Bezpieczeństwo dla chmury
W dzisiejszym świecie wrażliwe dane wykorzystywane przez e-commerce są gromadzone w dziesiątkach systemów, z których wiele jest kontrolowanych przez strony trzecie. Na przykład najbardziej wrażliwe dane e-commerce, w tym karty kredytowe i inne dane osobowe (często skracane dane osobowe), zwykle rutynowo przechodzą przez Content Delivery Networks, zanim zostaną przesłane do zewnętrznych systemów wykrywania oszustw, a następnie ostatecznie do zewnętrznych bramek płatniczych. Dane bezpiecznie przechodzą przez tysiące mil w wielu sieciach do centrów danych należących i zarządzanych przez strony trzecie. To, czego w chmurze brakuje w bezpośrednim fizycznym posiadaniu zasobów, oferuje większą kontrolę - co jest ważniejsze. Jest bardzo mało prawdopodobne, że jesteś nawet właścicielem centrum danych lub sprzętu, z którego obsługujesz platformę, ponieważ większość korzysta z zarządzanej usługi hostingowej lub colo. Twoje dane są już poza twoim fizycznym posiadaniem, ale są pod twoją kontrolą. Kontrola jest znacznie ważniejsza niż posiadanie. Przyjęcie infrastruktury jako usługi lub platformy jako usługi dla podstawowej platformy e-commerce stanowi stopniową ewolucję w stosunku do obecnego podejścia. Obok starszych systemów zaplecza platforma e-commerce jako ostatnia jest wdrażana w chmurze. Ostatecznie te starsze systemy zostaną zastąpione rozwiązaniami chmurowymi. To tylko kwestia czasu. Nieuzasadnione jest przekonanie, że chmury są z natury niepewne, podczas gdy w rzeczywistości mogą być bezpieczniejsze niż tradycyjne rozwiązania hostingowe. Chmury są z natury wielozadaniowe, zmuszając bezpieczeństwo do rozważania, a nie późniejszego myślenia. Dostawcy usług w chmurze mogą zakończyć działalność z dnia na dzień ze względu na problem bezpieczeństwa. Dostawcy usług w chmurze robią wszystko, co w ich mocy, aby wykazać zgodność z rygorystycznymi certyfikatami i akredytacjami, takimi jak Standard kart bezpieczeństwa danych kart płatniczych (PCI DSS), ISO 27001, Federalny program zarządzania ryzykiem i autoryzacją (FedRAMP) oraz wiele innych. Dostawcy usług w chmurze mają tę zaletę, że mogą się specjalizować w zabezpieczaniu swoich ofert. Zatrudniają najlepszych ekspertów na świecie i mają luksus budowania bezpieczeństwa w swoich ofertach od samego początku, w jednolity sposób. Dostawcy chmur również dużo zainwestowali w opracowanie narzędzi, których można użyć, aby zwiększyć bezpieczeństwo swoich wdrożeń w ich chmurach. Na przykład wielu dostawców oferuje pakiet zarządzania tożsamością i dostępem, który jest w pełni zintegrowany z ich ofertami jako bezpłatna wartość dodana. Zdolność do ograniczenia dostępu do zasobów w chmurze w sposób drobnoziarnisty jest cechą charakterystyczną oferty chmur. Korzystanie z chmury nie zwalnia Cię z odpowiedzialności. Jeśli Twój dostawca usług w chmurze doznaje incydentu, który ma wpływ na Twoich klientów, ponosisz pełną odpowiedzialność. Ale dostawcy usług w chmurze wydają ogromne zasoby, aby zachować bezpieczeństwo, a naruszenia są wielokrotnie bardziej prawdopodobne w wyniku twojego kodu, twoich ludzi lub (braku) procesu.
Ogólne zasady bezpieczeństwa
Kwestie bezpieczeństwa są o wiele bardziej prawdopodobne z powodu braku procesu lub z powodu braku procesu. Bezpieczeństwo obejmuje setki, a nawet tysiące pojedynczych elementów technicznych i nietechnicznych. Pomyśl o bezpieczeństwie jako o systemie ciągłym, a nie o czymś, co robisz. Nigdy nie możesz być całkowicie bezpieczny - musisz być bardziej bezpieczny niż rówieśnicy, aby atakujący poszli za nimi zamiast ciebie. Według ankiety przeprowadzonej przez firmę Intel respondenci stwierdzili, że 30% zagrożeń pochodzi z organizacji, a 70% z zewnątrz. Spośród zagrożeń pochodzących z zewnątrz Rackspace skwantyfikował je w innym badaniu w następujący sposób:
• 31% wszystkich incydentów dotyczyło prób wykorzystania iniekcji SQL
• 21% dotyczyło brutalnych ataków SSH
• 18% dotyczyło prób brute-force logowania do MySQL
• 9% zaangażowanych prób wykorzystania XML-RPC
• 5% dotyczyło skanów narażenia na atak
Problemy te dotyczą zarówno tradycyjnych środowisk, jak i chmur; na tej liście nie ma jednej luki, która bardziej pasuje do chmury. Narzędzia do przeciwdziałania zagrożeniom wewnętrznym i zewnętrznym są dobrze znane i mają zastosowanie w chmurze w równym stopniu (ale czasem inaczej). Liczy się to, że masz kompleksowy system identyfikacji i ograniczania ryzyka. Systemy te nazywane są systemami zarządzania bezpieczeństwem informacji (ISMS). Szybko omówimy kilka, abyś mógł zrozumieć, do czego wymagają najpopularniejsze frameworki.
