Pilviturva: Opas pilvikäyttäjille

Pilviturva

Pilvestä tuli hyppy vuosina 2010--2011, mutta tänään siitä on tullut välttämättömyys. Kun monet organisaatiot siirtyvät pilvipalveluun, pilviturvallisuuden tarpeesta on tullut tärkein prioriteetti.

Mutta ennen sitä, teistä, jotka ovat uudet pilvipalvelut, katsotaanpa nopeasti, mitä pilvipalvelu on,

Mikä on pilvipalvelu?

Pilvilaskennasta, jota usein kutsutaan pilveksi, tarkoitetaan yksinkertaisella tavalla tietojen ja ohjelmien tallentamista tai pääsyä Internetiin pikemminkin kuin omalle kiintolevyllesi.

Keskustellaan pilvetyypeistä nyt:

Julkinen pilvi

Julkisessa pilvipalvelutilassa käyttöönotetut palvelut ovat avoimia julkiseen käyttöön ja yleensä julkiset pilvipalvelut ovat ilmaisia. Teknisesti julkisen pilven ja yksityisen pilven välillä ei ehkä ole eroa, mutta suojausparametrit ovat hyvin erilaiset, koska julkinen pilvi on kaikkien saatavilla, samaan liittyy enemmän riskitekijöitä.

Yksityinen pilvi

Yksityinen pilvi toimii vain yhdelle organisaatiolle, sen voi tehdä sama organisaatio tai kolmannen osapuolen organisaatio. Mutta yleensä kustannukset ovat korkeat, kun käytät omaa pilviäsi, koska laitteistoa päivitetään säännöllisesti, myös turvallisuus on pidettävä kurissa, koska uusia uhkia esiintyy päivittäin.

Hybridi pilvi

Hybridipilvi koostuu sekä yksityisen että julkisen pilven toiminnoista

Kuinka asiakkaat päättävät julkisten, yksityisten ja hybridipilvien välillä?

No, se riippuu käyttäjän vaatimuksesta, eli jos käyttäjä katsoo, että hänen tietonsa ovat liian arkaluonteisia ollakseen missään järjestelmässä kuin omassa, he valitsevat yksityisen pilven

Paras esimerkki tästä voisi olla DropBox. Alkuvaiheessa he alkoivat käyttää AWS S3: ta backendina objektien tallentamiseen, mutta nyt he ovat luoneet oman tallennustekniikan, jota he itse valvovat.

Miksi he tekivät tämän?

No, ne tulivat niin suuriksi, että julkisella pilvihinnoittelulla ei ollut enää järkeä. Heidän mukaansa niiden ohjelmisto- ja laitteistooptimoinnit ovat taloudellisesti kannattavampia kuin tavaroidensa tallentaminen Amazon S3: een.

Mutta sitten jos et ole isoäiti, kuten DropBox, ja olet edelleen yksityisellä infrastruktuurilla, ehkä ajattelet, miksi ei julkista pilviä?

tietorakenteet ja algoritmit Javassa

Miksi asiakas sitten käyttää julkista pilvipalvelua?

Ensinnäkin hinnoittelu on melko pienempi verrattuna investointiin, jonka yrityksen tarvitsisi perustaa omat palvelimet.

Toiseksi, kun sinut yhdistetään maineikkaaseen pilvipalvelujen tarjoajaan, tiedostojesi saatavuus pilvessä kasvaa.

Hämmentynyt edelleen, haluatko tallentaa tiedostosi tai tietosi yksityiseen tai julkiseen pilvipalveluun.

Haluan kertoa sinulle hybridipilvestä. Hybridipilven avulla voit pitää arvokkaammat tietosi yksityisessä infrastruktuurissasi ja loput julkisessa pilvessä, tämä olisi 'hybridipilvi'

Joten lopuksi, kaikki riippuu käyttäjän vaatimuksesta, jonka perusteella hän valitsee julkisen, yksityisen ja hybridipilven välillä.

Voiko pilvipalveluiden tietoturva nopeuttaa asiakkaiden siirtymistä pilveen?

Kyllä, katsotaanpa joitain gartnerin tekemiä tutkimuksia. Käy läpi alla olevat tilastot:

Lähde: Gartner

Nyt tämä tutkimus tehtiin yrityksille, jotka ovat hieman haluttomia siirtymään pilvipalveluun, ja kuten yllä olevasta kuvasta voit selvästi nähdä, että tärkein syy on turvallisuus.

