Er zijn oneindig veel beveiligingsproblemen met de cloud. Bekijk de documenten van ENISA voor een vervelende waslijst.

Uit de ENISA-pdf waarnaar @atdre al verwijst in zijn antwoord.

VERLIES VAN GOVERNANCE: bij het gebruik van cloudinfrastructuren, staat de klant noodzakelijkerwijs de controle over aan de Cloud Provider ( CP) over een aantal kwesties die van invloed kunnen zijn op de beveiliging. Tegelijkertijd bieden SLA's mogelijk geen toezegging om dergelijke services van de kant van de cloudprovider te leveren, waardoor er een gat ontstaat in de beveiliging.
LOCK-IN: er is momenteel weinig aan bieden in de vorm van tools, procedures of gestandaardiseerde dataformaten of service-interfaces die de overdraagbaarheid van data, applicaties en services kunnen garanderen. Dit kan het voor de klant moeilijk maken om van de ene provider naar de andere te migreren of om gegevens en diensten terug te migreren naar een interne IT-omgeving. Dit introduceert een afhankelijkheid van een bepaalde CP voor dienstverlening, vooral als dataportabiliteit, als het meest fundamentele aspect, niet is ingeschakeld.
ISOLATIESTORING: multi-tenancy en gedeelde bronnen zijn bepalende kenmerken van cloud computing. Deze risicocategorie omvat het falen van mechanismen die opslag, geheugen, routering en zelfs reputatie tussen verschillende tenants scheiden (bijv. Zogenaamde guest-hopping-aanvallen). Er moet echter rekening mee worden gehouden dat aanvallen op mechanismen voor het isoleren van bronnen (bijv. Tegen hypervisors) nog steeds minder talrijk zijn en veel moeilijker voor een aanvaller om in de praktijk te brengen in vergelijking met aanvallen op traditionele besturingssystemen.
NALEVINGSRISICO'S: investeringen in het behalen van certificering (bijv. industriestandaard of wettelijke vereisten) kunnen in gevaar worden gebracht door migratie naar de cloud:
als de CP niet kan aantonen dat ze voldoen aan de relevante vereisten
als de CP staat audit door de cloudklant (CC) niet toe.
In bepaalde gevallen betekent dit ook dat het gebruik van een openbare cloudinfrastructuur impliceert dat bepaalde soorten compliance niet kunnen worden bereikt (bijv. PCI DSS (4)).
COMPROMIS MET MANAGEMENT-INTERFACE: klantbeheerinterfaces van een openbare cloudprovider zijn toegankelijk via internet en bemiddelen bij toegang tot grotere sets bronnen (dan traditionele hostingproviders) en vormen daarom een ​​verhoogd risico, vooral in combinatie met externe toegang en kwetsbaarheden in webbrowsers.
GEGEVENSBESCHERMING: cloud computing brengt verschillende gegevensbeschermingsrisico's met zich mee voor cloudklanten en -providers. In sommige gevallen kan het voor de cloudklant (in zijn rol als gegevensbeheerder) moeilijk zijn om de gegevensverwerkingspraktijken van de cloudaanbieder effectief te controleren en er dus zeker van te zijn dat de gegevens op een rechtmatige manier worden behandeld. Dit probleem wordt verergerd in gevallen van meervoudige overdracht van gegevens, bijvoorbeeld tussen federatieve clouds. Aan de andere kant verstrekken sommige cloudproviders wel informatie over hun praktijken voor gegevensverwerking. Sommige bieden ook certificeringssamenvattingen over hun gegevensverwerkings- en gegevensbeveiligingsactiviteiten en de gegevenscontroles die ze hebben ingevoerd, bijvoorbeeld SAS70-certificering.
ONZEKERE OF ONVOLLEDIGE GEGEVENSVERWIJDERING: wanneer een verzoek om een ​​cloud te verwijderen bron wordt gemaakt, zoals bij de meeste besturingssystemen, kan dit niet resulteren in het echt wissen van de gegevens. Het adequaat of tijdig wissen van gegevens kan ook onmogelijk (of vanuit klantperspectief ongewenst) zijn, hetzij omdat extra kopieën van gegevens worden opgeslagen maar niet beschikbaar zijn, hetzij omdat de te vernietigen schijf ook gegevens van andere klanten opslaat. In het geval van meerdere huurcontracten en het hergebruik van hardwarebronnen, vormt dit een groter risico voor de klant dan met speciale hardware.
SCHADELIJKE INSIDER: hoewel meestal minder waarschijnlijk, is de schade die kan worden veroorzaakt door kwaadwillende insiders is vaak veel groter. Cloud-architecturen vereisen bepaalde rollen die extreem risicovol zijn. Voorbeelden zijn onder meer CP-systeembeheerders en managed security service providers.