Przyjęcie systemu zarządzania bezpieczeństwem informacji
System zarządzania bezpieczeństwem informacji (ISMS) to struktura, która wprowadza strukturę do bezpieczeństwa i może być wykorzystana do wykazania podstawowego poziomu bezpieczeństwa. Można je budować, adaptować lub adoptować. Przestrzeganie co najmniej jednego dobrze zdefiniowanego środowiska jest twardym wymogiem dla każdego wdrożenia e-commerce, niezależnie od tego, czy jest w chmurze, czy nie. Pełne przyjęcie co najmniej jednego z tych frameworków zmieni sposób, w jaki projektujesz, wdrażasz i utrzymujesz swoją platformę na lepsze. Wszystkie ramy wymagają kontroli, które są dyskretnymi działaniami, które można podjąć, aby zapobiec wystąpieniu naruszenia, zatrzymać trwające naruszenie i podjąć działania naprawcze po naruszeniu. Kontrole mogą przybrać formę fizyczną (ochrona, zamki), proceduralną (planowanie, szkolenie) lub techniczne (wdrażanie zapory ogniowej, konfigurowanie ustawień serwera WWW). ISO 27001 określa ramy modelowe, z którymi większość dostawców usług w chmurze jest już zgodnych. Jego główne założenia są następujące:
Plan : Ustanawiaj kontrole, klasyfikuj dane i określ, które kontrole mają zastosowanie, przypisz obowiązki poszczególnym osobom
Zrób : Wdrożenie kontroli
Sprawdź : Oceń, czy kontrole są właściwie stosowane i przekaż wyniki zainteresowanym stronom
Działaj : Wykonaj odpowiednie działania zapobiegawcze i naprawcze
Inne frameworki obejmują PCI DSS i FedRAMP, które wymagają mniej więcej tego samego cyklu planowania / wykonywania / sprawdzania / działania, ale z różnymi kontrolami. Oprzyj się na tych ramach jako solidnej linii bazowej, ale nałóż warstwę na własne kontrolki zgodnie z wymaganiami. Na przykład PCI DSS nie wymaga technicznie szyfrowania danych w ruchu między systemami w zaufanej sieci, ale byłoby to po prostu zdrowy rozsądek. Część kontrolna cyklu planu / czynności / kontroli / czynności powinna zawsze być wykonywana wewnętrznie i zewnętrznie przez wykwalifikowanego rzeczoznawcę. Zewnętrzny dostawca może znaleźć więcej problemów niż sam. Wszystkie główne ramy wymagają audytów stron trzecich ze względu na wartość, jaką oferują w porównaniu z samooceną. W przypadku dostawców usług w chmurze zgodność z każdą z platform odbywa się z różnych powodów. Zgodność pomaga zapewnić bezpieczeństwo, a co najważniejsze, pomaga wykazać bezpieczeństwo wszystkim użytkownikom. Zgodność z niektórymi programami ramowymi, takimi jak FedRAMP, jest wymagana do prowadzenia interesów z rządem USA. Jeśli kiedykolwiek wystąpi problem z bezpieczeństwem, dostawcy usług w chmurze mogą zastosować zgodność z ramami w celu ograniczenia winy prawnej. Detaliści, którzy doznają naruszeń, rutynowo chowają się za przestrzeganiem PCI DSS. Te ramy są bardzo podobne do pasów bezpieczeństwa. Przestrzeganie zasad nie gwarantuje bezpieczeństwa tak samo, jak zapięcie pasa bezpieczeństwa uratuje życie w wypadku samochodowym. Ale istnieje silny związek przyczynowy między zapięciem pasa bezpieczeństwa a przeżyciem wypadku samochodowego. Powody przyjęcia ram zabezpieczeń są w dużej mierze takie same jak powody dla dostawców usług w chmurze, z tym wyjątkiem, że masz dodatkową presję utrzymania zgodności z PCI DSS. PCI DSS, o którym omówimy wkrótce, to wymóg komercyjny nałożony przez przemysł kart kredytowych na osoby, które dotykają kart kredytowych. Przejrzyjmy kilka kluczowych ram.
PCI DSS
Przemysłowy standard bezpieczeństwa danych kart płatniczych (PCI DSS) to współpraca między Visa, MasterCard, Discover, American Express i JCB w celu utrzymania akceptantów w jednym standardzie. Kupiec, do celów PCI, jest definiowany jako każda organizacja, która obsługuje dane karty kredytowej lub dane osobowe związane z kartami kredytowymi. Przed wprowadzeniem PCI DSS w 2004 r. Każdy wydawca karty kredytowej miał swój własny standard, który musiał spełnić każdy sprzedawca. Dzięki połączeniu w jedną grupę marki kart kredytowych były w stanie opracować jeden kompleksowy standard, do którego mogli się stosować wszyscy kupcy. Podczas gdy ochrona danych kart kredytowych jest oczywiście priorytetem, dane osobowe wykraczają daleko poza to. Dane osobowe są często definiowane jako "wszelkie informacje o osobie prowadzonej przez agencję, w tym (1) wszelkie informacje, które mogą być wykorzystane do rozróżnienia lub śledzenia tożsamości danej osoby, takie jak imię i nazwisko, numer ubezpieczenia społecznego, data i miejsce urodzenia, dziewczyna matki nazwisko lub zapisy biometryczne; oraz (2) wszelkie inne informacje powiązane lub powiązane z konkretną osobą, takie jak informacje medyczne, edukacyjne, finansowe i dotyczące zatrudnienia. "3 Nawet adresy IP są powszechnie postrzegane jako informacje umożliwiające identyfikację osób, ponieważ można je teoretycznie wykorzystać do wskazania konkretnego użytkownika. Konsekwencje ujawnienia PII, niezależnie od tego, czy są związane z kartami kredytowymi, są zwykle takie same. PCI DSS nie jest prawem, ale jego nieprzestrzeganie niesie ze sobą konsekwencje, takie jak grzywny nakładane przez wydawców kart kredytowych i banki wydające karty oraz zwiększoną winę prawną w przypadku naruszenia. Standard PCI DSS wymaga przestrzegania 6 celów i 12 kontroli. Sprawdzanie zgodności przeprowadzane jest corocznie przez wykwalifikowanego rzeczoznawcę bezpieczeństwa (QSA). PCI DSS nie ma być zbyt nakazowy. Zamiast tego ma to zapewnić, że kupcy przestrzegają powyższych zasad. Dopóki będziesz w stanie wykazać przestrzeganie tych zasad, QSA będą się na ogół podpisywać. Jeśli Twój QSA nie współpracuje z tobą, aby zrozumieć, co robisz i jak postępujesz zgodnie z ustalonymi celami PCI DSS, powinieneś znaleźć inną QSA. Wszyscy główni dostawcy usług w chmurze osiągnęli najwyższy poziom zgodności z PCI DSS i są regularnie kontrolowani. Przetwarzanie w chmurze w żaden sposób nie wyklucza zgodności z PCI. Dane posiadacza karty są zdefiniowane jako numer karty kredytowej, ale także dane, takie jak data ważności, imię i nazwisko, adres oraz wszystkie inne dane osobowe, które są przechowywane na karcie kredytowej. Każdy system (np. Zapory ogniowe, routery, przełączniki, serwery, pamięć), który ma kontakt z danymi posiadacza karty, jest uważany za część środowiska danych posiadacza karty. Celem PCI DSS powinno być ograniczenie zakresu środowiska danych posiadacza karty. Jednym z podejść jest ograniczenie tego zakresu poprzez zbudowanie lub użycie usługi przetwarzania karty kredytowej, która jest niezależna od reszty środowiska. Jeśli zbudujesz usługę, możesz mieć oddzielną zaporę ogniową, moduł równoważenia obciążenia, warstwę serwera aplikacji, bazę danych i sieć VLAN, z aplikacją widoczną za pośrednictwem poddomeny, takiej jak https://pci.website.com, z IFrame przekazujący dane posiadacza karty bezpośrednio do tej usługi. Tylko systemy stojące za tą usługą byłyby brane pod uwagę w zakresie środowiska danych posiadacza karty, a zatem podlegałyby PCI DSS. Wszystkie odniesienia do danych posiadacza karty byłyby wówczas losowo generowane. Omówimy to wkrótce w podejściu opartym na krawędzi. Chociaż PCI DSS jest bardzo specyficzny dla e-commerce, przyjrzyjmy się bardziej ogólnej strukturze
