Cloud-Sicherheit: Ein Leitfaden für Cloud-Benutzer

Dieser Cloud Security-Blog behandelt die Mythen rund um die Cloud, erklärt die Auswahl der richtigen Architektur und behandelt die verschiedenen Phasen der Risikobewertung.

Cloud-Sicherheit

Cloud war 2010-2011 ein Hype, aber heute ist es eine Notwendigkeit geworden. Da viele Unternehmen auf die Cloud umsteigen, hat die Notwendigkeit der Cloud-Sicherheit höchste Priorität.

Bevor wir jedoch diejenigen von Ihnen kennen, die noch keine Erfahrung mit Cloud Computing haben, werfen wir einen kurzen Blick auf Cloud Computing.



Java-Code von binär zu dezimal

Cloud - Cloud-Sicherheit - Edureka

Was ist Cloud Computing?

Cloud Computing wird oft als „Cloud“ bezeichnet und bedeutet in einfachen Worten, dass Sie Ihre Daten und Programme über das Internet und nicht über Ihre eigene Festplatte speichern oder darauf zugreifen.

Lassen Sie uns jetzt die Wolkentypen diskutieren:

Öffentliche Cloud

In einem öffentlichen Cloud-Bereitstellungsmodus sind die bereitgestellten Dienste für die öffentliche Nutzung geöffnet, und im Allgemeinen sind öffentliche Cloud-Dienste kostenlos. Technisch gesehen gibt es vielleicht keinen Unterschied zwischen einer öffentlichen und einer privaten Cloud, aber die Sicherheitsparameter sind sehr unterschiedlich, da auf die öffentliche Cloud für jeden zugegriffen werden kann, bei dem ein höherer Risikofaktor damit verbunden ist.

Private Wolke

Eine private Cloud wird nur für eine einzelne Organisation betrieben. Sie kann von derselben Organisation oder einer Drittorganisation durchgeführt werden. In der Regel sind die Kosten jedoch hoch, wenn Sie Ihre eigene Cloud verwenden, da die Hardware regelmäßig aktualisiert wird. Die Sicherheit muss ebenfalls überprüft werden, da täglich neue Bedrohungen auftreten.

Hybrid Cloud

Eine Hybrid-Cloud besteht aus den Funktionen einer privaten und einer öffentlichen Cloud

Wie entscheiden sich Kunden zwischen öffentlichen, privaten und hybriden Clouds?

Nun, es hängt von den Benutzeranforderungen ab. Wenn der Benutzer der Meinung ist, dass seine Informationen zu sensibel sind, um auf einem anderen System als auf seinem eigenen zu sein, würde er sich für eine private Cloud entscheiden

Das beste Beispiel hierfür könnte DropBox sein. Früher verwendeten sie AWS S3 als Backend zum Speichern von Objekten. Jetzt haben sie ihre eigene Speichertechnologie erstellt, die sie selbst überwachen.

Warum haben sie das getan?

Nun, sie wurden so groß, dass die Preise für öffentliche Clouds keinen Sinn mehr machten. Ihnen zufolge sind ihre Software- und Hardwareoptimierungen wirtschaftlicher als das Speichern ihrer Daten auf Amazon S3.

Aber wenn Sie kein Biggie wie DropBox sind und sich noch in einer privaten Infrastruktur befinden, denken Sie vielleicht, warum nicht die öffentliche Cloud?

Warum nutzt ein Kunde nun die öffentliche Cloud?

Erstens ist der Preis ziemlich niedrig im Vergleich zu der Investition, die ein Unternehmen benötigen würde, um seine eigenen Server einzurichten.

Zweitens, wenn Sie mit einem renommierten Cloud-Anbieter verbunden sind, wird die Verfügbarkeit Ihrer Dateien in der Cloud höher.

Immer noch verwirrt, ob Sie Ihre Dateien oder Daten in einer privaten oder öffentlichen Cloud speichern möchten.

