Pilveturvalisus: juhend pilvetarbijatele



See pilveturbe ajaveeb kajastab pilve ümbritsevaid müüte, selgitab, kuidas valida õige arhitektuur, kajastab ka riski hindamise erinevaid etappe.

Pilveturvalisus

Aastatel 2010–2011 oli pilv hoog, kuid tänapäeval on see muutunud hädavajalikuks. Kui paljud organisatsioonid liiguvad pilve, on kõige olulisemaks muutunud vajadus pilveturbe järele.

Kuid enne seda, need teist, kes on pilvandmetöötluses uued, vaatame kiiresti pilvandmetöötlust,





pilv - pilveturve - Edureka

Mis on pilvandmetöötlus?



Pilvandmetöötlust nimetatakse sageli „pilveks“, lihtsustatult tähendab andmete ja programmide salvestamine või neile juurdepääs Internetis, mitte oma kõvakettal.

Arutame nüüd pilvetüüpide üle:



Avalik pilv

Avalikus pilvepõhises režiimis on kasutatavad teenused avalikuks kasutamiseks avatud ja üldjuhul on avalikud pilveteenused tasuta. Tehniliselt pole avaliku pilve ja privaatse pilve vahel vahet, kuid turbeparameetrid on väga erinevad, kuna avalik pilv on kõigile kättesaadav, on sellega seotud ka suurem riskitegur.

Privaatne pilv

Privaatne pilv töötab ainult ühe organisatsiooni jaoks, seda saab teha sama organisatsioon või kolmanda osapoole organisatsioon. Kuid tavaliselt on kulud suured, kui kasutate oma pilve, kuna riistvara uuendatakse perioodiliselt, samuti tuleb turvalisust kontrollida, kuna iga päev ilmnevad uued ohud.

Hübriidpilv

Hübriidpilv koosneb nii era- kui ka avaliku pilve funktsionaalsustest

Kuidas otsustavad kliendid avalike, eraviisiliste ja hübriidpilvede vahel?

Noh, see sõltub kasutaja nõudest, st kui kasutaja arvab, et tema teave on liiga tundlik, et olla mõnes süsteemis, mitte oma, valiks ta privaatse pilve

Parim näide selle kohta võiks olla DropBox, algusaegadel alustasid nad objektide salvestamise taustaprogrammina AWS S3 kasutamist, kuid nüüd on nad loonud oma salvestustehnoloogia, mida nad ise jälgivad.

Miks nad seda tegid?

Noh, nad läksid nii suureks, et avalik pilvehind ei olnud enam mõttekas. Nende sõnul on nende tarkvara ja riistvara optimeerimine majanduslikult tasuvam kui nende kraami Amazon S3-s hoidmine.

Kuid siis, kui te pole suuremees, nagu DropBox, ja olete endiselt erainfrastruktuuril, võib-olla on aeg mõelda, miks mitte avalik pilv?

Miks kasutab klient nüüd avalikku pilvet?

Esiteks on hinnakujundus suhteliselt väiksem, võrreldes investeeringuga, mida ettevõttel oleks vaja oma serverite seadistamiseks.

Teiseks, kui olete seotud maineka pilvepakkujaga, suureneb teie failide kättesaadavus pilves.

Ikka segaduses, kas soovite oma faile või andmeid privaatsesse või avalikku pilve salvestada.

Lubage mul teile rääkida hübriidpilvest. Hübriidpilvega saate hoida oma 'kallimaid' andmeid oma privaatse infrastruktuuri ja ülejäänud avalikus pilves, see oleks 'hübriidpilv'

Kokkuvõtteks võib öelda, et kõik sõltub kasutaja nõudest, mille põhjal ta valib avaliku, privaatse ja hübriidpilve vahel.

Kas pilvandmetöötluse turvalisus võib kiirendada klientide liikumist pilve?

Jah, vaatame mõnda gartneri tehtud uuringut. Vaadake allolevat statistikat:

Allikas: Gartner

Nüüd viidi see uuring läbi ettevõtete jaoks, kes on pisut vastumeelsed pilve liikuma ja nagu ülaltoodud pildil selgelt näha on, et peamine põhjus on turvalisus.

Nüüd ei tähenda see, et pilv pole turvaline, kuid inimestel on selline arusaam. Nii et põhimõtteliselt, kui suudate inimestele kinnitada, et pilv on ohutu, võib pilve poole liikumisel toimuda teatav kiirendus.