ISO 27001
ISO 27001 opisuje modelowy system zarządzania bezpieczeństwem informacji, opublikowany po raz pierwszy w 2005 r. Przez Międzynarodową Organizację Normalizacyjną (ISO). Chociaż PCI jest pragmatycznym przewodnikiem skoncentrowanym na ochronie danych kart kredytowych, możesz swobodnie wybierać, gdzie ma zastosowanie ISO 27001 i jakie kontrole chcesz wprowadzić. Zgodność z ISO 27001 jest czasami wymagana do celów komercyjnych. Partnerzy biznesowi mogą wymagać zgodności ze standardem, aby zapewnić bezpieczeństwo swoich danych. Chociaż zgodność nie oznacza bezpieczeństwa, jest namacalnym krokiem do wykazania, że podjęto kroki w celu ograniczenia ryzyka. Zgodność z normą ISO 27001 jest bardzo podobna do znanej serii ISO 9000 w zakresie kontroli jakości, ale dotyczy kwestii bezpieczeństwa informacji. Podobnie jak w przypadku ISO 9000, formalny audyt jest opcjonalny. Możesz przestrzegać standardu wewnętrznie. Aby jednak publicznie stwierdzić, że spełniasz wymagania, musisz zostać poddany audytowi przez stronę trzecią zatwierdzoną przez ISO. Oprócz omówionego wcześniej cyklu planowania / wykonywania / sprawdzania / działania ISO 27001 umożliwia wybieranie i tworzenie mechanizmów kontrolnych, które są wyjątkowo odpowiednie dla Twojej organizacji. Odwołuje się do serii kontroli znalezionych w ISO 27002 jako reprezentatywnych dla tych, które powinny być wybrane jako punkt odniesienia:
Polityka bezpieczeństwa informacji
Dyrektywy kierownictwa, które określają, co oznacza bezpieczeństwo dla organizacji i ich wsparcie dla osiągnięcia tych celów
Organizacja bezpieczeństwa informacji
W jaki sposób organizujesz i motywujesz swoich pracowników i dostawców, którzy są odpowiedzialni za jakie zasady dotyczące urządzeń mobilnych / telepracy
Bezpieczeństwo zasobów ludzkich
Zatrudnianie osób, które cenią bezpieczeństwo, zachęcanie ludzi do przestrzegania twoich zasad, co dzieje się po tym, jak ktoś opuści Twoją organizację
Zarządzanie aktywami
Inwentaryzacja aktywów fizycznych, określająca obowiązki osób fizycznych w zakresie ochrony tych aktywów, zbywanie aktywów fizycznych
Kontrola dostępu
Jak pracownicy i dostawcy uzyskują dostęp do zasobów fizycznych i wirtualnych
Kryptografia
Wykorzystanie kryptografii, w tym metody i zastosowania, a także zarządzanie kluczami
Bezpieczeństwo fizyczne i środowiskowe
Fizyczne bezpieczeństwo aktywów, w tym ochrona przed katastrofami spowodowanymi przez człowieka i klęskami żywiołowymi
Zarządzanie operacyjne
Procedury operacyjne i obowiązki, w tym związane z tworzeniem kopii zapasowych, antywirusem, rejestrowaniem / monitorowaniem i łataniem
Bezpieczeństwo komunikacji
Logiczne i fizyczne kontrole sieci w celu ograniczenia przepływu danych w sieci, nietechniczne kontrole, takie jak umowy o nieujawnianiu
Pozyskiwanie, rozwój i utrzymanie systemu
Bezpieczeństwo spakowanego oprogramowania, zasady zwiększające cykl życia oprogramowania, zasady dotyczące danych testowych
Relacje z dostawcami
• Zasady poprawiające bezpieczeństwo informacji w twoim łańcuchu dostaw IT
• Zarządzanie incydentami związanymi z bezpieczeństwem informacji
• Jak zbierasz dane i reagujesz na problemy bezpieczeństwa
• Aspekty bezpieczeństwa zarządzania ciągłością działania
• Redundancja dla systemów technicznych i nietechnicznych
• Spełnienie
• Ciągła samokontrola, spełniająca wszystkie wymogi prawne
• Chociaż nie jest kompletna, ta lista powinna dać ci wyobrażenie o zakresie ISO 27001 i 27002.
FedRAMP
Podczas gdy PCI DSS koncentruje się na ochronie danych kart kredytowych, a ISO 27001 dotyczy opracowania procesu bezpieczeństwa informacji, FedRAMP został specjalnie zaprojektowany w celu zapewnienia bezpieczeństwa chmur do wykorzystania przez rząd USA. (G-Cloud jest odpowiednikiem w Wielkiej Brytanii). FedRAMP to współpraca między agencjami rządowymi mająca na celu zaoferowanie jednego standardu bezpieczeństwa sprzedawcom w chmurze. Dostawcy usług w chmurze po prostu nie byli w stanie wykazać zgodności ze standardami każdej agencji federalnej. Od 2011 r. Rząd USA ma formalną politykę dotyczącą chmury. FedRAMP włącza tę zasadę, utrzymując dostawców chmury w jednolitej linii bazowej. Po certyfikacji dostawcy usług w chmurze każda agencja federalna USA może z niego skorzystać. Zasadniczo FedRAMP wymaga, aby dostawcy:
• Zidentyfikowali i chronili granice ich chmury
• Zarządzali konfiguracją we wszystkich systemach
• Zapewnili silną izolację między oprogramowaniem a sprzętem
• Przestrzegali ponad 290 kontroli bezpieczeństwa
• Przesyłali do skanów podatności, w tym skanów kodu
• Udokumentowali swoje podejście do bezpieczeństwa
• Poddali się audytom przez stronę trzecią
Większość kontroli bezpieczeństwa pochodzi bezpośrednio z publikacji specjalnej National Institute of Standards and Technology (NIST) 800-53, z kilkoma dodatkowymi kontrolami. Certyfikacja FedRAMP jest rygorystycznym i czasochłonnym procesem, ale zapewnia znaczne korzyści wszystkim składnikom. Większość głównych dostawców chmury osiągnęła zgodność. FedRAMP różni się znacznie od PCI DSS tym, że ma szerszy zakres. PCI DSS koncentruje się wyłącznie na ochronie danych kart kredytowych, ponieważ o to dbają wydawcy kart kredytowych. FedRAMP został zbudowany w celu zabezpieczenia danych rządowych, które mogą obejmować numery kart kredytowych, zwroty podatków i akta osobowe. FedRAMP został również zbudowany specjalnie do przetwarzania w chmurze, podczas gdy PCI DSS ma zastosowanie do każdego systemu, który obsługuje dane kart kredytowych. FedRAMP różni się od ISO 27001 tym, że jest bardziej pragmatyczną listą kontrolną niż systemem zarządzania bezpieczeństwem informacji. Innymi słowy, ISO 27001 bardziej dba o to, w jaki sposób, podczas gdy FedRAMP bardziej dba o to, co. FedRAMP, podobnie jak wszystkie frameworki, nie gwarantuje bezpieczeństwa. Ale dostawcy usług w chmurze, którzy uzyskają ten certyfikat, są bardziej bezpieczni.
