Varnost v oblaku

Ko prek spleta predvajamo svoj najljubši album, nakupujemo v spletni trgovini ali z domačega računalnika odgovarjamo na službeno e-pošto, izkoriščamo prednosti računalništva v oblaku. Toda kaj je v resnici računalništvo v oblaku?
Računalništvo v oblaku je oblika računalništva, pri kateri so omrežja, shranjevanje podatkov, aplikacije, varnost in razvojna orodja omogočeni prek interneta, v nasprotju z lokalnim računalnikom ali lokalnim strežnikom v kakšni organizaciji.

Računalništvo v oblaku je izraz, ki opisuje tako platformo kot vrsto aplikacij. Platforma za računalništvo v oblaku omogoča dinamično zagotavljanje, konfiguriranje in odstranjevanje strežnikov glede na potrebe uporabnikov. Ti strežniki so lahko fizični ali virtualni stroji. Napredni oblaki pogosto vključujejo tudi druge računalniške vire, kot so omrežja za shranjevanje podatkov (SAN), omrežna oprema, požarni zidovi in druge varnostne naprave.

Nacionalni inštitut za standarde in tehnologijo (NIST) Združenih držav Amerike računalništvo v oblaku opredeljuje kot “model za omogočanje priročnega omrežnega dostopa na zahtevo do skupnega sklada nastavljivih računalniških virov (npr. omrežij, strežnikov, shrambe, aplikacij in storitev), ki se lahko hitro zagotovijo in sprostijo z minimalnim naporom upravljanja ali interakcije s ponudnikom storitev”.

NIST navaja pet značilnosti računalništva v oblaku:

Samopostrežba na zahtevo: Stranka lahko sama upravlja svoje računalniške vire brez človeške interakcije s prodajalcem.
Širok dostop do omrežja: Omogoča dostop do računalniških virov s številnih naprav, kot so prenosni računalniki in pametni telefoni.
Združevanje virov: Prodajalci si delijo računalniške vire za zagotavljanje storitev več strankam.
Hitra elastičnost: Hitro in samodejno povečevanje in zmanjševanje računalniških virov glede na povpraševanje.
Merjena storitev, ki se plačuje po porabi: Stranke plačajo le računalniške vire, ki jih uporabljajo.

Poleg tega NIST določa tri modele storitev računalništva v oblaku:

Infrastruktura kot storitev (IaaS): Pri tem prodajalec zagotavlja fizično računalniško strojno opremo, vključno z obdelavo procesorja, pomnilnikom, shranjevanjem podatkov in omrežno povezljivostjo.
Platforma kot storitev (PaaS): Pri tem prodajalec zagotavlja infrastrukturo kot storitev ter operacijske sisteme in strežniške aplikacije, kot so spletni strežniki.
Programska oprema kot storitev (SaaS): Prodajalec uporablja svojo infrastrukturo in platforme v oblaku, da strankam zagotavlja programske aplikacije, kot so e-pošta, obdelava dokumentov in urejanje v realnem času (npr. Colabora in Nextcloud), kjer več uporabnikov hkrati ureja iste dokumente. To lahko prinese izzive, še posebej ko uporabniki hkrati urejajo postavitev, dodajajo slike ali spreminjajo sloge, kar lahko povzroči zmedo ali motnje v oblikovanju besedila.

Tipi oblakov

Zasebni oblak

Celotna infrastruktura je namenjena uporabi znotraj ene same organizacije, ki je sestavljena iz več enot. Upravljanje, vzdrževanje in lastništvo so lahko v rokah iste organizacije, zunanjega ponudnika ali kombinacije obeh. Sistem je lahko lociran na sedežu organizacije ali izven njega.

Skupni oblak

Infrastruktura je namenjena skupnosti organizacij, ki imajo podobne zahteve ali skupne cilje. Upravljanje, vzdrževanje in lastništvo so lahko v domeni ene ali več organizacij v skupnosti, zunanjega ponudnika ali kombinacije obeh. Sistem lahko deluje na lokaciji ene od organizacij ali zunaj nje.

Javni oblak

Infrastruktura je namenjena za splošno uporabo. Ponudnik storitev je lahko zasebno podjetje, izobraževalna ustanova ali vladna agencija. Običajno je infrastruktura locirana pri ponudniku storitev.

Hibridni oblak

Hibridni oblak predstavlja kombinacijo dveh ali več vrst oblakov (zasebnega, javnega, skupnega). Čeprav so oblaki fizično ločeni, omogočajo skupni standardi in tehnologije enostavno prehajanje aplikacij in podatkov med njimi.

