Cloud'un altyapısının Güvenlik ile ilgili tüm alanlarda önemli bir husustur bilgi ve iletişim teknolojileri yükselişi sonucunda bulut bilişim . Bu teknolojinin piyasaya sürülmesinden bu yana, bulutlarda barındırılan verilerin kullanımıyla ilgili çok sayıda güvenlik endişesi medya skandallarına yol açtı. Geleneksel sistemlerde bulunan bilgisayar saldırıları ve güvenlik açıkları, farklı bulut türlerinin kullanımıyla güçlendirilir; bu, yeni tehdit türlerinin ortaya çıkmasına yol açtı. Bu sorunlara en iyi şekilde yanıt verebilmek için, BT dünyası bilgi güvenliğinin üç temel ilkesiyle ilgili kavramlar geliştirmek zorunda kaldı: gizlilik, bütünlük ve kullanılabilirlik. Ayrıca, ağlar, depolama, hipervizörler gibi altyapılardaki çeşitli güvenlik tekniklerinin güçlendirilmesi ve yeni sorunlara uyarlanması gerekiyordu.
Özel, topluluk, genel veya hibrit bulut altyapıları ( IaaS , SaaS , PaaS ) tarafından sunulan işlevler çok popülerdir ve şirketler tarafından verileri, iç hizmetleri veya müşterilerinin hizmetleri için yaygın olarak kullanılmaktadır.
Bu kaynakların kullanılması yoluyla sistem kaynaklarının havuzlanması veya ödemelerin oluşturulması gerçeği, güvenlik sorunlarını geleneksel sistemlerden daha fazla vurgular, özellikle de ddos türü saldırılarla ilgili olarak . Kullanıcılar ve bulut hizmeti sağlayıcıları, buluta girerken karşılaştıkları yeni tehditler ve riskler konusunda giderek daha fazla endişe duyuyor. Özellikle bir sunucuya veya bir uygulamaya ulaşmak için çeşitli yolların bulunabileceği dağıtılmış saldırılar durumunda. Saldırganlar, tespit edilmeden gitmek ve saldırılarının etkinliğini artırmak için bu özelliği kullanabilir. Cloud Security Alliance (en) tarafından yürütülen bir vaka çalışması, mevcut güvenlik sorunlarının çeşitliliğini ve bunun sonucunda bulut üzerinde mevcut olan teknik ve finansal etkileri gösterir. Bu çalışmadan şunları sıralayabiliriz:
Ek olarak, aşağıdaki gibi şirketleri etkileyen güvenlik sorunlarından da bahsedebiliriz:
Bilgisayar korsanlığı faaliyetleri, bir hobi hobisinden milyonlarca dolar kazanan tam gelişmiş bir endüstriye dönüşmüştür.
Herhangi bir bilgisayar sistemi gibi, bulut altyapıları da eşit derecede tehditlere açıktır. Tehdit, meydana gelirse sisteme zarar verebilecek ve gizlilik, kullanılabilirlik veya bütünlük kaybına neden olabilecek bir olaydır. Bunlar kötü niyetli veya tesadüfi olabilir. Güvenlik açığı, bir tehdit tarafından istismar edilebilen bir sistemdeki zayıflıktır. Bir sistemin güvenlik açıklarını azaltmak, tehditlerin riskini ve etkisini azaltabilir; bulutta ve geleneksel altyapılarda en yaygın olanları şunlardır:
Kulak misafiri Trafik analizi, sosyal mühendislik (bilgi güvenliği) , koklama , bilgi edinmeyi veya sonraki bir saldırı için bir temel oluşturmayı amaçlayan her türlü gizli dinlemedir. Gizlilik başarısızlığının ana nedenlerinden biri gizli dinlemedir. Dolandırıcılık Kâr için tahrif edilmiş işlemler, verilerin manipülasyonu ve veri bütünlüğünün diğer her türlü değişikliği. Uçuş Örnekler, kar amacıyla veya yetkisiz ifşa için bilgi hırsızlığı veya ticari sırların yanı sıra donanım veya yazılımın fiziksel olarak çalınmasıdır. Sabotaj Buna hizmet reddi (DoS) saldırıları , üretim gecikmeleri ve veri bütünlüğünde değişiklik yapılması dahildir. Dış saldırı Örneğin, altyapı zekası için bağlantı noktalarını tarama , siteler arası komut dosyası oluşturma yoluyla kötü amaçlı kod ekleme . İç saldırı Bu saldırılar, bir şirketin sistemlerine ve tesislerine erişimi olan ve harici bir saldırganın geliştirilmesi için önemli ölçüde