Najlepsze praktyki bezpieczeństwa
Chociaż PCI DSS, ISO 27001 i FedRAMP różnią się pod względem celu i zakresu, wszystkie wymagają opracowania planu i wymagają przestrzegania szeregu kontroli technicznych i nietechnicznych. Ponownie, zgodność dostawcy chmurowego z tymi i podobnymi certyfikatami i akredytacjami utrzymuje dobry poziom bezpieczeństwa, ale zgodność sama w sobie nie jest równoznaczna z bezpieczeństwem. Oprócz zapewnienia, że dostawca usług w chmurze spełnia podstawowe wymagania w zakresie bezpieczeństwa i opracowania planu, musisz podjąć proaktywne kroki w celu zabezpieczenia własnych informacji, niezależnie od tego, czy są w chmurze, czy nie. Przejrzyjmy kilka kluczowych zasad bezpieczeństwa.
Obrona w głębi
Twoje podejście do bezpieczeństwa musi być wielowarstwowe, aby skompromitowanie jednej warstwy nie doprowadziło do naruszenia bezpieczeństwa całego systemu. Warstwy bezpieczeństwa nazywane są dogłębną obroną i odgrywają kluczową rolę w ochronie poufnych informacji . Na każdej warstwie stosuje się jedno lub więcej zabezpieczeń, które wymagają od atakującego naruszenia bezpieczeństwa wielu systemów w celu spowodowania szkody. Głęboka obrona może być nadużywana jako technika bezpieczeństwa. Każda warstwa zabezpieczeń wprowadza złożoność i opóźnienie, jednocześnie wymagając od kogoś zarządzania. Im więcej osób jest zaangażowanych, nawet w administrację, tym więcej wektorów ataku tworzysz i tym bardziej odwracasz uwagę ludzi od potencjalnie ważniejszych zadań. Używaj wielu warstw, ale unikaj powielania i stosuj zdrowy rozsądek.
Klasyfikacja informacji
Bezpieczeństwo polega na ochronie poufnych informacji, takich jak karty kredytowe i inne dane osobowe. Systemy zarządzania bezpieczeństwem informacji, takie jak PCI DSS, ISO 27001 i FedRAMP, istnieją wyłącznie w celu ochrony poufnych informacji i wymagają opracowania systemu klasyfikacji informacji. Klasyfikacja informacji system określa poziomy czułości wraz ze specjalnymi kontrolami, aby zapewnić jego bezpieczeństwo. Ponadto musisz przypisać zasady określające dostęp do informacji, przechowywanie, niszczenie i tym podobne. Kontrole te mogą się różnić w zależności od kraju ze względu na różnice w prawa. Po opracowaniu systemu klasyfikacji informacji i przypisaniu zasad do każdego poziomu będziesz chciał przeprowadzić pełną inwentaryzację swoich systemów w celu zidentyfikowania wszystkich danych. Dane mogą mieć postać znormalizowanych danych w relacyjnej bazie danych, danych zdenormalizowanych w bazie danych NoSQL, plików w systemie plików, kodu źródłowego i innych danych, które można przechowywać i przesyłać. Każdemu typowi danych należy przypisać klasyfikację. Najlepszą ogólną praktyką jest ograniczenie ilości informacji gromadzonych i przechowywanych. Informacje, których nie gromadzisz ani nie przechowujesz, nie mogą zostać skradzione.
Izolacja
Izolacja może odnosić się do tworzenia pojedynczego zasobu poziomego (np. Fizycznego serwera, urządzenia pamięci masowej, sieci) lub ograniczania komunikacji między poziomami pionowymi (np. Serwerem WWW do serwera aplikacji, serwerem aplikacji do bazy danych). Celem jest ograniczenie ilości komunikacji między segmentami, zarówno poziomej, jak i pionowej, aby luka w jednym segmencie nie mogła doprowadzić do naruszenia bezpieczeństwa całego systemu. Jest to podejście ograniczające rozprzestrzenianie się, podobnie jak budowanie budynków z zaporami ogniowymi, aby zapewnić, że pożary nie pochłoną całego budynku. Mechanizmy izolacji różnią się w zależności od tego, co jest izolowane. Serwery wirtualne są izolowane od siebie za pomocą hiperwizora. Urządzenia pamięci masowej są podzielone na wiele woluminów. Sieci są segmentowane przy użyciu technologii takich jak wirtualne sieci LAN (VLAN) i izolowane za pomocą zapór ogniowych. Wszystkie te technologie są dobrze ugruntowane i oferują możliwość zapewnienia pełnej izolacji. Kluczem do zastosowania tych technologii jest wdrożenie izolacji na najniższej możliwej warstwie. Na przykład model Open Systems Interconnection (OSI) standaryzuje różne poziomy komunikacji sieciowej, dzięki czemu produkty różnych dostawców są interoperacyjne. Przełączniki, które działają na warstwie 2, są odpowiedzialne za routing ramek Ethernet. Aby logicznie segmentować sieci Ethernet, możesz oznaczyć każdą ramkę identyfikatorem VLAN. Jeśli ramka Ethernet ma identyfikator VLAN, przełącznik skieruje ją tylko w granicach zdefiniowanej sieci VLAN. Zaletą tego poziomu segmentacji jest to, że jesteś całkowicie chroniony przed atakami w warstwie 3 i wyższej. Tę technikę można zastosować do oddzielenia całego ruchu między serwerami aplikacji i bazami danych. Ta zasada zmniejsza wektory ataku, zapewniając silna izolacja. Im niższy w dowolnym stosie - sieci, pamięci masowej lub hiperwizorze - tym silniejsza ochrona. Izolacja jest kluczowym elementem strategii głębokiej obrony.
