugumo parametrai yra labai skirtingi, nes viešasis debesis yra prieinamas visiems, yra daugiau rizikos veiksnių, susijusių su tuo pačiu.

Privatus debesis

Privatus debesis valdomas tik vienos organizacijos, tai gali padaryti ta pati organizacija arba trečiosios šalies organizacija. Tačiau paprastai, kai naudojate savo debesį, išlaidos yra didelės, nes aparatinė įranga būtų periodiškai atnaujinama, taip pat reikia saugoti saugumą, nes kiekvieną dieną kyla naujų grėsmių.

Hibridinis debesis

Hibridinį debesį sudaro tiek privataus, tiek viešojo debesies funkcijos

Kaip klientai nusprendžia tarp viešųjų, privačių ir hibridinių debesų?

Na, tai priklauso nuo vartotojo reikalavimo, ty jei vartotojas mano, kad jo informacija yra per jautri, kad būtų bet kurioje sistemoje, o ne savo, jis pasirinktų privatų debesį

Geriausias to pavyzdys galėtų būti „DropBox“. Pirmosiomis dienomis jie pradėjo naudoti AWS S3 kaip savo vidinį objektų saugojimo planą, tačiau dabar jie sukūrė savo saugojimo technologiją, kurią patys stebi.

Kodėl jie tai padarė?

Na jie tapo tokie dideli, kad viešoji debesų kainodara nebeturėjo prasmės. Jų teigimu, jų programinės ir aparatinės įrangos optimizavimas yra ekonomiškai naudingesnis nei jų laikymas „Amazon S3“.

Bet tada, jei nesate didokas, kaip „DropBox“, ir vis dar naudojatės privačia infrastruktūra, galbūt pagalvosite, kodėl gi ne viešasis debesis?

Kodėl klientas naudos viešąjį debesį?

Visų pirma, kainodara yra gana mažesnė, palyginti su investicijomis, kurių įmonei reikės norint nustatyti savo serverius.

Antra, kai esate susieti su garsiu „Cloud Provider“, jūsų failų prieinamumas debesyje tampa didesnis.

Vis dar nesuprantama, ar norite saugoti failus ar duomenis privačiame ar viešame debesyje.

kas yra laisva jungtis java

Leiskite man papasakoti apie hibridinį debesį. Naudodami hibridinį debesį galite laikyti savo „brangesnius“ duomenis apie savo privačią infrastruktūrą, o likusius - viešajame debesyje, tai būtų „hibridinis debesis“.

Taigi, viskas priklauso nuo vartotojo reikalavimo, pagal kurį jis pasirinks viešąjį, privatųjį ir hibridinį debesį.

Ar debesų kompiuterijos saugumas gali paspartinti klientų judėjimą į debesį?

Taip, pažvelkime į keletą „gartner“ atliktų tyrimų. Pereikite per žemiau esančią statistiką:

Šaltinis: „Gartner“

Dabar šis tyrimas buvo atliktas įmonėms, kurios šiek tiek nenori pereiti prie debesų, ir kaip akivaizdžiai matote aukščiau pateiktame paveikslėlyje, svarbiausia priežastis yra saugumas.

Dabar tai nereiškia, kad debesis nėra saugus, tačiau žmonės tai suvokia. Taigi iš esmės, jei galite užtikrinti žmonėms, kad debesis yra saugus, judant debesies link gali pasireikšti tam tikras pagreitis.

Kaip CIO suderinti įtampą tarp rizikos, kainos ir vartotojo patirties?

Na, aš tai kažkur perskaičiau, „Cloud Security“ yra mokslo ir meno mišinys.

Sumišęs? Na, tai menas žinoti, iki kokio lygio turėtumėte saugoti paslaugą, kad vartotojo patirtis nesumažėtų.

Pvz., Tarkime, kad turite programą, o kad ji būtų saugi, kiekvienos operacijos metu prašote vartotojo vardo ir slaptažodžio, o tai prasminga tiek, kiek tai susiję su saugumu, bet tada tai trukdo vartotojo patirčiai.

Taigi yra menas žinoti, kada reikia sustoti, bet tuo pačiu ir mokslas, nes reikia sukurti algoritmus ar įrankius, kurie užtikrintų maksimalų kliento duomenų saugumą.