Een klein aantal beveiligingsproblemen (niet per se nieuw voor de cloud, maar zeker moeilijker):

• Toegangscontrole
• Privacy en vertrouwelijkheid
• Beschikbaarheid (hoe sterk is uw SLA eigenlijk? vergoedt uw provider voor enige schade die voortvloeit uit offline zijn?)
• verbinding met interne systemen - u zult vaak gaten in uw firewall moeten slaan om enkele andere protocollen toe te staan ​​om toegang te krijgen tot uw gevoelige, interne systemen.
• Naleving - er zijn een aantal regels, met name PCI-DSS, waaraan u momenteel niet kunt voldoen als u cloudgebaseerde systemen gebruikt. Merk op dat ze cloud-systemen misschien niet expliciet verbieden, maar het is simpelweg onmogelijk om compliant te zijn bij het gebruik van cloud-systemen zoals ze nu zijn .
• Er zijn in sommige landen bepaalde wetten die het u verbieden om privégegevens van hun burgers uit hun land te verplaatsen. Er zijn andere landen waar u niet wilt om uw gegevens naar toe te verplaatsen, omdat u niet onderworpen wilt zijn aan hun wetten ... Wanneer u vertroebelt , u weet niet echt waar uw systemen en gegevens zich bevinden, dus hoe kunt u ervoor zorgen dat uw gebruikers iets weten over hun locatie? Hoe weet je trouwens welke wetten je op welk moment moet naleven? En hoe weet je dat je niet al illegaal bent?

Er was zojuist een blogpost van Lenny Zeltser over dit onderwerp: Top 10 cloudbeveiligingsrisico's

De meeste van zijn punten gaan over het probleem dat je niet volledig hebt controle over de infrastructuur, en misschien niet eens weten hoe het intern werkt. Men weet ook niet meer wie er nog meer op hetzelfde systeem zitten, en een kwetsbaarheid in hun systeem kan naar uw gegevens lekken.

Een ander probleem is dat u een buitenstaander moet vertrouwen om uw gegevens te beveiligen. Een verkeerde configuratie en al uw gegevens kunnen lekken.

Ik kan dit onderzoek naar beveiligingsproblemen met cloudgebaseerde hosting ten zeerste aanbevelen: Self Hosting vs. Cloud Hosting: verantwoording voor de beveiligingsimpact van hosting in de cloud.

Praktisch gesproken heb ik gezien dat bedrijven websites naar de cloud verplaatsen zonder een codereview. De code is geschreven voor een enkele machine waarop ASP.NET draait.

De cloud biedt meestal uitbreidingsmogelijkheden. Als de site niet is gemaakt om uit te schalen, ontstaan ​​er gelijktijdigheidsproblemen met de gegevensintegriteit of sessiebeveiliging. Om met deze problemen om te gaan, zullen ontwikkelaars de niet-gelijktijdige code verwijderen (waardoor deze soms minder veilig is) of de code herschrijven die nodig is om sessieloze, gelijktijdige implementaties te ondersteunen.

Naast de goede punten van AviD zijn de volgende ook erg belangrijk:

• Beschikbaarheid - ja, AviD heeft het genoemd, maar ik kan niet genoeg benadrukken hoe cruciaal het is dat u uw afhankelijkheid van de cloud. Cloudproviders noemen vaak de onkwetsbaarheid van de cloud, maar in werkelijkheid is een denial of service-aanval nog steeds geldig als u niet tijdig toegang heeft tot uw applicatie.
• Regulatory Compliance - op twee fronten: waar is jouw gegevens? Kunt u garanderen dat het in de juiste jurisdictie blijft, en voor e-discovery, kunt u garanderen dat u alle gegevens hebt opgehaald die verband houden met een individu / gebeurtenis?

