Bảo mật đám mây: Hướng dẫn cho người dùng đám mây

Bảo mật đám mây

Đám mây là một sự cường điệu vào năm 2010-2011, nhưng ngày nay nó đã trở thành một nhu cầu thiết yếu. Với rất nhiều tổ chức chuyển sang đám mây, nhu cầu bảo mật đám mây đã trở thành ưu tiên hàng đầu.

Nhưng trước đó, những người trong số các bạn chưa quen với điện toán đám mây, hãy cùng tìm hiểu nhanh về điện toán đám mây,

Điện toán đám mây là gì?

Điện toán đám mây thường được gọi là “đám mây”, theo thuật ngữ đơn giản có nghĩa là lưu trữ hoặc truy cập dữ liệu và chương trình của bạn qua internet chứ không phải ổ cứng của riêng bạn.

Bây giờ chúng ta hãy thảo luận về các loại mây:

phương thức javascript là gì

Đám mây công cộng

Trong chế độ triển khai đám mây công cộng, các dịch vụ được triển khai được mở để sử dụng chung và nói chung các dịch vụ đám mây công cộng là miễn phí. Về mặt kỹ thuật, có thể không có sự khác biệt giữa đám mây công cộng và đám mây riêng, nhưng các thông số bảo mật rất khác nhau, vì đám mây công cộng có thể truy cập được bởi bất kỳ ai nên có nhiều yếu tố rủi ro hơn liên quan đến như nhau.

Đám mây riêng

Một đám mây riêng chỉ được vận hành cho một tổ chức duy nhất, nó có thể được thực hiện bởi cùng một tổ chức hoặc một tổ chức bên thứ ba. Nhưng thường thì chi phí sẽ cao khi bạn sử dụng đám mây của riêng mình vì phần cứng sẽ được cập nhật định kỳ, bảo mật cũng phải được kiểm tra vì các mối đe dọa mới xuất hiện hàng ngày.

Đám mây lai

Một đám mây lai bao gồm các chức năng của cả đám mây riêng và đám mây công cộng

Làm thế nào để khách hàng quyết định giữa các đám mây công cộng, riêng tư và kết hợp?

Vâng, nó phụ thuộc vào yêu cầu của người dùng, đó là, nếu người dùng cảm thấy rằng thông tin của mình quá nhạy cảm để có trên bất kỳ hệ thống nào chứ không phải của riêng họ, họ sẽ chọn một đám mây riêng tư

Ví dụ tốt nhất cho điều này có thể là DropBox, trong những ngày đầu họ bắt đầu sử dụng AWS S3 làm chương trình phụ trợ để lưu trữ các đối tượng, nhưng giờ đây họ đã tạo ra công nghệ lưu trữ của riêng mình mà họ tự giám sát.

Tại sao họ làm điều này?

Chà, họ đã quá lớn, đến mức định giá công khai trên đám mây không còn ý nghĩa nữa. Theo họ, tối ưu hóa phần mềm và phần cứng của họ hiệu quả hơn về mặt kinh tế so với việc lưu trữ nội dung của họ trên Amazon S3.

Nhưng sau đó nếu bạn không phải là một công ty lớn như DropBox và bạn vẫn đang sử dụng cơ sở hạ tầng riêng tư, có lẽ đã đến lúc bạn nghĩ, Tại sao không phải là đám mây công cộng?

Bây giờ tại sao khách hàng sẽ sử dụng đám mây công cộng?

Trước hết, giá cả khá thấp hơn so với khoản đầu tư mà một công ty sẽ cần để thiết lập máy chủ của riêng họ.

Thứ hai, khi bạn được liên kết với một Nhà cung cấp Đám mây có uy tín, tính sẵn có của các tệp của bạn trên Đám mây sẽ cao hơn.

Vẫn còn phân vân không biết bạn muốn lưu trữ tệp hoặc dữ liệu của mình trên đám mây riêng tư hay công cộng.