Lassen Sie mich Ihnen etwas über die Hybrid Cloud erzählen. Mit der Hybrid Cloud können Sie Ihre „wertvolleren“ Daten in Ihrer privaten Infrastruktur und den Rest in der öffentlichen Cloud speichern. Dies wäre eine „Hybrid Cloud“.

Zusammenfassend hängt alles von den Benutzeranforderungen ab, auf deren Grundlage er zwischen öffentlicher, privater und hybrider Cloud wählen soll.

Kann Cloud Computing-Sicherheit die Kundenbewegung in die Cloud beschleunigen?

Ja, schauen wir uns einige Untersuchungen von gartner an. Bitte gehen Sie die folgenden Statistiken durch:

Quelle: Gartner

Diese Untersuchung wurde nun für Unternehmen durchgeführt, die sich nur ungern der Cloud zuwenden, und wie Sie im obigen Bild deutlich sehen können, ist der Hauptgrund die Sicherheit.

Das bedeutet nicht, dass die Cloud nicht sicher ist, aber die Menschen haben diese Wahrnehmung. Wenn Sie also den Menschen versichern können, dass die Cloud sicher ist, kann es zu einer gewissen Beschleunigung der Bewegung in Richtung Cloud kommen.

Wie bringen CIOs die Spannung zwischen Risiko, Kosten und Benutzererfahrung in Einklang?

Ich habe das irgendwo gelesen. Cloud Security ist eine Mischung aus Wissenschaft und Kunst.

Verwirrt? Nun, es ist eine Kunst zu wissen, bis zu welchem ​​Grad Sie die Sicherheit eines Dienstes erhöhen sollten, damit die Benutzererfahrung nicht abnimmt.

Beispiel: Angenommen, Sie haben eine Anwendung, und um sie sicher zu machen, fragen Sie bei jedem Vorgang nach dem Benutzernamen und dem Kennwort. Dies ist aus Sicherheitsgründen sinnvoll, beeinträchtigt jedoch die Benutzererfahrung.

Es ist also eine Kunst zu wissen, wann man aufhören muss, aber gleichzeitig eine Wissenschaft, denn Sie müssen Algorithmen oder Tools erstellen, die die maximale Sicherheit für die Daten Ihrer Kunden bieten.

Wenn jetzt etwas Neues ins Spiel kommt, werden die Leute skeptisch.

Es gibt viele „Risiken“, von denen die Leute glauben, dass Cloud Computing sie birgt. Lassen Sie uns diese Risiken einzeln angehen:

1. Cloud ist unsicher

In den meisten Fällen, wenn Sie über Cloud sprechen, sagen viele Leute, dass die Daten in ihrer eigenen Infrastruktur sicherer sind, als von einem AWS-Server mit AWS-Sicherheit.

Dies könnte sinnvoll sein, wenn sich das Unternehmen nur auf die Sicherheit seiner privaten Cloud konzentrieren würde, was offensichtlich nicht der Fall ist. Aber wenn das Unternehmen das tut, wann werden sie sich auf ihre eigenen Ziele konzentrieren?

Lassen Sie uns über Cloud-Anbieter sprechen, sagen wir, AWS (der größte von allen). Glauben Sie nicht, dass AWS nur dazu dient, Ihre Daten so sicher wie möglich zu machen? Warum, denn dafür werden sie bezahlt.

Amazon hat auch eine eigene E-Commerce-Website auf AWS gehostet, auf der klargestellt wird, ob AWS zuverlässig ist.

Cloud-Anbieter leben, essen und atmen Cloud-Sicherheit.

2. Es gibt weitere Sicherheitslücken in der Cloud

Eine Studie aus dem Spring Alert Logic Report von 2014 zeigt, dass die Cyber-Angriffe in den Jahren 2012-2013 sowohl auf private als auch auf öffentliche Clouds abzielten, die privaten Clouds jedoch anfälliger für Angriffe waren. Warum? Weil Unternehmen, die ihre eigenen Server einrichten, im Vergleich zu AWS oder Azure oder einem anderen Cloud-Anbieter nicht so gut ausgestattet sind.

