ความปลอดภัยของคลาวด์คอมพิวติ้ง
Securityในการประมวลผลแบบคลาวด์เป็นปัญหาหลัก ข้อมูลในระบบคลาวด์ควรจัดเก็บในรูปแบบเข้ารหัส ในการ จำกัด ไม่ให้ลูกค้าเข้าถึงข้อมูลที่แชร์โดยตรงควรใช้บริการพร็อกซีและนายหน้า
การวางแผนความปลอดภัย
ก่อนที่จะปรับใช้ทรัพยากรเฉพาะกับระบบคลาวด์เราควรต้องวิเคราะห์หลาย ๆ ด้านของทรัพยากรเช่น:
เลือกทรัพยากรที่ต้องการย้ายไปยังระบบคลาวด์และวิเคราะห์ความอ่อนไหวต่อความเสี่ยง
พิจารณารูปแบบบริการคลาวด์เช่น IaaS, PaaS, และ SaaS. โมเดลเหล่านี้กำหนดให้ลูกค้าต้องรับผิดชอบต่อการรักษาความปลอดภัยในระดับบริการต่างๆ
พิจารณาประเภทคลาวด์ที่จะใช้เช่น public, private, community หรือ hybrid.
ทำความเข้าใจระบบของผู้ให้บริการคลาวด์เกี่ยวกับการจัดเก็บข้อมูลและการโอนเข้าและออกจากระบบคลาวด์
ความเสี่ยงในการปรับใช้ระบบคลาวด์ส่วนใหญ่ขึ้นอยู่กับรูปแบบบริการและประเภทของคลาวด์
ทำความเข้าใจเกี่ยวกับความปลอดภัยของคลาวด์
ขอบเขตความปลอดภัย
รูปแบบบริการเฉพาะกำหนดขอบเขตระหว่างความรับผิดชอบของผู้ให้บริการและลูกค้า Cloud Security Alliance (CSA) แบบจำลองสแต็กกำหนดขอบเขตระหว่างแต่ละรูปแบบบริการและแสดงให้เห็นว่าหน่วยการทำงานต่างๆเกี่ยวข้องกันอย่างไร แผนภาพต่อไปนี้แสดงไฟล์CSA stack model:
ประเด็นสำคัญของ CSA Model
IaaS เป็นบริการระดับพื้นฐานที่สุดกับ PaaS และ SaaS ถัดไปอีกสองระดับของบริการ
บริการแต่ละอย่างจะสืบทอดความสามารถและความกังวลด้านความปลอดภัยของโมเดลที่อยู่ด้านล่าง
IaaS จัดเตรียมโครงสร้างพื้นฐาน PaaS จัดเตรียมสภาพแวดล้อมการพัฒนาแพลตฟอร์มและ SaaS จัดเตรียมสภาพแวดล้อมการทำงาน
IaaS มีฟังก์ชันการทำงานแบบบูรณาการและการรักษาความปลอดภัยแบบบูรณาการน้อยที่สุดในขณะที่ SaaS มีมากที่สุด
แบบจำลองนี้อธิบายขอบเขตด้านความปลอดภัยที่ความรับผิดชอบของผู้ให้บริการระบบคลาวด์สิ้นสุดลงและความรับผิดชอบของลูกค้าเริ่มต้นขึ้น
กลไกการรักษาความปลอดภัยใด ๆ ที่อยู่ต่ำกว่าขอบเขตความปลอดภัยจะต้องสร้างไว้ในระบบและลูกค้าควรได้รับการดูแล
แม้ว่าบริการแต่ละรูปแบบจะมีกลไกการรักษาความปลอดภัย แต่ความต้องการด้านความปลอดภัยยังขึ้นอยู่กับตำแหน่งของบริการเหล่านี้ในระบบคลาวด์ส่วนตัวสาธารณะไฮบริดหรือชุมชน
ทำความเข้าใจเกี่ยวกับความปลอดภัยของข้อมูล
เนื่องจากข้อมูลทั้งหมดถูกถ่ายโอนโดยใช้อินเทอร์เน็ตความปลอดภัยของข้อมูลจึงเป็นปัญหาสำคัญในระบบคลาวด์ กลไกสำคัญในการปกป้องข้อมูลมีดังนี้
- การควบคุมการเข้าถึง
- Auditing
- Authentication
- Authorization
รูปแบบบริการทั้งหมดควรรวมกลไกการรักษาความปลอดภัยที่ทำงานในพื้นที่ที่กล่าวถึงข้างต้นทั้งหมด
การเข้าถึงข้อมูลที่แยกได้
เนื่องจากข้อมูลที่จัดเก็บในระบบคลาวด์สามารถเข้าถึงได้จากทุกที่เราจึงต้องมีกลไกในการแยกข้อมูลและปกป้องข้อมูลจากการเข้าถึงโดยตรงของลูกค้า
Brokered Cloud Storage Access เป็นแนวทางในการแยกพื้นที่เก็บข้อมูลในระบบคลาวด์ ในแนวทางนี้มีการสร้างบริการสองอย่าง:
นายหน้าที่มีสิทธิ์เข้าถึงพื้นที่เก็บข้อมูลเต็มรูปแบบ แต่ไม่สามารถเข้าถึงลูกค้าได้
พร็อกซีที่ไม่มีสิทธิ์เข้าถึงพื้นที่เก็บข้อมูล แต่เข้าถึงทั้งลูกค้าและนายหน้า
การทำงานของระบบการเข้าถึงที่เก็บข้อมูลบนคลาวด์ที่ไม่สมบูรณ์
เมื่อลูกค้าร้องขอเพื่อเข้าถึงข้อมูล:
คำขอข้อมูลไคลเอ็นต์ไปที่อินเทอร์เฟซบริการภายนอกของพร็อกซี
พร็อกซีจะส่งต่อคำขอไปยังนายหน้า
นายหน้าร้องขอข้อมูลจากระบบจัดเก็บข้อมูลบนคลาวด์
ระบบจัดเก็บข้อมูลบนคลาวด์จะส่งคืนข้อมูลไปยังโบรกเกอร์
นายหน้าส่งคืนข้อมูลไปยังพร็อกซี
ในที่สุดพร็อกซีก็ส่งข้อมูลไปยังไคลเอนต์
ขั้นตอนข้างต้นทั้งหมดแสดงในแผนภาพต่อไปนี้:
การเข้ารหัส
การเข้ารหัสช่วยป้องกันข้อมูลจากการถูกบุกรุก ปกป้องข้อมูลที่กำลังถ่ายโอนเช่นเดียวกับข้อมูลที่จัดเก็บในระบบคลาวด์ แม้ว่าการเข้ารหัสจะช่วยปกป้องข้อมูลจากการเข้าถึงโดยไม่ได้รับอนุญาต แต่ก็ไม่ได้ป้องกันข้อมูลสูญหาย