محاسبات ابر همچنان برای تبدیل سازمانها به استفاده، ذخیره و به اشتراک گذاری داده ها، برنامه ها و حجم کار است. همچنین یک سری از تهدیدات امنیتی و چالش های امنیت سایبری جدید را معرفی کرده است. با توجه به اطلاعات زیاد به ابر و به ویژه سرویس ابرهای عمومی، این منابع اهداف طبیعی برای بازیگران بد می شوند.
جی هییسر، معاون رئیس جمهور و مدیر امنیت ابر در Gartner، Inc. می گوید: "میزان استفاده از ابرهای عمومی به سرعت در حال افزایش است، به طوری که به ناچار منجر به یک جرم وسیعی از موارد حساس می شود که به طور بالقوه در معرض خطر هستند."
برخلاف آنچه بسیاری فکر می کنند، مسئولیت اصلی محافظت از اطلاعات شرکت ها در ابر نه با ارائه دهنده خدمات بلکه با مشتری ابر است. هیزر می گوید: "ما در یک دوره انتقال امنیت ابر هستیم که در آن تمرکز از ارائه کننده به مشتری تغییر می کند." "شرکت ها در حال یادگیری هستند که مقدار زیادی وقت صرف شده است که تلاش می کند دریابید که آیا ارائه دهنده سرویس ابر خاص" امن "است یا خیر، تقریبا بدون بازپرداخت است."
Cloud Security Alliance (CSA) به منظور فراهم آوردن سازمان ها با درک دقیق نگرانی های امنیتی ابر، به طوری که آنها می توانند تصمیمات تحصیلی در مورد استراتژی های تصویب ابر را اتخاذ کنند، آخرین نسخه از 12 تهدید برتر خیانتکار خود را به Cloud Computing Plus: Industry گزارش های بینش
این گزارش نشان دهنده توافق کنونی میان کارشناسان امنیتی در انجمن CSA در مورد مهمترین مسائل امنیتی در ابر است. CSA می گوید، در حالی که نگرانی های امنیتی زیادی در ابر وجود دارد، این لیست به 12 مورد خاص مربوط به طبیعت به اشتراک گذاشته شده و تحت تقاضای رایانه های ابر می پردازد. یک گزارش پیگیری، تهدیدات برتر به ابر رایانه: غواص عمیق، مطالعات موردی را برای بسیاری از 12 تهدید بررسی می کند.
برای شناسایی نگرانی های بالا، CSA یک نظرسنجی از کارشناسان صنعت انجام داد تا نظرات حرفه ای را درمورد مسائل امنیتی بزرگ در محاسبات ابر محاسبه کند. در اینجا مسائل مهم امنیتی ابر (رتبه بندی شده به ترتیب شدت در هر نتایج بررسی):
1. نقض اطلاعات
CSA می گوید نقض اطلاعات ممکن است هدف اصلی حمله هدفمند یا به سادگی نتیجه خطاهای انسانی، آسیب پذیری های برنامه یا اقدامات امنیتی ضعیف باشد. ممکن است شامل هر نوع اطلاعاتی باشد که برای انتشار عمومی طراحی نشده است، از جمله اطلاعات شخصی بهداشت، اطلاعات مالی، اطلاعات شخصی شناسایی، اسرار تجاری و مالکیت معنوی. داده های مبتنی بر ابر سازمان ممکن است به دلایل مختلف به احزاب مختلف احتیاج داشته باشد. خطر تخریب داده ها برای محاسبات ابری منحصر به فرد نیست، اما به طور مداوم به عنوان یک نگرانی عمده برای مشتریان ابر تعلق دارد.
گزارش عمیق غواصی LinkedIn رمز عبور هک 2012 را به عنوان مثال اصلی از نقض اشاره می کند. مهاجم توانست 167 میلیون کلمه عبور را سرقت کند چرا که LinkedIn پایگاه داده رمز عبور را نمیدید. بر اساس این گزارش، کلاهبرداری از این نقض، این است که سازمانها باید همیشه پایگاههای حاوی اطلاعات کاربری را شامل شوند و تجزیه و تحلیل های مربوط به ورود و خروج مناسب را انجام دهند.
2. هویت، اعتبار و مدیریت دسترسی ناکافی
بازیگران بد به عنوان کاربران مشروع، اپراتورها و یا توسعه دهندگان می توانند داده ها را بخوانند، اصلاح و حذف کنند؛ کنترل هواپیما و توابع مدیریت؛ CSA می گوید: "در حال انتقال اطلاعات و یا انتشار نرم افزارهای مخرب که به نظر می رسد از یک منبع قانونی منشا گرفته است." در نتیجه، هویت، اعتبارنامه یا مدیریت کلید ناکافی می تواند دسترسی غیرمجاز به اطلاعات و آسیب های بالقوه فاجعه آمیز به سازمان ها یا کاربران نهایی را فراهم کند.
