Риски информационной безопасности облачных вычислений

Европейская сеть и агентство по информационной безопасности в исследовании, посвященном рискам информационной безопасности облачных вычислений, выделяет несколько категорий рисков, присущих облачным вычислениям. К ним относятся: организационные, технические и юридические категории рисков.

Примером организационного риска является жесткая привязка к поставщику облачных услуг, что может повлечь финансовые потери вследствие повышения стоимости оплаты услуг или попытке миграции к другому провайдеру. Следующий риск — потеря управления, который может привести к невозможности соблюдения требований безопасности, отсутствию конфиденциальности, целостности и доступности данных, а также ухудшению производительности и качества обслуживания. Соответствие требованиям — один из организационных рисков, возникающий вследствие невозможности провайдерами облачных сервисов предоставить сведения о соответствии сервиса требованиям безопасности, так хостинг-сервис EC2 не может быть использован для проведения операций с кредитными картами. Следующий организационный риск состоит в потере бизнес-репутации компании-клиента, вызванный тем, что вредоносная деятельность одного из арендаторов может сказаться и на других арендаторах через блокировку ip-адресов, если производится спам-рассылка или конфискации ресурсов, если есть соответствующее постановление суда. Еще один риск — прекращение работы провайдера, к примеру, из-за отсутствия финансовой поддержки или конкурентного давления.

К техническим рискам можно отнести истощение ресурсов, к которому могут привести уязвимости в алгоритмах распределения ресурсов, атаки типа отказ в обслуживании. Этому риску могут быть подвержены сервисы, интенсивно использующие ресурсы провайдера. Совместное использование ресурсов является одной из определяющих характеристик среды облачных вычислений, отсюда возникают риски отказа механизмов разделения (памяти, данных) между несколькими пользователями. Вероятность этого инцидента будет мала в частном облаке, и возрастать — в общем. Следствием может быть потеря конфиденциальных данных, ущерб для репутации компании. К техническим рискам также относится вредоносная деятельность инсайдеров, которая может влиять на конфиденциальность, целостность и доступность всех видов данных клиентов. По сравнению с традиционным хостинг-провайдером поставщики публичных облачных услуг предоставляют больший набор услуг, поэтому представляют повышенный риск, особенно в сочетании с возможностью удаленного доступа и уязвимостей веб-браузеров. Этот риск можно уменьшить путем увеличения инвестиций в безопасность провайдера. Облачные вычисления, будучи распределенной архитектурой, по сравнению с традиционными архитектурами, интенсивнее обмениваются данными с распределенными в сети машинами, поэтому такие атаки как перехват трафика, человек посередине и подмена следует рассматривать в качестве возможных источников угроз, сюда же можно отнести утечки данных. Следующим техническим риском можно назвать небезопасное удаление данных, когда производится запрос на удаление облака ресурсов, но к безопасному удалению данных это не приводит, так как полное удаление данных возможно только путем разрушения жесткого диска. Один из рисков — потеря или раскрытие ключей шифрования. Каждая облачная архитектура зависит от программного обеспечения, которое может содержать критические уязвимости, например, в гипервизоре.

К юридическим рискам можно отнести расположение дата-центров в странах или в зонах с непредсказуемой правовой базой, где не соблюдаются международные соглашения, что может привести к захвату конфиденциальных данных клиентов.

Источник: ENISA, Cloud Computing Risk Assessment

Поделиться в соц. сетях

Автор

Дмитрий Федоров

Редактор сайта, старший преподаватель кафедры вычислительных систем и программирования СПбГЭУ. Сфера интересов: - разработка и проведение обучающих курсов на основе языка программирования Python для всех специальностей; - проведение семинаров по методологии научной деятельности; - исследование трансформации рынка труда с использованием методов анализа данных.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *