Quali sono i problemi di sicurezza specifici del cloud computing?

C'è una quantità infinita di problemi di sicurezza con il cloud. Per visualizzare una brutta lista di articoli in vendita, dai un'occhiata a ENISA documenti.

Un piccolo sottoinsieme di problemi di sicurezza (non necessariamente nuovi di per sé sul cloud, ma decisamente più difficili):

• Controllo di accesso
• Privacy e riservatezza
• Disponibilità (quanto è strong il tuo SLA, in realtà? il tuo fornitore risarcisce per eventuali danni risultanti dall'essere offline?)
• connessione con i sistemi interni - dovrai spesso aprire buchi nel firewall per consentire ad altri protocolli di accedere ai tuoi sistemi interni sensibili.
• Conformità: esistono alcuni regolamenti, in particolare PCI-DSS, che al momento non è possibile raggiungere la conformità, se si utilizzano sistemi basati su cloud. Si noti che potrebbero non disabilitare esplicitamente i sistemi cloud, ma è semplicemente impossibile essere conformi durante l'utilizzo dei sistemi cloud così come sono oggi .
• Ci sono alcune leggi, in alcuni paesi, che ti impediscono di spostare i dati privati dei loro cittadini fuori dal loro paese. Ci sono altri paesi in cui non vuoi per spostare i tuoi dati, in quanto non vuoi essere soggetto alle loro leggi ... Quando ti stai offuscando , non sai veramente dove si trovano i tuoi sistemi e i tuoi dati, quindi come puoi garantire ai tuoi utenti qualcosa di sbagliato nella loro posizione? Del resto, come fai a sapere quali leggi devi rispettare in quale momento? E come fai a sapere che non sei già illegale?

Dal pdf ENISA a cui @atdre è già collegato nella sua risposta.

PERDITA DI GOVERNANCE: nell'uso delle infrastrutture cloud, il cliente cede necessariamente il controllo al Cloud Provider (CP) su una serie di problemi che possono influire sulla sicurezza. Allo stesso tempo, gli SLA potrebbero non offrire un impegno a fornire tali servizi da parte del provider di servizi cloud, lasciando così un vuoto nelle difese di sicurezza.
LOCK-IN: al momento c'è poco offrire in termini di strumenti, procedure o formati di dati standard o interfacce di servizi che possano garantire la portabilità dei dati, delle applicazioni e dei servizi. Ciò può rendere difficile per il cliente la migrazione da un provider a un altro o la migrazione di dati e servizi in un ambiente IT interno. Questo introduce una dipendenza da un particolare CP per la fornitura del servizio, specialmente se la portabilità dei dati, come l'aspetto più fondamentale, non è abilitata ..
ISOLATION FAILURE: multi-tenancy e risorse condivise stanno definendo le caratteristiche del cloud computing. Questa categoria di rischio copre il fallimento dei meccanismi che separano la memoria, la memoria, il routing e persino la reputazione tra diversi tenant (ad es. I cosiddetti attacchi di tipo "guest-hopping"). Tuttavia, è necessario considerare che gli attacchi ai meccanismi di isolamento delle risorse (ad es. Contro gli hypervisor) sono ancora meno numerosi e molto più difficili da mettere in pratica per gli aggressori rispetto agli attacchi ai sistemi operativi tradizionali.
RISCHI DI COMPLIANCE: gli investimenti per ottenere la certificazione (ad es. standard di settore o requisiti normativi) possono essere messi a rischio dalla migrazione al cloud:
se il CP non può fornire la prova della propria conformità con i requisiti pertinenti se il CP non consente l'audit da parte del cliente cloud (CC).
In alcuni casi, significa anche che l'utilizzo di un'infrastruttura cloud pubblica implica che alcuni tipi di conformità non possono essere raggiunti (ad esempio, PCI DSS (4)).
INTERFACCIA DI GESTIONE COMPROMESSO: interfacce di gestione clienti di un fornitore di cloud pubblico è accessibile attraverso Internet e medita l'accesso a un insieme più ampio di risorse (rispetto ai tradizionali provider di hosting) e quindi rappresenta un rischio maggiore, specialmente se combinato con vulnerabilità di accesso remoto e browser.
PROTEZIONE DEI DATI: il cloud computing pone numerosi rischi di protezione dei dati per i clienti e i provider cloud. In alcuni casi, può essere difficile per il cliente del cloud (nel suo ruolo di controller dei dati) controllare in modo efficace le pratiche di gestione dei dati del provider cloud e quindi essere sicuro che i dati vengano gestiti in modo legale. Questo problema viene esacerbato in caso di più trasferimenti di dati, ad esempio tra nuvole federate. D'altra parte, alcuni fornitori di servizi cloud forniscono informazioni sulle loro pratiche di gestione dei dati. Alcuni offrono anche riepiloghi di certificazione sulle loro attività di elaborazione dati e sicurezza dei dati e sui relativi controlli, ad esempio la certificazione SAS70.
CANCELLAZIONE DI DATI INSEGNANTI O INCOMPLETA: quando una richiesta di eliminazione di un cloud la risorsa è stata creata, come con la maggior parte dei sistemi operativi, questo potrebbe non comportare una vera cancellazione dei dati. Anche l'eliminazione adeguata o tempestiva dei dati può essere impossibile (o indesiderabile dal punto di vista del cliente), perché le copie extra di dati sono memorizzate ma non sono disponibili, o perché il disco da distruggere memorizza anche i dati di altri client. Nel caso di più locazioni e il riutilizzo di risorse hardware, questo rappresenta un rischio più elevato per il cliente rispetto all'hardware dedicato.
INSIDER MALICIOSI: mentre di solito meno probabile, il danno che può essere causato da parte di utenti malintenzionati è spesso molto più grande. Le architetture cloud richiedono determinati ruoli che sono estremamente ad alto rischio. Gli esempi includono amministratori di sistema CP e provider di servizi di sicurezza gestiti.

