Felhő biztonság: Útmutató felhő felhasználók számára

Ez a Cloud Security blog bemutatja a felhő körüli mítoszokat, elmagyarázza, hogyan kell kiválasztani a megfelelő architektúrát, és kitér a kockázat felmérésének különböző szakaszaira is.

Felhő biztonság

A felhő 2010–2011-ben nagy hype volt, de mára szükségszerűséggé vált. Mivel sok szervezet felhőbe költözik, a felhőbiztonság iránti igény vált a legfőbb prioritássá.



De előtte azok, akik még nem ismerik a felhőalapú számítástechnikát, nézzük meg gyorsan, hogy mi is az a számítási felhő,



bináris és decimális java kód

felhő - felhő biztonság - Edureka

Mi az a Cloud Computing?



A felhőalapú számítástechnika, amelyet gyakran felhőnek neveznek, egyszerű értelemben azt jelenti, hogy adatait és programjait az interneten, nem pedig a saját merevlemezén tárolja vagy érheti el.

Beszéljük meg a felhők típusait:



Nyilvános felhő

Nyilvános felhőalapú üzemmódban a telepített szolgáltatások nyilvánosak, és általában a nyilvános felhőszolgáltatások ingyenesek. Gyakorlatilag nincs különbség a nyilvános felhő és a privát felhő között, de a biztonsági paraméterek nagyon eltérőek, mivel a nyilvános felhő bárki számára hozzáférhető, ennél nagyobb kockázati tényező van.

Privát Felhő

A privát felhőt kizárólag egyetlen szervezet üzemelteti, ezt ugyanaz a szervezet vagy egy harmadik fél szervezheti meg. De általában a költségek magasak, ha saját felhőt használ, mivel a hardvert rendszeresen frissítik, a biztonságot is kordában kell tartani, mivel minden nap új fenyegetések jelentkeznek.

Hibrid felhő

A hibrid felhő mind a magán, mind a nyilvános felhő funkcióit tartalmazza

Hogyan döntenek az ügyfelek az állami, a magán és a hibrid felhők között?

Nos, ez a felhasználói követelményektől függ, vagyis ha a felhasználó úgy érzi, hogy az ő adatai túl érzékenyek ahhoz, hogy bármelyik rendszeren legyenek, és ne a sajátjukon, akkor privát felhőt választanának

Erre a legjobb példa lehet a DropBox, amelynek kezdeteiben az AWS S3-at használták háttérként objektumok tárolására, de most létrehozták saját tárolási technológiájukat, amelyet maguk is figyelnek.

Miért tették ezt?

Nos, akkorák lettek, hogy a nyilvános felhőáraknak már nem volt értelme. Szerintük szoftver- és hardveroptimalizálásuk gazdaságilag életképesebb, mint tárolni a cuccaikat az Amazon S3-on.

De akkor, ha nem vagy olyan nagyérdemű, mint a DropBox, és még mindig privát infrastruktúrát használsz, talán itt az ideje azt gondolni, hogy miért ne nyilvános felhő?

Most miért fogja az ügyfél használni a nyilvános felhőt?

Először is, az árak meglehetősen alacsonyabbak ahhoz a befektetéshez képest, amelyre egy vállalatnak szüksége lenne a saját szervereinek beállításához.

Másodszor, ha egy neves felhőszolgáltatóhoz kapcsolódik, akkor a fájlok elérhetősége a felhőben növekszik.

Még mindig zavaros, hogy a fájljait vagy adatait magán vagy nyilvános felhőben szeretné-e tárolni.

Hadd mondjak el a hibrid felhőről, a hibrid felhővel a „drágább” adatait magáninfrastruktúráján, a többit pedig a nyilvános felhőn tarthatja, ez egy „hibrid felhő” lenne

Összegezve tehát, minden a felhasználói igénytől függ, amely alapján a nyilvános, a privát és a hibrid felhő közül választhat.

Felhő-számítási biztonság felgyorsíthatja-e az ügyfelek felhőbe történő mozgását?

Igen, nézzük meg a gartner néhány kutatását. Kérjük, olvassa el az alábbi statisztikákat:

Forrás: Gartner

Most ezt a kutatást olyan vállalatok számára végezték, amelyek kissé vonakodnak a felhőbe való áttéréstől, és amint a fenti képen jól látható, hogy a legfontosabb ok a biztonság.

Most ez nem azt jelenti, hogy a felhő nem biztonságos, de az emberek ezt a felfogást látják. Tehát alapvetően, ha biztosítani tudja az embereket arról, hogy a felhő biztonságos, némi gyorsulás történhet a felhő felé irányuló mozgásban.