Dabar, kai į paveikslą patenka bet koks naujas dalykas, žmonės į tai žiūri skeptiškai.

Žmonių manymu, yra daug „rizikos“, kurią turi debesų kompiuterija. Pažvelkime į šias rizikas po vieną:

1. Debesis nesaugus

Daugeliu atvejų, kai kalbėtumėte apie debesį, būtų daug žmonių, sakančių, kad duomenys yra saugesni jų pačių infrastruktūroje, o ne sakoma, kad AWS serveris turi AWS saugumą.

Na, tai gali būti prasminga, jei įmonė sutelks dėmesį tik į savo privataus debesies saugumą, o akivaizdu, kad taip nėra. Bet jei įmonė tai padarys, kada jie susitelks į savo tikslus?

Pakalbėkime apie Debesų teikėjus, tarkime, AWS (didžiausias iš jų), ar nemanote, kad vienintelis AWS tikslas yra padaryti jūsų duomenis saugiausius? Kodėl, nes už tai jiems mokama.

Taip pat įdomus faktas, kad „Amazon“ AWS patalpino savo elektroninės prekybos svetainę, kuri išvalo orą, ar AWS yra patikima.

Debesų teikėjai gyvena, valgo ir kvėpuoja debesų saugumu.

2. Debesyje yra daugiau pažeidimų

2014 m. Pavasario perspėjimo logikos ataskaitos tyrimas rodo, kad 2012–2013 m. Kibernetinės atakos buvo nukreiptos ir į privačius, ir į viešus debesis, tačiau privatūs debesys buvo labiau linkę į išpuolius. Kodėl? Nes įmonės, kurios nustato savo serverius, nėra tokios aprūpintos, palyginti su AWS ar „Azure“ ar bet kokiu kitu debesų teikėju.

3. Vieno nuomininko sistemos yra saugesnės nei kelių nuomininkų sistemos.

Na, jei jūs galvojate logiškai, ar nemanote, kad naudodamiesi kelių nuomininkų sistemomis turite papildomą saugumo sluoksnį. Kodėl? Nes jūsų turinys bus logiškai izoliuotas nuo likusių sistemos nuomininkų ar vartotojų, ko nėra, jei naudojate vieno nuomininko sistemas. Todėl, jei įsilaužėlis nori pereiti per jūsų sistemą, jis turi pereiti dar vieną papildomą saugumo sluoksnį.

Apibendrinant galima teigti, kad tai visi mitai, taip pat atsižvelgiant į investicijų taupymą, kurį atliksite perkeldami duomenis į debesį, ir į kitus privalumus, tai gerokai nusveria riziką, susijusią su debesų saugumu.

Tai pasakę, pereikime prie šios dienos diskusijos, kaip jūsų „Cloud“ paslaugų teikėjai elgiasi su saugumu.

Taigi paimkime čia pavyzdį ir tarkime, kad naudojate programą socialiniams tinklams kurti. Spustelite kažkokią atsitiktinę nuorodą ir nieko neįvyks. Vėliau sužinosite, kad šlamšto pranešimai siunčiami iš jūsų paskyros visiems jūsų kontaktams, kurie yra susiję su jumis toje programoje.

Bet tada, dar nespėjus numesti laiško ar pasiskųsti dėl programos palaikymo, jie jau žinojo problemą ir pradės ją spręsti. Kaip? Supraskime.

Taigi iš esmės „Cloud Security“ turi tris etapus:

• Stebėsenos duomenys
• Įgyti matomumą
• Prieigos valdymas

The Debesų stebėjimas įrankis, kuris nuolat analizuoja jūsų debesies programos duomenų srautą, įspės, kai tik jūsų programoje prasidės „keista“ medžiaga. Kaip jie vertina „keistus“ dalykus?

Na, debesies stebėjimo įrankis turėtų pažangius mašininio mokymosi algoritmus, kurie registruoja įprastą sistemos elgseną.

