В чем риск облачных решений?

Технология облачных вычислений набирает сегодня популярность. Финансово облачные платформы выглядят очень привлекательно, да и других привлекательных сторон немало. Однако, передавать свои данные в «облако», т.е. непонятно куда и практически без гарантий их сохранности провайдером — кажется это весьма рискованная стратегия. Предлагаю взглянуть на проблемы с безопасностью облачных решений.
- Небезопасные интерфейсы. Криптографическая защита — отличная вещь, однако ошибки в программах и нестойкие протоколы/ключи/пароли позволяют обойти даже самые надежные протоколы. Когда ваши данные отделены от всего интернета хлипким забором пользовательского интерфейса, его надежность начинает играть критическую роль.
- Враждебные инсайдеры. Злоумышленник внутри компании, получивший неавторизованный доступ к ИТ-системам должен еще постараться сохранить и вынести эти данные из компании. В облачном решении все уже вынесено — осталось только передать логин и пароль, и заказчик неавторизованного доступа может исследовать ваши данные так, как пожелает.
- Уязвимости гипервизора. Безошибочного программного обеспечения не бывает. То, что пока гипервизоры не скомпрометированы багами, позволяющими получать неавторизованный доступ ко многим виртуальным машинам, не означает, что такие баги не будут обнаружены в ближайшем будущем. То же самое относится и к технологии мультитенанси столь популярной в SaaS решениях — одна ошибка программиста и ваши данные перемешались с данными вашего конкурента использующего тоже решение.
- Утечка/потеря данных. Возможностей для потери данных в облаке множество — некорректные действия сотрудников сервиса, ошибки и недостатки систем резервного копирования, действия злоумышленников и т.д. Однако, публичные облачные провайдеры в своих SLA прописывают весьма ограниченный уровень своей ответственности в случае утери данных.
- Компрометация аккаунтов и сервиса. Злоумышленнику для того, чтобы получить полноценный доступ к облачному сервису не придется атаковать хорошо защищенный периметр корпоративной сети. Вполне достаточно атаки на пользователя — с большой вероятностью сработает даже банальный фишинг в виде подмененного сайта или письма по электронной почте с требованием подтвердить пароль.
- Неизвестные риски. Фактор технологической новизны облачных вычислений также играет в минус. Пока нет большого опыта эксплуатации подобных решений — нет и типовых процедур обеспечения безопасности, да и далеко не все потенциальные риски реализовались в облачных решениях.
Дополнительные материалы
Комментарии (0)
Комментировать