Felhő biztonság
A felhő 2010–2011-ben nagy hype volt, de mára szükségszerűséggé vált. Mivel sok szervezet felhőbe költözik, a felhőbiztonság iránti igény vált a legfőbb prioritássá.
De előtte azok, akik még nem ismerik a felhőalapú számítástechnikát, nézzük meg gyorsan, hogy mi is az a számítási felhő,
bináris és decimális java kód
Mi az a Cloud Computing?
A felhőalapú számítástechnika, amelyet gyakran felhőnek neveznek, egyszerű értelemben azt jelenti, hogy adatait és programjait az interneten, nem pedig a saját merevlemezén tárolja vagy érheti el.
Beszéljük meg a felhők típusait:
Nyilvános felhő
Nyilvános felhőalapú üzemmódban a telepített szolgáltatások nyilvánosak, és általában a nyilvános felhőszolgáltatások ingyenesek. Gyakorlatilag nincs különbség a nyilvános felhő és a privát felhő között, de a biztonsági paraméterek nagyon eltérőek, mivel a nyilvános felhő bárki számára hozzáférhető, ennél nagyobb kockázati tényező van.
Privát Felhő
A privát felhőt kizárólag egyetlen szervezet üzemelteti, ezt ugyanaz a szervezet vagy egy harmadik fél szervezheti meg. De általában a költségek magasak, ha saját felhőt használ, mivel a hardvert rendszeresen frissítik, a biztonságot is kordában kell tartani, mivel minden nap új fenyegetések jelentkeznek.
Hibrid felhő
A hibrid felhő mind a magán, mind a nyilvános felhő funkcióit tartalmazza
Hogyan döntenek az ügyfelek az állami, a magán és a hibrid felhők között?
Nos, ez a felhasználói követelményektől függ, vagyis ha a felhasználó úgy érzi, hogy az ő adatai túl érzékenyek ahhoz, hogy bármelyik rendszeren legyenek, és ne a sajátjukon, akkor privát felhőt választanának
Erre a legjobb példa lehet a DropBox, amelynek kezdeteiben az AWS S3-at használták háttérként objektumok tárolására, de most létrehozták saját tárolási technológiájukat, amelyet maguk is figyelnek.
Miért tették ezt?
Nos, akkorák lettek, hogy a nyilvános felhőáraknak már nem volt értelme. Szerintük szoftver- és hardveroptimalizálásuk gazdaságilag életképesebb, mint tárolni a cuccaikat az Amazon S3-on.
De akkor, ha nem vagy olyan nagyérdemű, mint a DropBox, és még mindig privát infrastruktúrát használsz, talán itt az ideje azt gondolni, hogy miért ne nyilvános felhő?
Most miért fogja az ügyfél használni a nyilvános felhőt?
Először is, az árak meglehetősen alacsonyabbak ahhoz a befektetéshez képest, amelyre egy vállalatnak szüksége lenne a saját szervereinek beállításához.
Másodszor, ha egy neves felhőszolgáltatóhoz kapcsolódik, akkor a fájlok elérhetősége a felhőben növekszik.
Még mindig zavaros, hogy a fájljait vagy adatait magán vagy nyilvános felhőben szeretné-e tárolni.
Hadd mondjak el a hibrid felhőről, a hibrid felhővel a „drágább” adatait magáninfrastruktúráján, a többit pedig a nyilvános felhőn tarthatja, ez egy „hibrid felhő” lenne
Összegezve tehát, minden a felhasználói igénytől függ, amely alapján a nyilvános, a privát és a hibrid felhő közül választhat.
Felhő-számítási biztonság felgyorsíthatja-e az ügyfelek felhőbe történő mozgását?
Igen, nézzük meg a gartner néhány kutatását. Kérjük, olvassa el az alábbi statisztikákat:
Forrás: Gartner
Most ezt a kutatást olyan vállalatok számára végezték, amelyek kissé vonakodnak a felhőbe való áttéréstől, és amint a fenti képen jól látható, hogy a legfontosabb ok a biztonság.
Most ez nem azt jelenti, hogy a felhő nem biztonságos, de az emberek ezt a felfogást látják. Tehát alapvetően, ha biztosítani tudja az embereket arról, hogy a felhő biztonságos, némi gyorsulás történhet a felhő felé irányuló mozgásban.
Hogyan tudják a CIO-k összeegyeztetni a kockázat, a költség és a felhasználói élmény közötti feszültséget?
