Πώς Cloud Computing αλλάζει Cybersecurity

Περιεχόμενο

• Έλλειψη διαφάνειας
• No Bugs, No Stress - Ο οδηγός σας βήμα προς βήμα για τη δημιουργία λογισμικού που αλλάζει τη ζωή χωρίς να καταστρέφει τη ζωή σας
• Εξαπλώστε και παρασύρετε
• Ευάλωτα API
• Νέες τοπογραφίες και το Διαδίκτυο των πραγμάτων
• Πάντα συνδεδεμένος στον Ιστό

Πάρε μακριά:

Η ασφάλεια του Cloud σημαίνει να γνωρίζεις τι είναι στο σύστημά σου και πώς έχει συσταθεί.

Όπως έχει προκύψει τα τελευταία χρόνια, το σύννεφο έχει πραγματικά φέρει την επανάσταση στις επιχειρήσεις και μας επέτρεψε να κάνουμε καταπληκτικά πράγματα με τεχνολογίες διαδικτυακής προβολής.

Ωστόσο, ένα από τα μεγαλύτερα θέματα γύρω από το σύννεφο ήταν πάντα, και εξακολουθεί να είναι, cybersecurity. (Διαβάστε την αλήθεια για την ασφάλεια στον κυβερνοχώρο.)

Το σύννεφο φέρνει μαζί του ένα πλήθος ζητημάτων ασφάλειας στον κυβερνοχώρο. Ορισμένες από αυτές σχετίζονται με την εγγενή φύση του cloud computing και άλλες εκμεταλλεύονται οι χάκερ μέσω πολύ συγκεκριμένων διαδικασιών σχεδιασμού.

Ακολουθούν μερικές από τις γενικές προκλήσεις της διατήρησης της ασφάλειας του κυβερνοχώρου στο σύννεφο. (Επίσης, διαβάστε πώς οι βελτιώσεις του AI επηρεάζουν την ασφάλεια, την ασφάλεια στον κυβερνοχώρο και την πειρατεία).

Έλλειψη διαφάνειας

Επειδή το μοντέλο προμηθευτή σύννεφο απαιτεί από τις επιχειρήσεις-πελάτες να εμπιστεύονται τρίτους, η διαφάνεια είναι ένα μεγάλο ζήτημα. Αυτό ξεκινά με το να γνωρίζετε ποια είναι η ρύθμιση των δεδομένων του πωλητή σας - είτε πρόκειται για ένα ιδιωτικό σύννεφο είτε για ένα σχέδιο πολλαπλών μισθωτών που πρέπει δικαίως να ονομάζεται δημόσιος - και πόσα εμπόδια υπάρχουν μεταξύ των δεδομένων που κατέχουν πολλοί πελάτες.

Στη συνέχεια, άλλες ερωτήσεις επικεντρώνονται γύρω από τα πρότυπα ασφαλείας και τους αλγόριθμους που εκτελούν οι πωλητές. Ακόμη και τα πράγματα όπως το uptime πρέπει να εξαφανιστούν σε μια συμφωνία επιπέδου υπηρεσιών, ή δεν υπάρχει πραγματικά πλήρης διαφάνεια στο παιχνίδι. Το ζήτημα της εμπιστοσύνης του πωλητή σύννεφο είναι ένα που ήταν πάντα κεντρικό στη σχέση μεταξύ ενός προμηθευτή σύννεφο και ενός καταναλωτή των υπηρεσιών σύννεφο. (Διαβάστε την καλύτερη ασφάλεια των δικτύων στην εποχή της Cybersecurity.)

Μια εταιρεία παραιτείται πολύ από τον έλεγχο - και με αυτό έρχεται ένα βάρος της δέουσας επιμέλειας και της επιθυμίας να δημιουργηθούν διαφανείς σχέσεις με τους πωλητές.

"Εάν κάποιος πρόκειται να εκμεταλλευτεί μια υπηρεσία όπως ένα δημόσιο σύννεφο που οι άνθρωποι υποτίθεται ότι είναι σε θέση να υπολογίζουν, αλλάζοντας το κάτω από την κουκούλα σε συνεχή βάση και συνεχώς απελευθερώνοντας βελτιώσεις σε αυτό, έχουν επιβαρυνθεί με τη διαχείριση ότι κανένας άλλος στον κλάδο της πληροφορικής δεν έχει χτυπήσει ποτέ ", έγραψε ο Bernd Harzog στο Network World το 2017.

