- Cloud Computing hrozby-
Název | Popis |
Weak identity, credential and access management |
narušení dat a umožňují útoků může dojít z důvodu nedostatku
škálovatelné systémy řízení přístupu identity, nevyužívání multi faktoru |
Data breaches | Data porušení je úmyslné či neúmyslné uvolnění bezpečné informace k nedůvěryhodné prostředí. Jiné požadavky pro tohoto jevu patří neúmyslné zveřejňování informací , úniku dat a také dat rozlít . Incidenty se pohybují od vzájemné napadení černých kloboucích s podporou organizovaným zločinem či národních vlád na neopatrné likvidaci použité výpočetní techniky nebo paměťových médií. |
Shared technology issues | Společná infrastruktura je, jak prodejci IaaS poskytovat své služby ve vysoce škálovatelné módy. V některých případech, podkladové komponenty (GPU, CPU ukládá do mezipaměti, atd.) Nebyly navrženy tak, aby nabízet silné izolace schopnosti pro nasazení multi-tenant. Virtualizační hypervisory mohou řešit mnoho z těchto otázek. Nicméně, dokonce hypervisory má zobrazit zranitelností, které byly povoleny nevhodné řídit nebo ovlivňovat o těchto systémech. |
Abuse and nefarious use of cloud services | V podstatě to jsou "zlí hoši", kteří využívají cloudových výpočetních zdrojů a aplikací k dalšímu dosah a dopad jejich činnosti. Vzhledem k tomu, cloud služby poskytují téměř "bez tření" registrační procesy, kde uživatelé mohou zaregistrovat a okamžitě začít používat službu, spammeři, škodlivého kódu spisovatelé a jiní zločinci mohou využít k provozu s velmi malou šancí na odhalení. Infrastruktura jako služba (IaaS) a platforma jako služba technologie (PaaS) mohou být použity ke spuštění distribuované odmítnutí služby (DDoS) útoky, heslo a CAPTCHA trhliny, stejně jako hostitel botnet velení a řízení schopnosti. Software jako služba (SaaS) technologie mohou být použity k odesílání nevyžádané e-maily u významných objemů. |
Insufficient due diligence | varuje, aby se strhne v "zlaté horečky" mentality nízkých nabídek poskytovatelů a sliby měsícem a hvězdami. Organizace doporučuje: "Organizace stěhující se do modelu cloud technologií ... musí být schopné zdroje a provádět rozsáhlou interní a [poskytovatele služeb] due diligence a pochopit rizika na sebe bere." |
System and application vulnerabilities | Oba operační systémy a aplikace jsou náchylné k různým využije zločinci. Tyto chyby jsou využilo zločinci k infikování zařízení s malwarem a dalšími hrozbami z Internetu. Konkrétně se jedná o využije a zranitelnosti mohou výsledky z chyb, a to buď programu nebo prostřednictvím určených funkcí. |
Insecure APIs | Cloud computing poskytovatelé používají rozhraní API, aby zákazníci mohli komunikovat se službami. Tato rozhraní slouží k provádění funkcí, jako je poskytování, správu, ověřování, sledování, řízení přístupu, a jiní, a musí být navrženy s ochranou před havarijního i škodlivého kompromisu. Kromě toho třetí strany často stavějí služby s přidanou hodnotou upon API, které pak nabízejí svým zákazníkům. Tím se vytvoří vrstvený API s větší složitosti a může zvýšit riziko. |
Account hijacking | Účet únos je proces, jehož prostřednictvím je odcizení nebo unesen jedinec je e-mailový účet, účet počítače nebo jakýkoli jiný účet spojený s výpočetním zařízením nebo služby hackerem. Je to typ krádeže identity, ve kterém hacker používá informace o ukradené účtu provádět škodlivý nebo neoprávněnou aktivitu. |
Malicious insiders | Zatímco riziko zasvěcených chová se zlým úmyslem je známo, že hrozba je potenciálně zvýšena pro cloudové služby. Přítomnost dat více zákazníků ', všechny hostované u poskytovatele cloudu, mohl dělat, že poskytovatel atraktivním cílem pro hackery fandy, organizovaný zločin, korporátní špionáže, atd. Kromě toho poskytovatelů cloudových služeb nemusí nabízet přehled o tom, jak jsou zaměstnanci umožněn přístup k fyzického nebo virtuálního majetku, jak sledovat činnost zaměstnanců, a jak analyzovat a podávat zprávy o dodržování zásad. |