Nos, ezt olvastam valahol, a Cloud Security a tudomány és a művészet keveréke.
Zavaros? Nos, ez annak a tudása, hogy milyen mértékben kell biztonságot nyújtania egy szolgáltatásnak, hogy a felhasználói élmény ne csökkenjen.
Például: Tegyük fel, hogy van alkalmazásod, és a biztonság érdekében minden műveletnél megkérdezed a felhasználónevet és a jelszót, ami a biztonság szempontjából értelmes, de ezután akadályozza a felhasználói élményt.
Tehát művészet tudni, mikor kell abbahagyni, ugyanakkor tudomány, mert olyan algoritmusokat vagy eszközöket kell létrehozni, amelyek maximális biztonságot nyújtanak a vásárló adatai számára.
Most, amikor bármilyen új dolog megjelenik a képen, az emberek szkeptikusak lesznek ezzel kapcsolatban.
Nagyon sok „kockázat” van, amelyről az emberek azt gondolják, hogy a számítási felhő magában foglalja a problémákat, foglalkozzunk egyenként:
1. A felhő bizonytalan
Legtöbbször, amikor felhőről beszélne, sokan azt mondanák, hogy az adatok biztonságosabbak a saját infrastruktúrájukon, nem pedig valamilyen AWS-biztonsági AWS-kiszolgálóval.
Nos, ennek lehet értelme, ha a vállalat csak a magánfelhő biztonságára koncentrálna, ami nyilvánvalóan nem így van. De ha a vállalat ezt megteszi, mikor koncentrálnak a saját céljaikra?
Beszéljünk a Cloud Providers-ről, mondjuk az AWS-ről (az összes közül a legnagyobbról), nem gondolja, hogy az AWS egyetlen célja az, hogy az adatait a legbiztonságosabbá tegye? Miért, mert ezért fizetik őket.
Szintén szórakoztató tény, hogy az Amazon saját e-kereskedelmi webhelyet szervezett az AWS-en, amely tisztázza a levegőt abban, hogy az AWS megbízható-e.
A felhőszolgáltatók élnek, esznek és lélegzik a felhőbiztonságot.
2. Több felhőszakadás tapasztalható a felhőben
A 2014. évi Spring Alert Logic Report tanulmánya azt mutatja, hogy a 2012 és 2013 közötti kiberrohamok mind a magánfelhőket, mind a nyilvános felhőket célozták meg, de a magánfelhők hajlamosabbak voltak a támadásokra. Miért? Mivel a saját szerverüket beállító vállalatok nincsenek megfelelően felszerelve az AWS-hez vagy az Azure-hoz vagy bármely más Cloud Service-hez képest.
3. Az egybérlős rendszerek biztonságosabbak, mint a többbérlős rendszerek.
Nos, ha logikusan gondolkodik, nem gondolja, hogy a többbérlős rendszereknél további biztonsági réteg van hozzákapcsolva. Miért? Mivel a tartalma logikailag el lesz különítve a rendszer többi bérlőjétől vagy felhasználójától, ami nincs meg, ha egybérlős rendszereket használ. Ezért ha egy hacker át akarja menni a rendszerét, akkor még egy biztonsági rétegen kell átesnie.
Összegezve: ezek mind mítoszok, és figyelembe véve a befektetések megtakarítását, amelyet akkor fog megvalósítani, amikor az adatokat felhőbe helyezi, és az egyéb előnyöket is, ez messze felülmúlja a felhő biztonságával járó kockázatokat.
Ezt követően térjünk át a mai vita fókuszára, hogy a Cloud szolgáltatói hogyan kezelik a biztonságot.
Vegyünk tehát egy példát, és tegyük fel, hogy egy alkalmazást használ a közösségi hálózatokhoz. Kattintson egy véletlenszerű linkre, és semmi sem történik. Később megtudja, hogy a spam üzeneteket az Ön fiókjából küldi az összes kapcsolattartójának, aki kapcsolatban áll Önnel az adott alkalmazásban.
De mielőtt még e-mailt dobhatna, vagy panaszkodhatna az alkalmazás támogatására, már tudnák a problémát, és fel fognak készülni, hogy megoldják. Hogyan? Értsük meg.
Tehát alapvetően a Cloud Security három szakaszból áll:
- Monitoring adatok
- Láthatóság megszerzése
- Hozzáférés kezelése
Az Felhőfigyelés A felhőalkalmazás adatfolyamát folyamatosan elemző eszköz figyelmeztet, amint valami furcsa dolog elkezdődik az alkalmazásban. Hogyan értékelik a „furcsa” dolgokat?
