Облачные вычисления-это гибкая, экономически эффективная и проверенная платформа доставки для предоставления бизнес-или потребительских ИТ-услуг через Интернет. Однако облачные вычисления представляют собой дополнительный уровень риска, поскольку основные услуги часто передаются на аутсорсинг третьей стороне, что затрудняет поддержание безопасности и конфиденциальности данных, поддержку данных и доступность услуг.
По данным Cloud Security Alliance (CSA), в настоящее время более 70 процентов мировых компаний работают – по крайней мере частично – в облаке.
С такими преимуществами, как более низкие постоянные затраты, более высокая гибкость, автоматическое обновление программного обеспечения, расширение совместной работы и свобода работать в любом месте, 70 процентов не является большим сюрпризом.
Тем не менее, облако имеет свою долю проблем безопасности.
Хотя облачные сервисы открыли новую эру передачи и хранения данных, многие компании все еще колеблются или делают этот шаг без четкого плана обеспечения безопасности.
Вот топ 5 основных проблем безопасности для облачных сервисов.
Облачные вычисления и услуги являются относительно новыми, но нарушения данных во всех формах существуют уже в течение многих лет. Остается вопрос: "с конфиденциальными данными, хранящимися в интернете, а не на месте, является ли облако по своей сути менее безопасным?”
Исследование, проведенное Институтом Ponemon под названием "Man In Cloud Attack", сообщает, что более 50 процентов опрошенных ИТ-специалистов и специалистов по безопасности считают, что меры безопасности их организации для защиты данных в облачных сервисах являются низкими. Это исследование использовало девять сценариев, в которых имело место нарушение данных, чтобы определить, было ли это убеждение основано на самом деле.
После оценки каждого сценария в отчете был сделан вывод, что общее нарушение прав доступа к данным в три раза чаще встречается в компаниях, использующих облако, чем в тех, которые его не используют. простой вывод заключается в том, что облако поставляется с уникальным набором характеристик, которые делают его более уязвимым.
Рост и внедрение облака во многих организациях открыли целый новый набор проблем в области перехвата учетных записей.
Теперь злоумышленники могут использовать ваши (или ваших сотрудников) учетные данные для удаленного доступа к конфиденциальным данным, хранящимся в облаке; кроме того, злоумышленники могут фальсифицировать и манипулировать информацией с помощью похищенных учетных данных.
Другие методы угона включают ошибки сценариев и повторно используемые пароли, которые позволяют злоумышленникам легко и часто без обнаружения украсть учетные данные . В апреле 2010 года Amazon столкнулся с ошибкой межсайтового скриптинга, которая также предназначалась для учетных данных клиентов. Фишинг, кейлоггинг и переполнение буфера представляют собой схожие угрозы. Однако наиболее заметная новая угроза-известная как Man In Cloud Attack – связана с кражей пользовательских токенов, которые облачные платформы используют для проверки отдельных устройств, не требуя входа в систему во время каждого обновления и синхронизации.
Инъекции вредоносных программ-это сценарии или код, встроенные в облачные службы, которые действуют как “допустимые экземпляры” и выполняются как SaaS на облачных серверах. Это означает, что вредоносный код может быть введен в облачные службы и рассматриваться как часть программного обеспечения или службы, запущенной на самих облачных серверах.
После того, как инъекция выполняется и облако начинает работать в тандеме с ним, злоумышленники могут подслушивать, нарушать целостность конфиденциальной информации и красть данные. Угрозы безопасности на уязвимости облачных вычислений, доклад Университета Восточной Каролины, рассматривает угрозы инъекций вредоносных программ на облачных вычислениях и утверждает, что “атака инъекций вредоносных программ стала серьезной проблемой безопасности в системах облачных вычислений.”
Интерфейсы прикладного программирования (API) предоставляют пользователям возможность настраивать свой облачный интерфейс.
Однако API-интерфейсы могут представлять угрозу для безопасности облака из-за их самой природы. Они не только предоставляют компаниям возможность настраивать функции своих облачных служб в соответствии с потребностями бизнеса, но и выполняют проверку подлинности, обеспечивают доступ и шифрование.
Поскольку инфраструктура API растет, чтобы обеспечить лучшее обслуживание, то же самое делают и его риски безопасности. API-интерфейсы предоставляют программистам инструменты для построения своих программ для интеграции их приложений с другими критически важными для работы программами. Популярным и простым примером API является YouTube, где разработчики имеют возможность интегрировать видео YouTube в свои сайты или приложения.
Уязвимость API заключается в связи, которая происходит между приложениями. Хотя это может помочь программистам и предприятиям, они также оставляют эксплуатируемые риски для безопасности.
В отличие от других видов кибератак, которые обычно запускаются для установления долгосрочного плацдарма и захвата конфиденциальной информации, атаки с отказом в обслуживании не пытаются нарушить ваш периметр безопасности. Скорее, они пытаются сделать ваш сайт и серверы недоступными для законных пользователей. В некоторых случаях, однако, DoS также используется в качестве дымовой завесы для других вредоносных действий, а также для снятия устройств безопасности, таких как брандмауэры веб-приложений.