Kuidas lepivad CIO-d riskide, kulude ja kasutuskogemuste vahelise pinge vahel?

Noh, ma lugesin seda kuskilt, Cloud Security on segu teadusest ja kunstist.

Segaduses? Noh, see on teadmine, millal peaksite teenusele turvalisust pakkuma, et kasutajakogemus ei väheneks.

Näiteks: Oletame, et teil on rakendus ja selle turvaliseks muutmiseks küsite igal toimingul kasutajanime ja parooli, mis on turvalisuse seisukohalt mõistlik, kuid siis takistab see kasutajakogemust.

Seega on kunst teada, millal peatuda, kuid samas on see teadus, sest peate looma algoritmid või tööriistad, mis tagavad teie kliendi andmetele maksimaalse turvalisuse.

Kui nüüd mõni uus asi pildile tuleb, suhtuvad inimesed sellesse skeptiliselt.

Inimeste arvates on pilvandmetöötlusel palju riske, käsitleme neid riske ükshaaval:

1. Pilv on ebakindel

Enamasti, kui räägiksite pilvest, oleks palju inimesi, kes ütlevad, et andmed on turvalisemad nende enda infrastruktuuris, selle asemel et öelda mõnda AWS-i turvaga AWS-serverit.

Noh, see võib olla mõttekas, kui ettevõte keskendub lihtsalt oma privaatse pilve turvalisusele, mis ilmselgelt nii ei ole. Aga kui ettevõte seda teeb, siis millal nad keskenduvad oma eesmärkidele?

Räägime pilvepakkujatest, ütleme näiteks AWS (neist kõigist suurim), kas te ei arva, et AWS-i ainus eesmärk on muuta teie andmed kõige turvalisemaks? Miks, sest selle eest neile makstakse.

Samuti on lõbus tõsiasi, et Amazon on AWS-is võõrustanud oma e-kaubanduse veebisaiti, mis puhastab õhku, kas AWS on usaldusväärne.

Pilvepakkujad elavad, söövad ja hingavad pilveturvalisust.

2. Pilves on rohkem rikkumisi

2014. aasta Spring Alert Logic Report'i uuring näitab, et aastatel 2012–2013 toimunud küberrünnakud olid suunatud nii erapilvedele kui ka avalikele pilvedele, kuid erapilved olid rünnakutele vastuvõtlikumad. Miks? Kuna ettevõtted, kes ise oma servereid seadistavad, pole AWS-i, Azure'i või mõne muu pilvepakkujaga võrreldes selles osas varustatud.

3. Ühe üürniku süsteemid on turvalisemad kui mitme üürniku süsteemid.

Noh, kui mõtlete loogiliselt, siis kas te ei arva, et mitme üürniku süsteemidega on teil täiendav turvakiht kinnitatud. Miks? Kuna teie sisu on loogiliselt eraldatud ülejäänud üürnikest või süsteemi kasutajatest, mida pole, kui kasutate ühe üürniku süsteeme. Seega, kui häkker soovib teie süsteemi läbi käia, peab ta läbima ühe täiendava turvakihi.

Kokkuvõtteks võib öelda, et need on kõik müüdid ja arvestades ka investeeringute kokkuhoidu, mida teete oma andmete pilve teisaldamisel, ja muid eeliseid, kaalub see kaugelt üles pilveturbega seotud riskid.

Olles seda öelnud, liigume tänase arutelu keskpunkti, kuidas teie pilvepakkujad turvalisusega toime tulevad.

Nii et võtame siinkohal näite ja oletame, et kasutate rakendust suhtlusvõrgustike loomiseks. Klõpsate mõnel juhuslikul lingil ja midagi ei juhtu. Hiljem saate teada, et teie kontolt saadetakse rämpspostisõnumeid kõigile teie kontaktidele, kes on selles rakenduses teiega ühendatud.

Kuid enne, kui jõuate isegi e-kirja visata või kaebuse esitada rakenduse toele, teavad nad juba probleemi ja hakkavad seda lahendama. Kuidas? Saame aru.

Seega on pilveturval põhimõtteliselt kolm etappi:

  • Seireandmed
  • Nähtavuse saavutamine
  • Juurdepääsu haldamine

The Pilveseire teie pilverakenduse andmevoogu pidevalt analüüsiv tööriist hoiataks kohe, kui teie rakenduses hakkab juhtuma mõni „imelik“ värk. Kuidas nad hindavad “imelikke” asju?

