Безопасность облачных вычислений

Securityв облачных вычислениях является серьезной проблемой. Данные в облаке должны храниться в зашифрованном виде. Чтобы ограничить доступ клиента к общим данным напрямую, следует использовать прокси и брокерские услуги.

Планирование безопасности

Перед развертыванием определенного ресурса в облаке необходимо проанализировать несколько аспектов ресурса, таких как:

  • Выберите ресурс, который необходимо переместить в облако, и проанализируйте его чувствительность к риску.

  • Рассмотрите такие модели облачных сервисов, как IaaS, PaaS, а также SaaS. Эти модели требуют, чтобы заказчик отвечал за безопасность на разных уровнях обслуживания.

  • Рассмотрите используемый тип облака, например: public, private, community или hybrid.

  • Понимать систему поставщика облачных услуг о хранении данных и их передаче в облако и из него.

Риск при развертывании облака в основном зависит от моделей обслуживания и типов облака.

Понимание безопасности облака

Границы безопасности

Конкретная модель обслуживания определяет границу между обязанностями поставщика услуг и потребителя. Cloud Security Alliance (CSA) Модель стека определяет границы между каждой сервисной моделью и показывает, как разные функциональные единицы соотносятся друг с другом. На следующей диаграмме показанCSA stack model:

Ключевые моменты модели CSA

  • IaaS - это самый базовый уровень обслуживания с двумя следующими выше уровнями услуг PaaS и SaaS.

  • Двигаясь вверх, каждая служба наследует возможности и проблемы безопасности модели, представленной ниже.

  • IaaS предоставляет инфраструктуру, PaaS предоставляет среду разработки платформы, а SaaS предоставляет операционную среду.

  • IaaS имеет наименьший уровень интегрированных функций и интегрированной безопасности, а SaaS - наибольший.

  • Эта модель описывает границы безопасности, на которых заканчивается ответственность поставщика облачных услуг и начинается ответственность клиента.

  • Любой механизм безопасности ниже границы безопасности должен быть встроен в систему и обслуживаться заказчиком.

Хотя каждая модель обслуживания имеет механизм безопасности, потребности в безопасности также зависят от того, где эти службы расположены: в частном, общедоступном, гибридном или общественном облаке.

Понимание безопасности данных

Поскольку все данные передаются через Интернет, безопасность данных в облаке имеет большое значение. Вот ключевые механизмы защиты данных.

  • Контроль доступа
  • Auditing
  • Authentication
  • Authorization

Все модели услуг должны включать механизмы безопасности, работающие во всех вышеупомянутых областях.

Изолированный доступ к данным

Поскольку к данным, хранящимся в облаке, можно получить доступ из любого места, у нас должен быть механизм для изоляции данных и защиты их от прямого доступа клиента.

Brokered Cloud Storage Access - это подход к изоляции хранилища в облаке. При таком подходе создаются две службы:

  • Брокер с полным доступом к хранилищу, но без доступа к клиенту.

  • Прокси-сервер без доступа к хранилищу, но с доступом как к клиенту, так и к брокеру.

Работа брокерской системы доступа к облачному хранилищу

Когда клиент выдает запрос на доступ к данным:

  • Запрос данных клиента поступает на внешний служебный интерфейс прокси.

  • Прокси-сервер пересылает запрос брокеру.

  • Брокер запрашивает данные из облачной системы хранения.

  • Система облачного хранения возвращает данные брокеру.

  • Брокер возвращает данные прокси.

  • Наконец, прокси отправляет данные клиенту.

Все вышеперечисленные шаги показаны на следующей диаграмме:

Шифрование

Шифрование помогает защитить данные от компрометации. Он защищает данные, которые передаются, а также данные, хранящиеся в облаке. Хотя шифрование помогает защитить данные от любого несанкционированного доступа, оно не предотвращает потерю данных.