zaman alacağı altyapı hakkında derinlemesine bilgiye sahip kişiler tarafından düzenlenir veya yürütülür.2019'da 241 sektör uzmanıyla röportaj yapan Cloud Security Alliance, bulut altyapısında 11 önemli tehdit, risk ve güvenlik açığı bildirdi. Bu raporu analiz ederken, bulutlardaki hizmet reddi, paylaşılan teknolojilerdeki güvenlik açıkları ve veri kaybı gibi geleneksel güvenlik endişelerinin artık önceki yıllardan farklı olarak ortaya çıkmadığını belirtmek ilginçtir. Bu, bulut hizmeti sağlayıcılarının sorumluluğuna giren geleneksel güvenlik sorunlarının daha az endişe verici göründüğünü gösteriyor. Şu anda ortaya çıkan yeni güvenlik endişeleri, bulut hizmeti tasarımında potansiyel zayıflıklar (veri bozulmasına neden olan), güvensiz API'ler ( uygulama programlama arayüzleri ) ve kuruluş içinde bulut hizmetlerinin kullanımının güvenli olup olmadığını görüntüleme ve analiz edememe gibi buluta özgüdür. veya kötü niyetli, bu da bir bulut altyapısının kötü niyetli kullanımına yol açabilir.
Veriler buluta gönderildiğinde, büyük ölçüde verilerin, verilere sahip olan şirkete ait olmayan bir cihazda depolanması nedeniyle yepyeni bir dizi sorun ortaya çıkar. Bilgi güvenliği kontrollerinin risklere göre seçilmesi ve uygulanması tavsiye edilir, ancak aynı zamanda riskler, açıklar ve etkiler değerlendirilerek bunlarla orantılıdır. Bulutlardaki güvenlik endişeleri birkaç şekilde bir arada gruplandırılabilir. Gartner yedi adını verdi, bunlardan bazılarını aşağıda listeliyoruz.
Bilgi güvenliğinin üç temel ilkesi gizlilik, bütünlük ve kullanılabilirliktir ( CIA üçlüsü ). Bu ilkeler, bir kuruluşun güvenlik duruşunu tanımlar. Tüm bilgi güvenliği kontrolleri ve önlemlerinin yanı sıra tüm tehditler, güvenlik açıkları ve güvenlik süreçleri bu üç ilkenin karşılaştırmalı değerlendirmesine tabidir.
Gizlilik ve gizlilikBulut altyapısı güvenliğinin ana sütunlarından biri, müşteri verilerinin gizliliğidir. Buradaki operatör, bulut hizmet sağlayıcıları, müşteri verilerinin gizliliğini tam olarak sağlamalıdır. Veriler hiçbir durumda aynı bulutun diğer istemcileri tarafından erişilebilir olmamalıdır. Gizlilik kaybıyla bağlantılı güvenlik ihlalleri, güvende bir düşüşe, bulut operatörlerine karşı artan bir ihanete neden olur çünkü bu tür bir altyapıdaki az çok gizli verilerin gizliliği sorgulanır.
Bu korkulardan kaçınmak ve veri güvenliğini güçlendirmek için, bulut hizmet sağlayıcılarının kullanıcılarının verilerini korumak için ellerinden geleni yapmaları için güvenlik ve gizlilik politikalarına uymaları zorunludur.
Ayrıca, bir kullanıcının mahremiyetine ve gizliliğine yönelik risklerin, bulut hizmet sağlayıcısı tarafından belirlenen hizmet şartlarına ve gizlilik politikasına bağlı olarak büyük ölçüde değiştiği de unutulmamalıdır. Aslında, kullanıcıların özel verileri farklı fiziksel konumlarda bulunabilir ve böylece verilerin depolanacağı ülkelerle ilgili farklı yasal sonuçlar doğurur.
Avrupa'da, kişisel verilerin korunmasına ilişkin 95/46 / EC sayılı Direktif , Avrupa Birliği'nin herhangi bir üye ülkesinden gelen kişisel veri akışının, aktarıldığı ülke bunu yaparsa kesintiye uğrayabileceği önemli bir sınır ötesi hüküm içeriyordu. Yeterince geliştirilmiş ve güvenli kabul edilen bir kişisel veri korumasına sahip değil. Direktif ayrıca özel ve kişisel verilerin geçebileceği veya bulunamayacağı AB ülkelerinin bir listesini de listeledi. Ayrıca, Avrupa veri koruma yetkililerinin, verileri yurtdışına aktarmadan önce veri denetleyicilerinin kullanıcılardan önceden izin almasını talep ettiği de unutulmamalıdır.
