Облаци

CSA и HP: Седемте смъртни гряха в облачната сигурност

Computer World

Джим Рийвис, изпълнителен директор в Cloud Security Alliance (CSA) и Арчи Рийд, главен технологичен директор на облачната сигурност в HP, предупреждават, че организациите, възползващи се от облачните изчисления може и да знаят за неща като наличие на много наематели и виртуализация, но това не означава, че разбират всичко относно поставянето на приложения в облака.

В света на облачния компютинг тези технологии се използват за създаването на нов клас приложения с уникални правила за управление, казва Рийвис. „Това е нова епоха в компютинга", подчертава той. Дори и всичко това да звучи познато, навлизането в повече детайли разкрива цял куп нови проблеми.

Организациите често започват да използват облачни изчисления много по-бързо от темпото, с което специалистите по сигурността се чувстват комфортно, според Рийвис. Необходим е прагматичен подход.

CSA и Hewlett-Packard са съставили списък с т. нар. от тях седем смъртни гряха на облачната сигурност. Проучването е на основата на мнения на експерти по сигурността от 29 предприятия.

  1. Изтичане/загуба на данни - някои приложения може да губят данни в резултат на слаб контрол върху достъпа до приложно-програмните интерфейси (APIs) и не достатъчно ефективно генериране на ключове, съхранение и управление. Заедно с това може да отсъства политика за унищожаване на информация.
  2. Споделени технологични уязвимости - в облака една грешка в конфигурация може да се умножи в цялата среда, където много виртуални сървъри споделят споделят същата конфигурация. Съветът тук е да се споразуменията за нивото на услугата да се подсилят във връзка с „patch" мениджмънта и да се прилагат най-добри практики за мрежовите и сървърните конфигурации.
  3. Злонамерени вътрешни лица - нивото на проверки, които облачните доставчици изпълняват относно персонала си, може да варират в сравнение с начина, по който компаниите обикновено контролират достъпа да центровете за данни, смята Рийвис. „Много от тях вършат добра работа, но няма баланс", казва той. Затова организациите е препоръчително внимателно да преценяват доставчиците и да очертаят ниво на проверяване персонала.
  4. Акаунти и похищаване на трафика - голямо количество информация, приложения и ресурси се концентрират в облака, където, ако автентикацията е слаба, един натрапник може да достъпи дадена потребителска регистрация и да влезе във виртуалните машини на този потребител. Експертите съветват да се прилага проактивен мониторинг на заплахите и двустепенна автентикация.
  5. Несигурни APIs - важно е облакът да се схване като нова платформа, а не просто като аутсорсинг, когато става въпрос за разработването на приложения, отбелязва Рийвис. Нужно е да съществува процес на проверка около жизнените цикли на приложенията, където разработчикът разбира и прилага определени инструкции относно автентикацията, контрола на достъпа и кодирането.
  6. Злоупотреби и порочно използване на облачния компютинг - лошите вероятно са по-прогресивни от добрите в начините за използване на технологиите, по думите на Рийвис. Наблюденията сочат, че хакерите много бързо намират новите пукнатини - всичко, от което се нуждаят за това може да се окаже една кредитна карта.
  7. Непознат рисков профил - въпросите около прозрачността създават грижи за облачните доставчици. Потребителите с акаунти си взаимодействат само с фронт енд интерфейса и не знаят кои платформи или „patch" нива използва в момента техния доставчик, казва Рийвис.
Арчи Рийд отбелязва, че списъкът със седемте смъртни гряха в облачните практики не е всеобхватен, но е на високо ниво. „Трябва да води подхода Ви, не да го определя", уточнява той.

Седемте забележки също така илюстрират колко бързо се променя ситуацията с облачната сигурност, казва Рийд. Технолозите по сигурността е необходимо да покриват множеството фактори, които влияят на бизнеса, включително правителствените и индустриалните стандарти. Те трябва да разберат как тези фактори се вписват в подхода към анализа на риска и колко често избраният подход бива преглеждан и актуализиран.

Без съмнение облакът предлага значителни възможности, смята Рийд, но един такъв прохождащ пазар означава, че опциите пред вендорите и заплахите ще еволюират бързо.

Въпреки, че дадена организация може да вложи доверието си в облака, тя не може да се откаже от цялата отговорност, свързана със сигурността. „Необходимостта това да се управлява по начин, който има смисъл по отношение на Вашия бизнес, е много по-критична", казва Рийд.

Computerworld (Канада)
© Ай Си Ти Медиа ЕООД 1997-2019 съгласно Общи условия за ползване

X