Security and Privacy Challenges in Public Cloud

Abstract
The development of cloud computing services is speeding up the rate in which the organizations outsource their computational services or sell their idle computational resources. Even though migrating to the cloud remains a tempting trend from a financial perspective, there are several other aspects that must be taken into account by companies before they decide to do so. One of the most important aspect refers to security & privacy:  while some cloud computing security issues are inherited from the solutions adopted to create such services, many new security questions that are particular to these solutions also arise, including those related to how the services are organized and which kind of service/data can be placed in the cloud. Aiming to give a better understanding of this complex scenario, in this article we identify and classify the main security concerns in public cloud computing, giving an overview of the current status of security in this emerging technology.
Cloud computing security-resized-600

 Cloud computing has grabbed the spotlight, with vendors aplenty hawking products and services that equip IT with controls to bring order to cloud chaos. But the first step is for organization to identify precisely where the greatest cloud-related threats lie.  To that end, the NSIT by Wayne A. Jansen, publish article “security and privacy issues in cloud computing” addressing the issues of security and privacy in public cloud computing. This article summarizes the main points of view present in the research mentioned above.

Security and Privacy Challenges 
While reducing cost is a primary motivation for moving towards a cloud provider, reducing responsibility for security or privacy should not be. Ultimately, the organization is accountable for the overall state of the outsourced service. Monitoring and addressing security and privacy issues remain in the purview of the organization, just as other important issues, such as performance, availability, and recovery.
This artical  looks at the main security and privacy issues pertinent to cloud computing, as they relate to outsourcing portions of the organizational computing environment. It points out areas of concern with public clouds that require special attention and provides the necessary background to make informed security decisions.
1.      Trust
Under the cloud computing paradigm, an organization relinquishes direct control over many aspects of security and, in doing so, confers an unprecedented level of trust onto the service provider.
trust
1.1.    Insider Access
Data processed or stored outside the confines of an organization, its firewall, and other security controls bring with it an inherent level of risk. The insider security threat is a well-known issue for most organizations. Insider threats go beyond those posed by current or former employees to include organizational affiliates, contractors, and other parties that have received access to an organization’s networks, systems, and data to carry out or facilitate operations.
Moving data and applications to an external cloud computing environment expands the insider security risk not only to the service provider’s staff, but also potentially among other customers using the service.
1.2.    Composite  Services
Cloud services themselves can be composed through nesting and layering with other cloud services. For instance, a SaaS provider could build its services upon those of a PaaS or IaaS cloud. Cloud service providers that subcontract some services to third-party service providers should raise concerns, including the scope of control over the third party, the responsibilities involved, and the remedies and recourse available should problems occur. Trust is often not transitive, requiring that third-party arrangements be disclosed in advance of reaching an agreement with the service provider, and that the terms of these arrangements are maintained throughout the agreement or until sufficient notification can be given of any anticipated changes.
1.3.    Visibility
Migration to cloud services relinquishes control to the service provider for securing the systems on which the organization’s data and applications operate. To avoid creating gaps in security, management, procedural, and technical controls must be applied commensurately with those used for internal organizational systems. The task is formidable, since metrics for comparing the security of two computer systems are an ongoing area of research. Moreover, network and system level monitoring by the user is generally outside the scope of most service arrangements, limiting visibility and the means to audit operations directly. To ensure that policy and procedures are being enforced throughout the system lifecycle, service arrangements should contain some means for gaining visibility into the security controls and processes employed the by service provider, as well as their performance over time.
1.4.    Risk Management
With cloud-based services, some subsystems or subsystem components are outside of the direct control of the organization that owns the information and authorizes use of system. Many people feel more comfortable with risk when they have more control over the processes and equipment involved. At a minimum, a high degree of control provides the option to weigh alternatives, set priorities, and act decisively in the best interest of the organization when faced with an incident. In choosing between an in-house solution and a cloud-based implementation, the associated risks need to be assessed in detail. Assessing and managing risk in systems that use cloud services can be a challenge. Ideally, the level of trust is based on the amount of direct control the organization is able to exert on the external service provider with regard to employment of security controls necessary for the protection of the service and the evidence brought forth as to the effectiveness of those controls.
cloud-storage-and-computing-one-300x197
2.      Architecture
The systems architecture of the software systems used to deliver cloud services comprises hardware and software residing in the cloud. The physical location of the infrastructure is determined by the service provider as is the implementation of reliability and scalability logic of the underlying support framework. Virtual machines (VMs) typically serve as the abstract unit of deployment and are loosely coupled with the cloud storage architecture. Applications are built on the programming interfaces of Internet-accessible services and typically involve multiple intercommunicating cloud components.