2018 yılında, 95/46 / EC sayılı Avrupa Direktifi'nin yerini alan Genel Veri Koruma Yönetmeliği (GDPR) yürürlüğe girdi . İkincisi , kişisel verilerin korunması için yasal bir çerçeve sağlayarak , Avrupa Birliği içindeki bağlantılı dünyada veri koruma kavramlarını ve prosedürlerini netleştirmeyi amaçlamaktadır .
Dolayısıyla bu yeni düzenleme, aşağıdaki değişiklikleri yaparak bulut altyapıları üzerinde önemli bir etkiye sahiptir:
Rıza Verilerin toplanması veya işlenmesiyle ilgili kişi, rızasını açıkça bildirmelidir. Tersine, bu anlaşmayı istediği zaman bozabilmelidir. Taşınabilirlik Müşterinin talebi üzerine, bir bulut hizmet sağlayıcısı kişisel verilerini sağlayabilmelidir. Ek olarak, ikincisinin izni olmadan verilerin yeniden satılması kesinlikle yasaktır. Veri işleme Irk veya etnik köken, siyasi görüşler, dini veya felsefi inançlar, sendika üyeliği, genetik veriler, bir kişiyi benzersiz şekilde tanımlayan biyometrik veriler, fiziksel, sağlıkla ilgili veriler veya cinsel yönelimi ortaya çıkaran veriler ortaya çıkaran kişisel verilerin işlenmesi yasaktır. gerçek bir kişinin. Yerelleştirme ve veri aktarımı GDPR, AB içindeki tüm kuruluşlar için geçerlidir, ancak AB'de ikamet eden kişilere mal veya hizmet sunmaları halinde AB dışında kurulmuş kuruluşlar için de geçerlidir.Bu yeni düzenleme, uygun bir güvenlik seviyesi sağlamayı gerektirdiği için veri güvenliği açısından önemli bir kazanç getirebilir. GDPR'ye uyulmaması, 20.000.000 Euro'ya kadar yaptırım prosedürüne veya bir şirket söz konusu olduğunda, bir önceki mali yıl için toplam dünya çapındaki cirosunun% 4'üne neden olabilir.
BütünlükBütünlük, gönderilen mesajın alınan mesajla eşleşmesinin ve mesajın personel veya yetkisiz işlemler tarafından kasıtlı veya kasıtsız olarak değiştirilmemesinin garantisidir. Bilgiyi değiştirmeyi amaçlayan kasıtlı bir saldırı (örneğin, bir web sitesinin bozulması) veya daha yaygın olarak istemeden (veriler bir operatör tarafından yanlışlıkla değiştirilir) bir bütünlük kaybı meydana gelebilir.
Veriler artık yerel olarak bilgisayar sabit sürücülerinde depolanmaz, ancak farklı depolama alanlarında birkaç kez yedeklenir. Bu nedenle, güvenliğin önemli bir yönü olan bu verilerin bütünlüğünü sağlamak operatöre, burada bulut hizmet sağlayıcılarına bağlıdır.
KullanılabilirlikKullanılabilirlik, güvenilirliği, sistemlerin iyi çalışmasını ve bulutlarda bulunan verilere veya bulutlarda oluşturulan kaynaklara erişim hızını garanti eder. Kullanılabilirlik kaybı, bu hizmetlere erişimde veya kullanımda bir kesinti olduğunu gösterir. Ayrıca bu konsept, bulut sisteminin güvenlik hizmetlerinin çalışır durumda olmasını sağlar. Kullanılabilirlik tehdidine bir örnek, hizmet reddi saldırısıdır .
