1 марта 2013 г.
Cloud Security Alliance (CSA), некоммерческая отраслевая организация, продвигающая методы защиты в облаке, недавно обновила свой список главных угроз в отчете, озаглавленном «Облачное зло: 9 главных угроз в облачных услугах в 2013 году».CSA указывает, что отчет отражает согласованное мнение экспертов о наиболее значительных угрозах безопасности в облаке и уделяет основное внимание угрозам, проистекающим из совместного использования общих облачных ресурсов и обращения к ним множества пользователей по требованию.
Отчет, опубликованный в понедельник, имеет целью помочь пользователям облака и поставщикам облачных услуг внедрить лучшие стратегии снижения риска.
Итак, главные угрозы…
1. Кража данных
Кража конфиденциальной корпоративной информации - всегда страшит организации при любой ИТ-инфраструктуре, но облачная модель открывает «новые, значительные магистрали атак», указывает CSA. «Если база данных облака с множественной арендой не продумана должным образом, то изъян в приложении одного клиента может открыть взломщикам доступ к данным не только этого клиента, но и всех остальных пользователей облака», - предупреждает CSA.
2. Потеря данных
Данные, хранящиеся в облаке, могут быть украдены злоумышленниками или потеряны по другой причине, пишет CSA. Если поставщик облачных услуг не внедрит должные меры резервного копирования, данные случайно может удалить сам провайдер или они пострадают при пожаре или стихийном бедствии. С другой стороны, заказчик, который шифрует данные до того, как выгрузить их в облако, вдруг потерявший шифровальный ключ, также утратит свои данные, добавляет CSA.
3. Кража аккаунтов / Взлом услуг
В облачной среде взломщик может использовать украденную регистрационную информацию, чтобы перехватывать, подделывать или выдавать искаженные данные перенаправлять пользователей на вредоносные сайты, пишет CSA. Организациям следует запретить раздачу своих регистрационных данных другим служащим и использование одних и тех же паролей для всех сервисов. Нужно также внедрить надежную, двухфакторную аутентификацию для снижения риска, рекомендует CSA.
4. Незащищенные интерфейсы и API
Слабые интерфейсы ПО или API, используемые заказчиками для управления и взаимодействия с облачными услугами, подвергают организацию целому ряду угроз, пишет CSA. Эти интерфейсы должны быть правильно спроектированы и обязательно включать аутентификацию, управление доступом и шифрование, чтобы обеспечить необходимую защиту и готовность облачных услуг.
CSA добавляет также, что организации и сторонние подрядчики часто используют облачные интерфейсы для предоставления дополнительных услуг, что делает их более сложными и увеличивает риск, поскольку может потребоваться, чтобы заказчик сообщил свои регистрационные данные такому подрядчику для упрощения предоставления услуг.
5. DoS-атаки
На облако могут быть предприняты атаки типа «отказ в обслуживании», которые вызывают перегрузку инфраструктуры, заставляя задействовать огромный объем системных ресурсов и не давая заказчикам пользоваться этой услугой. Внимание прессы чаще всего привлекают распределенные, или DDoS-атаки, но есть и другие типы DoS-атак, которые могут блокировать облачные вычисления, пишет CSA. К примеру, злоумышленники могут запустить асимметричные DoS-атаки прикладного уровня, используя уязвимости в Web-серверах, базах данных или других облачных ресурсах, чтобы завалить приложение с очень малой полезной нагрузкой.
6. Злонамеренный инсайдер
В среде IaaS, PaaS или SaaS, где не обеспечен должный уровень безопасности, инсайдер, имеющий неблаговидные намерения (например, системный администратор), может получить доступ к конфиденциальной информации, которая ему не предназначена, предупреждает CSA.
Системы, которые в обеспечении безопасности полагаются только на поставщика облачных услуг, подвергают себя большому риску, пишет CSA. «Даже если внедрено шифрование, если ключи не хранятся только у заказчика, будучи доступны лишь на время пользования данными, то система всё еще подвержена злонамеренным действиям инсайдера», - указывает CSA.
7. Использование облачных ресурсов хакерами
Облачные вычисления дают возможность организациям любого размера задействовать огромную вычислительную мощь, но кто-то может захотеть сделать это с неблаговидными намерениями, предупреждает CSA. К примеру, хакер может использовать совокупную мощь серверов облака, чтобы взломать шифровальный ключ в считанные минуты.
Поставщики облачных услуг должны продумать, как они будут отслеживать людей, использующих мощь облачной инфраструктуры во вред, каким образом будут выявляться и предотвращаться такие злоупотребления, пишет CSA.
8. Недостаточная предусмотрительность
В погоне за снижением затрат и другими преимуществами облака некоторые организации спешат использовать облачные услуги, не понимая до конца все последствия этого шага, пишет CSA. Организации должны провести обширную, тщательную проверку своих внутренних систем и потенциального поставщика облака, чтобы полностью уяснить все риски, которым они себя подвергают, переходя на новую модель.
9. Смежная уязвимость
В любой модели облачной доставки существует угроза уязвимости через общие ресурсы, указывает CSA. Если ключевой компонент совместно используемой технологии - например, гипервизор или элемент общей платформы - будет взломан, то это подвергает риску не только пострадавшего заказчика: уязвимой становится вся среда облака.
© 2013. The Channel Company LLC. Initially published on CRN.com, a The Channel Company website, at https://www.crn.com. Reprinted with permission.
Источник: Марсия Сэвидж, CRN/США