Hãy để tôi cho bạn biết về đám mây lai, với đám mây lai, bạn có thể giữ dữ liệu “quý giá” hơn trên cơ sở hạ tầng riêng tư của mình và phần còn lại trên đám mây công cộng, đây sẽ là “đám mây lai”

Vì vậy, kết luận, tất cả phụ thuộc vào yêu cầu của người dùng dựa trên đó anh ta sẽ lựa chọn giữa đám mây công cộng, riêng tư và đám mây kết hợp.

Bảo mật điện toán đám mây có thể đẩy nhanh sự di chuyển của khách hàng lên đám mây không?

Vâng, hãy xem một số nghiên cứu được thực hiện bởi gartner. Vui lòng xem qua các số liệu thống kê dưới đây:

Nguồn: Gartner

Bây giờ nghiên cứu này được thực hiện cho các công ty hơi ngần ngại chuyển sang đám mây, và như bạn có thể thấy rõ trong hình ảnh trên rằng lý do quan trọng nhất là bảo mật.

Bây giờ điều này không có nghĩa là đám mây không an toàn, nhưng mọi người có nhận thức này. Vì vậy, về cơ bản nếu bạn có thể đảm bảo với mọi người rằng đám mây an toàn, một số gia tốc có thể xảy ra trong quá trình di chuyển về phía đám mây.

Làm cách nào để các CIO giải quyết sự căng thẳng giữa rủi ro, chi phí và trải nghiệm người dùng?

Tôi đã đọc điều này ở đâu đó, Cloud Security là sự kết hợp giữa khoa học và nghệ thuật.

Bối rối? Chà, đó là một nghệ thuật để biết bạn nên đặt bảo mật ở mức độ nào cho một dịch vụ để trải nghiệm người dùng không bị giảm sút.

Ví dụ: Giả sử bạn có một ứng dụng và để đảm bảo an toàn, bạn yêu cầu tên người dùng và mật khẩu ở mọi thao tác, điều này có ý nghĩa về mặt bảo mật, nhưng sau đó nó cản trở trải nghiệm người dùng.

Vì vậy, biết khi nào nên dừng lại là một nghệ thuật, nhưng đồng thời cũng là khoa học vì bạn cần tạo ra các thuật toán hoặc công cụ cung cấp bảo mật tối đa cho dữ liệu của khách hàng.

Bây giờ khi bất kỳ điều gì mới xuất hiện trong bức tranh, mọi người sẽ hoài nghi về nó.

Có rất nhiều “rủi ro” mà mọi người nghĩ rằng điện toán đám mây có, hãy giải quyết từng rủi ro sau:

1. Đám mây không an toàn

Hầu hết bất cứ khi nào bạn nói về đám mây, sẽ có rất nhiều người nói rằng, dữ liệu an toàn hơn trên cơ sở hạ tầng của chính họ hơn là nói một số máy chủ AWS có bảo mật AWS.

sqoop trong hadoop là gì

Chà, điều này có thể có ý nghĩa nếu công ty chỉ tập trung vào bảo mật trên đám mây riêng của họ, điều này rõ ràng không phải vậy. Nhưng nếu công ty làm điều đó, thì khi nào họ sẽ tập trung vào mục tiêu của chính mình?

Hãy nói về Nhà cung cấp đám mây, giả sử AWS (lớn nhất trong số họ), bạn có nghĩ rằng mục đích duy nhất của AWS là làm cho dữ liệu của bạn an toàn nhất không? Tại sao, bởi vì đó là những gì họ đang được trả tiền.

Cũng có một sự thật thú vị, Amazon đã lưu trữ trang web thương mại điện tử của riêng họ trên AWS, điều này làm rõ ràng liệu AWS có đáng tin cậy hay không.

Các nhà cung cấp đám mây sống, ăn và hít thở bảo mật đám mây.

2. Có nhiều vi phạm hơn trong đám mây

Một nghiên cứu từ Báo cáo Logic của Spring Alert năm 2014 cho thấy các cuộc tấn công mạng năm 2012-2013 đều nhắm vào các đám mây riêng và đám mây công cộng, nhưng các đám mây riêng dễ bị tấn công hơn. Tại sao? Bởi vì các công ty thiết lập máy chủ của riêng họ không được trang bị so với AWS hoặc Azure hoặc bất kỳ Nhà cung cấp đám mây nào khác cho vấn đề đó.