Nyt tämä ei tarkoita, että pilvi ei ole turvallinen, mutta ihmisillä on tämä käsitys. Joten pohjimmiltaan, jos pystyt vakuuttamaan ihmisille, että pilvi on turvallinen, liikkeelle pilvelle voi tapahtua jonkin verran kiihtyvyyttä.

Kuinka tietohallintojohtajat sovittavat yhteen riskin, kustannusten ja käyttökokemuksen välisen jännitteen?

Luin tämän jonnekin, Pilviturva on sekoitus tiedettä ja taidetta.

Hämmentynyt? No, sen taito tietää, mihin asti sinun tulisi laittaa turvallisuutta palveluun, jotta käyttökokemus ei vähene.

Esimerkiksi: Oletetaan, että sinulla on sovellus, ja jotta se olisi turvallinen, kysyt käyttäjänimeä ja salasanaa jokaisessa toiminnossa, mikä on järkevää turvallisuuden kannalta, mutta sitten se estää käyttäjäkokemusta.

Joten on taidetta tietää, milloin lopettaa, mutta samalla se on tiedettä, koska sinun on luotava algoritmeja tai työkaluja, jotka tarjoavat parhaan mahdollisen suojauksen asiakkaasi tiedoille.

Kun kuvaan tulee jotain uutta, ihmiset suhtautuvat siihen skeptisesti.

Pilvilaskennalla ihmisten mielestä on paljon 'riskejä', käsittelemme näitä riskejä yksitellen:

1. Pilvi on epävarma

Useimmiten aina, kun puhut pilvestä, monet ihmiset sanovat, että tiedot ovat turvallisempia omalla infrastruktuurillaan sen sijaan, että sanottaisiin AWS-palvelinta, jolla on AWS-suojaus.

No, tällä saattaa olla järkevää, jos yritys keskittyy vain yksityisen pilvipalvelunsa turvallisuuteen, mikä ei selvästikään ole asia. Mutta jos yritys tekee niin, milloin he keskittyvät omiin tavoitteisiinsa?

Puhutaanpa pilvipalvelujen tarjoajista, sanokaamme AWS (suurin niistä kaikista), eikö luulet, että AWS: n ainoa tarkoitus on tehdä tiedoistasi turvallisimmat? Miksi, koska siitä heille maksetaan.

Hauska tosiasia, että Amazon on isännöinyt omaa verkkokauppasivustoaan AWS: ssä, mikä puhdistaa ilman siitä, onko AWS luotettava.

Pilvipalvelujen tarjoajat elävät, syövät ja hengittävät pilvipalveluja.

2. Pilvessä on enemmän rikkomuksia

Spring Alert Logic Report of 2014 -tutkimus osoittaa, että vuosien 2012--2013 kyberhyökkäykset kohdistuivat sekä yksityisiin että julkisiin pilviin, mutta yksityiset pilvet olivat alttiimpia hyökkäyksille. Miksi? Koska yritykset, jotka asettavat oman palvelimensa, eivät ole varusteltuja AWS: ään tai Azureen tai muuhun pilvipalveluun nähden.

3. Yhden vuokralaisen järjestelmät ovat turvallisempia kuin usean vuokralaisen järjestelmät.

No, jos ajattelet loogisesti, etkö usko, että usean vuokralaisen järjestelmissä sinulla on ylimääräinen suojaustaso. Miksi? Koska sisältösi on loogisesti eristetty järjestelmän muista vuokralaisista tai käyttäjistä, jota ei ole, jos käytät yhden vuokralaisen järjestelmiä. Siksi, jos hakkeri haluaa käydä läpi järjestelmän, hänen on käytävä läpi yksi ylimääräinen suojaustaso.

Lopuksi, nämä kaikki ovat myyttejä, ja ottaen huomioon myös investointien säästöt, joita teet, kun siirrät tietosi pilvipalveluun, ja muut edut, se ylittää huomattavasti pilviturvallisuuteen liittyvät riskit.

Siitä huolimatta siirrymme tämänpäiväisen keskustelun keskipisteeseen, kuinka pilvipalveluntarjoajat käsittelevät tietoturvaa.

Otetaan siis esimerkki tästä ja oletetaan, että käytät sovellusta sosiaaliseen verkostoitumiseen. Napsautat jotain satunnaista linkkiä, eikä mitään tapahdu. Myöhemmin tiedät, että roskapostiviestejä lähetetään tililtäsi kaikille yhteyshenkilöille, jotka ovat yhteydessä sinuun kyseisessä sovelluksessa.

Mutta sitten ennen kuin voit edes pudottaa sähköpostia tai valittaa sovelluksen tuelle, he tietävät jo ongelman ja yrittävät ratkaista sen. Miten? Ymmärretään.

