Cloud computing: Provisioning e archiviazione nel cloud

Oltre alla flessibilità e ai risparmi derivanti dal cloud computing, questa tecnologia implica determinati vantaggi tattici, quali il provisioning automatizzato e l'archiviazione crittografata.

Vic (J.R.) Winkler

Tratto da "Securing the Cloud" (Syngress, un'impronta di Elsevier)

Ci sono diversi vantaggi emana il cloud computing che spesso non considerano la maggior parte dei professionisti IT. Un tale vantaggio è automatizzato di provisioning. Il vantaggio principale di provisioning automatico nella nube è semplicemente l'automazione, la prevedibilità e la velocità di preparare una risorsa per un cliente interno o esterno.

Le risorse si può eseguire il provisioning di questo modo eseguire il gamut e includono un datacenter virtuale (infrastruttura come servizio), una virtual machine (VM) con o senza un software (piattaforma come servizio) di impilare o ospitato applicazione software (Software come servizio). Ci sono altri vantaggi alla dotazione in questo modo, quali disponibilità accrescendo di provisioning più istanze di un servizio o un servizio di provisioning attraverso multipli datacenter.

Di provisioning rappresenta una fase di consegna, in modo tutto ciò che viene consegnato deve avere l'integrità prima ha consegnato e distribuito. Sicurezza di provisioning dipende la capacità di proteggere le immagini maestri e distribuirle intatto e in modo sicuro.

Altre sfide alla sicurezza provisioning includono la fiducia su hypervisor e la necessità per l'isolamento di processo in ogni fase di provisioning e deprovisioning. C'è grande preoccupazione per il potenziale compromissione di un servizio di provisioning rispetto per la sicurezza di un hypervisor. Dopo la fornitura di un servizio o una macchina virtuale, è necessario proteggere e isolarla dagli altri inquilini e servizi.

C'è preoccupazione per una maggiore sicurezza rispetto con la tecnologia di base VM. Anche se un inquilino o un cliente può avere accesso su richiesta ai controlli di sicurezza come firewall virtuale, servizi di autenticazione e registrazione di sicurezza, questi servizi potrebbero cambiare come l'implementazione sottostante è patchato o aggiornato.

Le regole del firewall e altri dati di configurazione di sicurezza potrebbero diventare operativamente errati come voi rieseguire il provisioning di immagini VM in un'infrastruttura aggiornata o riconfigurata. Anche se questa è in genere gestita dalle implementazioni pubbliche nube, cose come la gestione configurazione e controllo di versione per le implementazioni di nube potrebbe essere necessario un miglioramento significativo.

Ci sono altri rischi, tra cui le interazioni non intenzionale o il trasferimento di informazioni quando i controlli di sicurezza su richiesta sono integrati con un'applicazione del cliente. Riciclati ID utente e gli indirizzi IP rappresentano anche preoccupazione se riciclaggio un IP o UID rende possibile per un utente ottenere inavvertitamente l'accesso a una risorsa di informazioni che non è loro. Il problema essenziale qui ha a che fare con il processo di allocazione e deallocare qualsiasi VMs, risorse informative o l'attivazione di elementi.

Infine, ci sono altre preoccupazioni quando de-provisioning, un servizio o VM. Questo processo può avere conseguenze identiche a se fallisce o viene compromessa in qualsiasi fase di provisioning.

Cloud Storage parametri

Quelli di provisioning preoccupazioni non esistono nel vuoto. Ci sono preoccupazioni relative diverse intorno area di archiviazione dei dati:

• Area di archiviazione utilizza spesso impianti centralizzati, così alcuni vedono archiviazione come un potenziale bersaglio per i criminali o hacker. Questo è sempre stato il caso per qualsiasi risorsa preziosa. È possibile attenuare applicando i controlli di sicurezza adeguate.
• Multi-tenancy presenta preoccupazioni, con un potenziale di meccanismi di isolamento dei dati che potrebbe non riuscire neppure in funzione o in un'operazione di rollback da un sistema di backup.
• Sistemi di storage consistono in implementazioni hardware e software complesse. C'è sempre il potenziale per modalità di guasto catastrofico che potrebbe distruggere i dati o esporre i dati da un cliente a altro.

Queste preoccupazioni sono in gran parte ipotetiche, sebbene non di fuori del Regno di possibilità.  Un consumatore nube sarebbe ben servito per selezionare un provider in base a come essi rappresentano il loro approccio per attenuare o evitare tali rischi. Dovremmo aspettarci che se i provider cloud sono consapevoli di tali rischi, probabilmente cercheranno per affrontarle per evitare di danneggiare la loro reputazione.

