Cloud Security: Isang Gabay para sa Mga Gumagamit ng Cloud



Sinasaklaw ng blog ng Cloud Security ang mga alamat sa paligid ng ulap, ipinapaliwanag kung paano pumili ng tamang arkitektura, sumasaklaw din sa iba't ibang yugto sa pagtatasa ng isang panganib.

Cloud Security

Ang Cloud ay isang hype noong 2010-2011, ngunit ngayon ito ay naging isang pangangailangan. Sa maraming mga samahan na lumilipat sa ulap, ang pangangailangan para sa seguridad ng ulap ay naging nangungunang pinaka-prayoridad.

Ngunit bago iyon, iyong mga bago sa cloud computing, tingnan natin nang mabilis kung ano ang cloud computing,





ulap - seguridad ng ulap - Edureka

Ano ang Cloud Computing?



Ang Cloud Computing ay madalas na tinutukoy bilang 'ang ulap', sa simpleng mga termino ay nangangahulugang pag-iimbak o pag-access sa iyong data at mga programa sa internet kaysa sa iyong sariling hard drive.

Talakayin natin ngayon ang mga uri ng mga ulap:



Public Cloud

Sa isang pampublikong mode ng pag-deploy ng cloud, ang mga serbisyo na na-deploy ay bukas para sa paggamit ng publiko at sa pangkalahatan ang mga serbisyong pampubliko na cloud ay libre. Sa teknikal na paraan marahil walang pagkakaiba sa pagitan ng isang pampublikong ulap at isang pribadong ulap, ngunit ang mga parameter ng seguridad ay ibang-iba, dahil ang pampublikong ulap ay maa-access ng sinumang mayroong isang mas kadahilanan sa peligro na kasangkot sa pareho.

Pribadong Cloud

Ang isang pribadong ulap ay pinamamahalaan lamang para sa isang solong samahan, maaari itong gawin ng parehong samahan o isang samahang third-party. Ngunit kadalasan ang mga gastos ay mataas kapag gumagamit ka ng iyong sariling ulap dahil ang hardware ay maa-update pana-panahon, ang seguridad ay dapat ding mapanatili sa tseke dahil may mga bagong banta na lumalabas araw-araw.

Hybrid Cloud

Ang isang hybrid cloud ay binubuo ng mga pagpapaandar ng parehong pribado at pampublikong ulap

Paano magpasya ang mga customer sa pagitan ng mga pampubliko, pribado, at hybrid na ulap?

Kaya, depende ito sa kinakailangan ng gumagamit na, kung sa palagay ng gumagamit na ang kanyang impormasyon ay masyadong sensitibo upang maging sa anumang system kaysa sa kanilang sarili, pipiliin nila ang isang pribadong ulap

Ang pinakamahusay na halimbawa para dito ay maaaring DropBox, sa kanilang mga unang araw nagsimula sila sa pamamagitan ng paggamit ng AWS S3 bilang kanilang backend para sa pag-iimbak ng mga bagay, ngunit ngayon ay lumikha sila ng kanilang sariling teknolohiya ng imbakan na sinusubaybayan nila ang kanilang sarili.

Bakit nila ito nagawa?

Sa gayon sila ay naging napakalaki, ang pampublikong pagpepresyo ng ulap na iyon ay hindi na magkaroon ng kahulugan. Ayon sa kanila ang kanilang software at pag-optimize sa hardware ay mas mabuhay kaysa sa pag-iimbak ng kanilang mga bagay sa Amazon S3.

Ngunit kung hindi ka isang biggie tulad ng DropBox, at nasa pribadong imprastraktura ka pa rin, marahil oras nito na iniisip mo, Bakit hindi pampublikong ulap?

Ngayon bakit gagamit ang isang customer ng pampublikong ulap?

Una sa lahat ang pagpepresyo ay medyo mas mababa, kumpara sa pamumuhunan na kakailanganin ng isang kumpanya na mag-setup ng kanilang sariling mga server.

Pangalawa, kapag naka-link ka sa isang ipinalalagay na Cloud Provider, ang pagkakaroon ng iyong mga file sa Cloud ay magiging mas mataas.

Nalilito pa rin kung nais mong iimbak ang iyong mga file o data sa pribado o pampublikong ulap.