No Bugs, No Stress - Ο οδηγός σας βήμα προς βήμα για τη δημιουργία λογισμικού που αλλάζει τη ζωή χωρίς να καταστρέφει τη ζωή σας

Δεν μπορείτε να βελτιώσετε τις δεξιότητες προγραμματισμού σας όταν κανείς δεν ενδιαφέρεται για την ποιότητα του λογισμικού.

"Αυτό δημιουργεί μερικές πολύ δύσκολες ερωτήσεις, τις οποίες κανένας από τους δημόσιους προμηθευτές σύννεφων δεν έφτασε να απαντήσει".

Υπάρχουν τρόποι αντιστάθμισης των κινδύνων των πωλητών, για παράδειγμα, δημιουργώντας περιττά συστήματα πολλαπλών δομών και καθιστώντας τα συστήματα εσωτερικών χώρων πιο ευέλικτα, αλλά η απειλή εξακολουθεί να υπάρχει.

Εξαπλώστε και παρασύρετε

Οι εταιρείες χρησιμοποιούν υπηρεσίες cloud για υποστήριξη σχεδίων εικονικοποίησης που περιλαμβάνουν εικονικές μηχανές και δοχεία. (Πώς διαφέρουν τα εμπορευματοκιβώτια από τις εικονικές μηχανές;)

Υπάρχει η δυνατότητα να αφαιρεθούν όλα τα συστήματα υλικού στον εικονικό κόσμο και να προέλθουν τα πάντα, από τους διακομιστές σε λειτουργικότητα και αποθήκευση κώδικα, μέσω του διαδικτύου.

Ωστόσο, αυτό μπορεί να οδηγήσει σε συγκεκριμένα προβλήματα.

Ένας από αυτούς αναφέρεται μερικές φορές ως VM sprawl - όπου οι άνθρωποι που οικοδομούν μια αρχιτεκτονική μπορούν να χτίσουν σε πάρα πολλές ανεξάρτητες εικονικές μηχανές ή άλλα συστατικά και ουσιαστικά χάνουν τον δρόμο τους με την πάροδο του χρόνου. Με τα εικονικά μηχανήματα που τρέχουν στο κενό, υπάρχει μια βασική αποδιοργάνωση ή εντροπία που μπαίνει και αυτό μπορεί να είναι επικίνδυνο. (Διαβάστε τι μπορούν οι περιπτώσεις χρήσης εικονικής μηχανής να πουν οι εταιρείες σχετικά με τα συστήματα;)

"Αν δεν έχετε τον έλεγχο του περιβάλλοντος εικονικοποίησης, τι πρέπει να εμποδίσετε μια αδύναμη εικονική μηχανή να δημιουργήσει χάος στην υποδομή πληροφορικής σας;", λέει ο Steven Warren στο TechCrunch, περιγράφοντας μερικούς από τους κινδύνους της εξάπλωσης. "Τι γίνεται αν κάποιος προγραμματιστής δημιούργησε ένα VM και εγκατέστησε το DNS σε αυτό ή το κατέστη DC (ελεγκτής τομέα). Ή τι γίνεται αν ένα άτομο μάρκετινγκ είχε δημιουργήσει ένα VM αλλά δεν το έσπασε και ένας ιός τον εισέβαλε; "

Ένα άλλο σχετικό πρόβλημα είναι η παραμόρφωση. (Ποιοι είναι μερικοί παράγοντες που συμβάλλουν στην "παρασυρόμενη" ΑΙ;)

Αυτό συμβαίνει όταν τα μεμονωμένα στοιχεία δεν διατηρούνται πάντοτε στην ίδια κατάσταση - για παράδειγμα, με την ίδια άδεια χρήσης, στην ίδια σύγχρονη έκδοση κλπ. Η εξάπλωση και ο παραγκωνισμός είναι δίδυμοι τρόμοι για την αρχιτεκτονική σύννεφων - όπως και με την έλλειψη διαφάνειας, και η μετατόπιση μπορεί να σπείρει το χάος και να αφήνει τα συστήματα ευάλωτα σε κάθε είδους κρυμμένους κινδύνους.