Bulut güvenlik kontrollerinin amacı, güvenlik açıklarını tolere edilebilir bir düzeye indirmek ve bir saldırının etkilerini en aza indirmektir. Bunu başarmak için, bir kuruluşun bir saldırının sahip olabileceği etkiyi ve kayıp olasılığını belirlemesi gerekir. Kayıp örnekleri, hassas bilgilerin silinmesi, kaynakların fiziksel olarak yok edilmesi ve aynı zamanda müşteri güveninin kaybedilmesidir. Denetimler, güvenlik açıklarına karşı önlem görevi görür, genellikle aşağıdaki şekilde sınıflandırılan birçok türü vardır:
Caydırıcı kontroller Bu kontroller, buluta yapılan saldırıları azaltmayı amaçlamaktadır. Çalışmaya devam ederlerse, genellikle potansiyel saldırganları sonuçları önceden bildirerek tehdit düzeyini azaltırlar. (Bazıları bunları önleyici kontrollerin bir alt kümesi olarak görür). Önleyici kontroller Örneğin, Ortak Güvenlik Açıkları ve Etkilenmelerin (CVE) yayınlanmasının ardından yapılan güncellemeler yoluyla güvenlik açıklarına karşı kendinizi korumak, bir saldırıyı etkisiz hale getirir veya etkisini azaltır. Önleyici kontroller, güvenlik politikasını ihlal etme girişimlerini engeller. Algılama kontrolleri Bulut altyapılarında güvenlik sorunlarını tespit etmek, olaya uygun şekilde müdahale etmenizi sağlar. Bir saldırı durumunda, bir algılama kontrolü, sorunu çözmek için önleyici veya düzeltici kontrollerin sinyalini verecektir. Düzeltici kontroller Düzeltici kontroller, normalde hasarı sınırlandırarak bir olayın sonuçlarını azaltır. Bir olay sırasında veya sonrasında yürürlüğe girerler. Güvenliği ihlal edilmiş bir sistemi yeniden oluşturmak için sistem yedeklemelerini geri yüklemek, düzeltici kontrolün bir örneğidir. İzleme ve Günlük KaydıBir sistem, ağ veya uygulama tarafından oluşturulan güvenlikle ilgili tüm verilerin izlenmesinin uygulanması önemlidir. Bu tür veriler, günlük veya günlük adı verilen bir dosyaya kaydedilir . Günlük toplama, genellikle, mümkünse oluşturulduktan sonra hiyerarşik veya merkezi bir toplama stratejisi kullanılarak yapılır. Neyin toplanabileceğinin kapsamı geniştir ve ayrıntı düzeyi çok fazla olabilir, ikincisi tipik olarak gözetim hizmetlerinin işleme kapasitesinin ötesindedir. Bu nedenle, güvenlik açısından aşağıdaki olaylar dikkate alınmalıdır:
Bir IDS aracılığıyla etkin güvenlik izlemesi , olaylara etkili müdahaleler veya yanıtlar için gereklidir. Hızlı müdahaleyi mümkün kılmak için gözetim, tespit ve müdahale yakından bağlantılı olmalıdır. Son olarak, sağlam güvenlik ve gelişmiş bulut sağlayıcısının bir izleme kapasitesini benimseyerek ve uygulayarak güvenlik izlemeyi bir hizmet olarak sunma fırsatına sahip olur: Hizmet Olarak İzleme (tr) .
Bulut ortamında günlüklerin merkezi olarak izlenmesine ve günlüğe kaydedilmesine olanak tanıyan birkaç araç vardır, bunlardan bahsedebiliriz:
Splunk Büyük veri analizi için ticari bir yazılım platformudur. Bu araç bankacılık, hastaneler, iletişim, güvenlik, eğitim vb. Birçok alanda kullanılmaktadır. 2015 yılında% 28,5 pazar payı ile dünya çapında BT operasyon analizi yazılımlarında bir numara olmuştur. Göre Gartner , Splunk seçildi SIEM Lideri 2016 yılında. ELK Apache Lucene tabanlı bir arama motoru olan Elasticsearch'ten oluşan açık kaynaklı bir yazılım paketidir . Logstash gerekli günlükleri toplamak ve bunları göndermek için bir dinamik veri toplama bileşeni olan Elasticsearch bileşeni hale getirildikten sonra; JSON formatında . Ve son olarak, grafikler, tablolar, haritalar vb. Gibi farklı veri türlerini görselleştirmek için bir bileşen olan Kibana . ELK çözümü, güvenlik üzerinde çalışan yöneticiler için yararlı olan çeşitli görselleştirme araçları sağlar. Güvenlik açığı ve izinsiz giriş testiBulut altyapısına izinsiz giriş ve güvenlik açığı testleri düzenli olarak yapılmalıdır. Bunların ağlar da dahil olmak üzere tüm altyapıyı kapsaması gerekir, yalnızca tek tek sunucular veya bileşenler için değil. Bu testler çok sayıda güvenlik açığını ortaya çıkarabilir, bunlar sınıflandırılmalıdır (kritik / yüksek / orta / düşük kadar basit). Genel olarak, kritik veya yüksek olarak sınıflandırılan herhangi bir güvenlik açığı, tüm bulutun güvenliğini sağlamak için ele alınmalıdır. Düşük veya orta dereceli güvenlik açıkları makul risk olarak kabul edilebilir, ancak bunlar artık risk göz önünde bulundurularak araştırılmalı ve ardından işletme tarafından kabul edilmelidir.
