Моей темой на семенаре была защита Cloud Computing Applications. Найти что-нибудь стоящее под данной теме было довольно сложно. Облако — новая технология, репутации которой никто не хочет вредить, а сама она только в последнее время начинает обрастать стандартами. Хорошо ли наличие стандартов или плохо для этого поста значения не имеет.
Одной очень хорошей бумагой, содержащей много информации о том, как компаниям, предлагающим облачные вычисления стоит организовывать защиту этих вычислений и хранимых данных стала Eckpunktepapier «Sicherheitsempfehlungen für Cloud Computing Anbieter».
Эта бумага была ниписа в сотрудничестве министерства по безопасности информационной техники Германии с поставщиками и потребителями/потенциальными потребителями облачных услуг. Эта одна из первых попыток ввести ясность в стандартизацию защиты при работе в облаке.
Конечно, ясно изначально, что все риски, связанные с передачей данных через интернет, характерны и для облачной технологии. Здесь нужно учитывать все риски из OWAP, но о них уже сказано много и мне не хотелось бы повторятся. Поэтому я постараюсь рассмотреть те пункты безопасности, которые являются характерными именно для облаков.
Первой проблемой для потребителей становиться то, что они не имеют достаточной информации от поставщиков, каким образом будет производиться защита данных и вычислений внутри облака. Эта непрозрачность отпугивает многих потенциальных пользоватей. Практически все компании, предаставляющие данные услуги пишут о том, что данные пользователей будут надёжно защищены. При этот, о том какими методами это будет производиться не указывают.
Одним из предложениев к поставщикам облачных вычислений является чёткое прописание предоставляемой защиты. Так же рекомендуется ввести несколько уровней предоставляемой защиты информации, так как данные различных пользователей обладают различной чувствительностью. Так же для некоторых клиентов круглосуточная доступность и поддержка может быть исключительно важна и необходима, в то время как для других же пользователей достаточно стандартной поддержки со стороны поставщика в течении рабочего дня. Такое разграничение позволит не только для каждого конкретно потребителя прописать в его контракте предоставляемые ему механизмы защиты, но также позволит сделать гибкими и цены. Каждый будет платить только за то, что ему действительно необходимо.
Одной из важных тем так же является верификация личностей потребителей. Это рекомендовано для того, чтобы обезопасить поставщиков от недобросовестных клиентов, которые могут использовать ресурсы облака для взлома паролей или создания бот-сетей.
Также одной из задач поставщиков будет не только проверка собственных инфраструктур на наличие уязвимостей, но также и проверка инфраструктур пользователей системы, с тем чтобы своевременно заметить слабые места или неправильную настройку систем безопасности. Также рекомендуется создавать возможности пользователям самим проводить подобные проверки или поручать подобные проверки сторонним IT-компаниям.
Также очень важным является тот момент, что поставщики облачных услуг обязаны информировать потребителей о том, в какой стране расположены вычислительные центры, в которых будет производиться хранение информации. Это связано с тем, что во многих государствах правительственные структуры имеют возможность запросить хранимые данные. Соответственно, появляются возможности для шпионажа/промышленного шпионажа.
Eckpunktepapier «Sicherheitsempfehlungen für Cloud Computing Anbieter»
www.bsi.bund.de/DE/Themen/CloudComputing/Eckpunktepapier/Eckpunktepapier_node.html
Автор: belosnezhka