3. Hệ thống một người thuê an toàn hơn hệ thống nhiều người thuê.

Nếu bạn suy nghĩ một cách logic, bạn không nghĩ rằng với hệ thống nhiều người thuê, bạn có một lớp bảo mật bổ sung gắn liền với nó. Tại sao? Bởi vì nội dung của bạn sẽ được cách ly một cách hợp lý với những người thuê hoặc người dùng còn lại trên hệ thống, điều này sẽ không có nếu bạn đang sử dụng hệ thống dành cho một người thuê. Do đó, trong trường hợp một hacker muốn đi qua hệ thống của bạn, anh ta phải trải qua một lớp bảo mật bổ sung.

Kết luận, đây là tất cả những lầm tưởng và việc tiết kiệm các khoản đầu tư mà bạn sẽ thực hiện khi chuyển dữ liệu của mình lên đám mây cũng như những lợi ích khác, nó vượt xa những rủi ro liên quan đến bảo mật đám mây.

Đã nói rằng, hãy chuyển sang trọng tâm của cuộc thảo luận hôm nay, cách các nhà cung cấp Đám mây của bạn xử lý bảo mật.

Vì vậy, hãy lấy một ví dụ ở đây và giả sử rằng bạn đang sử dụng một ứng dụng cho mạng xã hội. Bạn nhấp vào một số liên kết ngẫu nhiên và không có gì xảy ra. Sau này bạn mới biết rằng tin nhắn rác đang được gửi từ tài khoản của bạn đến tất cả các địa chỉ liên hệ được kết nối với bạn trên ứng dụng đó.

Nhưng trước khi bạn thậm chí có thể gửi thư hoặc khiếu nại với bộ phận hỗ trợ của ứng dụng, họ đã biết vấn đề và sẽ sẵn sàng và chạy để giải quyết nó. Làm sao? Hãy hiểu.

Vì vậy, về cơ bản Cloud Security có ba giai đoạn:

• Dữ liệu giám sát
• Tăng khả năng hiển thị
• Quản lý quyền truy cập

Các Giám sát đám mây công cụ liên tục phân tích luồng dữ liệu trên ứng dụng đám mây của bạn sẽ cảnh báo ngay khi một số nội dung “kỳ lạ” bắt đầu xảy ra trên ứng dụng của bạn. Làm thế nào để họ đánh giá những thứ 'kỳ lạ'?

Công cụ giám sát đám mây sẽ có các thuật toán học máy nâng cao ghi lại hành vi bình thường của hệ thống.

Vì vậy, bất kỳ sự sai lệch nào so với hành vi bình thường của hệ thống sẽ là một dấu hiệu đỏ, các kỹ thuật hack đã biết cũng được liệt kê trong cơ sở dữ liệu của nó. Vì vậy, đưa tất cả những điều này vào một hình ảnh, công cụ giám sát của bạn sẽ đưa ra cảnh báo bất cứ khi nào có điều gì đó khó hiểu xảy ra.

Bây giờ khi bạn biết có điều gì đó “không bình thường” đang diễn ra, bạn sẽ muốn biết khi nào và ở đâu, giai đoạn 2 sẽ đến, đạt được tầm nhìn .

Điều này có thể được thực hiện bằng cách sử dụng các công cụ cung cấp cho bạn khả năng hiển thị dữ liệu đến và ra khỏi đám mây của bạn. Sử dụng những thứ này, bạn không chỉ có thể theo dõi vị trí lỗi đã xảy ra mà còn biết được “ai” phải chịu trách nhiệm cho lỗi đó. Làm sao?

Các công cụ này tìm kiếm các mẫu và sẽ liệt kê tất cả các hoạt động đáng ngờ và do đó xem người dùng nào phải chịu trách nhiệm tương tự.

Bây giờ cá nhân chịu trách nhiệm đầu tiên sẽ phải bị xóa khỏi hệ thống phải không?

Đến giai đoạn 3, quản lý quyền truy cập.

