it-swarm-korea.com

클라우드 컴퓨팅과 관련된 보안 문제는 무엇입니까?

거의 모든 것을 클라우드로 옮기는 것이 점차 주류가되고 있습니다.

이러한 추세와 함께 나타난 보안 문제가 있습니까?

웹앱과 데이터베이스를 Amazon Cloud, Azure 등으로 이동하기 전에 보안 관점에서 모두가 무엇을 확인해야합니까?

23
rem

클라우드에는 무한한 보안 문제가 있습니다. 더러운 세탁물 목록을 보려면 ENISA 님의 문서를 확인하세요.

14
atdre

보안 문제의 작은 하위 집합 (클라우드 자체에 새로운 것은 아니지만 확실히 더 어렵습니다) :

  • 액세스 제어
  • 개인 정보 보호 및 기밀 유지
  • 가용성 (SLA가 실제로 얼마나 강력합니까? 제공 업체가 오프라인으로 인한 손해에 대해 배상합니까?)
  • 내부 시스템과의 연결-다른 프로토콜이 민감한 내부 시스템에 접근 할 수 있도록 방화벽에 구멍을 뚫어야하는 경우가 많습니다.
  • 규정 준수-클라우드 기반 시스템을 사용하는 경우 현재 준수 할 수없는 PCI-DSS와 같은 일부 규정이 있습니다. 클라우드 시스템을 명시 적으로 허용하지 않을 수도 있지만 클라우드 시스템을 사용하는 동안 규정을 준수하는 것은 불가능합니다 .현재와 같이.
  • 일부 국가에는 시민의 개인 데이터를 자국 밖으로 옮기는 것을 금지하는 특정 법률이 있습니다. 원함 데이터를 이동하지 않는 다른 국가도 있습니다. 사용자 해당 법률의 적용을 받고 싶지 않기 때문에 ... , 당신은 당신의 시스템과 데이터가 어디에 있는지 정말로 알지 못한다. 그렇다면 어떻게 당신의 사용자가 그들의 위치에 관한 어떤 것을 보장 할 수 있는가? 그 문제에 대해 어떤 법률을 언제 준수해야하는지 어떻게 알 수 있습니까? 그리고 당신이 이미 불법이 아니라는 것을 어떻게 알 수 있습니까?
8
AviD

@atdre가 이미 그의 답변에 연결 한 ENISA pdf에서.