Hogyan tudják a CIO-k összeegyeztetni a kockázat, a költség és a felhasználói élmény közötti feszültséget?

Nos, ezt olvastam valahol, a Cloud Security a tudomány és a művészet keveréke.

Zavaros? Nos, ez annak a tudása, hogy milyen mértékben kell biztonságot nyújtania egy szolgáltatásnak, hogy a felhasználói élmény ne csökkenjen.

Például: Tegyük fel, hogy van alkalmazásod, és a biztonság érdekében minden műveletnél megkérdezed a felhasználónevet és a jelszót, ami a biztonság szempontjából értelmes, de ezután akadályozza a felhasználói élményt.

Tehát művészet tudni, mikor kell abbahagyni, ugyanakkor tudomány, mert olyan algoritmusokat vagy eszközöket kell létrehozni, amelyek maximális biztonságot nyújtanak a vásárló adatai számára.

Most, amikor bármilyen új dolog megjelenik a képen, az emberek szkeptikusak lesznek ezzel kapcsolatban.

Nagyon sok „kockázat” van, amelyről az emberek azt gondolják, hogy a számítási felhő magában foglalja a problémákat, foglalkozzunk egyenként:

1. A felhő bizonytalan

Legtöbbször, amikor felhőről beszélne, sokan azt mondanák, hogy az adatok biztonságosabbak a saját infrastruktúrájukon, nem pedig valamilyen AWS-biztonsági AWS-kiszolgálóval.

Nos, ennek lehet értelme, ha a vállalat csak a magánfelhő biztonságára koncentrálna, ami nyilvánvalóan nem így van. De ha a vállalat ezt megteszi, mikor koncentrálnak a saját céljaikra?

Beszéljünk a Cloud Providers-ről, mondjuk az AWS-ről (az összes közül a legnagyobbról), nem gondolja, hogy az AWS egyetlen célja az, hogy az adatait a legbiztonságosabbá tegye? Miért, mert ezért fizetik őket.

Szintén szórakoztató tény, hogy az Amazon saját e-kereskedelmi webhelyet szervezett az AWS-en, amely tisztázza a levegőt abban, hogy az AWS megbízható-e.

A felhőszolgáltatók élnek, esznek és lélegzik a felhőbiztonságot.

2. Több felhőszakadás tapasztalható a felhőben

A 2014. évi Spring Alert Logic Report tanulmánya azt mutatja, hogy a 2012 és 2013 közötti kiberrohamok mind a magánfelhőket, mind a nyilvános felhőket célozták meg, de a magánfelhők hajlamosabbak voltak a támadásokra. Miért? Mivel a saját szerverüket beállító vállalatok nincsenek megfelelően felszerelve az AWS-hez vagy az Azure-hoz vagy bármely más Cloud Service-hez képest.

3. Az egybérlős rendszerek biztonságosabbak, mint a többbérlős rendszerek.

Nos, ha logikusan gondolkodik, nem gondolja, hogy a többbérlős rendszereknél további biztonsági réteg van hozzákapcsolva. Miért? Mivel a tartalma logikailag el lesz különítve a rendszer többi bérlőjétől vagy felhasználójától, ami nincs meg, ha egybérlős rendszereket használ. Ezért ha egy hacker át akarja menni a rendszerét, akkor még egy biztonsági rétegen kell átesnie.

Összegezve: ezek mind mítoszok, és figyelembe véve a befektetések megtakarítását, amelyet akkor fog megvalósítani, amikor az adatokat felhőbe helyezi, és az egyéb előnyöket is, ez messze felülmúlja a felhő biztonságával járó kockázatokat.

Ezt követően térjünk át a mai vita fókuszára, hogy a Cloud szolgáltatói hogyan kezelik a biztonságot.

Vegyünk tehát egy példát, és tegyük fel, hogy egy alkalmazást használ a közösségi hálózatokhoz. Kattintson egy véletlenszerű linkre, és semmi sem történik. Később megtudja, hogy a spam üzeneteket az Ön fiókjából küldi az összes kapcsolattartójának, aki kapcsolatban áll Önnel az adott alkalmazásban.

De mielőtt még e-mailt dobhatna, vagy panaszkodhatna az alkalmazás támogatására, már tudnák a problémát, és fel fognak készülni, hogy megoldják. Hogyan? Értsük meg.