Các công cụ sẽ quản lý quyền truy cập, sẽ liệt kê tất cả những người dùng có trên hệ thống. Do đó, bạn có thể theo dõi cá nhân này và xóa anh ta khỏi hệ thống.

Bây giờ làm thế nào mà cá nhân hoặc hacker này có được quyền truy cập quản trị vào hệ thống của bạn?

Hầu hết có thể mật khẩu của bảng điều khiển quản lý của bạn đã bị hacker bẻ khóa và tạo ra vai trò quản trị viên cho chính mình từ công cụ Quản lý truy cập và phần còn lại đã trở thành lịch sử.

Bây giờ nhà cung cấp Đám mây của bạn sẽ làm gì sau điều này? Họ sẽ học hỏi từ điều này và phát triển để nó không bao giờ xảy ra nữa.

Bây giờ ví dụ này chỉ là để hiểu, thông thường không có hacker nào có thể truy cập vào mật khẩu của bạn giống như vậy.

Điều cần tập trung ở đây là công ty đám mây đã phát triển từ cuộc đột nhập này, họ đã thực hiện các biện pháp để cải thiện bảo mật đám mây của mình để điều tương tự không bao giờ lặp lại.

Bây giờ tất cả các nhà cung cấp đám mây đều tuân theo các giai đoạn này. Hãy nói về nhà cung cấp đám mây lớn nhất, AWS.

AWS có tuân theo các giai đoạn này để bảo mật đám mây aws không? Chúng ta hãy có một cái nhìn:

Đối với giám sát đám mây, AWS có CloudWatch

Đối với khả năng hiển thị dữ liệu, AWS có CloudTrail

Và để quản lý quyền truy cập, AWS có ĐÃ SẴN SÀNG

Đây là những công cụ mà AWS sử dụng, hãy cùng xem xét kỹ hơn cách chúng hoạt động.

CloudWatch

Nó cung cấp cho bạn khả năng phân tích dữ liệu đến và ra khỏi tài nguyên AWS của bạn. Nó có các tính năng sau liên quan đến bảo mật đám mây:

• Giám sát EC2 và các tài nguyên AWS khác:
  • Không cần cài đặt thêm phần mềm, bạn có thể theo dõi hiệu suất của EC2 bằng AWS CloudWatch.
• Khả năng giám sát các chỉ số tùy chỉnh:
  • Bạn có thể tạo các chỉ số tùy chỉnh và theo dõi chúng thông qua CloudWatch.
• Theo dõi và lưu trữ nhật ký:
  • Bạn có thể theo dõi và lưu trữ nhật ký liên quan đến các hoạt động diễn ra trên tài nguyên AWS của mình.
• Đặt báo thức:
  • Bạn có thể đặt báo thức cho các kích hoạt cụ thể, chẳng hạn như một hoạt động cần chú ý ngay lập tức, v.v.
• Xem đồ thị và thống kê:
  • Bạn có thể trực quan hóa dữ liệu này dưới dạng đồ thị và các biểu diễn trực quan khác.
• Theo dõi và phản ứng với các thay đổi tài nguyên:
  • Nó có thể được cấu hình theo cách để đáp ứng với những thay đổi về tính khả dụng của tài nguyên hoặc khi tài nguyên không hoạt động bình thường.

CloudTrail

CloudTrail là một dịch vụ ghi nhật ký có thể được sử dụng để ghi lại lịch sử của các lệnh gọi API. Nó cũng có thể được sử dụng để xác định người dùng nào từ Bảng điều khiển quản lý AWS đã yêu cầu dịch vụ cụ thể. Lấy tham chiếu từ ví dụ của chúng tôi, đây là công cụ mà từ đó bạn sẽ xác định được 'hacker' khét tiếng.