Güvenlik testlerini gerçekleştirmek için farklı teknikler kullanılabilir, özellikle:
Güvenlik açığı ve izinsiz giriş testi ile ilgili olarak, aşağıdaki teknikleri verebiliriz:
Güvenlik Açığı ve Sızma Testi, test uzmanlarının altyapı veya uygulamalara yönelik saldırıları simüle etmesine olanak tanıyan çeşitli araçlar ve uygulamalar kullanılarak gerçekleştirilir. Bu tür testler için kullanılan araçların çoğu Kali Linux işletim sistemine dahil edilmiştir . İkincisi açık kaynak kodludur ve 600 penetrasyon test aracını bir araya getirir. Kitapların tamamı buna adanmıştır, güvenlik açığı testi için en yaygın kullanılan işletim sistemidir.
Giriş kontroluErişim denetimi, özünde kimlik yönetimiyle bağlantılıdır ve bulut verilerinin gizliliğini, bütünlüğünü ve kullanılabilirliğini korumak için gereklidir. Cloud Security Alliance, bulut sağlayıcılarının özniteliklere ( öznitelik tabanlı erişim denetimi (giriş) ) dayalı erişim kontrolleri gibi gelişmiş kimlik doğrulama mekanizması sağlamalarını önerir .
Erişim kontrolleri genellikle isteğe bağlı veya isteğe bağlı olmayan olarak tanımlanır ve en yaygın olanları şunlardır:
DenetimKontrollerin ve prosedürlerin güvenlik, uygunluk, koruma, tespit ve adli analizin tüm operasyonel yönlerini ele almak için yeterli olup olmadığının değerlendirilmesi; güvenlik denetimleri, bulut sağlayıcısının güvenliği sağlamadaki titizliğine dair bir güven duygusu iletir.
Denetçiler genellikle aşağıdaki işlevleri kontrol eder:
Denetçiler, çeşitli kontroller üzerinde iyileştirmeler önerebilir ve bir kuruluşun uygulamadan sonra maliyetli yeniden yapılandırmadan kaçınmasına yardımcı olmak için bir sistem geliştirme sürecine katılabilir. Tüm sistem etkinliği genellikle işlemleri, bağlantıları vb. İzlemek için kullanılan bir dizi belge olan günlüklere kaydedilir. Bu günlükler aşağıdakileri kaydetmelidir:
Bu günlükler aracılığıyla bir denetçi aşağıdakileri inceleyebilir:
Farklı bulut modellerine dayalı olarak, aşağıdaki güvenlik riskleri tespit edilmiştir:
SaaS Tüketici için en düşük ölçeklenebilirlik ve nispeten yüksek yerleşik güvenlik düzeyi ile doğrudan teklife entegre edilmiş işlevsellik sunar. Bunun nedeni, tedarikçinin güvenlik için sorumluluk almasıdır. PaaS Geliştiricilerin platformda kendi uygulamalarını oluşturmalarına izin vermeyi amaçlar. Bu nedenle, kullanıma hazır özelliklerin zararına SaaS'den daha fazla genişletilebilir. Bu uzlaşma, yerleşik yeteneklerin daha az kapsamlı olduğu, ancak ek güvenlik eklemek için daha fazla esnekliğin olduğu güvenlik özellikleri ve yeteneklerine kadar uzanır. IaaS Çok az uygulama benzeri işlevsellik sunar veya hiç yoktur, ancak altyapının kendisini korumanın ötesinde tipik olarak güvenlik yetenekleri ve daha az entegre işlevsellik anlamına gelen muazzam ölçeklenebilirlik sunar. Bu model, işletim sistemlerinin, uygulamaların ve içeriğin müşteri tarafından yönetilmesini ve güvence altına alınmasını gerektirir.ANSSI bir bulut servis sağlayıcısı (SecNumCloud) olması gerekli açıklayan bir belge yazdı. Bu belge, farklı bulut türlerine göre güvenlik sorumluluklarının bir dökümünü sağlar:
Güven getirmek ve bulutla ilgili endişelere son vermek için etiketler oluşturuldu. Alıntı yapabiliriz:
Buluta geçerken, sunucular dünyanın herhangi bir yerinde konumlandırılabildiğinden, müşteriler fiziksel güvenlik üzerindeki kontrollerini kaybederler. Bulut kavramı bazen yanıltıcı olabilir ve kullanıcılar bulutu kullanmanın fiziksel bir konum gerektirdiğini unutmaya eğilimlidir. Veri merkezlerinde gerekli güvenlik düzeyini oluşturmak için gereken büyük yatırım , işletmelerin buluta geçiş yapmasının birçok nedeninden biridir.