Javni oblak je v primerjavi z drugimi modeli oblaka bolj izpostavljen varnostnim težavam, ker je odprt za vse in je kot povezovalni medij uporablja vseprisotni internet. Zato se morajo varnostne politike in postopki med posameznimi modeli uvajanja razlikovati.

Varnostna tveganja v oblaku

Ranljivost računalniškega sistema je značilnost, ki lahko ogrozi njegovo delovanje in varnost podatkov, ki jih hrani. Storitve, ki delujejo v oblaku, dedujejo vse ranljivosti klasičnih računalniških sistemov. Vendar pa zaradi posebnih značilnosti oblačnih storitev obstajajo tudi specifične grožnje, ki jih je treba upoštevati:

Nedovoljen dostop do upraviteljskega in programskega vmesnika

Zaradi narave storitev v oblaku morajo biti upraviteljski vmesniki dostopni preko interneta široki množici uporabnikov. To pomeni, da so ti vmesniki izpostavljeni napadom iz interneta, kar lahko vodi do nepooblaščenega dostopa in upravljanja.

Ranljivosti internetnega protokola

Široka dostopnost oblačnih storitev preko standardiziranih protokolov prinaša tudi vse ranljivosti teh protokolov. Pri varnosti v oblaku je zato potrebno upoštevati tudi napade, kot je na primer napad vrinjenega napadalca (man-in-the-middle attack).

Ranljivosti obnovitve podatkov

Oblačne storitve uporabljajo skupne vire, kar pomeni, da lahko fizični nosilec podatkov, ki je bil prej dodeljen enemu uporabniku, kasneje pripade drugemu uporabniku. Če pred tem ni poskrbljeno za varen izbris podatkov, lahko novi uporabnik obnovi izbrisane podatke in tako pride do razkritja informacij.

Izogibanje merjenju in plačilu

Oblačne storitve se običajno plačujejo glede na porabo. Za začetek uporabe storitve je praviloma potrebno vnesti le osnovne podatke in številko kreditne kartice. Napadalci lahko izkoristijo ukradene podatke ali spreminjajo podatke o porabi, da se izognejo plačilu za storitve.

Reševanje in preprečevanje varnostnih izzivov pri računalništvu v oblaku

1. Varnostni izzivi v trikotniku CIA (Zaupnost, Celovitost in Razpoložljivost)

Varnost v oblaku temelji na zaščiti podatkov v treh ključnih vidikih: zaupnosti, celovitosti in razpoložljivosti (CIA trikotnik). Da bi zagotovili te lastnosti, je treba implementirati vrsto varnostnih ukrepov, ki so opisani spodaj:

Razvrstitev podatkov: Identifikacija občutljivih podatkov, določitev politik in metod dostopa.
Shranjevanje podatkov: Uporaba ustrezne fizične in logične zaščite, vključno z načrtom varnostnega kopiranja in obnove.
Določanje pravil za deljenje podatkov: Identifikacija, kateri podatki se lahko delijo, komu in kako.
Načrt za ukrepanje v primeru, da pride do korupcije ali vdora v podatke.
Uporaba močnih šifrirnih algoritmov (AES, RSA).
Uporaba tretjih oseb za preverjanje celovitosti podatkov.
Upravljanje identitete in dostopa (IAM): Uporaba ustreznih tehnik za zaščito zaupnosti in celovitosti.
Strategija nadomestnega delovanja: Načrt za primer izpada storitve.
Tehnike razpršitve podatkov: Shranjevanje podatkov v fragmentih v več oblakih.

2. Varnostni izzivi pri avtentikaciji in nadzoru dostopa

Pri avtentikaciji in nadzoru dostopa je ključno, da vzpostavimo zanesljiv sistem, ki preprečuje nepooblaščen dostop in omogoča učinkovito identifikacijo uporabnikov. Sledijo nekatere osnovne varnostne rešitve, ki jih lahko implementiramo:

Politika enotne prijave (SSO): Kjer je le mogoče, uporabite politiko enotne prijave.

Večfaktorska avtentikacija: Uporaba večfaktorske avtentikacije, ki omogoča tako upravljanje identitete kot dostopa.
Biometrična avtentikacija: Možnost uporabe biometričnih metod za najvarnejšo obliko enotne prijave.
Sistem za zaznavanje vdorov (IDS): Implementacija IDS, požarnih zidov in ločevanje obveznosti na različnih omrežnih in oblačnih slojih.
Odprti standardi za avtentikacijo: Uporaba standardov kot sta SAML in OAuth za izmenjavo podatkov o avtentikaciji in avtorizaciji.

