La computación en nube: Cloud aprovisionamiento y almacenamiento
Más allá de los ahorros de costes y flexibilidad de nube informática son ciertas ventajas tácticas como provisioning automatizado y cifran de almacenamiento de información.
Vic (J.R.) Winkler
Adaptado de "Asegurar la nube" (Syngress, un sello editorial de Elsevier)
Hay varias ventajas transmitidas por cloud computing que a menudo no consideran que la mayoría de profesionales de TI. Una tal ventaja es provisioning automatizada. La principal ventaja de provisioning automatizado en la nube es sencillamente la automatización, la previsibilidad y la velocidad de preparar un recurso para un cliente interno o externo.
Los recursos puede suministrar esta manera abarca toda la gama, incluyen una virtual datacenter (infraestructura como servicio), en una máquina virtual (VM) con o sin un software pila (plataforma como servicio), host o aplicaciones de software (Software como servicio). Hay otras ventajas para aprovisionamiento de esta manera, tales como mejorar disponibilidad por aprovisionamiento varias instancias de un servicio o aprovisionamiento de un servicio a través de múltiples centros de datos.
Aprovisionamiento representa una fase de entrega, por lo que todo lo que se entrega debe tener integridad antes de que se ha entregado y desplegado. Provisioning de seguridad depende de la capacidad para proteger imágenes maestras y desplegarlos intacto y en forma segura.
Otros desafíos de seguridad aprovisionamiento incluyen la dependencia hipervisores y la necesidad de aislamiento del proceso en cada etapa del aprovisionamiento y de-provisioning. Hay una mayor preocupación por el peligro potencial de un servicio de aprovisionamiento que para la seguridad de un hipervisor. Después de aprovisionamiento de un servicio o una máquina virtual, tienes que proteger y aislar de otros inquilinos y servicios.
Hay una mayor preocupación con la seguridad que con la tecnología subyacente de la máquina virtual. Aunque un inquilino o un cliente puede tener acceso bajo demanda a los controles de seguridad como firewalls virtuales, servicios de autenticación y el registro de seguridad, estos servicios podrían cambiar la implementación subyacente está parcheada o actualizada.
Reglas de cortafuegos y otros datos de configuración de seguridad podrían convertirse en operacionalmente incorrectas como se utilicen imágenes de máquina virtual en una infraestructura actualizada o reconfigurada. Aunque normalmente esto es manejado por las implementaciones de nube pública, cosas tales como administración de configuración y control de versión para implementaciones de nube que necesite una mejoría significativa.
Existen otros riesgos, incluyendo interacciones no deseadas o transferencia de información cuando los controles de seguridad bajo demanda están integrados con una aplicación de cliente. Reciclado de identificadores de usuario y direcciones IP también representan la preocupación si reciclado una IP o UID hace posible que un usuario sin querer acceder a un recurso de información que no es suyo. La cuestión esencial aquí tiene que ver con el proceso de asignación y habilitar elementos o de-allocating cualquier VMs, recursos de información.
Por último, hay otras preocupaciones cuando de-provisioning un servicio o una máquina virtual. Este proceso puede tener consecuencias idénticas al aprovisionamiento si falla o está en peligro en cualquier momento.
Parámetros de almacenamiento nube
Los problemas de aprovisionamiento no existen en el vacío. Hay varias preocupaciones conexas alrededor de almacenamiento de datos de nube:
- Almacenamiento de nube a menudo utiliza instalaciones centralizadas, para que algunos ven almacenamiento como un objetivo potencial para los delincuentes o piratas informáticos. Esto ha sido siempre el caso para cualquier recurso valioso. Esto puede mitigar mediante la aplicación de los controles de seguridad apropiados.
- Multitenancy presenta preocupaciones, con potencial de mecanismos de aislamiento de datos que tampoco puede fallar en operación o en una operación de reversión de un sistema de copia de seguridad.
- Sistemas de almacenamiento consisten en complejas implementaciones de hardware y software. Siempre existe el potencial para los modos de falla catastrófica que podría destruir los datos o exponer los datos de un cliente a otro.