Hayaan mong sabihin ko sa iyo ang tungkol sa hybrid cloud, sa hybrid cloud maaari mong mapanatili ang iyong mas 'mahalagang' data sa iyong pribadong imprastraktura at ang natitira sa pampublikong ulap, ito ay magiging isang 'hybrid cloud'

Sa pagtatapos, ang lahat ay nakasalalay sa kinakailangan ng gumagamit batay sa kung saan siya pipiliin sa pagitan ng publiko, pribado at hybrid na ulap.

Maaari bang mapabilis ng seguridad ng cloud computing ang paggalaw ng customer sa cloud?

Oo, tingnan natin ang ilang pagsasaliksik na ginawa ni gartner. Mangyaring dumaan sa ibaba ng mga istatistika:

Pinagmulan: Gartner

Ngayon ang pagsasaliksik na ito ay isinasagawa para sa mga kumpanya na medyo nag-aatubiling lumipat sa cloud, at tulad ng malinaw mong nakikita sa imahe sa itaas na ang pinakamahalagang dahilan ay ang seguridad.

Ngayon hindi ito nangangahulugan na ang ulap ay hindi ligtas, ngunit ang mga tao ay may ganitong pang-unawa. Kaya karaniwang kung masisiguro mo sa mga tao na ang ulap ay ligtas, ang ilang pagpabilis ay maaaring maganap sa paggalaw patungo sa ulap.

Paano nakikipagkasundo ang CIO sa tensyon sa pagitan ng peligro, gastos, at karanasan ng gumagamit?

Nabasa ko ito sa kung saan, ang Cloud Security ay pinaghalong agham at sining.

Naguguluhan? Sa gayon, ito ay isang sining ng pag-alam hanggang sa kung gaano kalayo dapat mong ilagay ang seguridad sa isang serbisyo upang ang karanasan ng gumagamit ay hindi mabawasan.

Halimbawa: Sabihin nating mayroon kang isang application, at upang matiyak na hinihiling mo ang username at password sa bawat operasyon, na may katuturan hinggil sa seguridad, ngunit pinipigilan nito ang karanasan ng gumagamit.

Kaya't isang sining upang malaman kung kailan hihinto, ngunit kasabay nito ang agham, dahil kailangan mong lumikha ng mga algorithm o tool na nagbibigay ng maximum na seguridad sa data ng iyong customer.

Ngayon kapag ang anumang bagong bagay ay dumating sa larawan, ang mga tao ay nag-aalangan tungkol dito.

Mayroong maraming mga 'panganib' na iniisip ng mga tao na mayroon ang cloud computing, isa-isa nating tugunan ang mga panganib na ito:

1. Walang katiyakan si Cloud

Karamihan sa mga oras tuwing pinag-uusapan mo ang tungkol sa ulap, maraming tao ang nagsasabi, ang data ay mas ligtas sa kanilang sariling imprastraktura sa halip na sabihin ang ilang AWS server na may seguridad ng AWS.

Sa gayon ito ay maaaring magkaroon ng katuturan kung ang kumpanya ay tumututok lamang sa seguridad ng kanilang pribadong ulap na malinaw na hindi ito ang kaso. Ngunit kung gagawin iyon ng kumpanya, kailan sila magtutuon sa kanilang sariling mga layunin?

Pag-usapan natin ang tungkol sa Mga Cloud Provider, sabihin nating AWS (ang pinakamalaki sa kanilang lahat), hindi ba sa palagay mo ang tanging layunin ng AWS ay gawing pinaka-ligtas ang iyong data? Aba, sapagkat iyon ang binabayaran nila.

Gayundin isang nakakatuwang katotohanan, nag-host ang Amazon ng kanilang sariling website ng e-commerce sa AWS, na nililinaw ang hangin kung maaasahan ang AWS.

Ang mga tagabigay ng cloud ay nabubuhay, kumain at huminga ng seguridad ng ulap.

2. Mayroong higit pang mga paglabag sa ulap

Ang isang pag-aaral mula sa Spring Alert Logic Report ng 2014 ay nagpapakita na ang mga pag-atake sa cyber noong 2012-2013 ay parehong na-target sa mga pribadong ulap at mga pampublikong ulap, ngunit ang mga pribadong ulap ay mas madaling kapitan sa mga pag-atake. Bakit? Dahil ang mga kumpanya na nag-set up ng kanilang sariling mga server ay hindi na kagamitan kumpara sa AWS o Azure o anumang iba pang Cloud Provider para sa bagay na iyon.

