Cloudové zabezpečení: Průvodce pro uživatele cloudu

Tento blog o cloudovém zabezpečení pokrývá mýty o cloudu, vysvětluje, jak zvolit správnou architekturu, pokrývá také různé fáze hodnocení rizika.

Cloudová bezpečnost

Cloud byl humbuk v letech 2010-2011, ale dnes se stal nutností. S mnoha organizacemi přecházejícími do cloudu se potřeba cloudového zabezpečení stala nejvyšší prioritou.

Ale předtím, ti z vás, kteří s cloudovými výpočty začínají, pojďme se rychle podívat na to, co cloud computing je,





cloud - cloudové zabezpečení - Edureka

Co je cloud computing?



Cloud Computing, často označovaný jako „cloud“, v jednoduchosti znamená ukládání nebo přístup k vašim datům a programům přes internet, spíše než na váš vlastní pevný disk.

Pojďme nyní diskutovat o typech mraků:



Veřejný cloud

V režimu nasazení veřejného cloudu jsou služby, které jsou nasazeny, otevřené pro veřejné použití a obecně jsou veřejné cloudové služby zdarma. Technicky možná neexistuje žádný rozdíl mezi veřejným cloudem a privátním cloudem, ale parametry zabezpečení jsou velmi odlišné, protože veřejný cloud je přístupný komukoli, existuje stejný rizikový faktor.

Soukromý cloud

Soukromý cloud je provozován pouze pro jednu organizaci, může to udělat stejná organizace nebo organizace třetí strany. Ale pokud používáte svůj vlastní cloud, náklady jsou obvykle vysoké, protože hardware se bude pravidelně aktualizovat, a proto je nutné neustále kontrolovat zabezpečení, protože každý den přicházejí nové hrozby.

Hybridní cloud

Hybridní cloud se skládá z funkcí soukromého i veřejného cloudu

Jak se zákazníci rozhodují mezi veřejným, soukromým a hybridním cloudem?

Záleží na požadavku uživatele, to znamená, že pokud má uživatel pocit, že jeho informace jsou příliš citlivé na to, aby byly v jakémkoli systému, spíše než v jeho vlastním, rozhodl by se pro soukromý cloud

Nejlepším příkladem by mohl být DropBox, ve svých raných dobách začali používat AWS S3 jako backend pro ukládání objektů, ale nyní vytvořili vlastní technologii úložiště, kterou sami monitorují.

Proč to udělali?

Dostaly se tak velké, že ceny veřejného cloudu už neměly smysl. Podle nich jsou jejich softwarové a hardwarové optimalizace ekonomicky životaschopnější než ukládání jejich věcí na Amazonu S3.

Ale pokud nejste biggie jako DropBox a stále jste na soukromé infrastruktuře, možná je čas si pomyslet: Proč ne veřejný cloud?

Proč tedy zákazník použije veřejný cloud?

Cena je především nižší, ve srovnání s investicí, kterou by společnost potřebovala k nastavení vlastních serverů.

délka javascriptového pole

Za druhé, když jste propojeni s renomovaným poskytovatelem cloudu, dostupnost vašich souborů v cloudu se zvýší.

Stále nejasné, zda chcete ukládat soubory nebo data na soukromém nebo veřejném cloudu.

Řeknu vám něco o hybridním cloudu, s hybridním cloudem si můžete uchovat „drahocennější“ data na své soukromé infrastruktuře a zbytek na veřejném cloudu, to by byl „hybridní cloud“

Závěrem tedy vše závisí na požadavku uživatele, na základě kterého si zvolí mezi veřejným, soukromým a hybridním cloudem.

Může zabezpečení cloud computingu urychlit pohyb zákazníků do cloudu?

Ano, podívejme se na průzkum provedený společností gartner. Projděte si níže uvedené statistiky:

Zdroj: Gartner

Nyní byl tento výzkum proveden pro společnosti, které se trochu zdráhají přejít na cloud, a jak můžete jasně vidět na obrázku výše, že nejdůležitějším důvodem je bezpečnost.

To teď neznamená, že cloud není bezpečný, ale lidé toto vnímání mají. V zásadě tedy, pokud můžete lidem zajistit, že cloud je bezpečný, může dojít k určitému zrychlení v pohybu směrem ke cloudu.