Ευάλωτα API

Η διεπαφή προγραμματισμού εφαρμογών (API) μπήκε στη μόδα με την εξέλιξη πιο εξελιγμένων αρχιτεκτονικών που συνδέουν και διάφορα εξαρτήματα λογισμικού ή επιτρέπουν στα συστατικά SOA να μιλούν μεταξύ τους με πρωτοφανείς τρόπους.

Το API αποτελεί βασικό τμήμα του συνδετικού ιστού στις σύγχρονες αρχιτεκτονικές - αλλά όταν ένα API δεν είναι ασφαλές, αυτό μπορεί να οδηγήσει σε δικά του προβλήματα στον κυβερνοχώρο. Τα μη ασφαλή API αποτελούν μια σημαντική πηγή ανησυχίας για τους προγραμματιστές και τους άλλους ενδιαφερόμενους.

"Αν η επικοινωνία είναι μεταξύ υπηρεσίας και διακομιστή ή υπηρεσιών και του προγράμματος περιήγησης, οι υπηρεσίες δεν θα πρέπει να εξασφαλίζουν μόνο τα δεδομένα που εξυπηρετούν αλλά επίσης να ελέγχουν ποιος ζητά αυτά τα δεδομένα", γράφει ο Jason Skowronski στο paperwave.

"Κανείς δεν θέλει να κάνει τα κοινωνικά τους δεδομένα διαθέσιμα σε ξένους."

Νέες τοπογραφίες και το Διαδίκτυο των πραγμάτων

Με το Internet of Things (IoT) που αναδύεται ως νέο μοντέλο συνδεσιμότητας, οι ειδικοί προβλέπουν ότι θα προσθέσουμε πολλά δισεκατομμύρια συνδεδεμένες συσκευές κάθε χρόνο. Αυτός ο πολλαπλασιασμός έχει οδηγήσει σε μια πολύ φιλοπεριβαλλοντική φιλοσοφία σχετικά με τον υπολογισμό των άκρων, την ιδέα ότι τα δεδομένα μπορούν να διατηρηθούν πιο κοντά στην άκρη ενός δικτύου και περαιτέρω από τα αποθετήρια πυρήνα.

Αλλά τότε αυτά τα δεδομένα, με πολλούς τρόπους, μπορεί να είναι πιο ευάλωτα, και αυτή είναι μια άλλη μεγάλη πρόκληση όταν πρόκειται για τη διατήρηση της ασφάλειας στο σύννεφο.

Πάντα συνδεδεμένος στον Ιστό

Υπάρχουν πολλά περισσότερα που μπορούμε να μιλήσουμε για την ασφάλεια του cloud, αλλά πολλοί από τους μεγαλύτερους φόβους που συμμερίζονται οι επαγγελματίες της ασφάλειας μειώνουν ένα βασικό ζήτημα - ότι από τη φύση τους, οι υπηρεσίες cloud αφήνουν συνεχώς ένα δίκτυο συνδεδεμένο με το παγκόσμιο Διαδίκτυο.

Εκεί παίζουν οι χάκερ.

Χωρίς πρόσβαση μέσω του παγκόσμιου Διαδικτύου, οι χάκερ θα έχουν πολύ πιο δύσκολο χρόνο να σπάσουν σε οποιοδήποτε δεδομένο δίκτυο. Όμως, καθώς οι υπηρεσίες cloud παρέχονται μέσω του Διαδικτύου, παρέχουν μια βολική λεωφόρο για διάφορους κακούς ηθοποιούς που επιθυμούν πρόσβαση.

Οι επιθέσεις DDoS, οι επιθέσεις Man-in-the-Middle και άλλες επιθέσεις διακομιστών μπορούν να χρησιμοποιήσουν τη συνδεσιμότητα cloud ως σημείο εκκίνησης για τη διεξαγωγή πολέμου σε ιδιόκτητα συστήματα.

Σκεφτείτε αυτές τις βασικές ανησυχίες σχετικά με το πώς να χειριστείτε την ασφάλεια σύννεφων, καθώς οι επαγγελματίες ασφαλείας πρωτοπορίας προσπαθούν να δημιουργήσουν επαρκή εμπόδια στα μαύρα καπέλα.