거버넌스 손실 : 클라우드 인프라를 사용할 때 클라이언트는 보안에 영향을 줄 수있는 여러 문제에 대해 반드시 클라우드 공급자 (CP)에게 제어권을 넘깁니다. 동시에 SLA는 클라우드 공급자 측에서 이러한 서비스를 제공하겠다는 약속을 제공하지 않을 수 있으므로 보안 방어에 공백이 남습니다.
LOCK-IN : 현재 데이터, 애플리케이션 및 서비스 이식성을 보장 할 수있는 도구, 절차 또는 표준 데이터 형식 또는 서비스 인터페이스 방식에서 제공되는 것이 거의 없습니다. 이로 인해 고객이 한 공급 업체에서 다른 공급 업체로 마이그레이션하거나 데이터 및 서비스를 사내 IT 환경으로 다시 마이그레이션하기가 어려울 수 있습니다. 이는 특히 가장 기본적인 측면 인 데이터 이동성이 활성화되지 않은 경우 서비스 제공을 위해 특정 CP에 대한 종속성을 도입합니다.
ISOLATION FAILURE : 멀티 테넌시 및 공유 리소스는 클라우드 컴퓨팅의 특성을 정의합니다. 이 위험 범주는 스토리지, 메모리, 라우팅 및 서로 다른 테넌트 간의 평판을 분리하는 메커니즘의 실패 (예 : 게스트 호핑 공격)를 포함합니다. 그러나 리소스 격리 메커니즘 (예 : 하이퍼 바이저에 대한 공격)에 대한 공격은 기존 OS에 대한 공격에 비해 공격자가 실제로 적용하기가 훨씬 적고 훨씬 더 어렵다는 점을 고려해야합니다.
규정 준수 위험 : 클라우드로 마이그레이션하면 인증 (예 : 산업 표준 또는 규제 요구 사항)에 대한 투자가 위험에 처할 수 있습니다.
CP가 관련 요구 사항을 준수하고 있다는 증거를 제공 할 수없는 경우
CP가 클라우드 고객 (CC)의 감사를 허용하지 않는 경우.
어떤 경우에는 퍼블릭 클라우드 인프라를 사용하는 것이 특정 종류의 규정 준수를 달성 할 수 없음을 의미하기도합니다 (예 : PCI DSS (4))).
관리 인터페이스 손상 : 퍼블릭 클라우드 제공 업체의 고객 관리 인터페이스는 인터넷을 통해 액세스 할 수 있으며 기존 호스팅 제공 업체보다 더 큰 리소스 세트에 대한 액세스를 중재하므로 위험이 증가합니다. 특히 원격 액세스 및 웹 브라우저 취약성과 결합 될 때.
데이터 보호 : 클라우드 컴퓨팅은 클라우드 고객 및 공급자에게 여러 데이터 보호 위험을 초래합니다. 경우에 따라 클라우드 고객 (데이터 컨트롤러 역할)이 클라우드 공급자의 데이터 처리 관행을 효과적으로 확인하여 데이터가 합법적 인 방식으로 처리되는지 확인하는 것이 어려울 수 있습니다. 이 문제는 예를 들어 페더레이션 된 클라우드간에 데이터를 여러 번 전송하는 경우 더욱 악화됩니다. 반면에 일부 클라우드 공급자는 데이터 처리 관행에 대한 정보를 제공합니다. 일부는 데이터 처리 및 데이터 보안 활동에 대한 인증 요약과 그들이 보유한 데이터 제어 (예 : SAS70 인증)도 제공합니다.
INSECURE OR INCOMPLETE DATA DELETION : 대부분의 운영 체제에서와 같이 클라우드 리소스 삭제 요청이있을 때 true가 아닐 수 있음 데이터 삭제 : 데이터의 추가 사본이 저장되어 있지만 사용할 수 없거나 파괴 될 디스크가 다른 클라이언트의 데이터도 저장하기 때문에 적절하거나시기 적절한 데이터 삭제가 불가능할 수도 있습니다 (또는 고객 관점에서 바람직하지 않음). 여러 테넌시 및 하드웨어 리소스 재사용의 경우 이는 전용 하드웨어를 사용할 때보 다 고객에게 더 높은 위험을 나타냅니다.
악의적 인 내부자 : 일반적으로 가능성은 적지 만 악의적 인 내부자에 의해 발생할 수있는 피해는 훨씬 더 큽니다. 클라우드 아키텍처에는 매우 위험한 특정 역할이 필요합니다. 예로는 CP 시스템 관리자 및 관리 보안 서비스 제공 업체가 있습니다.

8
Anonymous Type

이 주제에 대한 Lenny Zeltser의 블로그 게시물이 있습니다. Top 10 Cloud Security Risks

그의 요점의 대부분은 더 이상 인프라를 완전히 제어 할 수없고 내부적으로 어떻게 작동하는지조차 알지 못하는 문제에 대해 이야기합니다. 또한 다른 사람이 동일한 시스템에 있는지 더 이상 알지 못하며 시스템의 취약성이 데이터로 유출 될 수 있습니다.

또 다른 문제는 데이터를 보호하기 위해 외부인을 신뢰해야한다는 것입니다. 잘못된 구성 및 모든 데이터가 유출 될 수 있습니다.

6
Andreas Arnold

실제로 저는 회사가 코드 검토없이 웹 사이트를 클라우드로 이동하는 것을 보았습니다. 코드는 ASP.NET을 실행하는 단일 컴퓨터 용으로 작성되었습니다.

클라우드는 대부분 확장 기능을 제공합니다. 사이트가 확장되지 않은 경우 데이터 무결성 또는 세션 보안과 관련하여 동시성 문제가 발생합니다. 이러한 문제를 해결하기 위해 개발자는 제거 비 동시 코드 (때로는 덜 안전함)를 사용하거나 세션없는 동시 배포를 지원하는 데 필요한 코드를 다시 작성합니다.

4
goodguys_activate

클라우드 기반 호스팅의 보안 문제에 대한이 설문 조사를 적극 추천 할 수 있습니다. 셀프 호스팅 대 클라우드 호스팅 : 클라우드 호스팅의 보안 영향에 대한 설명 .