3. Ang mga solong sistema ng nangungupahan ay mas ligtas kaysa sa mga system ng multi-nangungupahan.

Kaya kung sa tingin mo ay lohikal, hindi mo ba naiisip na sa mga system ng multi-nangungupahan mayroon kang isang karagdagang layer ng seguridad na nakakabit dito. Bakit? Sapagkat ang iyong nilalaman ay lohikal na ihiwalay mula sa natitirang mga nangungupahan o gumagamit sa system, na wala doon kung gumagamit ka ng mga solong-nangungupahan na system. Samakatuwid, kung sakaling ang isang hacker ay nais na dumaan sa iyong system, kailangan niyang dumaan sa isang karagdagang layer ng seguridad.

Sa pagtatapos, ang lahat ng ito ay mga alamat at isinasaalang-alang din ang pag-save sa mga pamumuhunan na iyong gagawin kapag inilipat mo ang iyong data sa cloud at pati na rin ang iba pang mga benepisyo, mas malaki kaysa sa mga panganib na kasangkot sa seguridad ng ulap.

Nasabi na, magpatuloy tayo sa pokus ng talakayan ngayon, paano ginagawa ng iyong mga tagabigay ng Cloud ang seguridad.

Kaya kumuha tayo ng isang halimbawa dito at ipalagay na gumagamit ka ng isang app para sa social networking. Nag-click ka sa ilang mga random na link at walang nangyari. Sa paglaon ay nalaman mo, na ang mga spam na mensahe ay ipinapadala mula sa iyong account sa lahat ng iyong mga contact na konektado sa iyo sa application na iyon.

Ngunit bago ka pa man makapag-drop ng isang mail o magreklamo sa suporta ng app, malalaman na nila ang problema at tatakbo at tatakbo upang malutas ito. Paano? Unawain natin.

Kaya karaniwang ang Cloud Security ay may tatlong yugto:

  • Data ng Pagsubaybay
  • Pagkuha ng Visibility
  • Pamamahala ng Pag-access

Ang Pagsubaybay sa Cloud tool na patuloy na pinag-aaralan ang daloy ng data sa iyong cloud application ay aalerto sa lalong madaling magsimula ang ilang mga 'kakaibang' bagay sa iyong aplikasyon. Paano nila masusuri ang 'kakaibang' bagay?

Sa gayon ang tool sa pagmamanman ng cloud ay may advanced na mga algorithm sa pag-aaral ng makina na nag-log ng normal na pag-uugali ng system.

Kaya't ang anumang paglihis mula sa normal na pag-uugali ng system ay isang pulang watawat, pati na ang mga kilalang diskarte sa pag-hack ay nakalista sa databas nito. Kaya't ang pagkuha ng lahat ng ito sa isang larawan ang iyong tool sa pagsubaybay ay nagpapataas ng isang alerto tuwing may mangyari na isang malansa.

Ngayon kapag nalaman mong mayroong isang bagay na 'hindi normal' na nangyayari, nais mong malaman kung kailan at saan, darating ang yugto 2, pagkakaroon ng kakayahang makita .

Maaari itong magawa gamit ang mga tool na nagbibigay sa iyo ng kakayahang makita ang data na papasok at papasok sa iyong cloud. Gamit ang mga ito maaari mong subaybayan hindi lamang kung saan naganap ang kasalanan, kundi pati na rin 'sino' ang responsable para sa pareho. Paano?

def __init __ (sarili):

Sa gayon ang mga tool na ito ay naghahanap ng mga pattern, at ililista ang lahat ng mga aktibidad na kahina-hinala at samakatuwid tingnan kung aling gumagamit ang responsable para sa pareho.

Ngayon ang indibidwal na responsable ay unang aalisin mula sa system di ba?

Dumating sa Yugto 3, pamamahala ng access.

Ang mga tool na namamahala sa pag-access, ililista ang lahat ng mga gumagamit na naroon sa system. Samakatuwid maaari mong subaybayan ang indibidwal na ito at burahin siya sa labas ng system.

Ngayon paano nakakuha ang indibidwal o hacker na ito ng isang pag-access ng admin ng iyong system?

Malamang ang password sa iyong management console ay basag ng hacker at lumikha ng isang tungkulin ng admin para sa kanyang sarili mula sa tool sa Access Management, at ang iba ay naging kasaysayan.