Noh, pilveseire tööriistal oleksid täiustatud masinõppe algoritmid, mis registreerivad süsteemi normaalse käitumise.

Seega oleks igasugune kõrvalekalle süsteemi tavapärasest käitumisest punane lipp, samuti on selle andmebaasides loetletud teadaolevad häkkimistehnikad. Nii et kui võtate kõik selle üheks pildiks, annab jälgimistööriist hoiatuse alati, kui juhtub midagi ebameeldivat.

Kui sa saaksid teada, et toimub midagi 'mitte normaalset', tahaksid sa teada, millal ja kus tuleb 2. etapp, nähtavuse saavutamine .

Seda saab teha tööriistade abil, mis annavad teile pilve sisse ja välja tulevate andmete nähtavuse. Nende abil saate jälgida mitte ainult seda, kus viga on tekkinud, vaid ka seda, kes vastutab sama eest. Kuidas?

Need tööriistad otsivad mustreid ja loetlevad kõik tegevused, mis on kahtlased, ja näevad seega, milline kasutaja on sama eest vastutav.

Nüüd tuleks vastutav isik kõigepealt süsteemist eemaldada?

Tuleb 3. etapp, juurdepääsu haldamine.

Tööriistad, mis haldavad juurdepääsu, loetlevad kõik kasutajad, kes seal süsteemis on. Seega saate seda inimest jälgida ja süsteemi süsteemist välja pühkida.

Kuidas sai see isik või häkker teie süsteemile administraatori juurdepääsu?

Tõenäoliselt lõhkus häkker teie juhtimiskonsooli parooli ja lõi juurdepääsu haldamise tööriistast endale administraatori rolli ning ülejäänust sai ajalugu.

Mida teeks teie pilvepakkuja pärast seda? Nad õpiksid sellest ja areneksid nii, et seda enam kunagi ei juhtuks.

Nüüd on see näide lihtsalt arusaamise huvides, tavaliselt ei pääse ükski häkker teie paroolile niisama juurde.

Siin tuleb keskenduda sellele, et pilveettevõte arenes sellest sissemurdmisest edasi, nad võtsid meetmeid oma pilveturvalisuse parandamiseks, et sama ei saaks kunagi korrata.

Nüüd järgivad kõik pilveteenuse pakkujad neid etappe. Räägime suurimast pilveteenuse pakkujast AWS.

Kas AWS järgib awS-i pilveturbe jaoks neid etappe? Vaatame üle:

Pilveseire jaoks on AWS CloudWatch

kuidas Java-programm lõpetada

Andmete nähtavuse huvides on AWS CloudTrail

Ja juurdepääsu haldamiseks on AWSil JUBA

Need on tööriistad, mida AWS kasutab. Vaatame nende toimimist lähemalt.

CloudWatch

See annab teile võimaluse analüüsida teie AWS-i ressurssidest sisse ja välja tulevaid andmeid. Sellel on järgmised pilveturbega seotud funktsioonid:

  • Jälgige EC2 ja muid AWS-i ressursse:
    • Lisatarkvara installimata saate jälgida oma EC2 jõudlust AWS CloudWatchi abil.
  • Võimalus jälgida kohandatud mõõdikuid:
    • Saate luua kohandatud mõõdikuid ja neid CloudWatchi kaudu jälgida.
  • Jälgige ja salvestage logisid:
    • Saate jälgida ja salvestada AWS-i ressurssides toimuvate toimingutega seotud logisid.
  • Alarmide seadmine:
    • Võite seadistada alarmi konkreetsetele päästikutele, näiteks tegevusele, mis vajab kohest tähelepanu jne.
  • Kuva graafikud ja statistika:
    • Saate neid andmeid visualiseerida graafikute ja muude visuaalsete esitustena.
  • Ressursimuutuste jälgimine ja reageerimine neile:
    • Seda saab konfigureerida nii, et see reageeriks ressursi kättesaadavuse muutustele või kui ressurss ei tööta korralikult.

CloudTrail

CloudTrail on logimisteenus, mida saab kasutada API-kõnede ajaloo logimiseks. Seda saab kasutada ka AWS-i halduskonsooli kasutaja tuvastamiseks, kes konkreetset teenust soovis. Meie näite põhjal on see tööriist, kust saate teada kurikuulsa 'häkkeri'.

