Computação em nuvem: Provisionamento e armazenamento em nuvem
Além da flexibilidade e das economias geradas pela computação em nuvem, existem certas vantagens táticas, como o provisionamento automatizado e o armazenamento criptografado.
Vic (J.R.) Hans Winkler
Adaptado de "Securing the Cloud" (Syngress, um selo da Elsevier)
Há várias vantagens transmitidas por que muitas vezes não consideram a maioria dos profissionais de TI de computação em nuvem. Uma tal vantagem é provisionamento automatizada. A principal vantagem de provisionamento automatizado na nuvem é pura e simplesmente a automação, a previsibilidade e a velocidade de preparar um recurso para um cliente interno ou externo.
Os recursos que você pode configurar desta forma executar a gama e incluem um datacenter virtual (infraestrutura como serviço), uma máquina virtual (VM) com ou sem um software (plataforma como serviço) da pilha, ou hospedado software aplicativo (Software como serviço). Há outras vantagens para provisionamento desta forma, como a disponibilidade de reforço por várias instâncias de um serviço de provisionamento ou provisionamento de um serviço em vários data centers.
Provisionamento representa um estádio de entrega, portanto, tudo o que é entregue deve ter integridade, antes que ele tenha entregue e implantado. Provisionamento de segurança depende da capacidade de proteger imagens mestras e implantá-los intactos e de forma segura.
Outros desafios de segurança configuração incluem a dependência de hipervisores e a necessidade de isolamento do processo em cada estágio de provisionamento e desprovisionamento. Não há maior preocupação com comprometimento potencial de um serviço de provisionamento do que para a segurança de um hypervisor. Após o provisionamento de um serviço ou VM, você tem que proteger e isolá-lo de outros inquilinos e serviços.
Há uma maior preocupação com a segurança do que com a tecnologia subjacente do VM. Embora um inquilino ou um cliente pode ter acesso sob demanda a controlos de segurança, como firewalls virtuais, serviços de autenticação e log de segurança, estes serviços poderiam alterar como a implementação subjacente é corrigida ou atualizada.
Regras de firewall e outros dados de configuração de segurança podem se tornar operacionalmente incorretos como reprovisionamento imagens da VM em uma infra-estrutura actualizada ou reconfigurada. Embora isto é normalmente manipulado por implementações de nuvem pública, coisas tais como gerenciamento de configuração e controle de versão para implementações de nuvem podem precisar uma melhoria significativa.
Há outros riscos, incluindo interações indesejáveis ou transferência de informações quando controles de segurança por demanda estão integrados com um aplicativo de cliente. Reciclados IDs de usuário e endereços de IP também representam preocupação se reciclagem um IP ou UID torna possível a um usuário inadvertidamente obter acessar a um recurso de informação que não é deles. A questão essencial aqui tem a ver com o processo de alocar e desalocar qualquer VMs, recursos de informações ou permitindo que elementos.
Finalmente, existem outras preocupações ao cancelamento de um serviço ou a VM. Este processo pode ter consequências idênticas para o provisionamento se ele falha ou for comprometido em qualquer fase.
Parâmetros de nuvem de armazenamento
As preocupações de provisionamento não existem no vácuo. Há várias questões relacionadas ao redor de armazenamento de dados em nuvem:
- Armazenamento em nuvem frequentemente usa instalações centralizadas, para que alguns exibir o armazenamento como um alvo potencial para criminosos ou hackers. Este foi sempre o caso para qualquer recurso valioso. Você pode atenuar isso aplicando os controlos de segurança adequados.
- Multitenancy apresenta preocupações, com o potencial de mecanismos de isolamento de dados que qualquer um pode falhar em operação ou em uma operação de reversão de um sistema de backup.
- Sistemas de armazenamento composto por complexas implementações de hardware e software. Há sempre a possibilidade de modos de falha catastrófica que pode destruir os dados ou expor os dados de um cliente para outro.
Estas preocupações são em grande parte hipotéticas, embora não fora do Reino da possibilidade. Um consumidor de nuvem seria bem servido para selecionar um provedor com base em como eles representam sua abordagem para mitigar ou evitar tais riscos. Não devemos esperar que se provedores de nuvem estão cientes desses riscos, provavelmente procurarão resolvê-los para não danificar suas reputações.
