Το Cloud computing παρέχει τεράστιες επιχειρηματικές δυνατότητες ανάπτυξης, με προϋπόθεση όμως τη διαχείριση των κινδύνων ασφάλειας. Το Cloud computing προσφέρει τη δυνατότητα στις επιχειρήσεις να αποσυνδέσουν τις ανάγκες τους σε υποδομές πληροφορικής, από την υλοποίηση και συντήρηση των υποδομών αυτών. Προσφέρει τις αναγκαίες υποδομές με τη μορφή υπηρεσίας και πελάτης / επιχείρηση κάνει χρήση των υποδομών αυτών βάσει των αναγκών του.
Ο πελάτης δεν χρειάζεται να επενδύσει σε υποδομές αλλά ούτε και να επωμιστεί το κόστος συντήρησης αυτών. Ο πελάτης συνδέεται στην υποδομή του παρόχου και κάνει χρήση υπηρεσιών, εφαρμογών & υποδομών, χωρίς να χρειάζεται να ανησυχεί για το πού και πώς οι υποδομές αυτές υπάρχουν. Ένας διαφορετικός τρόπος περιγραφής των υποδομών και υπηρεσιών Cloud computing, είναι ο παραλληλισμός τους με μία δημόσια παρεχόμενη υπηρεσία. Ακριβώς όπως οι επιχειρήσεις πληρώνουν για την ηλεκτρική ενέργεια, το φυσικό αέριο και το νερό που χρησιμοποιούν, τους δίνεται πλέον η δυνατότητα να πληρώνουν για υπηρεσίες πληροφορικής με βάση τη χρήση που τους κάνουν.
Από εδώ ξεκινούν και τα ερωτηματικά αλλά και η εισαγωγή νέων κινδύνων ασφάλειας πληροφοριών, που αφορούν στις υπηρεσίες μέσω των υποδομών Cloud computing.
Κίνδυνοι και προβλήματα ασφάλειας με το Cloud Computing
Πολλοί από τους κινδύνους που αφορούν στο Cloud Computing δεν είναι καινούριοι και τους συναντάμε σήμερα στην καθημερινή λειτουργία των επιχειρήσεων. Ως εκ’ τούτου, η εξασφάλιση της διαθεσιμότητας και της προστασίας των επιχειρησιακών πληροφοριών απαιτούν καλά προγραμματισμένες δραστηριότητες διαχείρισης κινδύνων.
Όπως σε κάθε νέα τεχνολογική τάση, έτσι και στην περίπτωση του Cloud Computing οι επιχειρήσεις που σκοπεύουν να υιοθετήσουν τέτοιου είδους υπηρεσίες, χρειάζεται να ενισχύσουν και να προσαρμόσουν ανάλογα τις διαδικασίες που αφορούν στην ασφάλεια των πληροφοριών τους, προκειμένου να ανταποκριθούν στις νέες ανάγκες. Χρειάζεται δηλαδή οι διαδικασίες ασφάλειας πληροφοριών να αναφέρονται και να λαμβάνουν υπόψη τους τη χρήση της υποδομής Cloud Computing και όχι να αναφέρονται σε γενικούς κανόνες.
Δεδομένου του δυναμικού επιχειρηματικού περιβάλλοντος που διαμορφώνεται, ολοένα και περισσότερες εταιρείες θα κάνουν χρήση υπηρεσιών μέσω του Cloud Computing, προκειμένου να αναθέσουν σε τρίτους Οργανισμούς μέρος των λειτουργικών τους δραστηριοτήτων. Η διαμόρφωση μιας τέτοιας σχέσης με τον εκάστοτε πάροχο των υπηρεσιών Cloud Computing, δεν αφορά μόνο στη χρήση των υπηρεσιών και της τεχνολογικής υποδομής. Έχει σχέση και επηρεάζεται από το επιχειρηματικό μοντέλο λειτουργίας του παρόχου, από τη οργάνωσή του και από την κουλτούρα του. Πράγματα δηλαδή, τα οποία επηρεάζουν άμεσα την ασφάλεια των δεδομένων της επιχείρησης που αποφασίζει να εναποθέσει τη διαχείρισή τους σε υποδομή την οποία διαχειρίζεται ο πάροχος.