Pilviturvallisuudessa on siis periaatteessa kolme vaihetta:

• Seurantatiedot
• Näkyvyyden parantaminen
• Käyttöoikeuksien hallinta

Pilvivalvonta työkalu, joka analysoi jatkuvasti pilvisovelluksesi tietovirtaa, hälyttää heti, kun sovelluksessasi alkaa tapahtua jotain 'outoa'. Kuinka he arvioivat “outoa” tavaraa?

No, pilviseurantatyökalulla olisi edistyneet koneoppimisalgoritmit, jotka kirjaavat järjestelmän normaalin käyttäytymisen.

Joten mikä tahansa poikkeama järjestelmän normaalista käyttäytymisestä olisi punainen lippu, myös tunnetut hakkerointitekniikat on lueteltu sen tietokannoissa. Joten kaiken tämän yhdeksi kuvaksi seurantatyökalusi herättää hälytyksen aina, kun jotain epäselvää tapahtuu.

Nyt kun tulisit tietämään, että jotain 'ei normaalia' on meneillään, haluat tietää, milloin ja missä, tulee vaihe 2, näkyvyyden lisääminen .

Tämä voidaan tehdä työkaluilla, jotka antavat sinulle näkyvyyden pilvesi sisään ja ulos tuleville tiedoille. Näiden avulla voit seurata paitsi vian esiintymispaikkaa myös sen, kuka on vastuussa samasta. Miten?

Nämä työkalut etsivät malleja ja luetteloivat kaikki epäilyttävät toiminnot ja näkevät siten, mikä käyttäjä on vastuussa samasta.

Nyt vastuuhenkilö olisi ensin poistettava järjestelmästä, eikö?

Tulee vaihe 3, pääsyn hallinta.

Työkalut, jotka hallitsevat pääsyä, luetellaan kaikki käyttäjät, jotka ovat järjestelmässä. Siksi voit seurata tätä henkilöä ja pyyhkiä hänet pois järjestelmästä.

Kuinka tämä henkilö tai hakkeri sai järjestelmänvalvojan pääsyn?

Todennäköisesti hakkeri mursi hallintakonsolin salasanan ja loi itselleen järjestelmänvalvojan roolin Access Management -työkalusta, ja lopusta tuli historiaa.

Mitä pilvipalveluntarjoajasi tekisi tämän jälkeen? He oppivat tästä ja kehittyvät niin, ettei sitä enää koskaan tapahdu.

miten käyttää charatia java

Nyt tämä esimerkki on vain ymmärryksen vuoksi, yleensä kukaan hakkeri ei pääse salasanallesi vain tuolla tavalla.

Tässä on keskityttävä siihen, että pilviyritys kehittyi tämän tauon jälkeen, ja he ryhtyivät toimenpiteisiin pilviturvallisuuden parantamiseksi, jotta samaa ei voida koskaan toistaa.

Nyt kaikki pilvipalvelujen tarjoajat seuraavat näitä vaiheita. Puhutaan suurimmasta pilvipalvelujen tarjoajasta, AWS: stä.

Seuraaako AWS näitä vaiheita aws-pilviturvallisuuden kannalta? Katsotaan:

Pilvivalvonnassa AWS: llä on CloudWatch

Tietojen näkyvyyden kannalta AWS: llä on PilviTrail

Ja pääsyn hallitsemiseksi AWS: llä on JO

Näitä työkaluja AWS käyttää. Katsotaanpa tarkemmin niiden toimintaa.

CloudWatch

Se antaa sinulle mahdollisuuden analysoida AWS-resursseistasi tulevia ja ulos tulevia tietoja. Siinä on seuraavat pilviturvallisuuteen liittyvät ominaisuudet:

• Monitori EC2 ja muut AWS-resurssit:
  • Asentamatta lisäohjelmistoja voit seurata EC2: n suorituskykyä AWS CloudWatchin avulla.
• Kyky seurata mukautettuja tietoja:
  • Voit luoda mukautettuja mittareita ja seurata niitä CloudWatchin kautta.
• Tarkkaile ja säilytä lokeja:
  • Voit seurata ja tallentaa AWS-resursseillasi tapahtuviin toimintoihin liittyviä lokeja.
• Aseta hälytykset:
  • Voit asettaa hälytykset tietyille laukaisijoille, kuten aktiviteetti, joka vaatii välitöntä huomiota jne.
• Näytä kaaviot ja tilastot:
  • Voit visualisoida nämä tiedot kaavioiden ja muiden visuaalisten esitysten muodossa.
• Seuraa ja reagoi resurssimuutoksiin:
  • Se voidaan määrittää siten, että se reagoi resurssin saatavuuden muutoksiin tai kun resurssi ei toimi kunnolla.