Identyfikacja, uwierzytelnianie i autoryzacja
Identyfikacja, uwierzytelnianie i autoryzacja koncentrują się na kontrolowaniu dostępu do systemów i danych. Użytkownicy mogą być pojedynczymi ludźmi lub innymi systemami, ale reguły są w większości takie same. Każdy użytkownik musi poprawnie się zidentyfikować (za pomocą nazwy użytkownika, klucza publicznego lub alternatywnych środków), odpowiednio się uwierzytelnić (za pomocą hasła, klucza prywatnego lub w inny sposób) i wyznaczyć dostęp do danych. Wszystkie trzy elementy (identyfikacja, uwierzytelnienie i autoryzacja) muszą zostać zatwierdzone przed udzieleniem dostępu do systemu lub danych. Użytkownicy powinni zawsze być mapowani 1: 1 na konta, ponieważ zwiększa to odpowiedzialność. Każdy użytkownik mający konto może pociągać osoby do odpowiedzialności za wykonywane przez nich czynności. Konta, do których dostęp ma wiele osób, są znane umożliwia złośliwe zachowanie, ponieważ działania wykonywane przez to konto są trudne do zidentyfikowania dla poszczególnych osób. Nie ma odpowiedzialności. Użytkownicy systemu, zarówno wewnętrzni, jak i zewnętrzni, powinni zawsze zaczynać od dostępu do niczego. Jest to koncepcja najmniej uprzywilejowanego dostępu. Dopiero po ustaleniu roli użytkownika należy mu przypisać role i uprawnienia zgodnie z systemem klasyfikacji informacji. Gdy pracownik opuszcza firmę lub zmienia role, system powinien automatycznie zaktualizować rolę użytkownika w systemie i cofnąć wszelkie przyznane uprawnienia. Niektórzy dostawcy usług w chmurze oferują niezawodne systemy zarządzania tożsamością i dostępem (IAM), które są w pełni zintegrowane z pakietem usług. Te systemy są zazwyczaj dostarczane jako SaaS i oferują jednolite podejście do zarządzania dostępem do wszystkich systemów i danych. Zaletą tych systemów jest to, że są w pełni i głęboko zintegrowane ze wszystkimi systemami oferowanymi przez chmurę. Bez centralnego systemu IAM trzeba by go zbudować samodzielnie, prawdopodobnie go hostować i zintegrować ze wszystkimi używanymi systemami. Systemy innych firm niezmiennie obsługują różne protokoły, różne wersje każdego protokołu i oferują ograniczoną możliwość obsługi precyzyjnego dostępu. Korzystając z rozwiązania Softwareas-a-Service dostawcy usług w chmurze, otrzymujesz niezawodne rozwiązanie, które jest gotowe do natychmiastowego użycia. Ważne jest, aby używać systemu IAM, który obsługuje federację tożsamości, która deleguje uwierzytelnianie podmiotom zewnętrznym, takim jak katalog firmowy, przy użyciu protokołu takiego jak OAuth, SAML lub OpenID. Twój system źródłowy, podobnie jak baza danych zasobów ludzkich, może służyć jako główny i być przywoływanym w czasie rzeczywistym, aby zapewnić, że użytkownik nadal istnieje. Nie chcesz wpaść w sytuację, w której pracownik został rozwiązany, ale jego konto w systemie IAM dostawcy usług w chmurze było nadal aktywne. Federacja tożsamości rozwiązuje ten problem. Wreszcie uwierzytelnianie wieloskładnikowe jest absolutną koniecznością dla każdego użytkownika, który dokonuje transakcji z Twoimi serwerami lub konsolą administracyjną dostawcy usług w chmurze. Osoba atakująca może użyć szeregu technik w celu uzyskania hasła administratora, w tym ataków brutalnej siły i inżynierii społecznej. Po zalogowaniu osoba atakująca może zrobić wszystko, w tym usunąć całe środowisko produkcyjne. Uwierzytelnianie wieloskładnikowe uniemożliwia logowanie, podając tylko hasło. Oprócz hasła drugim czynnikiem może być kod uwierzytelniający z urządzenia fizycznego, takiego jak smartfon lub samodzielny pilot. Dwa czynniki uwierzytelnienia, w tym to, co wiesz (hasło) i to, co masz (smartfon), znacznie wzmacniają bezpieczeństwo twojego konta.
Rejestrowanie audytu
Uzupełnieniem identyfikacji, uwierzytelniania i autoryzacji jest rejestrowanie kontroli. Wszystkie popularne systemy zarządzania bezpieczeństwem informacji wymagają szczegółowego rejestrowania każdej czynności administracyjnej, w tym wywołań interfejsu API dostawcy usług w chmurze, wszystkich wykonanych czynności przez administratorów, błędy, próby logowania, dostęp do dzienników i wyniki różnych kontroli stanu. Każde zarejestrowane zdarzenie powinno być oznaczone następującymi:
• Użytkownik, który wykonał zdarzenie
• Centrum danych, w którym miało miejsce wydarzenie
• ID, nazwa hosta i / lub adres IP serwera, który wykonał zdarzenie
• Znacznik czasu oznaczający, kiedy zdarzenie zostało wykonane
• ID procesu
Dzienniki powinny być przechowywane w postaci zaszyfrowanej w co najmniej jednej lokalizacji dostępnej tylko dla kilku wybranych administratorów. Rozważ zapisanie ich bezpośrednio w pamięci współdzielonej dostawcy usług w chmurze. Serwery są efemeryczne. Gdy serwer zostanie zabity, nie chcesz, aby cenne dzienniki znikały wraz z nim. Rejestrowanie nie tylko działa odstraszająco na złe zachowanie, ale także zapewnia identyfikowalność w przypadku naruszenia. Pod warunkiem, że dzienniki nie są modyfikowane, powinieneś być w stanie dokładnie odtworzyć to, co się stało w przypadku awarii, w bardzo podobny sposób ,sposób, w jaki rejestratory czarnej skrzynki samolotów rejestrują to, co wydarzyło się podczas awarii. Możliwość zrekonstruowania tego, co się wydarzyło, jest ważna ze względów prawnych, ale także jako sposób uczenia się na błędach, aby mieć pewność, że się nie powtórzą. Dostawcy usług w chmurze oferują szerokie wbudowane funkcje rejestrowania w połączeniu z bezpiecznym, niedrogim miejscem do przechowywania logów.