De cloud maakt beide moeilijker te bevestigen.

Om ervoor te zorgen dat gegevens veilig zijn en dat gegevensprivacy wordt gehandhaafd, houden cloudcomputingproviders zich bezig met de volgende gebieden:

Gegevensbescherming - Om als beschermd te worden beschouwd, gegevens van de ene klant moet goed worden gescheiden van die van een andere; het moet veilig worden opgeslagen wanneer het "in rust" is en het moet veilig van de ene locatie naar de andere kunnen worden verplaatst. Cloudproviders hebben systemen om datalekken of toegang door derden te voorkomen. Een juiste scheiding van taken moet ervoor zorgen dat auditing en / of monitoring niet kan worden verslagen, zelfs niet door geprivilegieerde gebruikers bij de cloudprovider.

Identiteitsbeheer - Elke onderneming heeft zijn eigen identiteitsbeheer systeem om de toegang tot informatie en computerbronnen te regelen. Cloudproviders integreren het identiteitsbeheersysteem van de klant in hun eigen infrastructuur, met behulp van federatie- of SSO-technologie, of bieden een eigen identiteitsbeheeroplossing.

Fysieke en personele beveiliging - Providers zorg ervoor dat fysieke machines voldoende beveiligd zijn en dat de toegang tot deze machines en alle relevante klantgegevens niet alleen beperkt is, maar dat de toegang ook wordt gedocumenteerd.

Beschikbaarheid - Cloudproviders verzekeren klanten dat ze regelmatige en voorspelbare toegang zullen hebben tot hun gegevens en applicaties.

Applicatiebeveiliging - Cloudproviders zorgen ervoor dat applicaties die beschikbaar zijn als service via de cloud veilig zijn door testen en acceptatie te implementeren procedures voor uitbestede of verpakte applicatiecode. Het vereist ook toepassingsbeveiligingsmaatregelen (firewalls op toepassingsniveau) in de productieomgeving.

Privacy - Ten slotte zorgen providers ervoor dat alle kritieke gegevens (bijvoorbeeld creditcardnummers) worden gemaskeerd en dat alleen geautoriseerde gebruikers toegang hebben tot de gegevens in hun geheel. Bovendien moeten digitale identiteiten en inloggegevens worden beschermd, evenals alle gegevens die de provider verzamelt of produceert over klantactiviteiten in de cloud.

Voor meer informatie over cloud computing in India, bezoek - Link verwijderd door mod

Virtualisatie, dat is de wortel van cloud computing-technologie, verwijdert de zogenaamde term "perimeter", dat was als een gids in gewone DC's (datacenters) waar je met defensie moet beginnen en wat je moet doen. Aangezien de meeste gegevens in clouds worden overgedragen tussen fysieke servers en virtuele machines, is er verminderde controle over een dergelijk systeem - minder mogelijkheden voor netwerksegmentatie en het gebruik van hardwarematige bescherming. Dergelijke nieuwe DC-virtualisatie vereist nieuw toegangsbeleid en gegevensbeheersoftware.

Er werd een non-profitorganisatie Cloud Security Alliance (CSA) opgericht die zich richt op cloudbeveiliging: http://www.cloudsecurityalliance.org/. Daar vindt u handleidingen en best practices voor het omgaan met cloud computing.

NIST kwam in 2020 uit met NISTIR 8006, NIST Cloud Computing Forensic Science Challenges | CSRC. Het documenteert en categoriseert uitdagingen die specifiek zijn voor forensisch onderzoek van cloud computing, maar dat omvat veel gerelateerde problemen.