C'era solo un post sul blog di Lenny Zeltser su questo argomento: Top 10 Cloud Security rischi

Molti dei suoi punti parlano del problema di non avere più il pieno controllo dell'infrastruttura e potrebbero anche non sapere come funziona internamente. Inoltre, non si sa più chi altro si trova sullo stesso sistema e una vulnerabilità nel proprio sistema potrebbe trapelare sui propri dati.

Un altro problema è che devi fidarti di un estraneo per proteggere i tuoi dati. Una configurazione errata e tutti i tuoi dati potrebbero perdere.

In pratica, ho visto le aziende spostare i siti web nel cloud senza una revisione del codice. Il codice è stato scritto per una singola macchina che esegue ASP.NET.

Il cloud offre principalmente capacità di scalabilità. Se il sito non è stato progettato per scalare, i problemi di concorrenza derivano dall'integrità dei dati o dalla sicurezza delle sessioni. Per risolvere questi problemi, gli sviluppatori rimuovono il codice non simultaneo (a volte rendendolo meno sicuro) o riscrivono il codice necessario per supportare distribuzioni simultanee e senza sessione.

Consiglio vivamente questo sondaggio sui problemi di sicurezza con l'hosting basato su cloud: Self Hosting e Cloud Hosting: Contabilità per l'impatto sulla sicurezza dell'hosting nel cloud .

Per garantire che i dati siano protetti e che la privacy dei dati sia mantenuta, i fornitori di cloud computing si occupano delle seguenti aree:

Protezione dei dati - Per essere considerati protetti, i dati di un cliente devono essere correttamente separati da quelli di un altro; deve essere conservato in modo sicuro quando "a riposo" e deve essere in grado di spostarsi in modo sicuro da una posizione all'altra. I fornitori di servizi cloud dispongono di sistemi per prevenire perdite di dati o l'accesso da parte di terzi. Un'adeguata separazione delle funzioni dovrebbe garantire che auditing e / o monitoraggio non possano essere sconfitti, anche da parte degli utenti privilegiati presso il provider cloud.

Gestione delle identità - Ogni azienda disporrà di un proprio sistema di gestione delle identità per controllare l'accesso alle informazioni e alle risorse informatiche. I fornitori di servizi cloud integrano il sistema di gestione delle identità del cliente nella propria infrastruttura, utilizzando la tecnologia di federazione o SSO o forniscono una soluzione di gestione delle identità propria.

Sicurezza fisica e del personale - I provider garantiscono che le macchine fisiche siano adeguatamente sicure e che l'accesso a queste macchine e tutti i dati rilevanti dei clienti non solo sia limitato ma che l'accesso sia documentato.

Disponibilità : i provider di servizi cloud assicurano ai clienti che avranno accesso regolare e prevedibile ai propri dati e applicazioni.

Sicurezza delle applicazioni : i fornitori di servizi cloud assicurano che le applicazioni disponibili come servizio tramite il cloud siano sicure implementando procedure di test e accettazione per il codice di applicazione esternalizzato o pacchettizzato. Richiede inoltre misure di sicurezza delle applicazioni (firewall a livello di applicazione) nell'ambiente di produzione.

Privacy - Infine, i provider assicurano che tutti i dati critici (ad esempio i numeri delle carte di credito) siano mascherati e che solo gli utenti autorizzati abbiano accesso ai dati nella loro interezza. Inoltre, le identità e le credenziali digitali devono essere protette come dovrebbero tutti i dati che il provider raccoglie o produce sull'attività del cliente nel cloud.

Per maggiori informazioni sul Cloud Computing in India visita Link Removed by mod

Oltre ai buoni punti di AviD, anche i seguenti sono molto importanti:

• Disponibilità - sì, AviD lo ha menzionato, ma non posso sottolineare abbastanza quanto sia importante capire la tua dipendenza dal cloud. Spesso i cloud provider menzionano l'invulnerabilità del cloud, ma in realtà un attacco denial of service è ancora valido se non è possibile accedere alla propria applicazione in modo tempestivo.
• Conformità normativa - su due fronti: dove sono i tuoi dati? Puoi garantire che rimanga nella giurisdizione corretta, e per l'e-discovery, puoi garantire di aver recuperato ogni elemento di dati connesso a un individuo / evento?

Il cloud rende entrambi più difficili da confermare.

La virtualizzazione, che è la radice della tecnologia di cloud computing, rimuove il cosiddetto termine "perimetro", che era come una guida nei soliti DC (data center) in cui iniziare la difesa e cosa fare. Poiché la maggior parte dei dati nei cloud viene trasferita tra i server fisici, le macchine virtuali, vi è un controllo ridotto di tale sistema - minori possibilità di segmentazione della rete e utilizzo della protezione di tipo hardware. Tale nuova virtualizzazione DC richiede nuovi criteri di accesso e software di gestione dei dati.

È stata creata un'organizzazione non-profit Cloud Security Alliance (CSA) che punta alla sicurezza del cloud: link . Qui puoi trovare la guida, le best practice su come gestire il cloud computing.

Gli ambienti multi-tenant sono vulnerabili agli attacchi Cookie di dominio correlati

• C'è nessuna risoluzione pratica per il momento

• RFC TLS-OBC (descritto nel sito link ) di facile utilizzo non è stato generalmente adottato