3. Systeme mit einem Mandanten sind sicherer als Systeme mit mehreren Mandanten.

Wenn Sie logisch denken, denken Sie nicht, dass mit Systemen mit mehreren Mandanten eine zusätzliche Sicherheitsebene verbunden ist. Warum? Weil Ihr Inhalt logisch vom Rest der Mandanten oder Benutzer im System isoliert ist, was nicht der Fall ist, wenn Sie Systeme mit einem Mandanten verwenden. Wenn ein Hacker Ihr System durchlaufen möchte, muss er daher eine zusätzliche Sicherheitsebene durchlaufen.

Zusammenfassend lässt sich sagen, dass dies alles Mythen sind und dass die Einsparungen bei den Investitionen, die Sie beim Verschieben Ihrer Daten in die Cloud tätigen, sowie die anderen Vorteile die mit der Cloud-Sicherheit verbundenen Risiken bei weitem überwiegen.

Kommen wir jedoch zum Fokus der heutigen Diskussion, wie Ihre Cloud-Anbieter mit Sicherheit umgehen.

Nehmen wir hier ein Beispiel und nehmen an, dass Sie eine App für soziale Netzwerke verwenden. Sie klicken auf einen zufälligen Link und nichts passiert. Später erfahren Sie, dass Spam-Nachrichten von Ihrem Konto an alle Ihre Kontakte gesendet werden, die mit Ihnen in dieser Anwendung verbunden sind.

Bevor Sie jedoch eine E-Mail senden oder sich beim Support der App beschweren können, kennen sie das Problem bereits und können es lösen. Wie? Lass uns verstehen.

Grundsätzlich besteht Cloud Security aus drei Phasen:

  • Daten überwachen
  • Sichtbarkeit erlangen
  • Zugriff verwalten

Das Cloud-Überwachung Ein Tool, das den Datenfluss in Ihrer Cloud-Anwendung ständig analysiert, alarmiert, sobald in Ihrer Anwendung „seltsame“ Dinge passieren. Wie bewerten sie das „seltsame“ Zeug?

Nun, das Cloud-Überwachungstool hätte fortschrittliche Algorithmen für maschinelles Lernen, die das normale Systemverhalten protokollieren.

Jede Abweichung vom normalen Systemverhalten wäre also eine rote Fahne. Auch die bekannten Hacking-Techniken sind in den Datenbanken aufgeführt. Wenn Sie all dies in einem Bild zusammenfassen, löst Ihr Überwachungstool eine Warnung aus, wenn etwas faul passiert.

Wenn Sie jetzt wissen, dass etwas „nicht Normales“ vor sich geht, möchten Sie wissen, wann und wo, Stufe 2, Sichtbarkeit gewinnen .

Dies kann mithilfe von Tools erfolgen, mit denen Sie die Daten sehen können, die in Ihre Cloud und aus dieser heraus kommen. Mit diesen können Sie nicht nur verfolgen, wo der Fehler aufgetreten ist, sondern auch, wer dafür verantwortlich ist. Wie?

Nun, diese Tools suchen nach Mustern und listen alle verdächtigen Aktivitäten auf und sehen somit, welcher Benutzer dafür verantwortlich ist.

Jetzt müsste die verantwortliche Person zuerst aus dem System entfernt werden, oder?

Kommt Stufe 3, Zugriff verwalten.

Die Tools, die den Zugriff verwalten, listen alle Benutzer auf, die sich auf dem System befinden. Daher können Sie diese Person verfolgen und aus dem System löschen.

Wie hat diese Person oder dieser Hacker einen Administratorzugriff auf Ihr System erhalten?

Höchstwahrscheinlich wurde das Kennwort für Ihre Verwaltungskonsole vom Hacker geknackt und über das Access Management-Tool eine Administratorrolle für sich selbst erstellt. Der Rest wurde zum Verlauf.