2.1.    Attack Surface
A hypervisor or virtual machine monitor is an additional layer of software between an operating system and hardware platform, needed to operate multi-tenant VMs and applications hosted thereupon. Besides virtualized resources, the hypervisor normally supports other programming interfaces to conduct administrative operations, such as launching, migrating, and terminating VM instances. Compared with a non-virtualized implementation, the addition of a hypervisor causes an increase in the attack surface. The complexity in VM environments can also be more challenging than their traditional counterpart, giving rise to conditions that undermine security. For example, paging, check pointing, and migration of VMs can leak sensitive data to persistent storage, subverting protection mechanisms in the hosted operating system. The hypervisor itself can also be compromised. A zero-day exploit in the Hyper VM virtualization application purportedly led to the destruction of approximately 100,000 virtual server based Websites hosted at Vaserv.com.
virtsec
2.2.    Virtual Network Protection
Most virtualization platforms have the ability to create software-based switches and network configurations as part of the virtual environment to allow VMs on the same host to communicate more directly and efficiently. For example, the VMware virtual networking architecture supports same-host networking in which a private subnet is created for VMs requiring no external network access. Traffic over such networks is not visible to the security protection devices on the physical network, such as network-based intrusion detection and prevention systems. To avoid a loss of visibility and protection against intra-host attacks, duplication of the physical network protections may be required on the virtual network.
2.3.    Ancillary Data
While the focus of protection is placed mainly on application data, service providers also hold significant details about the service users’ accounts that could be compromised and used in subsequent attacks. While payment information is one example, other, more subtle information sources can be involved. For example, a database of contact information stolen from Salesforce.com, via a targeted phishing attack against an employee, was used to launch successful targeted email attacks against users of the service. The incident illustrates the need for service providers to promptly report security breaches occurring not only in the data it holds for its service users, but also the data it holds about them. Another type of ancillary data is VM images. A VM image entails the software stack, including installed and configured applications, used to boot the VM into an initial state or the state of some previous checkpoint.
2.4.    Client-Side Protection
A successful defense against attacks requires both a secure client and a secure Website infrastructure. With emphasis typically placed on the latter, the former can be easily overlooked. Web browsers, a key element for many cloud computing services, and the various available plug-ins and extensions for them are notorious for their security problems. Moreover, many browser add-ons do not provide automatic updates, increasing the persistence of existing vulnerabilities. The increased availability and use of social media, personal Webmail, and other publicly available sites also has associated risks that can impact the security of the browser, its underlying platform, and cloud service accounts negatively through social engineering attacks. For example, spyware reportedly installed in a hospital via an employee’s Yahoo Webmail account sent out more than 1,000 screen captures containing financial and other confidential information to the originator before it was discovered. Having a backdoor Trojan, keystroke logger, or other type of malware  running on a client does not bode well for the security of the cloud or other Web-based services. Organizations need to employ measures to secure the client side as part of the overall architecture. Banks are beginning to take the lead in deploying hardened browser environments that encrypt network exchanges and protect against keystroke logging.authen
2.5.    Server-Side Protection
Virtual servers and applications, much like their non-virtualized counterparts, need to be secured in IaaS clouds. Following organizational policies and procedures, hardening of the operating system and applications should occur to produce VM images for deployment. Care must also be taken to make adjustments for the virtualized environments in which the images run. For example, virtual firewalls can be used to isolate groups of VMs from other groups hosted, such as production systems from development systems or development systems from other cloud-resident systems. Carefully managing VM images is also important to avoid accidently deploying images containing vulnerabilities.
3.      Identity Management
Data sensitivity and privacy of information have increasingly become a concern for organizations, and unauthorized access to information resources in the cloud is a major issue. One reason is that an organization’s identification and authentication framework may not naturally extend into the cloud and may require effort to modify the existing framework to support cloud services. The alternative of having two different systems for use authentication, one for internal organizational systems and another for external cloud-based systems is a complication that can become unworkable over time. Identity federation, popularized with the introduction of service oriented architectures, is one solution that can be accomplished in a number of ways, such as with the Security Assertion Markup Language (SAML) standard.