Jak CIO sladí napětí mezi rizikem, náklady a uživatelskou zkušeností?

Někde jsem to četl, cloudová bezpečnost je směsicí vědy a umění.

Zmatený? Je to umění vědět, do jaké míry byste měli dát zabezpečení na službu, aby se uživatelská zkušenost nezmenšila.

Například: Řekněme, že máte aplikaci, a aby byla zabezpečená, při každé operaci se ptáte na uživatelské jméno a heslo, což má smysl, pokud jde o zabezpečení, ale pak to brání uživatelské zkušenosti.

Je umění vědět, kdy přestat, ale zároveň je to věda, protože musíte vytvořit algoritmy nebo nástroje, které poskytnou datům vašeho zákazníka maximální zabezpečení.

Nyní, když se do obrazu dostane nějaká nová věc, lidé jsou vůči tomu skeptičtí.

Lidé si myslí, že cloud computing má mnoho „rizik“, pojďme se těmito riziky zabývat jeden po druhém:

1. Cloud je nejistý

Většinou, kdykoli byste mluvili o cloudu, bylo by spousta lidí, kteří říkají, že data jsou bezpečnější na jejich vlastní infrastruktuře, než říkat nějaký server AWS se zabezpečením AWS.

To by mohlo dávat smysl, kdyby se společnost soustředila pouze na zabezpečení svého privátního cloudu, což samozřejmě není pravda. Pokud to ale společnost udělá, kdy se zaměří na své vlastní cíle?

Pojďme si promluvit o poskytovatelích cloudu, řekněme AWS (největší ze všech), nemyslíte si, že jediným účelem AWS je, aby vaše data byla nejbezpečnější? Proč, protože za to se jim platí.

Zábavným faktem je také to, že Amazon hostil vlastní web elektronického obchodu na AWS, který čistí vzduch, zda je AWS spolehlivý.

Poskytovatelé cloudu žijí, jedí a dýchají cloudovou bezpečnost.

2. V cloudu je více narušení

Studie z jarní výstražné logické zprávy z roku 2014 ukazuje, že kybernetické útoky v letech 2012–2013 byly zaměřeny jak na soukromé cloudy, tak na veřejné cloudy, ale soukromé cloudy byly na útoky náchylnější. Proč? Protože společnosti, které nastavují své vlastní servery, nejsou tak vybavené ve srovnání s AWS nebo Azure nebo jiným poskytovatelem cloudu.

3. Systémy s jedním nájemcem jsou bezpečnější než systémy s více nájemci.

Pokud myslíte logicky, nemyslíte si, že v systémech s více nájemci je k tomu připojena další vrstva zabezpečení. Proč? Protože váš obsah bude logicky izolován od ostatních nájemců nebo uživatelů v systému, což tam není, pokud používáte systémy s jedním nájemcem. Proto v případě, že hacker chce projít vaším systémem, musí projít další vrstvou zabezpečení.

Na závěr jsou to všechno mýty a také vzhledem k úspoře investic, které budete dělat, když přesunete svá data do cloudu, a také nad dalšími výhodami, to daleko převáží rizika spojená s cloudovým zabezpečením.

Poté se pojďme zaměřit na dnešní diskusi, jak zacházejí vaši poskytovatelé cloudu se zabezpečením.

těsné spojení vs. volné spojení

Pojďme si zde vzít příklad a předpokládejme, že používáte aplikaci pro sociální sítě. Kliknete na nějaký náhodný odkaz a nic se neděje. Později zjistíte, že z vašeho účtu jsou odesílány nevyžádané zprávy všem vašim kontaktům, které jsou s vámi spojeny v dané aplikaci.

Ale než byste mohli odeslat e-mail nebo si stěžovat podpoře aplikace, už by ten problém znali a mohli by ho vyřešit. Jak? Pochopme to

Cloudová bezpečnost má tedy v zásadě tři fáze:

  • Monitorování dat
  • Zvýšení viditelnosti
  • Správa přístupu

The Cloudové monitorování nástroj, který neustále analyzuje tok dat ve vaší cloudové aplikaci, upozorní, jakmile se ve vaší aplikaci začnou dít nějaké „divné“ věci. Jak hodnotí „divné“ věci?