Was würde Ihr Cloud-Anbieter danach tun? Sie würden daraus lernen und sich weiterentwickeln, damit es nie wieder passiert.

Dieses Beispiel dient nur zum besseren Verständnis. Normalerweise kann kein Hacker einfach so auf Ihr Passwort zugreifen.

Das Wichtigste dabei ist, dass sich das Cloud-Unternehmen aus diesem Einbruch heraus entwickelt hat. Sie haben Maßnahmen ergriffen, um ihre Cloud-Sicherheit zu verbessern, sodass dies niemals wiederholt werden kann.

Jetzt folgen alle Cloud-Anbieter diesen Phasen. Lassen Sie uns über den größten Cloud-Anbieter, AWS, sprechen.

flache Kopie vs tiefe Kopie Java

Folgt AWS diesen Schritten für die Sicherheit der aws-Cloud? Werfen wir einen Blick:

Für die Cloud-Überwachung hat AWS CloudWatch

Für die Datensichtbarkeit hat AWS CloudTrail

Und für die Verwaltung des Zugriffs hat AWS BEREITS

Dies sind die Tools, die AWS verwendet. Sehen wir uns ihre Funktionsweise genauer an.

CloudWatch

Sie haben die Möglichkeit, die Daten zu analysieren, die in Ihre AWS-Ressourcen ein- und ausgehen. Es verfügt über die folgenden Funktionen im Zusammenhang mit der Cloud-Sicherheit:

  • Überwachen Sie EC2 und andere AWS-Ressourcen:
    • Ohne Installation zusätzlicher Software können Sie die Leistung Ihres EC2 mit AWS CloudWatch überwachen.
  • Die Möglichkeit, benutzerdefinierte Metriken zu überwachen:
    • Sie können benutzerdefinierte Metriken erstellen und diese über CloudWatch überwachen.
  • Protokolle überwachen und speichern:
    • Sie können Protokolle überwachen und speichern, die sich auf die Aktivitäten in Ihren AWS-Ressourcen beziehen.
  • Alarme einstellen:
    • Sie können Alarme auf bestimmte Auslöser einstellen, z. B. auf eine Aktivität, die sofortige Aufmerksamkeit erfordert usw.
  • Diagramme und Statistiken anzeigen:
    • Sie können diese Daten in Form von Grafiken und anderen visuellen Darstellungen visualisieren.
  • Überwachen und Reagieren auf Ressourcenänderungen:
    • Es kann so konfiguriert werden, dass es auf Änderungen in der Verfügbarkeit einer Ressource reagiert oder wenn eine Ressource nicht ordnungsgemäß funktioniert.

CloudTrail

CloudTrail ist ein Protokollierungsdienst, mit dem der Verlauf von API-Aufrufen protokolliert werden kann. Es kann auch verwendet werden, um zu identifizieren, welcher Benutzer von AWS Management Console den bestimmten Service angefordert hat. Ausgehend von unserem Beispiel ist dies das Tool, mit dem Sie den berüchtigten „Hacker“ identifizieren können.

BEREITS

Mit Identity and Access Management (IAM) wird der gemeinsame Zugriff auf Ihr AWS-Konto gewährt. Es hat folgende Funktionen:

  • Granulare Berechtigungen:
    • Es kann verwendet werden, um verschiedenen Benutzern auf einer sehr zellularen Ebene Zugriffsrechte zu gewähren. Zum Beispiel: Sie können einem bestimmten Benutzer Lesezugriff und einem anderen Benutzer einen Lese- / Schreibzugriff gewähren.
  • Sicherer Zugriff auf Anwendungen, die in einer EC2-Umgebung ausgeführt werden:
    • IAM kann verwendet werden, um einen sicheren Zugriff zu ermöglichen, indem der Benutzer die Anmeldeinformationen eingibt und auf die jeweiligen EC2-Ressourcen zugreift.
  • Kostenlos zu benutzen:
    • AWS hat die Verwendung von IAM-Diensten mit allen mit aws kompatiblen aws-Diensten kostenlos gemacht.