JUBA

Identiteedi ja juurdepääsu haldust (IAM) kasutatakse jagatud juurdepääsu andmiseks teie AWS-kontole. Sellel on järgmised funktsioonid:

  • Täpsemad load:
    • Seda saab kasutada juurdepääsuõiguste andmiseks erinevat tüüpi kasutajatele väga mobiilsidetasemel. Näiteks: saate anda lugemisõiguse konkreetsele kasutajale ja lugemis-kirjutusõiguse teisele kasutajale.
  • Turvaline juurdepääs EC2 keskkonnas töötavatele rakendustele:
    • IAM-i saab kasutada turvalise juurdepääsu andmiseks, pannes kasutaja sisestama mandaadid, pääsema juurde vastavatele EC2 ressurssidele.
  • Tasuta kasutada:
    • AWS on teinud IAM-i teenused tasuta kasutamiseks kõigi ühilduvate aws-teenustega.

AWS kilp

See on hallatud DDOS-i keelamisteenus. Vaatame kiiresti, mis on DDoS?

DDoS koormab teie veebisaiti põhimõtteliselt ebaolulise liiklusega, et teie veebisait maha võtta. Kuidas see töötab? Kuidas? Häkkerid loovad robotivõrgu, nakatades arvukalt internetti ühendatud arvuteid? Kas mäletate neid imelikke e-kirju, mille te mõnikord oma meilile saate? Loterii, meditsiiniabi jne. Põhimõtteliselt panevad nad teid klõpsama midagi, mis installib teie arvutisse pahavara, mis seejärel käivitab teie arvuti ebaoluliseks liikluseks pluss ühe.

Kas olete oma veebirakenduse suhtes ebakindel? Ära ole AWS Shield on siin.

See pakub kahte tüüpi teenuseid:

  1. Standard
  2. Täpsem

The Standard pakett on kõigile kasutajatele tasuta ning teie AWS-i veebirakendus on vaikimisi selle paketiga automaatselt kaetud. See sisaldab järgmisi funktsioone:

  • Kiire tuvastamine
    • Tuvastab pahatahtliku liikluse liikvel olles, kasutades anomaaliaalgoritme.
  • Sisseehitatud leevendusrünnakud
    • Automaatsed leevendustehnikad on AWS Shieldi sisse ehitatud, pakkudes teile kaitset levinud rünnakute eest.
  • Rakenduse toetamiseks lisage kohandatud reeglid.

Mitte piisavalt? On olemas Täpsem pakk ka. Väikese lisakuluga saate katta oma elastse koormuse tasakaalustajad, Route 53 ja CloudFront ressursid.

Mis kõik sisaldab? Vaatame üle:

  • Tõhustatud tuvastamine
    • See sisaldab täiendavaid võtteid, nagu ressursispetsiifiline jälgimine, ja pakub ka DDoS-rünnakute üksikasjalikku tuvastamist.
  • Täpsem rünnaku leevendamine
    • Keerukamad automaatsed leevendused.
  • Nähtavus ja rünnaku teatamine
    • Reaalajas märguanded CloudWatchi abil.
  • Spetsialiseeritud tugi
    • 24 × 7 tugi spetsiaalselt DDoS-i reageerimismeeskonnalt.
  • DDoS-i kulude kaitse
    • Takistab DDoS-rünnakute tõttu kulude kasvu.

Kokkuvõtteks võib öelda, et iga pilvepakkuja oma edu saavutamiseks järgib pilveturbe kõrgeimaid standardeid ja järk-järgult, kui mitte kohe, saavad inimesed, kellel pilves pole veel usku, aru, et on vaja edasi liikuda.

Nii et see on kõik poisid! Loodan, et teile meeldis see pilveturbe ajaveeb. Asjad, mida selles Cloud Security ajaveebis õppisite, on kõige nõutumad oskuste komplektid, mida värbajad AWS Solution Architect Professionalist otsivad. Siin on kogumik mis aitab teil valmistuda järgmiseks AWS-i töövestluseks. AWS-i kohta lisateabe saamiseks võite pöörduda meie poole ajaveeb. Oleme välja pakkunud ka õppekava, mis hõlmab täpselt seda, mida vajate lahenduse arhitekti eksami purustamiseks! Saate vaadata kursuse üksikasju koolitus.

Kas teil on meile küsimus? Palun mainige seda selle Cloud Security ajaveebi kommentaaride jaotises ja me võtame teiega ühendust.