Tehát alapvetően a Cloud Security három szakaszból áll:

  • Monitoring adatok
  • Láthatóság megszerzése
  • Hozzáférés kezelése

Az Felhőfigyelés A felhőalkalmazás adatfolyamát folyamatosan elemző eszköz figyelmeztet, amint valami furcsa dolog elkezdődik az alkalmazásban. Hogyan értékelik a „furcsa” dolgokat?

Nos, a felhőfigyelő eszköz fejlett gépi tanulási algoritmusokkal rendelkezik, amelyek naplózzák a rendszer normális viselkedését.

Tehát a rendszer normális viselkedésétől való bármilyen eltérés vörös zászló lenne, az ismert hackelési technikák is szerepelnek az adatbázisában. Tehát mindezt egy képbe készítve, a megfigyelő eszköz riasztást ad, ha valami halás történik.

Most, ha megtudja, hogy valami „nem normális” zajlik, tudni szeretné, mikor és hol jön a 2. szakasz, láthatóság megszerzése .

Ezt olyan eszközökkel lehet megtenni, amelyek áttekinthetővé teszik a felhőbe bejövő és onnan érkező adatokat. Ezek segítségével nemcsak azt követheti nyomon, ahol a hiba bekövetkezett, hanem azt is, hogy „ki” felelős ezért. Hogyan?

Nos, ezek az eszközök keresik a mintákat, és felsorolják az összes tevékenységet, amely gyanús, és így meglátják, melyik felhasználó felelős ugyanazért.

Most először a felelős személyt kellene eltávolítani a rendszerből, igaz?

3. szakasz jön, hozzáférés kezelése.

A hozzáférést kezelő eszközök felsorolják az összes felhasználót, aki ott van a rendszeren. Így nyomon követheti ezt az egyént és kitörölheti a rendszerből.

Most hogy szerezte meg ez a személy vagy hacker rendszergazdai hozzáférést a rendszeréhez?

Valószínűleg a hacker feltörte a felügyeleti konzol jelszavát, és az Access Management eszközből létrehozott magának egy adminisztrátori szerepet, a többi pedig történelem lett.

Most mit tenne a Cloud szolgáltatója ezek után? Tanulnának ebből, és úgy fejlődnének, hogy soha többé ne forduljon elő.

Ez a példa csak a megértés kedvéért szól, általában egyetlen hacker sem férhet hozzá a jelszavához.

Itt arra kell összpontosítani, hogy a felhőalapú vállalat ebből a betörésből fejlődött ki, intézkedéseket hoztak a felhőbiztonságuk javítása érdekében, hogy ugyanaz ne fordulhasson elő soha.

Most minden felhőszolgáltató követi ezeket a szakaszokat. Beszéljünk a legnagyobb felhőszolgáltatóról, az AWS-ről.

mi a big data hadoop

Az AWS betartja-e ezeket a szakaszokat az aws cloud biztonság érdekében? Nézzük meg:

A felhőfigyeléshez az AWS rendelkezik CloudWatch

Az adatok láthatósága érdekében az AWS rendelkezik CloudTrail

A hozzáférés kezeléséhez pedig az AWS rendelkezik MÁR

Ezeket az eszközöket használja az AWS, nézzük meg közelebbről, hogyan működnek.

CloudWatch

Ez lehetővé teszi az AWS-erőforrásokból be- és kilépő adatok elemzését. A felhőbiztonsághoz kapcsolódó következő szolgáltatásokkal rendelkezik:

  • Monitorozza az EC2-t és más AWS-erőforrásokat:
    • További szoftver telepítése nélkül figyelheti az EC2 teljesítményét az AWS CloudWatch segítségével.
  • Az egyéni mutatók figyelésének lehetősége:
    • Létrehozhat egyedi mutatókat, és figyelheti őket a CloudWatch segítségével.
  • Naplók figyelése és tárolása:
    • Figyelheti és tárolhatja az AWS-erőforrásokon végzett tevékenységekkel kapcsolatos naplókat.
  • Riasztások beállítása:
    • Beállíthatja a riasztásokat meghatározott kiváltókra, például olyan tevékenységre, amelyre azonnali figyelmet kell fordítani stb.
  • Grafikonok és statisztikák megtekintése:
    • Ezeket az adatokat grafikonok és egyéb vizuális ábrázolások formájában jelenítheti meg.
  • Az erőforrás-változások figyelése és reagálás ezekre:
    • Konfigurálható úgy, hogy reagáljon az erőforrások elérhetőségében bekövetkező változásokra, vagy ha az erőforrás nem megfelelően működik.

CloudTrail

A CloudTrail egy naplózási szolgáltatás, amely felhasználható az API-hívások előzményeinek naplózására. Azt is fel lehet használni, hogy az AWS Management Console-ból mely felhasználó kérte az adott szolgáltatást. Példánkból kiindulva ez az eszköz, ahonnan azonosítani fogja a hírhedt „hackert”.

