Cloud computing: sfide e soluzioni per la sicurezza futura

4

Attualmente sto scrivendo un articolo sulle sfide future per la sicurezza del Cloud Computing e sulle possibili soluzioni a questi problemi . Dopo molte ore di lettura di articoli su Internet (la mia biblioteca vicina non ha al momento libri disponibili sull'argomento) ho sicuramente imparato molto, ma sono diventato molto più confuso su ciò che in realtà voglio includere nel mio articolo. Dal momento che il tema / area del Cloud Computing è così ampio: dai servizi offerti ai privati rispetto alle grandi imprese - che richiedono una sicurezza diversa a seconda dell'utilizzo e dei dati memorizzati ecc. Ma anche tutti i diversi tipi offerti: SaaS, PaaS e IaaS. .. Private vs hybrid vs public cloud.

Il mio problema potrebbe essere che non sono molto pesante sulla conoscenza tecnologica - e molti articoli sembrano mirati a possibili clienti cloud (molto rassicuranti sulla sicurezza del servizio) rispetto a post scritti e probabilmente indirizzati a persone che conoscono un molto su questa tecnologia e sicurezza di prima. E mi servirebbe qualcosa in mezzo :)

Alcune delle sfide che ho elencato finora sono:

  • Multitenancy & Architettura multi-istanza: diverse persone / aziende che archiviano i propri dati o applicazioni nello stesso luogo - mantenendo questo separato
  • La possibilità che il fornitore di servizi cloud possa consentire l'accesso ai dati dei propri clienti alle istituzioni preposte all'applicazione della legge, al governo ecc. La sfida risiede nella fiducia, nella legge, nell'accordo tra fornitore e cliente.
  • Altri dati (possibilmente molto privati / confidenziali) in transito: tecnologia di rete
  • Crittografia: per cercare efficacemente tra i dati nel cloud ciò richiede la decodifica non crittografata - che fornisce al provider cloud (e ai possibili attaccanti o istanze con possibilità di effettuare il provider) di accedere ai dati
  • Gestione dell'identità e degli accessi: alcuni dati dovrebbero essere accessibili a estranei / clienti / collaboratori, mentre altri dati dovrebbero rimanere riservati
  • Sicurezza hypervisor
  • Complessivo grande problema: le persone / le imprese non si occupano più dei propri dati, delle applicazioni, ecc ... Accordi standard, standard ecc. per il cliente per sapere cosa aspettarsi dal fornitore

Quindi le mie domande sono:

  • Tutti gli articoli / pagine / blog consigliati da leggere sull'argomento
  • Qualsiasi punto importante / interessante che non ho incluso qui che potrebbe valere la pena dare un'occhiata a
  • Pagine / ricerca o prodotti disponibili che risolvono o sperano di risolvere in futuro una di queste sfide

Di soluzioni Ho trovato finora cose come Dome9 per la gestione del cloud firewall, la crittografia omomorfica .. Quindi qualsiasi suggerimento / parola chiave su questo sarebbe fantastico!

Fonti che ho esaminato:

  • Blog di Cloud Security Alliance
  • Blog di Bruce Schneiers
  • Wired: Cloudline Blog
  • Pagine IBM con prodotti
  • Blog di IBM Institute for Advanced Security Expert

+++ altri articoli e siti che commentano l'argomento

:)

    
posta Scott Pack 12.12.2011 - 14:14
fonte

4 risposte

3

Esiste un'ampia gamma di problemi che è possibile includere in un documento sulla sicurezza del cloud. Quello che ho trovato e che penso sarà la causa di un buon numero di problemi è il modo in cui la configurazione errata della sicurezza è esposta a Internet, e quindi potrebbe avere una maggiore probabilità di essere sfruttato.

In una rete "tradizionale", c'è una visibilità limitata della configurazione errata della sicurezza (ad esempio, patch mancanti, controlli di accesso configurati in modo errato, credenziali predefinite), e come tale c'è una minore probabilità che tali problemi vengano sfruttati. Questo non vuol dire che questi problemi siano "ok" in alcun modo solo per il fatto che sei un po 'nascosto agli aggressori generali.

Osservando le impostazioni del cloud, in alcuni casi una singola errata configurazione può essere catastrofica dal punto di vista della sicurezza dei dati.

Ad esempio, le aziende che utilizzano Amazon S3 come memoria principale per le loro applicazioni sono un esempio. Se le ACL S3 vengono eseguite in modo errato, è possibile che le persone accedano a qualsiasi dato in quel bucket. Anche l'accesso è controllato da una chiave API statica e da una coppia nome utente / password. Se una di queste credenziali viene compromessa, anche in questo caso tutti i dati archiviati su tale sistema sono potenzialmente a rischio.

    
risposta data 16.12.2011 - 14:59
fonte
2

Per me il cloud computing scioglie ulteriormente il perimetro dell'azienda (IT). Vorrei provare a valutare quali tecnologie di sicurezza fanno molto affidamento sulla presenza di un perimetro e quali tecnologie (ad es. DRM) non assumono un perimetro. Vorrei quindi cercare di sviluppare un concetto di sicurezza incentrato sui dati in cui non sia presente il perimetro.

    
risposta data 12.12.2011 - 23:12
fonte
1

Ecco alcune letture che ritengo utili, sulla sicurezza del cloud computing:

risposta data 19.12.2011 - 05:59
fonte
1

Leggi il mio post sul blog sulla virtualizzazione qui su Security StackExchange - poiché ci sono alcuni messaggi che potrebbero essere appropriati per il tuo articolo. Argomenti principali in questo post:

  • Segregazione di sistemi e dati
  • Segregazione dei compiti
  • Gestione licenze e asset
  • Resilienza
  • Maturità degli strumenti e consapevolezza della sicurezza
  • Sicurezza di comunicazione e archiviazione
  • Controllo, registrazione e monitoraggio
risposta data 19.12.2011 - 14:08
fonte

Leggi altre domande sui tag