3. Varnostni izzivi zaradi neustrezne avtentikacije, sej in nadzora dostopa

Pri obravnavi avtentikacije in nadzora dostopa je pomembno razumeti, kako lahko kot razvijalec ali uporabnik poskrbite za pravilno izvajanje teh postopkov. Tukaj je nekaj praktičnih smernic:

Politika enotne prijave (SSO): Kadar je mogoče, uporabite SSO, saj omogoča enotno prijavo za različne storitve, kar olajša nadzor nad dostopi.
Večfaktorska avtentikacija (MFA): To vključuje kombinacijo več metod avtentikacije (npr. geslo in SMS), kar bistveno izboljša varnost dostopa.
Biometrična avtentikacija: Če imate možnost, uvedite biometrične metode, kot so prstni odtis ali prepoznava obraza, saj so to zelo varni načini prijave.
Sistem za zaznavanje vdorov (IDS): Implementirajte IDS, ki zazna in obvešča o morebitnih poskusih nepooblaščenega dostopa do sistema.
Pri teh ukrepih gre za razmeroma preproste, a zelo učinkovite metode za zaščito sistema in podatkov v oblaku.

4. Drugi varnostni izzivi, povezani s podatki

Poleg osnovne varnosti je pomembno tudi poznavanje lokacije in ločevanje podatkov, ki lahko prepreči nenamerno uhajanje informacij. Tukaj je nekaj ključnih varnostnih ukrepov:

Poznavanje lokacije podatkov: uporabnik oblaka naj pozna fizično in logično lokacijo podatkov.
Vzpostavitev politik lokacije in jurisdikcije.
Uporaba inteligentnih tehnik za ločevanje podatkov različnih uporabnikov.
Uporaba močnih šifrirnih tehnik za zaščito varnostnih kopij in preprečevanje uhajanja podatkov.

Varnost v oblaku je ključen vidik, ki ga podjetja in posamezniki ne smejo zanemariti pri uporabi oblačnih storitev. Čeprav oblak ponuja številne prednosti, kot so fleksibilnost, skalabilnost in stroškovna učinkovitost, prinaša tudi nove varnostne izzive. S pravilnim pristopom, ki vključuje uporabo naprednih varnostnih orodij, dosledno izvajanje varnostnih politik ter izobraževanje uporabnikov, je mogoče bistveno zmanjšati tveganja in zagotoviti varno uporabo oblačnih storitev. V prihodnosti bo varnost v oblaku ostala ključna tema, saj se bo obseg oblačnih storitev še naprej povečeval in z njim tudi potreba po učinkoviti zaščiti podatkov in sistemov.

Avtorica prispevka: Lea Bogosavljević

O nas

Zavod Rhea se posveča izboljšanju dostopa do storitev in povečanju ozaveščenosti o digitalni pismenosti, zlasti pri ranljivih skupinah. S spodbujanjem digitalne pismenosti ljudem omogočamo boljšo uporabo digitalnih orodij in izboljšamo kakovost življenja. Prav tako se trudimo povečati dostopnost odprtokodne in pregledne programske opreme za trenutne in potencialne uporabnike. Več o nas in naših programih lahko izveste na https://www.rhea.si/.

Viri

Australian Cyber Security Centre. (18. 1. 2024.). Cloud computing security for executives. Australian Cyber Security Centre. https://www.cyber.gov.au/resources-business-and-government/maintaining-devices-and-systems/cloud-security-guidance/cloud-computing-security-executives

Kovačič, M. (2016). Varnostni vidiki oblačnega računalništva. Digitalni repozitorij UL. https://repozitorij.uni-lj.si/Dokument.php?id=90379

P. Ravi Kumar , P. Herbert Raj, P. Jelciana. (december 2017). Exploring Data Security Issues and Solutions in Cloud Computing. 6th International Conference on Smart Computing and Communications. https://www.sciencedirect.com/science/article/pii/S1877050917328570?ref=pdf_download&fr=RR-2&rr=8afad61e4ebcc30c

Southern New Hampshire University. (27. 10. 2022). What is cloud computing? Southern New Hampshire University. https://www.snhu.edu/about-us/newsroom/stem/what-is-cloud-computing

Piškotek	Trajanje	Opis
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.