MÁR

Az Identity and Access Management (IAM) az osztott hozzáférés megadására szolgál az AWS-fiókhoz. A következő funkciókkal rendelkezik:

  • Részletes engedélyek:
    • Használható hozzáférési jogok biztosítására különféle felhasználók számára, nagyon mobil szinten. Például: Megadhat olvasási hozzáférést egy adott felhasználónak, és írás-olvasási hozzáférést egy másik felhasználónak.
  • Biztonságos hozzáférés az EC2 környezetben futó alkalmazásokhoz:
    • Az IAM használható biztonságos hozzáférés biztosítására azáltal, hogy a felhasználót megadja a hitelesítő adatoknak, a megfelelő EC2 erőforrásokhoz.
  • Ingyenesen használható:
    • Az AWS az IAM szolgáltatásokat szabadon használhatja bármely kompatibilis aws szolgáltatással.

AWS pajzs

A kezelt DDOS-tagadási szolgáltatás. Nézzük meg gyorsan, mi a DDoS?

A DDoS alapvetően túlterheli az Ön webhelyét irreleváns forgalommal azzal a céllal, hogy lebontsa a webhelyét. Hogyan működik? A hackerek számos internettel összekötött számítógép megfertőzésével hoznak létre bot-netet, hogyan? Emlékszel azokra a furcsa e-mailekre, amelyeket néha kapsz a leveleiden? Sorsolás, orvosi segítség stb. Alapvetően rákényszerítenek valamire, ami rosszindulatú programot telepít a számítógépére, és ezután elindítja azt, hogy a számítógépe plusz egy legyen a lényegtelen forgalomban.

Bizonytalan az internetes alkalmazásával kapcsolatban? Ne légy AWS Shield itt van.

Kétféle szolgáltatást kínál:

  1. Alapértelmezett
  2. Fejlett

Az Alapértelmezett A csomag minden felhasználó számára ingyenes, és az AWS-en futó webalkalmazását alapértelmezés szerint automatikusan lefedi ez a csomag. A következő szolgáltatásokat tartalmazza:

  • Gyors észlelés
    • Rendkívüli algoritmusok segítségével észleli a rosszindulatú forgalmat menet közben.
  • Inline enyhítési támadások
    • Az AWS Shield beépíti az automatikus enyhítési technikákat, amelyek védelmet nyújtanak a gyakori támadások ellen.
  • Adjon hozzá egyéni szabályokat az alkalmazás támogatásához.

Nem elég? Van egy Fejlett csomagot is. Kis extra költséggel fedezheti az Elastic Load Balancers, az 53-as út és a CloudFront erőforrásait.

Mi minden benne van? Nézzük meg:

  • Továbbfejlesztett érzékelés
    • További technikákat tartalmaz, például erőforrás-specifikus megfigyelést, és részletesen felismeri a DDoS-támadásokat is.
  • Advanced Attack Mitigation
    • Kifinomultabb automatikus enyhítések.
  • Láthatóság és támadásról szóló értesítés
    • Valós idejű értesítések a CloudWatch használatával.
  • Speciális támogatás
    • 24 × 7 támogatás egy speciális DDoS válaszcsoporttól.
  • DDoS költségvédelem
    • Megakadályozza a költségcsúcsok túlterhelését a DDoS támadások által.

Összegzésképpen elmondható, hogy a siker érdekében bármely felhőszolgáltató betartja a Cloud Security legmagasabb színvonalát, és fokozatosan, ha nem is azonnal, azok az emberek, akik még mindig nem hisznek a Cloudban, megértik, hogy tovább kell lépni.

Szóval ennyit srácok! Remélem, hogy tetszett ez a blog a Cloud Security-n. Azok a dolgok, amelyeket ebben a Cloud Security blogban tanult, azok a legkeresettebb készségek, amelyeket a toborzók keresnek az AWS Solution Architect Professional alkalmazásban. Itt van egy gyűjtemény hogy segítsen felkészülni a következő AWS állásinterjúra. Ha többet szeretne megtudni az AWS-ről, olvassa el a mi oldalunkat blog. Kitaláltunk egy olyan tantervet is, amely pontosan lefedi a megoldási építész vizsga feltöltését! Megtekintheti a kurzus részleteit kiképzés.

Van egy kérdésünk? Kérjük, említse meg a Cloud Security blog megjegyzés rovatában, és mi kapcsolatba lépünk Önnel.