Ngayon ano ang gagawin ng iyong tagabigay ng Cloud pagkatapos nito? Matututunan nila ito at magbabago upang hindi na ito maulit.

Ngayon ang halimbawang ito ay para lamang sa pag-unawa, karaniwang walang hacker na maaaring makakuha ng pag-access ng iyong password tulad nito.

Ang bagay na dapat pagtuunan ng pansin ay ang kumpanya ng ulap na nagbago mula sa pag-break na ito, gumawa sila ng mga hakbang upang mapabuti ang kanilang seguridad sa cloud upang ang pareho ay hindi na maulit.

Ngayon lahat ng mga cloud provider ay sumusunod sa mga yugtong ito. Pag-usapan natin ang tungkol sa pinakamalaking cloud provider, AWS.

Sinusundan ba ng AWS ang mga yugtong ito para sa aws na seguridad ng ulap? Tignan natin:

Para sa pagsubaybay sa Cloud, mayroon ang AWS CloudWatch

Para sa kakayahang makita ang data, mayroon ang AWS CloudTrail

At para sa pamamahala ng pag-access, mayroon ang AWS DAHIL NA

Ito ang mga tool na ginagamit ng AWS, tingnan natin nang mas maigi kung paano gumagana ang mga ito.

CloudWatch

Binibigyan ka nito ng kakayahang pag-aralan ang data na papasok at papalabas ng iyong mga mapagkukunang AWS. Mayroon itong mga sumusunod na tampok na nauugnay sa seguridad ng ulap:

  • Subaybayan ang EC2 at iba pang mga mapagkukunan ng AWS:
    • Nang walang pag-install ng karagdagang software maaari mong subaybayan ang pagganap ng iyong EC2 gamit ang AWS CloudWatch.
  • Ang kakayahang subaybayan ang mga pasadyang sukatan:
    • Maaari kang lumikha ng mga pasadyang sukatan, at subaybayan ang mga ito sa pamamagitan ng CloudWatch.
  • Subaybayan at itago ang mga tala:
    • Maaari mong subaybayan at mag-imbak ng mga tala na nauugnay sa mga aktibidad na nangyayari sa iyong mga mapagkukunang AWS.
  • Itakda ang Mga Alarma:
    • Maaari mong itakda ang mga alarma sa mga tukoy na pag-trigger, tulad ng isang aktibidad na nangangailangan ng agarang pansin atbp.
  • Tingnan ang Mga Grupo at Istatistika:
    • Maaari mong mailarawan ang data na ito sa anyo ng mga graphic at iba pang mga visual na representasyon.
  • Subaybayan at Tumugon sa Mga Pagbabago ng Mapagkukunan:
    • Maaari itong mai-configure sa isang paraan upang tumugon sa mga pagbabago sa pagkakaroon ng isang mapagkukunan o kung ang isang mapagkukunan ay hindi gumagana nang maayos.

CloudTrail

Ang CloudTrail ay isang serbisyo sa pag-log na maaaring magamit upang mai-log ang kasaysayan ng mga tawag sa API. Maaari din itong magamit upang makilala kung aling gumagamit mula sa AWS Management Console ang humiling ng partikular na serbisyo. Pagkuha ng sanggunian mula sa aming halimbawa, ito ang tool mula sa kung saan mo makikilala ang kilalang 'hacker'.

DAHIL NA

Ginagamit ang Identity and Access Management (IAM) upang bigyan ang nakabahaging pag-access sa iyong AWS account. Mayroon itong mga sumusunod na pagpapaandar:

  • Mga granular na pahintulot:
    • Maaari itong magamit upang bigyan ang mga karapatan sa pag-access sa iba't ibang uri ng mga gumagamit sa isang napaka-cellular na antas. Para sa hal: Maaari mong bigyan ng access ang nabasa sa isang tukoy na gumagamit, at isang access na basahin ang sulat sa ibang gumagamit.
  • Ligtas na pag-access sa mga application na tumatakbo sa kapaligiran ng EC2:
    • Maaaring magamit ang IAM upang magbigay ng ligtas na pag-access sa pamamagitan ng paggawa ng gumagamit na ipasok ang mga kredensyal, upang ma-access ang kani-kanilang mga mapagkukunan ng EC2.
  • Libreng gamitin:
    • Ginawang libre ng AWS ang mga serbisyo ng IAM upang magamit sa anumang serbisyo ng aws na katugma ito.