Bulutun güvenliğini ve çalışmasını korumak için tasarlanmış diğer tüm güvenlik kontrolleri kadar fiziksel güvenlik de önemlidir. Fiziksel tesisler, doğal tehlikeler ve insan eylemleri dahil olmak üzere çeşitli tehditlere tabidir. örneğin, sel bölgesindeki bir veri merkezinde barındırılan bir bulut altyapısı , tüm kullanıcılara ayrıcalıklı erişim vermek kadar akıllıca değildir.
Buluttaki herhangi bir sunucu, fiziksel erişimi ve sunucuya sınırsız zamanı olan bir saldırgana karşı savunmasızdır. Sunucu kullanılabilirliğini sağlamak için aşağıdakiler sağlanmalıdır:
Ağ, bulut uygulamalarını ve kullanıcıları bir arada tutan yapıştırıcı olarak düşünülebilir. Ağların ana endişeleri ve işlevleri, ağa bağlı cihazlar arasında iletişimi sağlamaktır. Bir de modern bir veri merkezi bir bulut altyapısını barındıran, ağ çok daha karmaşıktır. Bununla birlikte, daha çok sayıda olmaları ve daha fazla işlevselliğe sahip olmaları dışında, standart bir altyapıda bulunabilen birkaç cihazdan oluşur. Çok sayıda yönlendirici veya güvenlik duvarı gibi geleneksel ekipmanların yanı sıra , teslim denetleyici uygulamaları , yük dengeleyiciler veya izinsiz giriş algılama sistemi gibi özelliklere sahip ekipman gibi ikincisinin güvenliğini sağlamak için bulut merkezli ekipmanı da içerir .
Bulutla ilişkili olarak gelişen bir başka kavram, yazılım tanımlı ağ iletişimi (SDN). Buluttaki uygulamalar boyut, konum ve kullanım ömrü açısından dinamik olabilir. Bu, bu tür zor ortamları güvence altına almak için gerekli araçları bulma zorluğunu arttırır. Yazılım tanımlı ağ yazılımı tanımlı güvenlik , bu endişeleri gidermek için tasarlandı.
Güvenlik ve yazılım tanımlı ağlar için iki ana kavram vardır. Birincisi, bir veri merkezindeki ağ öğelerinde ve donanımda değişiklik yapmak için kullanılan API'dir ; ikincisi, bu API'leri alıp mantıksal olarak kullanan düzenleme.
Özellikle ağ açısından önemli güvenlik özelliklerine sahip olan Openstack örneğini verebiliriz . Ek olarak, OpenStack API'leri , altyapı hizmetleri olarak güvenlik duvarı , yük dengeleme , ağ anahtarı ve izinsiz giriş algılama sistemi (IDS) yeteneklerini açığa çıkarma yeteneği sağlar . Openstack'in mimarisi , bulut kaynaklarının ayrıntılı bir şekilde yönetilmesini sağlamak için tasarlandı. Yöneticilerin ve mimarların işlevlere ve çeşitli ağ hizmetlerine bağlı roller üzerinde kontroller uygulamasına olanak tanır. Bu, Openstack'e ağ işlevlerini sanallaştırma yeteneği verir . Ağ güvenliği durumunda, ağ anahtarı , NAT , DHCP , yük dengeleme , ağ arabirimi yapılandırması ve güvenlik duvarı güvenlik politikaları gibi şeyler hızlı ve güvenli bir şekilde başlatılabilir.
Bulut bilişim, çevrimiçi depolamada gelişmeler sağlar; Burada Hizmet olarak Depolamadan bahsediyoruz (en) . Bu genellikle ucuz hizmetlerin ek avantajları, bulut hizmeti sağlayıcısının gerçekleştirdiği depolama bakım görevlerini (yedekleme, çoğaltma ve olağanüstü durum kurtarma gibi) içerir. Birçok bulut depolama teklifinin ortak bir yönü, hizmetin güvenilirliği ve kullanılabilirliğidir. Veri çoğaltma, RAID gibi mekanizmalar veya bir dosya sistemi tarafından düşük düzeyde gerçekleştirilir .