Μερικά παραδείγματα των κινδύνων που αφορούν στη χρήση υπηρεσιών μέσω Cloud Computing είναι τα ακόλουθα:
- Προσεκτική επιλογή του παρόχου της υπηρεσίας Cloud Computing. Η φήμη, το ιστορικό και η βιωσιμότητα αποτελούν παράγοντες που πρέπει να εξετάζονται. Η βιωσιμότητα αποτελεί ιδιαίτερα σημαντικό παράγοντα, διότι εξασφαλίζει ότι οι προσφερόμενες υπηρεσίες θα είναι διαθέσιμες και ως εκ τούτου τα δεδομένα μπορούν να υφίστανται και να εξασφαλίζεται η παρακολούθηση της διαχείρισής τους.
- Ο πάροχος της υπηρεσίας αναλαμβάνει την ευθύνη για τη διαχείριση των πληροφοριών, οι οποίες αποτελούν κρίσιμο μέρος της επιχείρησης-πελάτη. Η αδυναμία εκπλήρωσης των συμβατικών υποχρεώσεων του παρόχου μπορεί να έχει επιπτώσεις όχι μόνο στην εμπιστευτικότητα, αλλά και στη διαθεσιμότητα των πληροφοριών, καθώς επηρεάζουν σημαντικά τις επιχειρηματικές δραστηριότητες.
- Η δυναμική φύση λειτουργίας της τεχνολογίας Cloud Computing μπορεί να οδηγήσει σε σύγχυση ως προς τον πραγματικό τόπο αποθήκευσης και επεξεργασίας των πληροφοριών. Σε περιπτώσεις όπου απαιτείται η ανάκτηση των πληροφοριών, αυτό μπορεί να δημιουργήσει καθυστερήσεις.
- Η πρόσβαση τρίτων σε κρίσιμες πληροφορίες δημιουργεί τον κίνδυνο μη εξουσιοδοτημένης αποκάλυψης εμπιστευτικών πληροφοριών. Αυτό μπορεί να αποτελέσει σημαντική απειλή για τη διασφάλιση της προστασίας της πνευματικής ιδιοκτησίας και των διάφορων επιχειρηματικών σχεδίων.
- Η κανονιστική συμμόρφωση σε διαφορετικές γεωγραφικές περιοχές αποτελεί ακόμα μία σημαντική πρόκληση. Προς το παρόν υπάρχει λιγοστό νομικό προηγούμενο σχετικά με την ανάληψη ευθυνών αναφορικά με υπηρεσίες Cloud Computing. Είναι σημαντικό να ληφθούν οι κατάλληλες νομικές συμβουλές, έτσι ώστε η σύμβαση με τον πάροχο να διευκρινίζει τους τομείς στους οποίους ο πάροχος είναι υπεύθυνος και υπόλογος για τις επιπτώσεις που αφορούν στην ασφάλεια των πληροφοριών και προκύπτουν από πιθανά προβλήματα.
- Λόγω της δυναμικής φύσης του Cloud Computing, οι πληροφορίες ίσως να μη μπορεί να είναι άμεσα διαθέσιμες σε περίπτωση καταστροφής, λόγω του ότι δεν μπορούμε να ξέρουμε πού πραγματικά βρίσκονται. Οι διαδικασίες Επιχειρηματικής συνέχειας και τα σχέδια ανάκαμψης από καταστροφή, πρέπει να είναι καλά τεκμηριωμένα και να ελέγχονται. Ο πάροχος των υπηρεσιών Cloud Computing χρειάζεται να κατανοήσει το ρόλο του και να λάβει όλα τα σχετικά μέτρα προστασίας που αφορούν στην ύπαρξη αντιγράφων ασφαλείας, την αντιμετώπιση περιστατικών ασφάλειας και την ανάκτηση των υπηρεσιών μετά από καταστροφή.
Οι κυριότερες Απειλές για Cloud Computing
Στις παραγράφους που ακολουθούν, προσδιορίζονται οι κυριότερες από τις απειλές που αφορούν στις υποδομές Cloud Computing, καθώς και μερικά από τα προτεινόμενα μέτρα προστασίας. Τα μέτρα αυτά αφορούν τόσο στη μεριά του παρόχου των υπηρεσιών αλλά τη μεριά της επιχείρησης-χρήστη των υποδομών.
Ανωνυμία κατά τη χρήση της υπηρεσίας
Πολλές φορές η ανωνυμία που χαρακτηρίζει τις υποδομές Cloud Computing (τόσο στη χρήση όσο και στην αρχικοποίηση χρήσης) δίνει το περιθώριο χρήσης των υποδομών από διάφορους spammers, δημιουργούς κακόβουλου κώδικα και άλλους ψηφιακούς εγκληματίες, οι οποίοι έχουν τη δυνατότητα να ασκούν τις δραστηριότητές τους με σχετική ανωνυμία.