Zasady bezpieczeństwa dla eCommerce
Wśród wszystkich obciążeń e-commerce jest wyjątkowy, ponieważ jest zarówno dobrze widoczny, jak i obsługuje bardzo wrażliwe dane. To właśnie ta kombinacja sprawia, że ma unikalne wymagania dotyczące bezpieczeństwa. Tradycyjne obciążenia chmurą zwykle nie są takie. Jeśli klimatolog nie jest tymczasowo jest w stanie przeprowadzić symulację pogody, nie trafi na nagłówki gazet ani nie doprowadzi do procesu w sprawie naruszenia. Widoczność e-commerce rośnie, gdy przechodzi on z kanału peryferyjnego do rdzenia całych organizacji. Jak już mówiliśmy, ta zmiana nazywa się sprzedażą wielokanałową. Awaria, bez względu na przyczynę, może spowodować wyłączenie wszystkich kanałów w trybie offline i uniemożliwić organizacji generowanie jakichkolwiek przychodów. Takie przerwy w pracy są wyraźnie widoczne w wiadomościach i prawie zawsze są omawiane na telefonach zarobkowych. Kierownicy są rutynowo zwalniani z powodu awarii, ale szanse na zwolnienie wzrastają, jeśli awarię można przypisać problemowi bezpieczeństwa, któremu można zapobiec. Incydenty związane z bezpieczeństwem źle wpływają na organizację, która doznała incydentu, ponieważ wykazuje brak kompetencji. To sprawia, że zarówno kadra kierownicza wyższego szczebla, jak i inwestorzy pytają, czy organizacja jest kompetentna w pozostałej części działalności. Chociaż przerwy w dostawie energii są złe, utracone dane są często znacznie gorsze z powodu konsekwencji, w tym utraconych dochodów, odszkodowań dla ofiar, kar wydawanych przez wydawców kart kredytowych, utraty kapitału własnego akcjonariuszy, złej prasy i działań prawnych, w tym pozwów cywilnych wszczętych przez pokrzywdzonych konsumentów. Awaria może cię zwolnić, ale poważne naruszenie bezpieczeństwa na pewno cię zwolni. Możesz także podlegać osobiście sankcjom karnym i cywilnym. Wyciekające dane, które mogą wpędzić cię w kłopoty, obejmują wszystkie standardowe dane, takie jak karty kredytowe, nazwiska, adresy i tym podobne, ale obejmują również pozornie nieszkodliwe dane, takie jak historie zakupów, numery śledzenia przesyłek, listy życzeń i tak dalej. Ujawnienie jakichkolwiek informacji umożliwiających identyfikację osobową sprawi ci kłopoty. Ujawnienie informacji umożliwiających identyfikację osób doprowadzi nie tylko do kar handlowych i powództw cywilnych, ale także do działań karnych różnych jurysdykcji prawnych. Wiele krajów nakłada zarówno sankcje cywilne, jak i karne na nie tylko tych, którzy kradną dane osobowe, ale także tych, którzy zezwalają na ich kradzież w przypadku rażącego niedbalstwa. Na przykład meksykańskie prawo stanowi, że sprzedawcy e-commerce mogą zostać ukarani karą do sześciu lat pozbawienia wolności, jeśli dane o obywatelach Meksyku zostaną skradzione. Wiele krajów jest jeszcze bardziej karnych i może nawet skonfiskować zarobione zyski, gdy dane ich obywateli były zagrożone. Wiele krajów, takich jak Niemcy, poważnie ogranicza przepływ danych swoich obywateli poza ich granice, aby ograniczyć ryzyko ujawnienia. Luki w zabezpieczeniach, które prowadzą do ujawnienia informacji umożliwiających identyfikację osoby, mają zazwyczaj charakter aplikacji. Wstrzykiwanie SQL (uzyskiwanie bazy danych w celu wykonania dowolnego SQL), wykonywanie skryptów między witrynami (zachęcanie przeglądarki internetowej do wykonywania dowolnego skryptu, takiego jak JavaScript) i fałszowanie żądań w różnych witrynach (wykonywanie adresów URL w kontekście sesji klienta) są preferowanymi sposobami kradzieży wrażliwe dane. Aplikacje są zwykle duże, mają wiele stron i wiele możliwych wektorów ataku, a bariery wejścia dla atakującego są niskie. Atakujący nie muszą instalować wyrafinowanego złośliwego oprogramowania ani niczego bardzo skomplikowanego - muszą po prostu wyświetlić kod źródłowy strony HTML i grać z parametrami HTTP GET i POST. Zgodnie z zasadą obrony dogłębnej najlepszym rozwiązaniem jest nakładanie warstw:
Edukacja
• Naucz swoich programistów niebezpieczeństw wynikających z tych luk.
• Opracowanie najlepszych praktyk
• Z góry ustal oczekiwania dotyczące wysokiego bezpieczeństwa; sprawdzili wszystkie elementy kodu.
• Testowanie białych skrzynek
• Zeskanuj kod źródłowy w poszukiwaniu luk.
• Testowanie czarnej skrzynki
• Przeskanuj działającą aplikację, w tym zarówno nakładki, jak i nakładki, w poszukiwaniu luk.
Zapora sieciowa
Użyj zapory sieciowej do automatycznego zabezpieczenia się przed którąkolwiek z tych luk w razie awarii innych mechanizmów obronnych. Zapory ogniowe aplikacji internetowych mogą sprawdzać żądania HTTP i odpowiedzi. Jeśli jesteś szczególnie ostrożny, możesz nawet uruchomić zaporę bazy danych. Podobnie jak zapora aplikacji sieciowej, zapora bazy danych znajduje się między serwerami aplikacji a bazą danych i sprawdza SQL. Zapytanie takie jak wybierz * z karty kredytowej pochodzącej z serwera aplikacji powinno być zawsze blokowane. Te zapory mogą dostosowywać zestawy reguł czarnej listy i białej listy. Bezpieczeństwo jest funkcją zarówno aplikacji, jak i platformy, na której jest ona wdrażana. To wspólna odpowiedzialność.
Zasady bezpieczeństwa w chmurze
Chmura jest nowym sposobem dostarczania mocy obliczeniowej, ale nie jest tak zasadniczo inna. Nadal obowiązują wszystkie tradycyjne zasady bezpieczeństwa. Niektóre są łatwiejsze; niektóre są trudniejsze. Liczy się to, że masz dobre partnerstwo ze sprzedawcą chmury. Zapewniają solidne podstawy i narzędzia, z których można korzystać, ale musisz wziąć odpowiedzialność za wyższy stos. Bezpieczeństwo to wspólna odpowiedzialność, która wymaga szerokiej współpracy. Przykładem wymaganej współpracy jest przeprowadzanie testów penetracyjnych. Chyba że powiesz swojemu sprzedawca, test penetracji jest nie do odróżnienia od prawdziwego ataku. Musisz wcześniej poinformować swojego dostawcę usług w chmurze, że będziesz przeprowadzać testy penetracyjne i że aktywność widoczna w określonych przedziałach czasu jest OK. Jeśli nie współpracujesz z dostawcą usług w chmurze, po prostu zablokują wszystko, a najlepiej, że Twoja penetracja nie zadziała, ponieważ zabezpieczenia są domyślnie tak wysokie.
Zmniejszanie wektorów ataku
Kluczem do zmniejszenia ryzyka jest zminimalizowanie powierzchni ataku. Gdyby każdy z Twoich serwerów był w Internecie, to oczywiście stworzyłoby dużą powierzchnię do ataków. W idealnym przypadku ujawnisz tylko jeden adres IP w Internecie, a cały ruch zostanie wymuszony przez wiele zapór ogniowych i co najmniej jedną warstwę równoważenia obciążenia. Wielu dostawców usług w chmurze oferuje prywatną podsieć w chmurze publicznej, dzięki czemu możesz skonfigurować sieci prywatne, których nie można routować z publicznego Internetu. Hostom przypisane są prywatne adresy IP, dzięki czemu masz pełną kontrolę nad zakresami adresów IP, tabelami routingu, bramami sieciowymi i podsieciami. W ten sposób bezpiecznie dzielone są dziś duże sieci korporacyjne. Tylko wzmocniony moduł równoważenia obciążenia dostawcy chmury powinien odpowiadać na żądania z Internetu. Aby obsługiwać żądania aplikacji do zasobów w Internecie, możesz skonfigurować serwer pośredniczący, który można routować z Internetu, ale nie odpowiada na żądania pochodzące z Internetu. Translacji adresów sieciowych (NAT) można używać do łączenia z serwera aplikacji instancje w bezpiecznej podsieci, aby dostać się do pośrednika, który ma dostęp do Internetu. Pośrednik jest często nazywany gospodarzem bastionu.
Trzymaj swój backend poza Internetem.