Taigi bet koks nukrypimas nuo įprasto sistemos elgesio būtų raudona vėliava, taip pat žinomos įsilaužimo technikos yra nurodytos jos duomenų bazėse. Taigi, imdami visa tai į vieną paveikslėlį, stebėjimo įrankis pateikia įspėjimą, kai atsitinka kažkas nemalonaus.

Dabar, kai sužinosite, kad vyksta kažkas „nenormalaus“, norėtumėte sužinoti, kada ir kur ateina 2 etapas, įgyti matomumą .

Tai galima padaryti naudojant įrankius, kurie suteikia jums matomumą duomenų, kurie ateina ir išeina iš jūsų debesies. Naudodamiesi jais galite stebėti ne tik tai, kur įvyko gedimas, bet ir „kas“ yra atsakingas už tą patį. Kaip?

Šios priemonės ieško modelių ir surašys visas įtartinas veiklas, taigi pamatys, kuris vartotojas yra atsakingas už tą patį.

Dabar atsakingas asmuo pirmiausia turėtų būti pašalintas iš sistemos, tiesa?

Ateina 3 etapas, prieigos valdymas.

Priemonėse, kurios valdys prieigą, bus išvardyti visi vartotojai, kurie yra sistemoje. Taigi galite sekti šį asmenį ir ištrinti jį iš sistemos.

Dabar kaip šis asmuo ar įsilaužėlis gavo administratoriaus prieigą prie jūsų sistemos?

Tikriausiai įsilaužėlis nulaužė jūsų valdymo pulto slaptažodį ir sukūrė sau administratoriaus vaidmenį iš „Access Management“ įrankio, o likusi dalis tapo istorija.

Ką dabar darytų jūsų „Cloud“ paslaugų teikėjas? Jie mokytųsi iš to ir vystytųsi taip, kad daugiau niekada nepasikartotų.

Dabar šis pavyzdys skirtas tik supratimui, paprastai nė vienas įsilaužėlis negali taip pat pasiekti jūsų slaptažodžio.

Čia reikia sutelkti dėmesį į tai, kad debesų bendrovė išsivystė po šio įsilaužimo, jie ėmėsi priemonių pagerinti savo debesų saugumą, kad to paties niekada nebūtų galima pakartoti.

Dabar visi debesų tiekėjai laikosi šių etapų. Pakalbėkime apie didžiausią debesų tiekėją AWS.

Ar AWS laikosi šių etapų, kad būtų užtikrinta AWS debesų sauga? Pažiūrėkime:

modelio rodinio valdiklio pavyzdys java

Debesies stebėjimui AWS turi „CloudWatch“

Duomenų matomumui AWS turi „CloudTrail“

O prieigos valdymui AWS turi JAU

Tai yra įrankiai, kuriuos naudoja AWS. Pažvelkime atidžiau, kaip jie veikia.

„CloudWatch“

Tai suteikia galimybę analizuoti duomenis, gaunamus ir gaunamus iš AWS išteklių. Jis turi šias su debesų saugumu susijusias funkcijas:

• Stebėkite EC2 ir kitus AWS išteklius:
  • Neįdiegę papildomos programinės įrangos, galite stebėti savo EC2 našumą naudodami „AWS CloudWatch“.
• Galimybė stebėti tinkintą metriką:
  • Galite sukurti pasirinktinę metriką ir stebėti ją per „CloudWatch“.
• Stebėkite ir saugokite žurnalus:
  • Galite stebėti ir saugoti žurnalus, susijusius su jūsų AWS išteklių veikla.
• Nustatyti aliarmus:
  • Galite nustatyti pavojaus signalus pagal konkrečius veiksnius, pvz., Veiklą, kuriai reikia nedelsiant skirti dėmesio ir pan.
• Peržiūrėti grafikus ir statistiką:
  • Šiuos duomenis galite vizualizuoti grafikų ir kitų vaizdinių pavidalų pavidalu.
• Stebėkite išteklių pokyčius ir reaguokite į juos:
  • Jis gali būti sukonfigūruotas taip, kad reaguotų į išteklių prieinamumo pokyčius arba kai išteklius veikia netinkamai.

