Virtualizacija i Cloud computing (3.)

Cloud Computing  Pretnje

Uvod

S obzirom da se cloud computing zasniva na virtuelnoj infrastrukturi podložan je istom tipu napada kao i virtuelizacija međutim ako uzmemo u obzir da se čuvaju podaci u private i public cloud-u pojavljuju se neke nove pretnje kao što su:

  • Cloning and rapid resource pooling
  • Motility of data and data remnants
  • Elastic perimeter
  • Neenkripcija podataka
  • Deljenje multi-tenant okruženja u public cloud-u
  • Kontrola i dostupnost
  • Način na koji napadači koriste cloud

Cloning and Rapid Resource Pooling

Bilo u public ili private cloud sistemima može se koristiti više virtuelnih mašina kada može doći do tzv. “VM sprawl”. U cloud sistemu VM-e mogu biti brzo rezervisane, vraćene na prethodno stanje, pauzirane i restartovane. Takođe mogu biti brzo klonirane i premeštene sa jednog na drugi virtuelni server. Prilikom ovih operacija propusti i greške mogu proći neopaženo i otežava se praćenje security stanja u svakom trenutku.

Motility of Data and Data Remnants

U cloud infrastrukturi podaci se često premeštaju radi boljeg iskorišćenja resursa. Ovo znači da firme „ne moraju” uvek znati gde se tačno njihovi podaci nalaze. Iako ovo može biti slučaj u bilo kom cloud modelu najviše je prisutan u public cloud-u. Iz tog razloga firme zahtevaju od servis provajdera što bolje iskorišćenje resursa ali provajderi u najvećem broju slučajeva ne otkrivaju kako to postižu.

Ukoliko se podaci često pomeraju može se desiti da neki i ostanu što opet dovodi do mogućnosti pristupa od strane neovlašćenog korisnika. Dakle svi podaci koji se iz nekog razloga ili slučajno ostavljaju na staroj lokaciji trebaju biti obrisani.

Elastic Perimeter

Cloud infrastruktura kreira sa jedne srane elastic perimeter. Ovo znači da mnoga odeljenja u firmi mogu koristiti resurse i da se cloud portal može proširiti i omogućiti pristup stranim partnerima. Sa ovim povećanim pristupom dolazi i do većeg rizika od curenja podataka.

Firme takođe mogu koristiti cloud u cilju implementacije bezbednosti na mobilnim uređajima zaposlenih.

Neenkripcija Podataka

Enkripcija podataka pomaže u smanjenju rizika od curenja bitnih podataka kako od spoljnih tako i unutrašnjih faktora.

Sa enkripcijom podataka smanjuje se ozbiljnost recimo data remnants-a i elastic perimeter-a tako da ukoliko neki podaci i ostanu na staroj lokaciji ne može im se pristupiti od strane neautentifikovanog korisnika. Međutim ukoliko solucija ne obezbeđuje policy-based key management sa identity-based i integrity-based server validacijom neautorizovani serveri mogu prikupiti enkripcione ključeve i preuzeti kontrolu nad enkriptovanim podacima.

Primer je popularni servis za deljenje fajlova Dropbox koji je optužen od strane Federal Trade Commission da je koristio samo jedan enkripcioni ključ za sve korisnike čije fajlove servis čuva[i]. Rezultat toga je mogao biti da ukoliko napadač omogući pristup dropbox serveru i dođe do ključa može pristupiti svim fajlovima svih korisnika koji koriste usluge.

Deljenje Multi-Tenant Okruženja u Cloud-u

Cloud bezbednosni rizici spomenuti do sada odnose se kako na private tako i na public sisteme. Multi-tenantarhitektura sa sobom povlači pitanja kao što su:

· Ko može pristupiti podacima firme

· Ko može postavljati podatke na medije za čuvanje podataka

Dakle jedan korisnik u multi-tenant okruženju ne sme imati pristup podacima drugog stanara (tenant). U IaaS okruženju, servis provajderi konfigurišu hypervisor-a da kreira VM izolovano između korisnika. Međutim kako je ranije spomenuto Inter-VM napadi su mogući a čak I hypervisor-i nisu u potpunosti imuni na napade.

Kao primer može biti update koji je Microsoft izdao 2010 kako bi ispravio sigurnosni propust u Windows Server 2008 Hyper-V. Propust je omogućavao korisniku na jednoj guest VM-i hostovanu preko Hyper-V server-a da pokrene instrukcije koje omogućavaju DDoS napad.

Enkripcija podataka je ključna u multi-tenant okruženju, obezbeđujući privatnost podataka između servis provajder zaposlenih i drugih korisnika na istom servisu.

Kontrola i dostupnost

Upotreba data centara ili private cloud infrastructure može dati firmama bolji osećaj kontrole nad svojim podacima, u smislu sigurnosti i dostupnosti. Međutim, firme bi u praktičnom smislu mogle dobiti veću dostupnost korišćenjem usluga servis provajdera koji su posvećeni upravo pružanju on-demand kompjuterskih usluga putem public cloud-a. Servis provajderi mogu postaviti svoju cloud infrastrukturu obezbeđujući visok nivo dostupnosti i sigurnosti podataka često prevazilazeći mogućnosti private cloud sistema.

Bitan faktor je mogućnost nestanka električne energije i kako obezbediti podatke i vratiti ih nakon dolaska električne energije.

Način na koji napadači koriste cloud

Jedna od mogućnosti cloud sistema je i ta da napadači mogu koristiti upravo iste da bi podržali napad na neki servis. Primer je korišćenje AWS’s EC2 cloud sistema za napad na Sony PlayStation Network i Qriocity entertainment network. U napadu je kompromitovano više od 100 milion-a naloga Sony korisnika.

U multi-tenant okruženju napadač može pokrenuti Inter-VM napad, instalirajući sopstvenu VM-u a potom napade na druge VM-e drugih tenant-a na istom host-u.

Ovaj tip napada se koristi radi krađe resursa sistema i korišćenja botnet-a.

U nekim slučajevima napadači kreiraju sopstvene cloud sisteme koje koriste zarad kriminalnih aktivnosti koje obavljaju.

Virtuelizacija i cloud computing eliminišu prevazilaze tradicionalne granice računarskih mreža. Moraju podržati korišćenje od strane velikog broja uređaja za pristup podacima, uključujući smartphone-ove, tablet uređaje, netbook-ove, notebook-ove i tradicionalne laptopove održavajući bezbednost na visokom nivou a ne odstupajući od glavne prednosti – što bolje iskorišćenje kompjuterskih resursa.

2085-virtualizacija-i-cloud-computing-3