Οι προτεινόμενοι τρόποι προστασίας είναι οι ακόλουθοι:
- Αυστηρότερες διαδικασίες που αφορούν στην αρχική εγγραφή και την επικύρωση της ταυτότητας των χρηστών των υποδομών Cloud Computing.
- Ενισχυμένες διαδικασίες και καλύτερος συντονισμός αναφορικά με διαδικασίες ελέγχου απάτης & revenue assurance.
- Αυξημένες διαδικασίες παρακολούθησης και ελέγχου με σκοπό την αποκάλυψη περιπτώσεων μη εξουσιοδοτημένης χρήσης των υποδομών Cloud Computing, αναφορικά με τα δεδομένα της επιχείρησής μας.
- Παρακολούθηση των δημοσιευμένων «μαύρων λιστών» που αφορούν στα κακόβουλα δίκτυα.
Μη-ασφαλείς διεπαφές προγραμματισμού εφαρμογών (APIs)
Οι πάροχοι υποδομών και υπηρεσιών Cloud Computing συχνά διαθέτουν ένα σύνολο από διασυνδέσεις λογισμικού (APIs) τις οποίες χρησιμοποιούν οι επιχειρήσεις-πελάτες για να διαχειρίζονται και να αλληλεπιδρούν με τις προσφερόμενες υπηρεσίες μέσω cloud.
Οι διεπαφές αυτές πρέπει από το σχεδιασμό τους να παρέχουν προστασία έναντι ακούσιας ή κακόβουλης προσπάθειας για την παράκαμψη της εκάστοτε πολιτικής ασφάλειας. Τα APIs οφείλουν να παρέχουν υπηρεσίες για τον έλεγχο πρόσβασης, για κρυπτογράφηση και για τον έλεγχο των κινήσεων που διενεργούνται.
Μερικά από τα προτεινόμενα μέτρα προστασίας είναι τα ακόλουθα:
- Διερεύνηση του μοντέλου ασφάλειας που διαθέτει ο πάροχος και αφορά στη χρήση των APIs.
- Χρήση ισχυρών μηχανισμών πιστοποίησης ταυτότητας & ελέγχου πρόσβασης σε συνδυασμό με κρυπτογράφηση της επικοινωνίας που υλοποιείται μέσω των APIs. \
- Πλήρης κατανόηση της λειτουργίας αλλά και των αλληλεξαρτήσεων που αφορούν στη χρήση των APIs.
Κακόβουλοι χρήστες από την πλευρά του παρόχου
Η συγκεκριμένη απειλή ενισχύεται από την ταυτόχρονη ύπαρξη πολλαπλών υπηρεσιών πληροφορικής & χρηστών, που ανήκουν σε διαφορετικούς πελάτες στην ίδια υποδομή. Εάν στα προηγούμενα προσθέσουμε και γενική έλλειψη διαφάνειας στις διαδικασίες που ακολουθεί ο κάθε πάροχος, τότε χρειάζεται ιδιαίτερη προσοχή και μέτρα προστασίας.
Τα παρακάτω είναι μερικά από τα προτεινόμενα μέτρα προστασίας:
- Αυστηρή διαδικασία επιλογής του παρόχου.
- Καθορισμός αυστηρών κανόνων που αφορούν στο ανθρώπινο δυναμικό του παρόχου, οι οποίες καλό είναι να προβλέπονται και στα πλαίσια των νομικών συμβάσεων με τον πάροχο.
- Απαιτείται διαφάνεια από την πλευρά του παρόχου, αναφορικά με τις διαδικασίες και πρακτικές ασφάλειας πληροφοριών που χρησιμοποιεί, καθώς και το βαθμό συμμόρφωσής του με το σχετικό κανονιστικό πλαίσιο.
- Διαδικασίες από την πλευρά του παρόχου για άμεση ειδοποίηση των πελατών του, σε περίπτωση παραβίασης της ασφάλειας της υποδομής Cloud Computing.
Οι αδυναμίες ασφάλειας της υποδομής Cloud Computing επιμερίζονται σε πολλούς χρήστες
Ο πάροχοι υπηρεσιών μέσω των υποδομών Cloud Computing κάνουν χρήση κοινών υποδομών προκειμένου να εξυπηρετήσουν τους πελάτες τους. Στις περισσότερες περιπτώσεις τα τεχνολογικά συστατικά των υποδομών Cloud Computing δεν είναι σχεδιασμένα έτσι ώστε να μπορούν να διαχωρίζουν πλήρως δεδομένα και υπηρεσίες διαφορετικών πελατών.