Existem outras preocupações de segurança de armazenamento que podem justificar uma maior atenção. Existe a possibilidade que um provedor de nuvem pode armazenar informações em várias jurisdições. Assim, o potencial existe para dados a ser acessado por governos estrangeiros.
Há várias questões aqui, notavelmente a oportunidade para uma nação hospedagem de flexionar seus direitos legais para obter uma cópia dos dados armazenados ou em trânsito através de um mandado. Isso é provável que se torne uma situação auto-corretivo, como provedores provavelmente evitará o risco para sua reputação como guardiães de dados através da transferência de dados de uma nação de origem para outro onde dados poderão ser acessados pelas autoridades do outro país.
A maior preocupação é a possibilidade de que dados do cliente podem ser comingled com dados que pertencem a outras pessoas. Isso geralmente não é um risco a menos que haja uma falha que resulte na exposição de informações. Realisticamente, controles subjacentes construídos em sistemas de arquivos, particionamento de disco, esquemas de RAID e controladores de hardware que implementam ou caso contrário suportam a separação de dados são muito confiáveis.
Quando ocorrem falhas, eles tendem a ser detectada em níveis baixos, tornando a unidade de armazenamento não está disponível. Em vez de comingling dados pertencentes a vários usuários em um sistema de arquivos lógico único, usar VMs permite ainda mais isolamento devido a como uma máquina virtual pode usar armazenamento virtual na VM.
Há muitas maneiras de isolar seus dados de dados que pertencem a outros usuários. É provável que a norma para armazenamento em nuvem tem vários meios de isolamento, reforçam-se mutuamente de VM até as permissões de sistema de arquivo para particionamento de disco e até mesmo para dispositivos físicos. Mais uma vez, preocupações jurisdicionais e comingling mandado de inquérito pelos consumidores potenciais nuvem.
Provedores de nuvem geralmente abordam muitas destas preocupações de armazenamento. Embora o armazenamento em nuvem execução é dependente opções de provedor, as características intrínsecas do modelo geralmente convidam melhor segurança de armazenamento de dados de infra-estrutura tradicional. Armazenamento em uma nuvem tende a ser centralizado, implementar criptografia e proteção de dados através da placa em uma nuvem pública é bastante simples.
Assim, a criptografia de dados inativos e em trânsito é típica para ofertas de nuvem pública. Centralização de armazenamento também torna mais fácil para implementar monitoramento, muito provavelmente a um nível que você não seria capaz de implementar de forma econômica em uma infra-estrutura descentralizada.
A criptografia tem inúmeras outras utilizações no ambiente de nuvem, bem como, incluindo:
- Controle de acesso para as interfaces de controle de recursos
- Controle de acesso para administradores para imagens de VMs e OS
- Controlando o acesso a aplicativos
Dados não existem apenas em dentro da nuvem, porém. Data Center típico continuamente faz o backup de dados para fins de recuperação ou retenção de desastres. Esses backups normalmente são armazenados fora do local em uma instalação off-line, operada por um terceiro.
Embora esses provedores são mais propensos a agir dentro dos limites de seu contrato e preservar a confidencialidade dessas cópias de dados, estão sujeitos a erro. Eles certamente estão sujeito a jurisdição braço torcer que pode não estar em seu melhor interesse. Então, como sempre, vale a pena ser cauteloso e diligente com seus dados.
.jpg)
Vic (J.R.) Hans Winkler é associado um sênior na Booz Allen Hamilton Inc., fornecendo consultoria técnica para principalmente e.u. clientes de governo. Ele é uma garantia de informações publicadas e pesquisador de segurança cibernética, bem como um perito em detecção de intrusão/anomalia.
©2011 Elsevier Inc. Todos os direitos reservados. Impresso com permissão da Syngress, uma publicação da Elsevier. Copyright 2011. “Protegendo a nuvem" por Vic (J.R.) Hans Winkler. Para obter mais informações sobre esse título e outros livros similares, visite elsevierdirect.com.