براساس گزارش Deep Nive، یک نمونه از مدیریت دسترسی به مدیریت دسترسی کافی است، کشف غیرقانونی نصب پیش فرض پایگاه داده MongoDB. این پیاده سازی به طور پیشفرض یک پورت باز است که اجازه دسترسی بدون احراز هویت را داد. این گزارش توصیه می کند که کنترل های پیشگیرانه در همه ابعاد وجود داشته باشد و سازمان ها محیط های مدیریت شده، مشترک و عمومی را برای آسیب پذیری ها اسکن کنند.
3. رابط های ناامن و رابط برنامه نویسی برنامه (APIs)
ارائه دهندگان ابر مجموعه ای از رابط کاربر نرم افزار (UI) یا API را که مشتریان برای مدیریت و ارتباط با سرویس های ابر استفاده می کنند قرار می دهند. CSA می گوید: تهیه، مدیریت و نظارت با این رابط ها انجام می شود و امنیت و دسترسی به خدمات ابر کلی به امنیت API ها بستگی دارد. آنها باید برای محافظت در برابر اقدامات تصادفی و مخرب برای دور زدن سیاست طراحی شوند.
4. آسیب پذیری سیستم
آسیب پذیری های سیستم، اشکالات قابل بهره برداری در برنامه هایی هستند که مهاجمان می توانند برای نفوذ به سیستم برای سرقت اطلاعات، کنترل سیستم و یا خراب کردن عملیات سرویس استفاده کنند. CSA می گوید آسیب پذیری ها درون اجزای سیستم عامل امنیت همه خدمات و داده ها را در معرض خطر قابل توجهی قرار می دهند. با ظهور چندین اجاره در ابر، سیستم های مختلف سازمان ها به یکدیگر نزدیک می شوند و دسترسی به حافظه و منابع مشترک ایجاد می شود و سطح حمله جدیدی ایجاد می شود.
کوئلز
یک نمونه از گزارش عمیق غواصی، آسیب پذیری Cloudbleed است، در حالی که یک بازیگر مخرب پیشین قادر به سرقت کلید های API، رمزهای عبور و سایر اعتبارات از ارائه دهنده خدمات امنیتی Cloudflare با استفاده از آسیب پذیری در نرم افزار خود بود. این گزارش توصیه می کند که تمام داده های حساس باید رمزگذاری شوند و داده ها بر اساس سطح حساسیت تقسیم شوند.
13. تهدید ابدی پاداش: Spectre and Meltdown
در ژانویه 2018، محققان ویژگی های طراحی را که در بیشتر میکروپروسسورهای مدرن معمول است، می توانند محتوای، از جمله داده های رمزگذاری شده را مجاز به خواندن از حافظه با استفاده از کد جاوا اسکریپت مخرب، نشان دهند. دو تغییر در این موضوع، Meltdown و Spectre، بر همه دستگاه ها از گوشی های هوشمند به سرور تاثیر می گذارد. این به خاطر دومی است که ما آنها را به این لیست تهدیدات ابر اضافه می کنیم، و این باعث می شود که ده ها نانوایی کثیف باشد.
هر دو Spectre and Meltdown اجازه می دهند که حملات جانبی را به هم بزنند زیرا انزوا بین برنامه ها را مختل می کند. یک مهاجم که قادر به دسترسی به یک سیستم از طریق ورود غیر مجاز است، می تواند اطلاعات را از هسته خواند یا مهاجمان می توانند هسته میزبان را بخوانند، اگر آنها یک کاربر ریشه در یک ماشین مجازی مهمان (VM) باشند.
این یک مسئله بزرگ برای ارائه دهندگان سرویس ابری است. در حالیکه patches در حال تبدیل شدن به در دسترس هستند، تنها حمله حمله را سخت تر می کنند. تکه ها همچنین ممکن است عملکرد را کاهش دهند، بنابراین برخی از شرکت ها ممکن است تصمیم به ترک سیستم های خود را از دست بدهند. CERT Advisory توصیه می کند جایگزینی تمام پردازنده های آسیب دیده را سخت کند تا زمانی که جایگزینی هنوز وجود نداشته باشد.
تا کنون، هیچ سوء استفاده شناخته شده ای وجود ندارد که از Meltdown یا Spectre استفاده کرده باشند، اما متخصصان معتقدند که احتمالا و نسبتا به زودی. بهترین توصیه برای ارائه دهندگان ابر برای محافظت در برابر آنها این است که مطمئن شوید همه آخرین تکه ها در محل قرار دارند. مشتریان باید اطلاعاتی در مورد نحوه ارائه دهندگان ابرشان به Meltdown و Spectre پاسخ دهند.