Çevrimiçi bulut depolamadaki trendlerden biri, API'lerin kullanılmasıdır . Bu, istemci tarafında bulunan ve standart protokoller aracılığıyla bulutta barındırılan depolamayla doğrudan etkileşime izin veren bir API olarak uygulanır. Bu, yerel API anahtarlarını istemci tarafında tutarken basitçe yedekleme, geri yükleme, veri şifreleme görevlerini gerçekleştirmenize olanak tanır.
Her sanal makine (VM), ana bilgisayar işletim sisteminin üstünde çalışır: KVM ( çekirdek tabanlı sanal makine ) gibi bir hiper yöneticiye sahip fiziksel donanıma "ana bilgisayar", kaynaklarını kullanan tüm sanal makinelere "misafir" adı verilir. . Bununla birlikte, ana bilgisayarın güvenliği ihlal edilirse, hiçbir konuk bileşeni güvenli olmayacağından, ana bilgisayarı korumak çok önemli bir görevdir. Ancak, ana bilgisayardan ödün vermek o kadar basit değildir, ancak her zaman başarısızlığa neden olabilecek yeni bir güvenlik açığı bulma şansı vardır.
Hiper yönetici ile ilgili olarak , ikincisi, fiziksel sistem üzerinde çalışan tüm VM'leri yönetme gücüne sahip bir yazılımdır ve bundan ödün vermek, tüm bulut altyapısına ciddi zararlar verebilir. Bunun nedeni, bir VM'de çalışan kodun kendisini barındıran ana bilgisayarda veya farklı bir VM'de çalışan kodla iletişim kuramaması veya bu kodu etkileyememesidir. Ancak, yazılımdaki hatalar veya sanallaştırmanın uygulanmasındaki sınırlamalar gibi çeşitli sorunlar bu izolasyonu riske atabilir. Hipervizörün doğasında bulunan ana güvenlik açıkları, hiper yönetici rootkit , sanal makine koparma , hipervizörün harici modifikasyonudur. Bunlar genellikle, ayrıcalıklarını kötü amaçlı kod eklemek için kullanabilen kötü niyetli sistem yöneticileri ve çalışanları tarafından gerçekleştirilir.
Saldırganlar, hipervizörlerde / ana bilgisayarlarda ve sanal makinelerdeki hataları veya güvenlik açıklarını kullanır , bu nedenle bunlara güvenlik sertleştirmesi uygulamak önemlidir:
Uygulama güvenliği, SaaS tarzı bulutlar sunan bir işletme için kritik faktörlerden biridir . Güvenli kodlama yönergeleri, eğitim, komut dosyaları ve test araçlarının uygulanmasıyla uygulamaların güvenliğini sağlama süreçleri genellikle güvenlik, geliştirme ve test ekipleri arasındaki işbirliğinin sonucudur. Uygulamanın güvenliğini sağlamak için uygulama kaynak kodu inceleme testleri ve saldırı testleri düzenli olarak yapılmalıdır. Farklı ekipler arasında işbirliği eksikliği, uygulamaların tasarım kalitesinde ve dolayısıyla güvenliklerinde bir düşüşe neden olabilir.
Kullanılan uygulamalar genellikle açık kaynaklıdır , bu nedenle satıcılar web uygulamalarını Açık Web Uygulaması Güvenlik Projesi (OWASP) yönergelerine göre korumalıdır. Bulutta kullanılan LAMP yığınındaki gereksiz bağlantı noktalarını ve komutları kilitlediğinizden emin olmanız da önemlidir .
Özel veri merkeziyle karşılaştırıldığında, potansiyel bulut müşterilerinin hassas verileri genel bir bulutta, hibritte veya hatta bir topluluk bulutunda (içinde) depolamak ve işlemekle ilgili güvenlik endişeleri olması anlaşılabilir bir durumdur . Verilerin açığa çıkma riski gerçektir, ancak temelde yeni değildir. Buna karşılık, bulut bilişimin benzersiz veri güvenliği zorlukları yarattığını görebiliriz.
Bir kuruluşun verilerini geleneksel bir BT altyapısında depolamanın potansiyel güvenlik yararları sağladığını düşünebilirsiniz, ancak sorun, çoğu kuruluşun BT güvenlik uzmanlığı alanında çalışmak için nitelikli olmamasıdır. Aslında, yaygın olmayan beceriler gerektirir. Bu nedenle, verileri bulutlara taşımak ve harici saklayıcılara emanet etmek mutlaka yeni riskler oluşturmaz. Tersine, güvenliği artırabilir ve daha karlı olabilir.