Advanced Persistent Threats (APTs) | Pokročilý trvalá hrozba ( APT ) je sada kradmé a spojitých počítačových hackerů procesů, často pod taktovkou člověka (y) cílit na konkrétní subjekt. APT obvykle zaměřuje na organizace a / nebo národy pro obchodní nebo politické motivy. APT procesy vyžadují vysokou míru covertness po dlouhou dobu. "Advanced" proces znamená dokonalejší techniky pomocí škodlivého zneužít zranitelná místa v systémech. "Trvalé" proces naznačuje, že externí řídicí a kontrolní systém neustále sleduje a vytěžení dat z určitého cíle. Proces "hrozbou" označuje lidský zapojení do instrumentovat útoku |
Data loss | Ztráta dat nebo úniku je riziko, že je společné pro cloud vs. architektur on-premise. Mazání nebo změna záznamů bez zálohy originálů nebo odtržení záznamy z jejich širším kontextu mohou tato data obnovit. |
Fyzické zabezpečení datových středisek | Jak už bylo výše zmíněno, cloudové služby přináší konec důležitého bezpečnostního prvku ochrany dat, tedy možnost zabránit fyzickému přístupu k datům jako takovým. To ovšem není úplně pravda, respektive odpovědnost za znemožnění přístupu potencionálních účastníků k diskům s daty byla „pouze“ přenesena z firem na poskytovatele cloudových služeb. Zajištění adekvátní ostrahy datových středisek proti vloupání a zcizení dat je tak jedním z bezpečnostních rizik, které budou muset poskytovatelé cloudových služeb řešit.Samozřejmě, fyzické přepadení datového centra bude až pravděpodobně poslední možností potencionálních útočníků. Mnohem „jednodušší“ je pokusit se k datům dostat přes internet, tedy překonáním virtuálních bezpečnostních zábran. Právě se zajištěním jejich nejvyšší kvality jsou spojeny všechny ostatní bezpečnostní otázky. |
Přenos dat | Pravděpodobně nejkritičtější otázka ohledne bezpečnosti cloudových služeb se týká přenosu dat. Aby měl přechod na cloud vůbec smysl, musí komunikace mezi hostovanými službami a jejich uživateli probíhat co nejrychleji. Jakmile by uživatelé na odezvu na doslova každé kliknutí museli čekat až několik vteřin, cloud by zcela ztratil smysl. Právě skloubení rychlé odezvy systému a kvalitního zabezpečení přitom představuje poměrně velký problém.Zabezpečení přenášených dat navíc musí být realizováno nejen mezi pracovními stanicemi, respektive tenkými klienty a servery poskytovatele, ale také mezi servery a širokou paletou mobilních zařízení, jako jsou smartphony, nebo tablety. Vzhledem k jejich stále rostoucí zvyšující se oblíbenosti a růstu prodejů jsou to právě mobilní zařízení, jejichž otázka ve spojení s cloudem neustále nabývá na významu. |
Neoprávněné získání přístupu k uživatelskému účtu | Phishing, key loggery, nasazení exploitů využívajících bezpečnostních chyb, vyzrazení nebo ztráta přihlašovacích údajů, to vše může vést k získání částečné, nebo úplné kontroly nad uživatelským, případně administrátorským účtem. Útočník v takovém případě získává přístup k datům, možnost jejich úprav, zasílání podvržených zpráv poškozujících dobré jméno oprávněného uživatele, umístění malware na webové stránky, případně může zneužít výpočetní výkon k provozování botnetů a šíření virů. |
DoS útoky na cloudovou infrastrukturu | DoS útoky jsou evergreenem internetové bezpečnosti. Ačkoliv je tento útok znám řadu let, skutečnost, že je stále efektivní ukazuje, jak slabě jsou některé (nejen) cloudové služby zabezpečeny. Pro základní kategorizaci lze tyto útoky rozdělit na DoS (Denial of Service) a DDoS (Distributed Denial of Service). Rozdíl je v tom, že při DoS je zapojen pouze jeden stroj/útočník, přičemž při DDoS to mohou být jednotky až statisíce počítačů. Principem DoS útoku je znepřístupnění služeb jakýmkoliv způsobem. Možností je celá řada. Od malé chyby v aplikaci, která má za následek zamrznutí systému po té, co útočník zašle určitou sekvenci znaků, až po zahlcení požadavků na komunikaci se serverem, kdy dojde k překročení limitu systému, síťové karty, aplikace nebo systémových prostředku (CPU, paměť, IO operace apod). |