Nástroj pro monitorování cloudu by měl pokročilé algoritmy strojového učení, které zaznamenávají normální chování systému.

Jakákoli odchylka od normálního chování systému by tedy byla rudým praporkem, také známé hackerské techniky jsou uvedeny v jejích databázích. Takže když vezmete toto vše do jednoho obrazu, váš monitorovací nástroj vyvolá upozornění, kdykoli se něco stane.

Nyní, jakmile byste zjistili, že se děje něco „ne normálního“, chtěli byste vědět, kdy a kde, přijde fáze 2, zviditelnění .

To lze provést pomocí nástrojů, které vám poskytnou viditelnost dat, která přicházejí dovnitř a ven z vašeho cloudu. Pomocí nich můžete sledovat nejen to, kde k chybě došlo, ale také „kdo“ za ni odpovídá. Jak?

Tyto nástroje hledají vzory a vypíšou všechny aktivity, které jsou podezřelé, a proto uvidí, který uživatel je za ně odpovědný.

Nyní by nejprve musel být ze systému odstraněn odpovědný jedinec, že?

Přichází 3. fáze, správa přístupu.

V nástrojích, které budou spravovat přístup, bude uveden seznam všech uživatelů, kteří jsou v systému. Proto můžete tohoto jednotlivce sledovat a vymazat ho ze systému.

Jak tedy tento jednotlivec nebo hacker získal přístup správce k vašemu systému?

Hacker s největší pravděpodobností heslo k vaší konzole pro správu prolomil a vytvořil pro něj roli administrátora z nástroje pro správu přístupu a zbytek se stal historií.

Co by po tom udělal váš poskytovatel cloudu? Poučili by se z toho a vyvíjeli se tak, aby se to už nikdy nestalo.

Tento příklad je nyní pouze pro pochopení, obvykle žádný hacker nemůže získat přístup k vašemu heslu právě tak.

Zde je třeba se zaměřit na to, že se cloudová společnost vyvinula z tohoto vloupání, přijala opatření ke zlepšení zabezpečení cloudu, aby se to samé nikdy nemohlo opakovat.

Nyní všichni poskytovatelé cloudu sledují tyto fáze. Pojďme si promluvit o největším poskytovateli cloudu, AWS.

Sleduje AWS tyto fáze kvůli cloudovému zabezpečení AWS? Pojďme se podívat:

Pro cloudové monitorování má AWS Cloudové hodinky

Pro viditelnost dat má AWS CloudTrail

A pro správu přístupu má AWS JIŽ

Toto jsou nástroje, které AWS používá, pojďme se blíže podívat na jejich fungování.

Cloudové hodinky

Dává vám možnost analyzovat data přicházející a odcházející z vašich zdrojů AWS. Má následující funkce související s cloudovým zabezpečením:

  • Monitorujte EC2 a další zdroje AWS:
    • Bez instalace dalšího softwaru můžete sledovat výkon svého EC2 pomocí AWS CloudWatch.
  • Možnost sledovat vlastní metriky:
    • Můžete vytvářet vlastní metriky a sledovat je prostřednictvím CloudWatch.
  • Monitorování a ukládání protokolů:
    • Můžete sledovat a ukládat protokoly související s aktivitami, které se dějí ve vašich prostředcích AWS.
  • Nastavit budíky:
    • Můžete nastavit budíky na konkrétní spouštěče, například na aktivitu, která vyžaduje okamžitou pozornost atd.
  • Zobrazit grafy a statistiky:
    • Tato data můžete vizualizovat ve formě grafů a jiných vizuálních reprezentací.
  • Monitorujte a reagujte na změny zdrojů:
    • Může být nakonfigurován tak, aby reagoval na změny v dostupnosti prostředku nebo když prostředek nefunguje správně.

CloudTrail

CloudTrail je služba protokolování, kterou lze použít k protokolování historie volání API. Lze jej také použít k identifikaci, který uživatel z AWS Management Console požadoval konkrétní službu. S odkazem z našeho příkladu se jedná o nástroj, ze kterého poznáte notoricky známého „hackera“.