„CloudTrail“

„CloudTrail“ yra registravimo paslauga, kurią galima naudoti registruojant API skambučių istoriją. Jis taip pat gali būti naudojamas nustatyti, kuris vartotojas iš „AWS Management Console“ paprašė konkrečios paslaugos. Remiantis mūsų pavyzdžiu, tai yra įrankis, iš kurio atpažinsite pagarsėjusį „įsilaužėlį“.

JAU

Tapatybės ir prieigos valdymas (IAM) naudojamas bendrai prieigai prie jūsų AWS paskyros suteikti. Jis atlieka šias funkcijas:

• Detalūs leidimai:
  • Jis gali būti naudojamas suteikiant prieigos teises įvairiems vartotojams labai korinio ryšio lygiu. Pvz .: galite suteikti skaitymo prieigą konkrečiam vartotojui, o skaitymo ir rašymo - kitam vartotojui.
• Saugi prieiga prie programų, veikiančių EC2 aplinkoje:
  • IAM gali būti naudojamas saugiai prieigai suteikti, priverčiant vartotoją įvesti kredencialus, norint pasiekti atitinkamus EC2 išteklius.
• Nemokamai naudojamas:
  • AWS padarė IAM paslaugas nemokamą naudoti su bet kokia suderinama aws paslauga.

AWS skydas

Tai valdoma DDOS neigimo paslauga. Greitai pažiūrėkime, kas yra DDoS?

„DDoS“ iš esmės perkrauna jūsų svetainę nereikšmingu srautu, norėdamas panaikinti jūsų svetainę. Kaip tai veikia? Įsilaužėliai sukuria robotų tinklą užkrėsdami daugybę interneto prijungtų kompiuterių, kaip? Pamenate tuos keistus el. Laiškus, kuriuos kartais gaunate į savo paštą? Loterija, medicininė pagalba ir pan. Iš esmės jie priverčia spustelėti ką nors, kas jūsų kompiuteryje įdiegia kenkėjišką programą, kuri suaktyvinama, kad jūsų kompiuteris taptų pliusiniu, nesusijusiame sraute.

Nesaugu dėl savo žiniatinklio programos? Nebūk AWS Skydas yra čia.

Jis siūlo dviejų rūšių paslaugas:

1. Standartinis
2. Išplėstinė

The Standartinis paketas yra nemokamas visiems vartotojams, o jūsų žiniatinklio programa, esanti AWS, pagal numatytuosius nustatymus automatiškai įtraukiama į šį paketą. Tai apima šias funkcijas:

• Greitas aptikimas
  • Aptinka kenksmingą srautą kelyje naudodamas anomalijų algoritmus.
• Įterptosios atakos
  • AWS Shield įmontuotos automatinės sušvelninimo technologijos, suteikiančios apsaugą nuo įprastų atakų.
• Pridėkite pasirinktines taisykles, kad palaikytumėte savo programą.

Nepakankamai? Ten yra Išplėstinė paketą taip pat. Turėdami šiek tiek papildomų išlaidų, galite padengti savo „Elastic Load Balansers“, „Route 53“ ir „CloudFront“ išteklius.

Kas viskas yra įtraukta? Pažiūrėkime:

• Patobulintas aptikimas
  • Tai apima papildomus metodus, pvz., Konkretiems ištekliams skirtą stebėjimą, taip pat suteikia detalų DDoS atakų aptikimą.
• Pažangus atakos sušvelninimas
  • Sudėtingesni automatiniai švelninimo būdai.
• Matomumas ir pranešimas apie užpuolimą
  • Realaus laiko pranešimai naudojant „CloudWatch“.
• Specializuota parama
  • 24 × 7 parama iš specialios DDoS reagavimo komandos.
• DDoS išlaidų apsauga
  • Neleidžia DDoS atakų perkrauti išlaidų šuolių.

Apibendrinant galima pasakyti, kad kiekvienas debesijos teikėjas, siekdamas savo sėkmės, laikosi aukščiausių „Cloud Security“ standartų, ir palaipsniui, jei ne iškart, žmonės, kurie vis dar netiki „Cloud“, supras, kad būtina judėti juo.

Turite mums klausimą? Prašau tai paminėti šio „Cloud Security“ tinklaraščio komentarų skyriuje ir mes su jumis susisieksime.