4
D.W.

데이터의 보안과 개인 정보 보호를 보장하기 위해 클라우드 컴퓨팅 공급자는 다음 영역에 참여합니다.

데이터 보호-보호를 받으려면 한 고객의 데이터를 다른 고객의 데이터와 적절히 분리해야합니다. "휴식 중"일 때 안전하게 보관해야하며 한 위치에서 다른 위치로 안전하게 이동할 수 있어야합니다. 클라우드 제공 업체는 제 3 자의 데이터 유출 또는 액세스를 방지하기위한 시스템을 갖추고 있습니다. 적절한 업무 분리는 클라우드 공급자의 권한이있는 사용자라도 감사 및/또는 모니터링을 무력화 할 수 없도록해야합니다.

ID 관리-모든 기업은 정보 및 컴퓨팅 리소스에 대한 액세스를 제어하는 ​​자체 ID 관리 시스템을 갖게됩니다. 클라우드 제공 업체는 페더레이션 또는 SSO 기술을 사용하여 고객의 ID 관리 시스템을 자체 인프라에 통합하거나 자체 ID 관리 솔루션을 제공합니다.

물리적 및 인적 보안-제공 업체는 물리적 시스템이 적절하게 안전하고 이러한 시스템 및 모든 관련 고객 데이터에 대한 액세스가 제한 될뿐만 아니라 액세스가 문서화되어 있는지 확인합니다.

가용성-클라우드 제공 업체는 고객에게 데이터 및 애플리케이션에 대한 정기적이고 예측 가능한 액세스 권한이 있음을 보장합니다.

애플리케이션 보안-클라우드 제공 업체는 아웃소싱 또는 패키징 된 애플리케이션 코드에 대한 테스트 및 승인 절차를 구현하여 클라우드를 통해 서비스로 사용할 수있는 애플리케이션의 보안을 보장합니다. 또한 프로덕션 환경에 애플리케이션 보안 조치 (애플리케이션 수준 방화벽)가 있어야합니다.

Privacy-마지막으로 공급자는 모든 중요 데이터 (예 : 신용 카드 번호)가 마스킹되고 승인 된 사용자 만 데이터 전체에 액세스 할 수 있도록합니다. 또한 디지털 ID 및 자격 증명은 공급자가 클라우드에서 고객 활동에 대해 수집하거나 생성하는 모든 데이터와 마찬가지로 보호되어야합니다.

인도의 클라우드 컴퓨팅에 대한 자세한 정보는-Link Removed by mod

3

AviD의 장점 외에도 다음 사항도 매우 중요합니다.

  • 가용성-예, AviD가 언급했지만 클라우드에 대한 의존도를 이해하는 것이 얼마나 중요한지 충분히 강조 할 수 없습니다. 클라우드 제공 업체는 종종 클라우드의 취약성을 언급하지만 실제로는 적시에 애플리케이션에 액세스 할 수없는 경우 서비스 거부 공격이 여전히 유효합니다.
  • 규정 준수-두 가지 측면 : 데이터는 어디에 있습니까? 올바른 관할권에 남아 있음을 보장 할 수 있으며 e-discovery의 경우 개인/이벤트와 연결된 모든 데이터 항목을 검색했음을 보장 할 수 있습니까?

클라우드는이 두 가지를 모두 확인하기 어렵게 만듭니다.

3
Rory Alsop

클라우드 컴퓨팅 기술의 뿌리 인 가상화는 방어를 시작할 곳과해야 할 일을 일반적인 DC (데이터 센터)의 가이드처럼 "경계"라는 용어를 제거합니다. 클라우드에있는 대부분의 데이터가 물리적 서버와 가상 머신간에 전송되기 때문에 이러한 시스템에 대한 제어가 감소하여 네트워크 세분화 및 하드웨어 유형 보호의 사용 가능성이 줄어 듭니다. 이러한 새로운 DC 가상화에는 새로운 액세스 정책 및 데이터 관리 소프트웨어가 필요합니다.

클라우드 보안을 목표로하는 비영리 조직 CSA (Cloud Security Alliance)가 생성되었습니다 : http://www.cloudsecurityalliance.org/ . 여기에서 클라우드 컴퓨팅을 다루는 방법에 대한 가이드, 모범 사례를 찾을 수 있습니다.

2
anonymous

다중 테넌트 환경은 관련 도메인 쿠키 공격 에 취약합니다.

0
goodguys_activate