JIŽ

Správa identit a přístupu (IAM) se používá k udělení sdíleného přístupu k vašemu účtu AWS. Má následující funkce:

  • Podrobná oprávnění:
    • Lze jej použít k udělení přístupových práv různým druhům uživatelů na velmi mobilní úrovni. Například: Můžete udělit přístup ke čtení konkrétnímu uživateli a přístup ke čtení a zápisu jinému uživateli.
  • Zabezpečený přístup k aplikacím běžícím v prostředí EC2:
    • IAM lze použít k zajištění bezpečného přístupu tím, že uživatel zadá přihlašovací údaje a získá přístup k příslušným prostředkům EC2.
  • Zdarma k použití:
    • Společnost AWS umožnila bezplatné používání služeb IAM s jakoukoli službou aws, která je kompatibilní.

Štít AWS

Je to spravovaná služba odmítnutí DDOS. Podívejme se rychle na to, co je DDoS?

DDoS v podstatě přetěžuje váš web irelevantním provozem s úmyslem snížit jeho fungování. Jak to funguje? Hackeři vytvářejí bot-net infikováním mnoha počítačů připojených k internetu, jak? Pamatujete si ty podivné e-maily, které vám někdy chodí na poštu? Loterie, lékařská pomoc atd. V zásadě vás donutí kliknout na něco, čím se do vašeho počítače nainstaluje malware, který se poté spustí, aby se váš počítač stal plusem v irelevantním provozu.

Nejste si jisti svou webovou aplikací? Nebuďte AWS Shield je tady.

Nabízí dva typy služeb:

  1. Standard
  2. Pokročilý

The Standard balíček je zdarma pro všechny uživatele a vaše webová aplikace na AWS je ve výchozím nastavení automaticky pokryta tímto balíčkem. Zahrnuje následující funkce:

  • Rychlá detekce
    • Detekuje škodlivý provoz na cestách pomocí algoritmů anomálií.
  • Inline mitigační útoky
    • Do AWS Shield jsou zabudovány techniky automatického zmírnění, které vám poskytnou ochranu před běžnými útoky.
  • Přidejte vlastní pravidla pro podporu vaší aplikace.

Nedostatek? Tady je Pokročilý balíček také. S trochou dodatečných nákladů můžete pokrýt své prostředky Elastic Load Balancer, Route 53 a CloudFront.

Co vše je zahrnuto? Pojďme se podívat:

  • Vylepšená detekce
    • Zahrnuje další techniky, jako je monitorování specifické pro zdroje, a také poskytuje granulární detekci DDoS útoků.
  • Pokročilé zmírnění útoků
    • Sofistikovanější automatické zmírňování.
  • Viditelnost a oznámení o útoku
    • Oznámení v reálném čase pomocí služby CloudWatch.
  • Specializovaná podpora
    • Podpora 24 × 7 od speciálního týmu odpovědí DDoS.
  • Ochrana nákladů DDoS
    • Zabraňuje přetížení nákladů přetížením útoky DDoS.

Závěrem lze říci, že jakýkoli poskytovatel cloudu pro svůj úspěch postupuje podle nejvyšších standardů v cloudovém zabezpečení a postupně, ne-li okamžitě, lidé, kteří cloudu stále nevěří, pochopí, že je nutné se v něm přesunout.

Tak to je, lidi! Doufám, že se vám tento blog o cloudové bezpečnosti líbil. Věci, které jste se naučili v tomto blogu Cloud Security, jsou nejvyhledávanější sady dovedností, které náboráři hledají v AWS Solution Architect Professional. Tady je sbírka abychom vám pomohli připravit se na další pracovní pohovor AWS. Chcete-li se dozvědět více o AWS, můžete se obrátit na naši blog. Také jsme přišli s osnovami, které pokrývají přesně to, co byste potřebovali ke zvládnutí zkoušky Architect Architect! Můžete se podívat na podrobnosti kurzu pro výcvik.

Máte na nás dotaz? Uveďte to prosím v sekci komentářů tohoto blogu Cloud Security a my se vám ozveme.