Ma to zastosowanie poza także dziedzina technologii. Oprócz chmur prywatnych w chmurach publicznych, zapory ogniowe to kolejna świetna metoda zabezpieczania środowisk. Dostawcy usług w chmurze ułatwiają konfigurowanie reguł zapory, które zabraniają ruchu między warstwami, z wyjątkiem określonych protokołów przez określone porty. Na przykład, możesz mieć zaporę ogniową między modułami równoważenia obciążenia a serwerami aplikacji, która zezwala tylko na ruch HTTP przez port 80 z przechodzenia między dwoma portami. Cała reszta zostanie domyślnie odrzucona. Mając domyślne zasady blokowania i akceptując tylko określony ruch przez określony port, znacznie ograniczasz liczbę wektorów ataku, utrzymując niski profil w trybie online. Możesz nawet skonfigurować zapory ogniowe i moduły równoważące obciążenie, aby akceptowały ruch z określonego zakresu adresów IP, być może ograniczając pewien ruch do iz poziomu powyżej / poniżej oraz z sieci firmowej. Na przykład możesz wymagać ustanowienia wszelkich przychodzących połączeń SSH z adresu IP należącego do Twojej firmy. Jest to kluczowa zasada głębokiej obrony, zgodnie z którą atakujący musiałby penetrować wiele warstw, aby uzyskać dostęp do poufnych danych. W prywatnej podsieci musisz zminimalizować obszar ataku każdego serwera. Aby to zrobić, zacznij od wyłączenia wszystkich niepotrzebnych usług, pakietów, aplikacji, metod uwierzytelniania użytkowników i wszystkiego, czego nie będziesz używać. Następnie za pomocą zapory opartej na hoście, takiej jak iptables lub nftables, blokuj cały dostęp przychodzący i wychodzący, otwierając porty tylko na zasadzie wyjątku. Powinieneś mieć SSH (ograniczony do zakresu IP należącego do sieci firmowej) i HTTP (ograniczony do warstwy powyżej) otwarty tylko na serwerach, na których znajdują się serwery aplikacji. Użyj podejścia do zarządzania konfiguracją zgodnie z częścią 5, aby konsekwentnie stosować swoje zasady bezpieczeństwa. Domyślna zasada odmowy nie jest dobra, jeśli nie zostanie wdrożona po zbudowaniu nowego serwera. Schodząc o niższą warstwę, same hiperwizory mogą służyć jako wektor ataku. Gdy wirtualizacja po raz pierwszy zaczęła być głównym nurtem, występowały problemy z bezpieczeństwem hiperwizorów. Ale dzisiejsze hiperwizory są znacznie bardziej dojrzałe i bezpieczne niż kiedyś i są teraz uważane za OK do użycia we wszystkich głównych systemach zarządzania bezpieczeństwem informacji. Dostawcy w chmurze używają wysoce spersonalizowanych hiperwizorów, oferujących dodatkowe mechanizmy bezpieczeństwa powyżej podstawowej implementacji hiperwizora, takie jak Xen. Na przykład zapory są często wbudowane między interfejsem serwera fizycznego a interfejsem wirtualnym serwera gościa, aby zapewnić dodatkową warstwę bezpieczeństwa oprócz tego, co oferuje sam hiperwizor. Możesz nawet skonfigurować serwer gościa, aby działał w trybie rozwiązanym, dzięki czemu Twoja karta sieciowa przesyła wszystkie pakiety kierowane przez kartę do jednego z gości, a ruch innych gości nie będzie widoczny. Zastosowano wiele warstw ochrony, aby zapewnić, że tak się nigdy nie stanie. Rozdzielanie tego rodzaju zachodzi w przypadku wszystkich zasobów, w tym pamięci i pamięci. Dostawcy usług w chmurze pomagają zapewnić bezpieczeństwo swoim hiperwizorom poprzez częste i przejrzyste łatanie ich oraz częste testy penetracyjne. Jeśli okaże się, że hiperwizor dostawcy usług w chmurze ma problem z bezpieczeństwem, cały model biznesowy tego dostawcy zostaje zniszczony. Są bardzo zachęcani do tego, aby to dobrze zrobić. Jeśli szczególnie martwisz się bezpieczeństwem hiperwizora, zawsze możesz uzyskać serwery dedykowane zamiast serwerów współdzielonych. Ta funkcja, oferowana przez niektórych dostawców usług w chmurze, pozwala wdrożyć jeden serwer wirtualny na całym serwerze fizycznym. Różnica cen między tymi dwoma modelami jest często nominalna i można używać tych samych interfejsów API, których normalnie używasz.
Ochrona danych w ruchu
Dane mogą znajdować się w jednym z dwóch stanów: w ruchu lub w spoczynku. Dane w ruchu są z natury przemijające. Pomyśl o żądaniach HTTP, zapytaniach do bazy danych i pakietach TCP, które zawierają te protokoły wyższego rzędu. Dane, które są w stanie spoczynku, zostały zapisane w pamięci trwałej nośnik pamięci, zwykle wspierany przez jakieś fizyczne urządzenie. Wszelkie dane w ruchu mogą zostać przechwycone. Aby zabezpieczyć dane, możesz je zaszyfrować lub użyć połączenia, które jest już bezpieczne. Szyfrowanie jest najczęściej stosowaną metodą ochrony przesyłanych danych. Szyfrowanie zwykle ma postać Secure Sockets Layer (SSL) lub jego następcy, Transport Layer Security (TLS). SSL i TLS mogą być używane do szyfrowania niemal wszystkich danych w ruchu, od HTTP [HTTP + (SSL lub TLS) = HTTPS] po ruch VPN. Zarówno SSL, jak i TLS są dobrze używane i obsługiwane zarówno przez klientów, jak i aplikacje, co czyni je dominującym podejściem do zabezpieczania danych w ruchu. Szerokie wykorzystanie procesorów podatkowych SSL i TLS i zmniejsza wydajność. Przenosząc szyfrowanie i deszyfrowanie na sprzęt, możesz całkowicie wyeliminować obciążenie procesora i prawie wyeliminować obciążenie wydajności. Możesz w przejrzysty sposób odciążyć szyfrowanie i deszyfrowanie do nowoczesnych procesorów x86 lub specjalistycznych akceleratorów sprzętowych. SSL i TLS działają doskonale w następujących przypadkach:
• Klienci klientów (przeglądarki internetowe, smartfony) <-> poziom równoważenia obciążenia
• Warstwa równoważenia obciążenia < - > warstwa aplikacji
• Konsola administracyjna < - > chmura
• Warstwa aplikacji < - > SaaS (jak bramka płatności)
• Poziom aplikacji < - > starsze aplikacje
• Każda komunikacja w chmurze
• Każda komunikacja między chmurami
SSL i TLS działają w warstwie aplikacji, co oznacza, że aplikacje muszą być skonfigurowane do korzystania z nich. Zasadniczo nie stanowi to problemu dla klientów współpracujących z HTTP, co jest powszechne w dzisiejszych architekturach. Z drugiej strony protokół IPsec będzie działał w sposób przezroczysty dla całego ruchu opartego na protokole IP, ponieważ działa o kilka warstw niżej niż SSL i TLS poprzez hermetyzację pakietów TCP. Możesz użyć tego dla VPN do łączenia się z klientami, którzy nie obsługują SSL lub TLS, takimi jak starsze aplikacje detaliczne i tym podobne. Protokół IPsec jest powszechnie stosowany w sieciach VPN z powrotem do korporacyjnych centrów danych ze względu na jego elastyczność. SSL, TLS i IPsec wszystkie wymagają zakończenia szyfrowania. Na przykład możesz zakończyć SSL lub TLS w ramach sieci dostarczania treści, modułu równoważenia obciążenia lub aplikacji serwer. Jeśli korzystasz z serwera internetowego, możesz również tam zakończyć. Każdy pośrednik, któremu przekazujesz zaszyfrowany ruch, może być zmuszony odszyfrować, a następnie ponownie zaszyfrować ruch w celu wyświetlenia lub zmodyfikowania żądania. Jeśli na przykład zakończysz pracę na poziomie aplikacji i masz zaporę sieciową, musisz odszyfrować, a następnie ponownie zaszyfrować wszystkie żądania i odpowiedzi HTTP, aby zapora sieciowa mogła faktycznie zobaczyć i potencjalnie zablokować luki na poziomie aplikacji. Czasami szyfrowanie połączeń może być niepotrzebne lub niemożliwe. Porozmawiamy o tym w części 11, ale wielu dostawców usług w chmurze oferuje dostawcom colo możliwość prowadzenia dedykowanych linii światłowodowych w swoich centrach danych. Te prywatne sieci WAN są często używane do łączenia baz danych hostowanych w colo z serwerami aplikacji hostowanymi w chmurze. Połączenia te są dedykowane i uważane za bezpieczne. W bazie danych dane przechodzą z ruchu do spoczynku.