AWS Shield

Es wird der DDOS-Denial-Service verwaltet. Schauen wir uns kurz an, was DDoS ist.

DDoS überlastet Ihre Website im Grunde genommen mit irrelevantem Datenverkehr, um Ihre Website herunterzufahren. Wie funktioniert es? Hacker erstellen ein Bot-Netz, indem sie zahlreiche im Internet verbundene Computer infizieren. Wie? Erinnerst du dich an die seltsamen E-Mails, die du manchmal auf deiner Mail bekommst? Lotterie, medizinische Hilfe usw. Grundsätzlich lassen sie Sie auf etwas klicken, das eine Malware auf Ihrem Computer installiert, die dann ausgelöst wird, um Ihren Computer im irrelevanten Verkehr zu einem Plus zu machen.

Unsicher über Ihre Webanwendung? Sei nicht AWS Shield ist hier.

Es bietet zwei Arten von Dienstleistungen:

  1. Standard
  2. Fortgeschrittene

Das Standard Das Paket ist für alle Benutzer kostenlos, und Ihre Webanwendung unter AWS wird standardmäßig automatisch mit diesem Paket abgedeckt. Es enthält die folgenden Funktionen:

  • Schnelle Erkennung
    • Erkennt böswilligen Datenverkehr unterwegs mithilfe von Anomaliealgorithmen.
  • Inline-Schadensbegrenzungsangriffe
    • In AWS Shield sind automatische Schadensbegrenzungstechniken integriert, die Sie vor häufigen Angriffen schützen.
  • Fügen Sie benutzerdefinierte Regeln hinzu, um Ihre Anwendung zu unterstützen.

Nicht genug? Es gibt eine Fortgeschrittene Paket auch. Mit ein wenig zusätzlichen Kosten können Sie Ihre Ressourcen für Elastic Load Balancers, Route 53 und CloudFront abdecken.

Was ist alles enthalten? Werfen wir einen Blick:

  • Verbesserte Erkennung
    • Es enthält zusätzliche Techniken wie die ressourcenspezifische Überwachung und bietet außerdem eine detaillierte Erkennung von DDoS-Angriffen.
  • Erweiterte Angriffsminderung
    • Anspruchsvollere automatische Abschwächungen.
  • Sichtbarkeits- und Angriffsbenachrichtigung
    • Echtzeitbenachrichtigungen mithilfe von CloudWatch.
  • Spezialisierte Unterstützung
    • Rund um die Uhr Unterstützung durch ein spezielles DDoS-Reaktionsteam.
  • DDoS-Kostenschutz
    • Verhindert, dass Kostenspitzen durch DDoS-Angriffe überlastet werden.

Zusammenfassend lässt sich sagen, dass jeder Cloud-Anbieter für seinen Erfolg den höchsten Standards in Bezug auf Cloud-Sicherheit folgt. Nach und nach, wenn nicht sogar sofort, werden Menschen, die immer noch nicht an Cloud glauben, verstehen, dass es notwendig ist, darauf zu setzen.

Das ist es also, Leute! Ich hoffe, Ihnen hat dieser Blog über Cloud-Sicherheit gefallen. Die Dinge, die Sie in diesem Cloud Security-Blog gelernt haben, sind die gefragtesten Fähigkeiten, nach denen Personalvermittler in einem AWS Solution Architect Professional suchen. Hier ist eine Sammlung von um Sie auf Ihr nächstes AWS-Vorstellungsgespräch vorzubereiten. Um mehr über AWS zu erfahren, verweisen Sie auf unsere Blog. Wir haben auch einen Lehrplan erstellt, der genau das abdeckt, was Sie benötigen, um die Solution Architect-Prüfung zu bestehen! Sie können sich die Kursdetails für ansehen Ausbildung.

Hast du eine Frage an uns? Bitte erwähnen Sie es im Kommentarbereich dieses Cloud Security-Blogs. Wir werden uns dann bei Ihnen melden.