Estas preocupaciones son en gran medida hipotéticas, aunque no fuera del ámbito de posibilidad. Un consumidor de nube sería bien para seleccionar un proveedor basado en cómo representan su enfoque para mitigar o evitar estos riesgos. Deberíamos esperar que, si los proveedores de nube son conscientes de tales riesgos, probablemente buscarán enfrentarlos para evitar dañar su reputación.
Hay otras preocupaciones de seguridad de almacenamiento de información que pueden justificar una mayor atención. Existe la posibilidad de que un proveedor de nube podría almacenar información en múltiples jurisdicciones. Por lo tanto, existe el potencial para que los datos a ser visitada por gobiernos extranjeros.
Hay varias preocupaciones aquí, en particular la oportunidad para una nación hospedaje flexionar sus derechos legales para obtener una copia de los datos almacenados o tránsito a través de una orden judicial. Es probable que se convierten en una situación de Autocorreción, como los proveedores probablemente evitará el riesgo para su reputación como custodios de los datos mediante la transferencia de datos desde una nación de origen a otro que podrían tener acceso a datos por las autoridades de otra nación.
La preocupación mayor es la posibilidad de que los datos de un cliente podrían ser comingled con datos pertenecientes a terceros. Esto generalmente no es un riesgo a menos que exista un fallo que da como resultado la exposición de la información. Siendo realistas, los controles subyacentes construidos en file systems, particiones de disco, esquemas RAID y controladores de hardware que implementen o de lo contrario apoyan la separación de datos son muy confiables.
Cuando ocurren fallas, tienden a ser detectado en niveles bajos, procesamiento de la unidad de almacenamiento disponible. En lugar de comingling datos pertenecientes a varios usuarios en un sistema de archivo lógico único, usando máquinas virtuales permite mayor aislamiento debido a cómo una VM puede utilizar almacenamiento virtual dentro de la máquina virtual.
Hay muchas maneras de aislar los datos de los datos pertenecientes a otros usuarios. Probablemente es la norma para el almacenamiento de nube a varios medios de aislamiento, se refuerzan mutuamente de la VM hasta permisos de sistema de archivos para la partición de disco e incluso dispositivos físicos. Nuevamente, problemas jurisdiccionales y comingling orden de investigación por parte de los consumidores potenciales nube.
Proveedores de nube generalmente abordan muchas de estas preocupaciones de almacenamiento de información. Aunque aplicación almacenamiento nube depende de las opciones de proveedor, las características intrínsecas del modelo suele invitar a mayor seguridad de almacenamiento de datos que la infraestructura tradicional. Como almacenamiento de información en una nube tiende a ser centralizada, aplicación de encriptación y protección de datos a través de la Junta en una nube pública es bastante sencillo.
Así, es típico de las ofertas públicas de nube cifrar los datos en reposo y en tránsito. Centralizar el almacenamiento de información también facilita implementar vigilancia, probablemente a un nivel que usted no sería capaz de implementar de manera rentable en una infraestructura descentralizada.
La encriptación tiene muchos otros usos en el entorno de la nube, incluyendo:
- Controlar el acceso a las interfaces de control de recursos
- Control de acceso para los administradores de imágenes de VMs y OS
- Controlar el acceso a las aplicaciones
Datos no sólo existen dentro de la nube, aunque. El centro de datos típico continuamente realiza backups de datos para fines de recuperación o retención de desastre. Estas copias de seguridad a menudo se almacenan fuera del sitio en una instalación sin conexión operada por un tercero.
Aunque estos proveedores tienen más probabilidades de actuar dentro de los límites de su contrato y preservar la confidencialidad de estas copias de datos, están sujetas a error. Ciertamente son sujetos a brazo jurisdiccional torsión que puede no estar en su mejor interés. Así que, como siempre, paga a ser prudente y diligente con tus datos.
Vic (J.R.) Winkler es un senior asociado en Booz Allen Hamilton Inc., proporcionando asesoría técnica a Estados Unidos principalmente. clientes de Gobierno. Es una seguridad de la información publicada y investigador de seguridad cibernética, así como un experto en detección de intrusión y anomalías.
© 2011 Elsevier Inc. Todos los derechos reservados. Impreso con permiso de Syngress, un sello editorial de Elsevier. Copyright 2011. “Asegurar la nube" por Vic (J.R.) Winkler. Para obtener más información sobre este título y otros libros similares, visite elsevierdirect.com.