Nos, a felhőfigyelő eszköz fejlett gépi tanulási algoritmusokkal rendelkezik, amelyek naplózzák a rendszer normális viselkedését.
Tehát a rendszer normális viselkedésétől való bármilyen eltérés vörös zászló lenne, az ismert hackelési technikák is szerepelnek az adatbázisában. Tehát mindezt egy képbe készítve, a megfigyelő eszköz riasztást ad, ha valami halás történik.
Most, ha megtudja, hogy valami „nem normális” zajlik, tudni szeretné, mikor és hol jön a 2. szakasz, láthatóság megszerzése .
Ezt olyan eszközökkel lehet megtenni, amelyek áttekinthetővé teszik a felhőbe bejövő és onnan érkező adatokat. Ezek segítségével nemcsak azt követheti nyomon, ahol a hiba bekövetkezett, hanem azt is, hogy „ki” felelős ezért. Hogyan?
Nos, ezek az eszközök keresik a mintákat, és felsorolják az összes tevékenységet, amely gyanús, és így meglátják, melyik felhasználó felelős ugyanazért.
Most először a felelős személyt kellene eltávolítani a rendszerből, igaz?
3. szakasz jön, hozzáférés kezelése.
A hozzáférést kezelő eszközök felsorolják az összes felhasználót, aki ott van a rendszeren. Így nyomon követheti ezt az egyént és kitörölheti a rendszerből.
Most hogy szerezte meg ez a személy vagy hacker rendszergazdai hozzáférést a rendszeréhez?
Valószínűleg a hacker feltörte a felügyeleti konzol jelszavát, és az Access Management eszközből létrehozott magának egy adminisztrátori szerepet, a többi pedig történelem lett.
Most mit tenne a Cloud szolgáltatója ezek után? Tanulnának ebből, és úgy fejlődnének, hogy soha többé ne forduljon elő.
Ez a példa csak a megértés kedvéért szól, általában egyetlen hacker sem férhet hozzá a jelszavához.
Itt arra kell összpontosítani, hogy a felhőalapú vállalat ebből a betörésből fejlődött ki, intézkedéseket hoztak a felhőbiztonságuk javítása érdekében, hogy ugyanaz ne fordulhasson elő soha.
Most minden felhőszolgáltató követi ezeket a szakaszokat. Beszéljünk a legnagyobb felhőszolgáltatóról, az AWS-ről.
mi a big data hadoop
Az AWS betartja-e ezeket a szakaszokat az aws cloud biztonság érdekében? Nézzük meg:
A felhőfigyeléshez az AWS rendelkezik CloudWatch
Az adatok láthatósága érdekében az AWS rendelkezik CloudTrail
A hozzáférés kezeléséhez pedig az AWS rendelkezik MÁR
Ezeket az eszközöket használja az AWS, nézzük meg közelebbről, hogyan működnek.
CloudWatch
Ez lehetővé teszi az AWS-erőforrásokból be- és kilépő adatok elemzését. A felhőbiztonsághoz kapcsolódó következő szolgáltatásokkal rendelkezik:
- Monitorozza az EC2-t és más AWS-erőforrásokat:
- További szoftver telepítése nélkül figyelheti az EC2 teljesítményét az AWS CloudWatch segítségével.
- Az egyéni mutatók figyelésének lehetősége:
- Létrehozhat egyedi mutatókat, és figyelheti őket a CloudWatch segítségével.
- Naplók figyelése és tárolása:
- Figyelheti és tárolhatja az AWS-erőforrásokon végzett tevékenységekkel kapcsolatos naplókat.
- Riasztások beállítása:
- Beállíthatja a riasztásokat meghatározott kiváltókra, például olyan tevékenységre, amelyre azonnali figyelmet kell fordítani stb.
- Grafikonok és statisztikák megtekintése:
- Ezeket az adatokat grafikonok és egyéb vizuális ábrázolások formájában jelenítheti meg.
- Az erőforrás-változások figyelése és reagálás ezekre:
- Konfigurálható úgy, hogy reagáljon az erőforrások elérhetőségében bekövetkező változásokra, vagy ha az erőforrás nem megfelelően működik.
CloudTrail
A CloudTrail egy naplózási szolgáltatás, amely felhasználható az API-hívások előzményeinek naplózására. Azt is fel lehet használni, hogy az AWS Management Console-ból mely felhasználó kérte az adott szolgáltatást. Példánkból kiindulva ez az eszköz, ahonnan azonosítani fogja a hírhedt „hackert”.