Μερικά από τα μέτρα προστασίας που προτείνονται είναι τα ακόλουθα:
- Εφαρμογή των βέλτιστων πρακτικών ασφάλειας πληροφοριών, που αφορούν στην εγκατάσταση και παραμετροποίηση της τεχνολογικής υποδομής.
- Έλεγχος του λειτουργικού περιβάλλοντος για περιπτώσεις μη εξουσιοδοτημένων αλλαγών ή / και συναλλαγών.
- Ισχυρός μηχανισμός πιστοποίησης ταυτότητας και ελέγχου πρόσβασης όσον αφορά στις διεργασίες διαχείρισης και καθημερινής λειτουργίας της υποδομής Cloud Computing.
- Επαρκείς διαδικασίες που αφορούν στον έλεγχο αδυναμιών ασφάλειας αλλά και στην εγκατάσταση των αναγκαίων αναβαθμίσεων ασφάλειας.
- Πολύ συχνός έλεγχος ευπαθειών ασφάλειας πληροφοριών, καθώς και ελέγχου ασφαλούς παραμετροποίησης των υποδομών Cloud Computing.
Απώλεια / Διαρροή κρίσιμων δεδομένων
Η απειλή της μη εξουσιοδοτημένης αποκάλυψης κρίσιμων δεδομένων είναι αυξημένη στις υποδομές Cloud Computing, λόγω της αρχιτεκτονικής που χρησιμοποιείται αλλά και του ιδιαίτερου λειτουργικού περιβάλλοντος. Η κοινή υποδομή η οποία χρησιμοποιείται για τη φιλοξενία υπηρεσιών που αφορούν σε διαφορετικούς πελάτες, δημιουργεί επιπρόσθετους κινδύνους που αφορούν στη διαρροή των κρίσιμων δεδομένων.
Σαν μέτρα προστασίας προτείνονται τα ακόλουθα:
- Εφαρμογή μηχανισμών ισχυρού έλεγχου πρόσβασης, που αφορούν στη χρήση των παρεχόμενων APIs.
- Κρυπτογράφηση και προστασία των δεδομένων κατά τη διακίνησή τους.
- Ανάλυση και συνεχής βελτίωση της προστασίας των δεδομένων, τόσο σε επίπεδο σχεδιασμού όσο και κατά τη διάρκεια εκτέλεσης των υπολογιστικών διεργασιών.
- Όσον αφορά στην κρυπτογράφηση, χρειάζεται η εφαρμογή ισχυρών κλειδιών κρυπτογράφησης, διαδικασίες αποθήκευσης και διαχείρισης των κλειδιών καθώς και βέλτιστες πρακτικές καταστροφής τους.
- Συμβατικός προσδιορισμός για τις διαδικασίες backup & retention των δεδομένων αλλά και αρχείων ελέγχου audit log files.
Account, Service & Traffic Hijacking
Οι λύσεις που υλοποιούν υποδομές Cloud Computing επιφέρουν νέες απειλές που αφορούν στην ασφάλεια πληροφοριών. Εάν κάποιος κακόβουλος χρήστης καταφέρει να υποκλέψει την ψηφιακή ταυτότητα κάποιου χρήστη/πελάτη, μπορεί να παρακολουθήσει συναλλαγές και δραστηριότητες, να διαχειριστεί δεδομένα, να τροποποιήσει στοιχεία και να αποπροσανατολίσει πελάτες σε παράνομες ιστοσελίδες.
Μερικά από τα μέτρα προστασίας που προτείνονται, είναι τα ακόλουθα:
- Απαγόρευση της χρήσης κοινών λογαριασμών μεταξύ χρηστών και υπηρεσιών.
- Χρήση ισχυρού μηχανισμού και αρχιτεκτονικής πιστοποίησης ταυτότητας και όπου είναι εφικτό, χρήση τεχνικής two-factor authentication.
- Προληπτικός έλεγχος για τον εντοπισμό παράνομων δραστηριοτήτων.
- Λεπτομερής μελέτη και κατανόηση της πολιτικής ασφάλειας αλλά και των συμβατικών υποχρεώσεων του παρόχου, σε σχέση με την ασφάλεια πληροφοριών.