AWS Shield

Pinamamahalaan ang serbisyong pagtanggi ng DDOS. Mabilis nating tingnan, ano ang DDoS?

Karaniwan nang labis ang pag-load ng DDoS sa iyong website ng hindi kaugnay na trapiko na may hangaring alisin ang iyong website. Paano ito gumagana? Lumikha ang mga hacker ng isang bot-net sa pamamagitan ng paghawa sa maraming mga computer na konektado sa internet, paano? Naaalala ang mga kakatwang email na nakukuha mo minsan sa iyong mail? Ang loterya, medikal na tulong atbp. Karaniwang ginagawa ka nilang mag-click sa isang bagay, na nag-i-install ng isang malware sa iyong computer, na pagkatapos ay napalitaw upang gawin ang iyong computer, isang plus isa, sa walang katuturang trapiko.

Walang katiyakan tungkol sa iyong web application? Huwag maging AWS Shield ay narito.

Nag-aalok ito ng dalawang uri ng mga serbisyo:

  1. Pamantayan
  2. Advanced

Ang Pamantayan libre ang package para sa lahat ng mga gumagamit, at ang iyong web application sa AWS ay awtomatikong natatakpan ng package na ito bilang default. Kabilang dito ang mga sumusunod na tampok:

  • Mabilis na Pagtuklas
    • Nakakakita ng nakakahamak na trapiko on the go sa pamamagitan ng paggamit ng mga anomalya na algorithm.
  • Mga Pag-atake sa Inline na Pagminot
    • Ang mga diskarte sa awtomatikong pagpapagaan ay binuo sa AWS Shield na nagbibigay sa iyo ng proteksyon laban sa mga karaniwang pag-atake.
  • Magdagdag ng Mga Pasadyang Batas upang suportahan ang iyong aplikasyon.

Hindi sapat? May isang Advanced package din. Sa isang maliit na labis na gastos, maaari mong sakupin ang iyong mga mapagkukunan ng Elastic Load Balancers, Route 53 at CloudFront.

Ano ang lahat ng kasama? Tignan natin:

  • Pinahusay na Pagtuklas
    • May kasamang mga karagdagang diskarte tulad ng pagsubaybay sa tukoy na mapagkukunan, at nagbibigay din ng butil-butil na pagtuklas ng mga pag-atake ng DDoS.
  • Advanced na Pagpatama sa Pag-atake
    • Mas sopistikadong mga awtomatikong pagpapagaan.
  • Visibility at Pag-abiso sa Pag-atake
    • Mga abiso sa real time sa pamamagitan ng paggamit ng CloudWatch.
  • Pinasadyang Suporta
    • 24 × 7 na suporta mula sa isang espesyal na koponan ng tugon sa DDoS.
  • Proteksyon sa Gastos ng DDoS
    • Pinipigilan ang mga spike ng gastos mula sa labis na pag-load ng mga pag-atake ng DDoS.

Bilang konklusyon, ang sinumang cloud provider para sa tagumpay nito ay sumusunod sa pinakamataas na pamantayan sa Cloud Security, at unti-unti kung hindi kaagad, mauunawaan ng mga taong wala pa ring paniniwala sa Cloud na ito ay isang kinakailangang magpatuloy dito.

Kaya ayun mga lalaki! Inaasahan kong nasiyahan ka sa blog na ito sa Cloud Security. Ang mga bagay na natutunan mo sa blog ng Cloud Security na ito ang pinakahinahabol na mga hanay ng kasanayan na hinahanap ng mga recruiter sa isang AWS Solution Architect Professional. Narito ang isang koleksyon ng upang matulungan kang maghanda para sa iyong susunod na pakikipanayam sa trabaho ng AWS. Upang matuto nang higit pa tungkol sa AWS maaari kang mag-refer sa aming Blog. Nakakuha din kami ng isang kurikulum na sumasaklaw sa eksakto kung ano ang kakailanganin mong i-crack ang Solusyon sa Architect ng Solusyon! Maaari kang tumingin sa mga detalye ng kurso para sa pagsasanay.

May tanong ba sa amin? Mangyaring banggitin ito sa seksyon ng mga komento ng Cloud Security blog na ito at babalikan ka namin.