Yine de tüm verilerin genel bulutlara aktarılamayacağını belirtmek önemlidir; ulusal güvenlikle ilgili bilgiler dahil. Ek olarak, belirli hassas veriler için ek güvenlik sağlamanın maliyeti, potansiyel olarak genel bulut modeliyle uyumsuzlukla sonuçlanacaktır. Bu nedenle, bu veri güvenliği ihtiyaçları hakim olduğunda, diğer dağıtım modelleri (topluluk veya özel bulut) daha uygun olabilir.
Bulutta Yaygın Veri Güvenliği RiskleriVeri güvenliğine yönelik olağan tehditler bugün hala geçerlidir. Kimlik avı gibi tekniklerin kullanımı yeni olmasa da göz korkutucu olabilir ve bir bulut altyapısında veri güvenliği için ek bir tehdit oluşturabilir. Bu nedenle, bazı sağlayıcılar bulutta bu tarz hedefli saldırılara karşı savaşmak için koruyucu önlemler uygulamıştır:
Diğer bir risk, bulut yöneticilerinin hassas müşteri verilerine uygunsuz erişimiyle ilgilidir. Bu risk iki ana faktöre bağlıdır: birincisi, şifrelenmemiş verilerin açığa çıkma potansiyeli ve ikincisi, personelin bu verilere ayrıcalıklı erişimi ile bağlantılıdır. Bu riskin değerlendirilmesi, büyük ölçüde bulut sağlayıcılarının uygulamalarına ve ayrıcalıklı erişime sahip personelin müşteri verilerine erişemeyeceğine dair güvenceye dayanmaktadır.
Bulutlarda Kriptografik TekniklerVeri güvenliğini sağlamanın etkili yollarından biri veri şifreleme tekniklerini kullanmaktır. Bu, güvenli anahtar yönetimi ile verilerin gizliliğini ve bütünlüğünü sağlamayı mümkün kılar.
Kriptografi içerik bütünlüğünü, kimlik doğrulama ve dijital imza sağlamak için özel iletişim teknikleri gizliliğini korumaktan büyüdü. Veri güvenliğine odaklanan kriptografi , temel bir teknoloji olarak kabul edilmiştir ve bulutlarda veri güvenliği için büyük bir değere sahiptir.
Gizliliği sağlamak için, kriptografik tekniklerin tümü, aşağıdakiler dahil çeşitli gereksinimleri karşılaması gereken matematiksel işlevlere dayanmaktadır:
Uygulamada, veriler bir şifreleme anahtarı kullanılarak şifrelenir ve ardından bir şifre çözme anahtarı kullanılarak şifresi çözülür.
Simetrik kriptografide bu anahtarlar aynıdır. Simetrik kriptografinin geniş uygulanabilirliği vardır, hızlıdır ve çok fazla kaynak kullanmaz. Ancak farklı taraflar arasındaki iletişimde kullanıldığında, her bir paydaşın benzersiz bir gizli anahtarı paylaşması gerekeceğinden, anahtar yönetiminin karmaşıklığı sürdürülemez hale gelebilir. Henüz güvenli bir kanal olmadığında, bu anahtarın tam güvenlik içinde değişimine izin verecek bir gizli anahtar oluşturmak çok zordur.
Bunun aksine, asimetrik kriptografide (genel-özel anahtar şifrelemesi olarak da bilinir), şifreleme anahtarı (genel anahtar) farklıdır ancak matematiksel olarak şifre çözme anahtarı veya özel anahtarla ilişkilidir.
Asimetrik şifrelemenin en büyük avantajı, yalnızca özel anahtarın gizli tutulması gerektiğidir; aksine, açık anahtar iletilebilir ve gizlilik gerekmez. Genel-özel anahtar çiftleri bağlantılı olmasına rağmen, bir genel anahtardan özel bir anahtarın hesaplanması mümkün değildir.
Genel-özel anahtarların bu kullanımı, yalnızca içerik şifreleme için değil, bulut altyapılarında gizliliği sağlamanın harika bir yoludur. Bir kullanıcının veya bilgisayar bileşeninin kimliğini doğrulamak için özel bir anahtar kullanılabilir. Ayrıca güvenli bir bağlantı için pazarlık başlatmak için de kullanılabilir.