Χρήσιμες πρακτικές μείωσης των κινδύνων
Το Cloud Computing έχει μια σειρά από εγγενείς περιορισμούς και αδυναμίες που μπορούν να επηρεάσουν την εμπιστευτικότητα, ακεραιότητα και διαθεσιμότητα των δεδομένων που εμπιστευόμαστε στους παρόχους. Ωστόσο είναι εφικτό να έχουμε ένα ασφαλές και αξιόπιστο υπολογιστικό περιβάλλον cloud. Αν και είναι μια αναδυόμενη περιοχή, μερικές από τις καλές πρακτικές για τη διασφάλιση της προστασίας των πληροφοριών μας, είναι οι ακόλουθες:
- Μην αποθηκεύετε κρίσιμα ή προσωπικά δεδομένα σε υποδομές Cloud Computing. Οι κρίσιμες πληροφορίες μπορεί να αποθηκεύονται στο συστήματα τα οποία διαχειρίζεται ο Οργανισμός. Ακόμα και αν χρειάζεται τα κρίσιμα επιχειρησιακά δεδομένα να επεξεργάζονται από εφαρμογές οι οποίες μας παρέχονται μέσω Cloud Computing, χρειάζεται η ανάλογη αρχιτεκτονική ασφάλειας η οποία θα ελαχιστοποιεί τη χρήση των κρίσιμων δεδομένων από τις υπηρεσίες Cloud Computing.
- Όταν γίνεται χρήση βάσεων δεδομένων οι οποίες βρίσκονται σε υποδομή Cloud Computing, τότε τα δεδομένα τα οποία αποθηκεύονται στη βάση αυτή πρέπει να είναι κρυπτογραφημένα.
- Αποφύγετε την επικοινωνία μεταξύ βάσεων δεδομένων που βρίσκονται σε υποδομή Cloud Computing και το εσωτερικό του Οργανισμού. Η διεργασία αυτή απαιτεί το άνοιγμα συγκεκριμένων δικτυακών θυρών και τη χρήση λογαριασμών χρηστών σε επίπεδο βάσεων δεδομένων, τα προνόμια πρόσβασης των οποίων γνωρίζει και ο πάροχος της υποδομής Cloud Computing.
- Εφαρμογές οι οποίες έχουν διαμορφωθεί μετά από πολλή και εξειδικευμένη παραμετροποίηση καθώς και εφαρμογές με αυξημένες και συχνές απαιτήσεις επεξεργασίας δεδομένων, καλό είναι να μη λειτουργούν σε περιβάλλοντα Cloud Computing.
- Αυξημένη προστασία της επικοινωνίας που αφορά στις υπηρεσίες διαχείρισης της υποδομής Cloud Computing.
- Χρησιμοποιήστε περισσότερους από έναν πάροχο υπηρεσιών cloud ή χρησιμοποιήστε πάροχο που εξασφαλίζει περισσότερα από ένα σημεία παρουσίας.
- Έλεγχος και καταγραφή ενεργειών όλων των διεργασιών διαχείρισης, καθώς και των σημείων διασύνδεσης της υποδομής μας με την υποδομή Cloud Computing.
Ένα από τα δόγματα του Cloud Computing είναι η μείωση του κόστους λειτουργίας και συντήρησης υλικού και λογισμικού, με αποτέλεσμα η επιχείρηση-πελάτης να μπορεί να επικεντρωθεί στις κύριες επιχειρηματικές του δραστηριότητες. Αυτό έχει σαφή οικονομικά και επιχειρησιακά οφέλη, τα οποία πρέπει να σταθμίζονται προσεκτικά έναντι των κινδύνων ασφάλειας πληροφοριών που εμπεριέχει η χρήση τέτοιων υποδομών και που περιγράφηκαν στο κείμενο αυτό.
Παραπομπές
Cloud Computing: Business Benefits With Security, Governance and Assurance Perspectives [An ISACA Emerging Technology White Paper]
Security Guidance for Critical Areas of Focus in Cloud Computing V2.1 [Cloud Security Alliance]
Top Threats to Cloud Computing V1.0 [Cloud Security Alliance March 2010]
Risk Landscape of Cloud Computing [Vasant Raval, 2010]
IT Audits of Cloud and Saas [Tommie W. Singleton, Ph.D., CISA, CITP, CMA, CPA, 2010]
Του Νότη Ηλιόπουλου
Msc Infosec, ISO 27001 LA, CISA, CISM
n.iliopoulos@innova-sa.