Ochrona danych w spoczynku
Dane w spoczynku to dane zapisywane na trwałym urządzeniu pamięci masowej, takim jak dysk, podczas gdy dane w ruchu zwykle przemieszczają się w sieci między dwoma hostami. Dane w spoczynku obejmują wszystko, od danych zarządzanych przez relacyjne i bazy danych NoSQL po pliki dziennika i obrazy produktów. Podobnie jak dane w ruchu, niektóre są warte ochrony, a inne nie. Odkryjmy. Aby rozpocząć, musisz najpierw zindeksować i skategoryzować wszystkie dane przechowywane przez system, stosując do każdego z nich różne poziomy bezpieczeństwa. Jest to standardowa część wszystkich systemów zarządzania bezpieczeństwem informacji, o czym mówiliśmy wcześniej w tym rozdziale. Jeśli możesz, zmniejsz ilość przechowywanych wrażliwych danych. Możesz:
• Nie przechowuj tego
• Skróć czas przechowywania
• Tokenizuj to
• Hashuj to
• Anonimizuj to
• Paskuj go w wielu miejscach
Im mniej masz danych, tym mniejsze ryzyko kradzieży. Na przykład tokenizacja zastępuje poufne dane w systemie tokenem. W ten sposób, nawet jeśli twoja baza danych zostanie naruszona, osoba atakująca nie uzyska dostępu do wrażliwych danych. Tokenizacja może być wykonywana na brzegu przez dostawcę CDN lub w aplikacji. Kiedy tokenizujesz na brzegu, tylko twój dostawca CDN i twoja bramka płatności mają dostęp do poufnych danych. Wrażliwe dane, które pozostały, należy chronić. Szyfrowanie jest typowym sposobem ochrony danych w spoczynku. Możesz zastosować bezpieczny, gotowy algorytm, aby zapewnić bezpieczeństwo, szyfrując pliki lub całe systemy plików. Szyfrowanie to podstawowa funkcja każdego systemu pamięci masowej, w tym oferowanego przez dostawców chmury. Aby zapewnić dodatkowy poziom bezpieczeństwa, możesz zaszyfrować swoje dane dwa razy - raz przed ich zapisaniem, a potem jeszcze raz w trakcie ich przechowywania. System plików, w którym jest zapisywany, może być zaszyfrowany. Szyfrowanie warstwowe jest dobre, ale nie przesadzaj. Szyfrowanie powoduje dodatkowe obciążenie, ale można je zminimalizować poprzez odciążenie szyfrowania i deszyfrowania nowoczesnych procesorów x86 lub wyspecjalizowane akceleratory sprzętowe. Za każdym razem, gdy używasz szyfrowania, musisz wprowadzić klucz do algorytmu podczas kodowania i dekodowania. Twój klucz jest jak hasło, które musi być bezpieczne, jak każdy z dostępem do klucza szyfrowania może odszyfrować dane zaszyfrowane przy użyciu tego klucza. Sprzętowe moduły bezpieczeństwa (HSM) są preferowanym sposobem generowania i zabezpieczania kluczy. HSM zawierają sprzętowe kryptoprocesory, które przodują w generowaniu naprawdę losowych liczb, które są ważne dla bezpiecznego generowania kluczy. Te samodzielne urządzenia fizyczne mogą być bezpośrednio podłączone do serwerów fizycznych lub podłączone przez sieć i zawierają zaawansowane funkcje bezpieczeństwa sprzętu i oprogramowania, aby zapobiec manipulacjom. Na przykład moduły HSM można skonfigurować tak, aby zerowały wszystkie klucze, jeśli urządzenie wykryje sabotaż. Niektórzy dostawcy usług w chmurze oferują teraz dedykowane moduły HSM, których można używać w chmurze, chociaż tylko dostawca usług w chmurze jest w stanie fizycznie je zainstalować. Możesz zarządzać swoimi modułami HSM zdalnie, a czynniki takie jak uwierzytelnianie wieloskładnikowe zapewniają dodatkowe bezpieczeństwo. Jeśli chcesz korzystać z własnych modułów HSM lub zarządzać nimi, możesz skonfigurować je w kontrolowanym przez siebie centrum danych, być może używając bezpośredniego połączenia między dostawcą usług w chmurze a colo. Zostanie to omówione dalej w części 11. Bazy danych, zarówno relacyjne, jak i NoSQL, zazwyczaj przechowują i pobierają wrażliwe dane. Masz trzy opcje hostowania swoich baz danych:
• Skorzystaj z oferty bazy danych jako usługi oferowanej przez dostawcę usług w chmurze
• Skonfiguruj bazę danych w chmurze na udostępnianej infrastrukturze
• Hostuj swoją bazę danych na miejscu w kontrolowanym przez Ciebie centrum danych, korzystając z bezpośredniego połączenia między dostawcą chmury i klientem
Wszystkie trzy podejścia są w pełni w stanie zapewnić bezpieczeństwo danych, zarówno w ruchu do bazy danych, jak i do danych w stanie spoczynku w bazie danych. Możesz nawet zaszyfrować dane, zanim umieścisz je w bazie danych, jako dodatkową warstwę bezpieczeństwa. Ponownie, posiadanie w nie sposób oznacza bezpieczeństwo. Ważne jest posiadanie silnego systemu zarządzania bezpieczeństwem informacji, odpowiednie kategoryzowanie danych i stosowanie odpowiednich kontroli.