Hier is de lijst met uitdagingen uit sectie 3.2.3 Categorisering van uitdagingen :

• Architectuur (bijv. diversiteit, complexiteit, herkomst, multi-tenancy, gegevensscheiding).
  • Omgaan met variabiliteit in cloudarchitecturen tussen providers
  • Huurder gegevenscompartimentering en isolatie tijdens het verstrekken van bronnen
  • Verspreiding van systemen, locaties en eindpunten die gegevens kunnen opslaan
  • Nauwkeurige en veilige herkomst voor het onderhouden en behouden van de bewakingsketen
• Gegevensverzameling (bijv. gegevensintegriteit, gegevensherstel, gegevenslocatie, beeldvorming).
  • Lokaliseren van forensische artefacten in grote, gedistribueerde en dynamische systemen
  • Lokaliseren en verzamelen van vluchtige gegevens
  • Gegevensverzameling van virtuele machines
  • Gegevensintegriteit in een omgeving met meerdere tenants waar gegevens worden gedeeld g meerdere computers op meerdere locaties en toegankelijk voor meerdere partijen
  • Onvermogen om alle forensische artefacten in de cloud in beeld te brengen
  • Toegang tot de gegevens van een huurder zonder de vertrouwelijkheid van andere huurders te schenden
  • Herstel van verwijderde gegevens in een gedeelde en gedistribueerde virtuele omgeving
• Analyse (bijv. correlatie, reconstructie, tijdsynchronisatie, logboeken, metadata, tijdlijnen).
  • Correlatie van forensische artefacten tussen en binnen cloudproviders
  • Reconstructie van gebeurtenissen uit virtuele afbeeldingen of opslag
  • Integriteit van metadata
  • Tijdlijnanalyse van loggegevens, inclusief synchronisatie van tijdstempels
• Anti-forensisch onderzoek (bijv. obfuscatie, gegevens verbergen, malware). Antiforensisch onderzoek is een reeks technieken die specifiek worden gebruikt om forensische analyse te voorkomen of te misleiden.
  • Het gebruik van obfuscatie, malware, gegevens verbergen of andere technieken om de integriteit van bewijsmateriaal in gevaar te brengen
  • Malware kan isolatiemethoden voor virtuele machines omzeilen
• Eerstehulpverleners bij incidenten (bijv. Betrouwbaarheid van cloudproviders, responstijd, reconstructie).
  • Vertrouwen, competentie en betrouwbaarheid van de cloudproviders om als eerstehulpverleners op te treden en gegevensverzameling uit te voeren
  • Moeilijkheden in initiële triage uitvoeren
  • Verwerking van een groot volume aan verzamelde forensische artefacten
• Rolbeheer (bijv. data-eigenaren, identiteitsbeheer, gebruikers, toegangscontrole). Rol
  • Unieke identificatie van de eigenaar van een account
  • Ontkoppeling tussen inloggegevens van cloudgebruikers en fysieke gebruikers
  • Gemakkelijke anonimiteit en het creëren van fictieve identiteiten online
  • Het exacte eigendom van gegevens bepalen
  • Authenticatie en toegangscontrole
• Juridisch (bijv. Rechtsgebieden, wetten, serviceniveauovereenkomsten, contracten, dagvaardingen, internationale samenwerking , privacy, ethiek).
  • Identificatie en aanpak van problemen van rechtsgebieden voor legale toegang tot gegevens
  • Gebrek aan effectieve kanalen voor internationale communicatie en samenwerking tijdens een onderzoek
  • Gegevensverzameling die afhankelijk is van de medewerking van cloudproviders, evenals hun competentie en betrouwbaarheid.
  • Ontbrekende voorwaarden in contracten en service level agreements
  • Uitgaven van dagvaardingen zonder kennis van de fysieke locatie van gegevens
• Standaarden (bijv. standaard operationele procedures, interoperabiliteit, testen, validatie).
  • Gebrek aan e ven minimale / basis-SOP's, praktijken en tools
  • Gebrek aan interoperabiliteit tussen cloudproviders
  • Gebrek aan test- en validatieprocedures
• Training (bijv. Forensisch onderzoekers, cloudproviders, kwalificatie, certificering).
  • Misbruik van digitaal forensisch trainingsmateriaal dat niet van toepassing is op forensisch onderzoek in de cloud
  • Gebrek aan forensische training en expertise in de cloud voor zowel onderzoekers als instructeurs
  • Beperkte kennis over bewijs door administratief personeel bij cloudproviders

Multi-tenant-omgevingen zijn kwetsbaar voor Related Domain Cookie-aanvallen

• Er is momenteel geen praktische oplossing

• De RFC TLS-OBC (beschreven op de gebruiksvriendelijke http://www.browserauth.net/ site) is niet algemeen aangenomen