ĐÃ SẴN SÀNG

Quản lý Danh tính và Truy cập (IAM) được sử dụng để cấp quyền truy cập được chia sẻ vào tài khoản AWS của bạn. Nó có các chức năng sau:

• Quyền chi tiết:
  • Nó có thể được sử dụng để cấp quyền truy cập cho các loại người dùng khác nhau ở cấp độ di động. Ví dụ: Bạn có thể cấp quyền truy cập đọc cho một người dùng cụ thể và quyền truy cập đọc ghi cho một người dùng khác.
• Truy cập an toàn vào các ứng dụng chạy trên môi trường EC2:
  • IAM có thể được sử dụng để cấp quyền truy cập an toàn bằng cách yêu cầu người dùng nhập thông tin đăng nhập để truy cập các tài nguyên EC2 tương ứng.
• Dùng miễn phí:
  • AWS đã cung cấp dịch vụ IAM miễn phí để sử dụng với bất kỳ dịch vụ aws nào tương thích.

AWS Shield

Nó là dịch vụ từ chối DDOS được quản lý. Hãy nhanh chóng xem xét DDoS là gì?

DDoS về cơ bản là làm quá tải trang web của bạn với lưu lượng truy cập không liên quan với ý định gỡ bỏ trang web của bạn. Làm thế nào nó hoạt động? Tin tặc tạo ra một mạng bot bằng cách lây nhiễm vào nhiều máy tính được kết nối trên internet, bằng cách nào? Bạn có nhớ những email kỳ lạ mà đôi khi bạn nhận được trên thư của mình không? Xổ số, viện trợ y tế, v.v. Về cơ bản, chúng khiến bạn nhấp vào thứ gì đó, cài đặt phần mềm độc hại trên máy tính của bạn, sau đó được kích hoạt để làm cho máy tính của bạn, một điểm cộng, trong lưu lượng truy cập không liên quan.

Không an toàn về ứng dụng web của bạn? Don’t be AWS Shield đang ở đây.

Chia tách làm gì trong java

Nó cung cấp hai loại dịch vụ:

1. Tiêu chuẩn
2. Nâng cao

Các Tiêu chuẩn gói này miễn phí cho tất cả người dùng và ứng dụng web của bạn trên AWS tự động được bao phủ bởi gói này theo mặc định. Nó bao gồm các tính năng sau:

• Phát hiện nhanh
  • Phát hiện lưu lượng truy cập độc hại khi đang di chuyển bằng cách sử dụng các thuật toán bất thường.
• Các cuộc tấn công giảm nhẹ nội tuyến
  • Các kỹ thuật giảm thiểu tự động được tích hợp trong AWS Shield giúp bạn chống lại các cuộc tấn công thông thường.
• Thêm Quy tắc tùy chỉnh để hỗ trợ ứng dụng của bạn.

Không đủ? Đây là một Nâng cao gói quá. Với một chút chi phí bổ sung, bạn có thể trang trải tài nguyên Bộ cân bằng tải đàn hồi, Tuyến đường 53 và CloudFront của mình.

Tất cả những gì được bao gồm? Chúng ta hãy có một cái nhìn:

• Phát hiện nâng cao
  • Nó bao gồm các kỹ thuật bổ sung như giám sát tài nguyên cụ thể và cũng cung cấp khả năng phát hiện chi tiết các cuộc tấn công DDoS.
• Giảm thiểu tấn công nâng cao
  • Các biện pháp giảm nhẹ tự động phức tạp hơn.
• Hiển thị và Thông báo Tấn công
  • Thông báo thời gian thực bằng cách sử dụng CloudWatch.
• Hỗ trợ chuyên biệt
  • Hỗ trợ 24 × 7 từ nhóm phản hồi DDoS đặc biệt.
• Bảo vệ chi phí DDoS
  • Ngăn chặn chi phí tăng đột biến do quá tải bởi các cuộc tấn công DDoS.

Tóm lại, bất kỳ nhà cung cấp dịch vụ đám mây nào để đạt được thành công đều tuân theo các tiêu chuẩn cao nhất trong Cloud Security và dần dần nếu không phải là ngay lập tức, những người vẫn chưa tin tưởng vào Cloud sẽ hiểu rằng cần phải tiếp tục.

Có một câu hỏi cho chúng tôi? Vui lòng đề cập đến nó trong phần nhận xét của blog Cloud Security này và chúng tôi sẽ liên hệ lại với bạn.