MÁR
Az Identity and Access Management (IAM) az osztott hozzáférés megadására szolgál az AWS-fiókhoz. A következő funkciókkal rendelkezik:
- Részletes engedélyek:
- Használható hozzáférési jogok biztosítására különféle felhasználók számára, nagyon mobil szinten. Például: Megadhat olvasási hozzáférést egy adott felhasználónak, és írás-olvasási hozzáférést egy másik felhasználónak.
- Biztonságos hozzáférés az EC2 környezetben futó alkalmazásokhoz:
- Az IAM használható biztonságos hozzáférés biztosítására azáltal, hogy a felhasználót megadja a hitelesítő adatoknak, a megfelelő EC2 erőforrásokhoz.
- Ingyenesen használható:
- Az AWS az IAM szolgáltatásokat szabadon használhatja bármely kompatibilis aws szolgáltatással.
AWS pajzs
A kezelt DDOS-tagadási szolgáltatás. Nézzük meg gyorsan, mi a DDoS?
A DDoS alapvetően túlterheli az Ön webhelyét irreleváns forgalommal azzal a céllal, hogy lebontsa a webhelyét. Hogyan működik? A hackerek számos internettel összekötött számítógép megfertőzésével hoznak létre bot-netet, hogyan? Emlékszel azokra a furcsa e-mailekre, amelyeket néha kapsz a leveleiden? Sorsolás, orvosi segítség stb. Alapvetően rákényszerítenek valamire, ami rosszindulatú programot telepít a számítógépére, és ezután elindítja azt, hogy a számítógépe plusz egy legyen a lényegtelen forgalomban.
Bizonytalan az internetes alkalmazásával kapcsolatban? Ne légy AWS Shield itt van.
Kétféle szolgáltatást kínál:
- Alapértelmezett
- Fejlett
Az Alapértelmezett A csomag minden felhasználó számára ingyenes, és az AWS-en futó webalkalmazását alapértelmezés szerint automatikusan lefedi ez a csomag. A következő szolgáltatásokat tartalmazza:
- Gyors észlelés
- Rendkívüli algoritmusok segítségével észleli a rosszindulatú forgalmat menet közben.
- Inline enyhítési támadások
- Az AWS Shield beépíti az automatikus enyhítési technikákat, amelyek védelmet nyújtanak a gyakori támadások ellen.
- Adjon hozzá egyéni szabályokat az alkalmazás támogatásához.
Nem elég? Van egy Fejlett csomagot is. Kis extra költséggel fedezheti az Elastic Load Balancers, az 53-as út és a CloudFront erőforrásait.
Mi minden benne van? Nézzük meg:
- Továbbfejlesztett érzékelés
- További technikákat tartalmaz, például erőforrás-specifikus megfigyelést, és részletesen felismeri a DDoS-támadásokat is.
- Advanced Attack Mitigation
- Kifinomultabb automatikus enyhítések.
- Láthatóság és támadásról szóló értesítés
- Valós idejű értesítések a CloudWatch használatával.
- Speciális támogatás
- 24 × 7 támogatás egy speciális DDoS válaszcsoporttól.
- DDoS költségvédelem
- Megakadályozza a költségcsúcsok túlterhelését a DDoS támadások által.
Összegzésképpen elmondható, hogy a siker érdekében bármely felhőszolgáltató betartja a Cloud Security legmagasabb színvonalát, és fokozatosan, ha nem is azonnal, azok az emberek, akik még mindig nem hisznek a Cloudban, megértik, hogy tovább kell lépni.
Szóval ennyit srácok! Remélem, hogy tetszett ez a blog a Cloud Security-n. Azok a dolgok, amelyeket ebben a Cloud Security blogban tanult, azok a legkeresettebb készségek, amelyeket a toborzók keresnek az AWS Solution Architect Professional alkalmazásban. Itt van egy gyűjtemény hogy segítsen felkészülni a következő AWS állásinterjúra. Ha többet szeretne megtudni az AWS-ről, olvassa el a mi oldalunkat blog. Kitaláltunk egy olyan tantervet is, amely pontosan lefedi a megoldási építész vizsga feltöltését! Megtekintheti a kurzus részleteit kiképzés.Van egy kérdésünk? Kérjük, említse meg a Cloud Security blog megjegyzés rovatában, és mi kapcsolatba lépünk Önnel.