Ci sono altre preoccupazioni di sicurezza di archiviazione che possono giustificare una maggiore attenzione. C'è una possibilità in più giurisdizioni un provider nube possibile archiviare informazioni. Quindi, il potenziale esistente per i dati a diventare accessibile di governi stranieri.

Ci sono diverse preoccupazioni qui, in particolare l'opportunità per una nazione di hosting di flettere i propri diritti legali per ottenere una copia dei dati memorizzati o transitante via un mandato. Questo è probabile che diventi una situazione autocorrettiva, come i fornitori probabilmente eviterà il rischio per la loro reputazione come custodi dei dati con il trasferimento di dati da una nazione di origine ad un'altra dove potrebbero accedere dati dalle autorità di un altro della nazione.

La preoccupazione maggiore è la possibilità che i dati di un cliente potrebbero essere comingled con dati appartenendo ad altri. Questo è generalmente non un rischio se non c'è un errore che si traduce in esposizione di informazioni. Realisticamente, incorporati nel file System, partizionamento del disco, sistemi RAID e controller hardware che implementano o altrimenti sostenere la separazione di dati ai controlli sottostanti sono molto affidabili.

Quando si verificano errori, essi tendono ad essere rilevate a livelli bassi, rendendo l'unità di archiviazione non disponibile. Invece di comingling dati appartenenti a più utenti in un singolo file logico system, utilizzando VMs permette per ulteriore isolamento a causa di come una macchina virtuale può utilizzare la memoria virtuale all'interno della macchina virtuale.

Ci sono molti modi per isolare i dati dai dati di altri utenti. È probabile che la norma per area di archiviazione di avere più mezzi di isolamento, reciprocamente da VM fino alle autorizzazioni del file system per il partizionamento del disco e persino a dispositivi fisici. Ancora una volta, preoccupazioni giurisdizionale e comingling mandato di indagine da parte dei consumatori potenziali nube.

Fornitori Cloud generalmente affrontano molte di queste preoccupazioni di archiviazione. Area d'applicazione di archiviazione è dipendente dalla scelta del fornitore, le caratteristiche intrinseche del modello in genere invitano migliore sicurezza di archiviazione dei dati di infrastrutture tradizionali. Archiviazione in una nube tende ad essere centralizzata, implementazione di protezione dei dati e la crittografia su tutta la linea in una nuvola di pubblica è abbastanza semplice.

Così, la crittografia dei dati a riposo e in transito è tipico per le offerte pubbliche nube. Centralizzando archiviazione rende anche più facile da implementare monitoraggio, molto probabilmente a un livello che non sareste in grado di implementare in modo conveniente in un'infrastruttura di decentralizzati.

Crittografia ha numerosi altri usi nell'ambiente nube pure, tra cui:

• Controllare l'accesso alle interfacce di controllo per le risorse
• Controllo dell'accesso agli amministratori di immagini VMs e OS
• Controllo dell'accesso alle applicazioni

Dati non solo esistano all'interno della nube stessa, però. Continuamente il tipico datacenter backup di dati per finalità di recupero o ritenzione di disastro. Questi backup sono memorizzati spesso fuori sede presso un impianto in linea operato da terze parti.

Anche se questi fornitori sono più propensi a agire all'interno dei limiti del loro contratto e preservare la riservatezza di queste copie di dati, essi sono soggetti a errori. Certamente sono soggetti a braccio giurisdizionale torsione che non può essere nel vostro interesse. Così, come sempre, si paga per essere prudenti e diligenti con i tuoi dati.

Vic (J.R.) Winkler è un senior associate presso Booz Allen Hamilton Inc., fornendo consulenza tecnica principalmente Stati Uniti clienti di governo. Egli è una sicurezza delle informazioni pubblicate e cyber ricercatore per la sicurezza, nonché un esperto nella rilevazione delle intrusioni/anomalie.

©2011 Elsevier Inc. Tutti i diritti riservati. Stampato con l'autorizzazione di Syngress, una pubblicazione di Elsevier. Copyright 2011. “Assicurare la nube" da Vic (J.R.) Winkler. Per ulteriori informazioni su questo titolo e altri testi simili, visitare il sito Web all'indirizzo: elsevierdirect.com.

Contenuto correlato

• Nube di sicurezza: Condivisione in modo sicuro e soluzioni
• Microsoft Forefront: Accesso sicuro ai vostri servizi Cloud
• Cloud computing: Avviare la migrazione verso il cloud