PilviTrail

CloudTrail on kirjauspalvelu, jota voidaan käyttää API-puheluiden historian kirjaamiseen. Sitä voidaan käyttää myös tunnistamaan, mikä käyttäjä AWS Management Consolesta pyysi tiettyä palvelua. Esimerkkimme perusteella tämä on työkalu, josta tunnistat pahamaineisen hakkerin.

JO

Identiteetin ja käyttöoikeuksien hallintaa (IAM) käytetään jakamaan pääsy AWS-tilillesi. Sillä on seuraavat toiminnot:

• Rakeiset käyttöoikeudet:
  • Sitä voidaan käyttää myöntämään käyttöoikeuksia erityyppisille käyttäjille hyvin solukkotasolla. Esimerkiksi: Voit myöntää lukuoikeuden tietylle käyttäjälle ja luku- ja kirjoitusoikeuden toiselle käyttäjälle.
• Suojattu pääsy EC2-ympäristössä toimiviin sovelluksiin:
  • IAM: ää voidaan käyttää suojatun pääsyn antamiseen käyttäjälle antamalla käyttäjätiedot ja pääsy vastaaviin EC2-resursseihin.
• Ilmainen käyttö:
  • AWS on tehnyt IAM-palveluista vapaasti käytettävissä minkä tahansa yhteensopivan aws-palvelun kanssa.

AWS-kilpi

Se on hallinnoitu DDOS-estopalvelu. Katsotaanpa nopeasti, mikä on DDoS?

DDoS on periaatteessa ylikuormittanut verkkosivustoasi epäolennaisella liikenteellä tarkoituksenaan viedä verkkosivustosi alas. Kuinka se toimii? Hakkerit luovat bot-verkon tartuttamalla lukuisia Internetiin kytkettyjä tietokoneita, miten? Muistatko nämä outot sähköpostit, jotka saatat joskus postissasi? Arpajaiset, lääketieteellinen apu jne. Pohjimmiltaan ne pakottavat sinut napsauttamaan jotain, joka asentaa tietokoneellesi haittaohjelman, joka sitten käynnistyy tekemään tietokoneestasi plus yksi epäolennaisessa liikenteessä.

Epävarma verkkosovelluksestasi? Älä ole AWS-kilpi on täällä.

Se tarjoaa kahdenlaisia ​​palveluja:

1. Vakio
2. Pitkälle kehittynyt

Vakio paketti on ilmainen kaikille käyttäjille, ja AWS: n verkkosovelluksesi peitetään oletusarvoisesti tällä paketilla. Se sisältää seuraavat ominaisuudet:

• Nopea tunnistus
  • Tunnistaa haitallisen liikenteen tien päällä käyttämällä poikkeavuuksien algoritmeja.
• Sisäiset lieventämishyökkäykset
  • Automaattiset lieventämistekniikat on sisäänrakennettu AWS Shieldiin, joka suojaa sinua yleisiltä hyökkäyksiltä.
• Lisää mukautettuja sääntöjä tukemaan sovellustasi.

Ei tarpeeksi? On Pitkälle kehittynyt myös paketti. Pienillä lisäkustannuksilla voit kattaa joustavat kuormituksen tasapainotin, Route 53 ja CloudFront -resurssit.

Mitä kaikki sisältyy? Katsotaan:

• Parannettu tunnistus
  • Se sisältää lisätekniikoita, kuten resurssikohtaisen seurannan, ja tarjoaa myös DDoS-hyökkäysten yksityiskohtaisen havaitsemisen.
• Edistynyt hyökkäyksen lieventäminen
  • Kehittyneemmät automaattiset lieventämiset.
• Näkyvyys ja hyökkäysilmoitus
  • Reaaliaikaiset ilmoitukset CloudWatchin avulla.
• Erikoistunut tuki
  • 24 × 7-tuki erityiseltä DDoS-vastatiimiltä.
• DDoS-kustannusten suojaus
  • Estää kustannuspiikkejä ylikuormittamasta DDoS-hyökkäyksillä.

Yhteenvetona voidaan todeta, että jokainen pilvipalvelujen tarjoaja menestyksensä suhteen noudattaa korkeimpia pilviturvallisuusstandardeja, ja vähitellen, ellei heti, ihmiset, joilla ei vielä ole uskoa pilveen, ymmärtävät, että on välttämätöntä siirtyä siihen.

Onko sinulla kysymys meille? Mainitse se tämän Cloud Security -blogin kommenttiosassa ja palaamme sinuun.