Neznalost | Neznalost a nedostatek informací vede k chybným závěrům a chybné závěry vyvolávají strach. Častým argumentem je rovněž výpadek internetu, kdy bude celá firma paralyzována. Je to podobné jako v případě výpadku elektrické energie. Když nebude k dispozici záložní elektrický generátor, chod IT celé firmy se zastaví. Pokud je tedy naše podnikání natolik závislé na stabilní internetové konektivitě, pak je více než prozřetelné vybavit objekt záložním internetovým připojením. |
Interní směrnice a pokyny | Je neuvěřitelné, jaký problém může představovat změna směrnic, které si firma sama napsala. Častým důvodem bývá vnitrofiremní lobby, které vůbec nebere na zřetel to, co je pro firmu skutečně výhodnější a ekonomičtější. Taková směrnice se pak odvolává na všeobecně zažitý fakt, že za účelem zajištění bezpečnosti musí být všechna data na lokálním hardware. Přitom např. vůbec nebere v úvahu skutečnost, že stávající HW infrastruktura je natolik zastaralá, že tolikrát zdůrazňovaná bezpečnost je přinejmenším sporná. |
Ztráta vlivu | Velmi často se také za argumentem bezpečnosti skrývá obava managementu nebo některých zaměstnanců, že přestanou kontrolovat část procesu, který je činní nepostradatelnými. Zprůhlednění nebo zjednodušení není vždy vítáno a ani argument úspory nákladů se nemusí setkat s pochopením. Někdy je ovšem problém mnohem prostší - ne všichni mají rádi změnu :-) |
PRIVILEGED USER ACCESS | Externě outsourcované služby v oblasti zpracování citlivých dat se vymykají kontrolám, které za normálních okolností IT oddělení využívají u interních in-house programů. Proto je nutné zjistit si o lidech, kteří budou spravovat vaše data maximum informací, včetně těch, které se týkají výběru konkrétních administrátorů a kontroly jejich přístupu k vašim datům. |
REGULATORY COMPLIANCE | Zákazníci jsou ve finále vždy zodpovědní za bezpečnost a úplnost svých vlastních dat, byť by byla ve správě poskytovatelů služeb. Spolehliví poskytovatelé služeb jsou podrobováni externím auditům a nepochybně se nebudou bránit prokázat svou schopnost data zabezpečit. Naproti tomu těm poskytovatelům, kteří se kontrolám auditu brání, by se firmy měly raději obloukem vyhnout. |
DATA LOCATION | Při využití cloud platformy nebudete vědět, kde se vaše data nacházejí – nejspíš nebudete znát ani zemi, v které jsou uložena. Gartner proto radí, abyste si od svého poskytovatele vymohli závazek k ukládání a zpracovávání dat pod jurisdikcí konkrétní země, a smluvně se dohodli i na dodržování místních požadavků uchování důvěrných informací klientů. |
DATA SEGREGATION | Firemní data se v cloudu obvykle nacházejí ve sdíleném prostředí ve společnosti dat od ostatních zákazníků. Šifrování je efektivní, ale není to všelék. Podle Gartnera navíc někdy můžou šifrovací selhání data úplně znehodnotit, a i normální šifrování může zkomplikovat dostupnost. Cloud provider by měl tedy firmě poskytnout důkaz toho, že šifrovací protokoly byly navrženy a testovány zkušenými profesionály. |
RECOVERY | Váš cloud poskytovatel by vám měl dát vědět, co se s vašimi daty a službami stane v případě nějaké nehody. Podle Gartner jsou totiž řešení postrádající schopnost replikace dat a aplikací vystavena ohromnému riziku selhání. Ověřte si proto, zda je váš provider schopen provést kompletní obnovu a jak dlouho by případně trvala. |
INVESTIGATIVE SUPPORT | Pátrat po nežádoucích či ilegálních aktivitách může být v cloud computingu nemožné, varuje Gartner. Protože se zápisy a data od mnoha různých zákazníků často nacházejí na společném místě, a nebo jsou hostována napříč několika měnícími se provozovately, je velmi obtížné cloud služby prověřovat. Firmy by tedy od svých cloud providerů měly vyžadovat podporu konkrétních typů šetření, včetně předložení důkazů o tom, že poskytovatel má s poskytováním tohoto typu služeb zkušenosti. |
LONG-TERM VIABILITY | Ujistěte se, že váš cloud poskytovatel není v ohrožení bankrotu ani převzetí od jiné firmy. I když se takový scénář může zdát nepravděpodobný, je dobré vědět, že i v takovém případě budou vaše data dostupná. Gartner radí ověřit si u potenciálních dodavatelů, zda by byli v tomto případě schopni získat data zpět a zda by byla dostupná ve formátu, který lze importovat do replikované aplikace. |