Учебники

Безопасность облачных вычислений

Безопасность в облачных вычислениях является серьезной проблемой. Данные в облаке должны храниться в зашифрованном виде. Чтобы запретить клиенту доступ к общим данным напрямую, следует использовать прокси и брокерские услуги.

Планирование безопасности

Прежде чем развертывать конкретный ресурс в облаке, необходимо проанализировать несколько аспектов ресурса, таких как:

  • Выберите ресурс, который нужно перенести в облако, и проанализируйте его чувствительность к риску.

  • Рассмотрим модели облачных сервисов, такие как IaaS, PaaS и SaaS. Эти модели требуют, чтобы клиент отвечал за безопасность на разных уровнях обслуживания.

  • Рассмотрим тип облака, который будет использоваться: публичный, частный, общественный или гибридный.

  • Понимать систему поставщика облачных услуг о хранении данных и их передаче в облако и из него.

Выберите ресурс, который нужно перенести в облако, и проанализируйте его чувствительность к риску.

Рассмотрим модели облачных сервисов, такие как IaaS, PaaS и SaaS. Эти модели требуют, чтобы клиент отвечал за безопасность на разных уровнях обслуживания.

Рассмотрим тип облака, который будет использоваться: публичный, частный, общественный или гибридный.

Понимать систему поставщика облачных услуг о хранении данных и их передаче в облако и из него.

Риск развертывания в облаке в основном зависит от моделей обслуживания и типов облаков.

Понимание безопасности облака

Границы безопасности

Конкретная модель обслуживания определяет границу между обязанностями поставщика услуг и клиента. Модель стека Cloud Security Alliance (CSA) определяет границы между каждой моделью сервиса и показывает, как различные функциональные блоки связаны друг с другом. Следующая диаграмма показывает модель стека CSA:

Модель стека CSA для облачных вычислений

Ключевые моменты к модели CSA

  • IaaS – это самый базовый уровень обслуживания с PaaS и SaaS, следующие два выше уровня обслуживания.

  • Двигаясь вверх, каждый из сервисов наследует возможности и проблемы безопасности модели ниже.

  • IaaS обеспечивает инфраструктуру, PaaS обеспечивает среду разработки платформы, а SaaS предоставляет операционную среду.

  • IaaS обладает наименьшим уровнем интегрированных функций и встроенной безопасности, в то время как SaaS имеет больше всего.

  • Эта модель описывает границы безопасности, на которых заканчиваются обязанности поставщика облачных услуг и начинаются обязанности клиента.

  • Любой механизм безопасности ниже границы безопасности должен быть встроен в систему и должен обслуживаться заказчиком.

IaaS – это самый базовый уровень обслуживания с PaaS и SaaS, следующие два выше уровня обслуживания.

Двигаясь вверх, каждый из сервисов наследует возможности и проблемы безопасности модели ниже.

IaaS обеспечивает инфраструктуру, PaaS обеспечивает среду разработки платформы, а SaaS предоставляет операционную среду.

IaaS обладает наименьшим уровнем интегрированных функций и встроенной безопасности, в то время как SaaS имеет больше всего.

Эта модель описывает границы безопасности, на которых заканчиваются обязанности поставщика облачных услуг и начинаются обязанности клиента.

Любой механизм безопасности ниже границы безопасности должен быть встроен в систему и должен обслуживаться заказчиком.

Хотя каждая модель сервиса имеет механизм безопасности, потребности в безопасности также зависят от того, где расположены эти сервисы, в частном, общедоступном, гибридном или общинном облаке.

Понимание безопасности данных

Поскольку все данные передаются с использованием Интернета, безопасность данных является основной проблемой в облаке. Вот ключевые механизмы защиты данных.

  • Контроль доступа
  • Аудиторская проверка
  • Аутентификация
  • авторизация

Все сервисные модели должны включать механизм безопасности, работающий во всех вышеупомянутых областях.

Изолированный доступ к данным

Поскольку к данным, хранящимся в облаке, можно получить доступ откуда угодно, у нас должен быть механизм, чтобы изолировать данные и защитить их от прямого доступа клиента.

Brokered Cloud Storage Access – это подход к изоляции хранилища в облаке. При таком подходе создаются две службы:

  • Брокер с полным доступом к хранилищу, но без доступа к клиенту.

  • Прокси без доступа к хранилищу, но доступ как к клиенту, так и к брокеру.

Брокер с полным доступом к хранилищу, но без доступа к клиенту.

Прокси без доступа к хранилищу, но доступ как к клиенту, так и к брокеру.

Работа брокерской облачной системы доступа к хранилищу

Когда клиент выдает запрос на доступ к данным:

  • Запрос данных клиента отправляется на внешний сервисный интерфейс прокси.

  • Прокси-сервер перенаправляет запрос брокеру.

  • Брокер запрашивает данные из облачной системы хранения.

  • Облачное хранилище возвращает данные брокеру.

  • Брокер возвращает данные в прокси.

  • Наконец, прокси отправляет данные клиенту.

Запрос данных клиента отправляется на внешний сервисный интерфейс прокси.

Прокси-сервер перенаправляет запрос брокеру.

Брокер запрашивает данные из облачной системы хранения.

Облачное хранилище возвращает данные брокеру.

Брокер возвращает данные в прокси.

Наконец, прокси отправляет данные клиенту.

Все вышеперечисленные шаги показаны на следующей диаграмме:

Доступ к облачным хранилищам через облачные вычисления

шифрование

Шифрование помогает защитить данные от взлома. Он защищает данные, которые передаются, а также данные, хранящиеся в облаке. Хотя шифрование помогает защитить данные от несанкционированного доступа, оно не предотвращает потерю данных.