3.1.    Authentication
A growing number of cloud service providers support the SAML standard and use it to administer users and authenticate them before providing access to applications and data. SAML provides a means to exchange information, such as assertions related to a subject or authentication information, between cooperating domains. SAML request and response messages are typically mapped over the Simple Object Access Protocol (SOAP), which relies on XML for its format. With Amazon Web Services, for example, once a user has established a public key certificate, it is used to sign SOAP requests to the EC2 to interact with it. SOAP message security validation is complicated and must be carried out carefully to prevent attacks. XML wrapping attacks involving the manipulation of SOAP messages have been successfully demonstrated against Amazon’s EC2 services.
3.2.    Access Control
Besides authentication, the capability to adapt user privileges and maintain control over access to resources is also required, as part of identity management. Standards like the eXtensible Access Control Markup Language (XACML) can be employed to control access to cloud resources, instead of using a service provider’s proprietary interface. XACML focuses on the mechanism for arriving at authorization decisions, which complements SAML’s focus on the means for transferring authentication and authorization decisions between cooperating entities. XACML is capable of controlling the proprietary service interfaces of most providers, and some service providers, such as salesforce.com and Google Apps, already have it in place.
4.      Software Isolation
High degrees of multi-tenancy over large numbers of platforms are needed for cloud computing to achieve the envisioned flexibility of on-demand provisioning of reliable services and the cost benefits and efficiencies due to economies of scale. To reach the high scales of consumption desired, service providers have to ensure dynamic flexible delivery of service and isolation of user resources. Multi-tenancy in cloud computing is typically done by multiplexing the execution of VMs from potentially different users on the same physical server. It is important to note that applications deployed on guest VMs remain susceptible to attack and compromise, much the same as their non-virtualized counterparts. This was dramatically exemplified recently by a botnet found operating out of Amazon’s EC2 cloud computing environment.
4.1.    Hypervisor Complexity
The security of a computer system depends on the quality of the underlying software kernel that controls the confinement and execution of processes. A hypervisor or virtual machine monitor (VMM) is designed to run multiple guest VMs, hosting operating systems and applications, concurrently on a single host computer and to provide isolation between the guest VMS. A VMM can, in theory, be smaller and less complex than an operating system. Small size and simplicity make it easier to analyze and improve the quality of security, giving a VMM the potential to be better suited for maintaining strong isolation between guest VMs than an operating system is for isolating processes. In practice, however, modern hypervisors can be large and complex, comparable to an operating system, which negates this advantage.
iStock_000015406012XSmall-resized-600
4.2.    Attack Vectors
Multi-tenancy in VM-based cloud infrastructures, together with the subtleties in the way physical resources are shared between guest VMs, can give rise to new sources of threats. The most serious threat is that malicious code can escape the confines of its VMM and interfere with the hypervisor or other guest VMs. Live migration, the ability to transition a VM between hypervisors on different host computers without halting the guest operating system, and other features provided by VMM environments to facilitate systems management, also increase software size and complexity and potentially add other areas to target in an attack.
5.      Data Protection
Data stored in the cloud typically resides in a shared environment collocated with data from other customers. Organizations moving sensitive and regulated data into the cloud, therefore, must account for the means by which access to the data is controlled and the data is kept secure.
5.1.    Data Isolation
Data can take many forms. For example, for cloud-based application development, it includes the application programs, scripts, and configuration settings, along with the development tools. For deployed applications, it includes records and other content created or used by the applications, as well as account information about the users of the applications. Access controls are one means to keep data away from unauthorized users; encryption is another. Access controls are typically identity-based, which makes authentication of the user’s identity an important issue in cloud computing. Database environments used in cloud computing can vary significantly.
identity_management
For example, some environments support a multi-instance model, while others support a multi-tenant model. The former provides a unique database management system running on a VM instance for each service user, giving the user complete control over role definition, user authorization, and other administrative tasks related to security. The latter provides a predefined environment for the cloud service user that is shared with other tenants, typically through tagging data with a user identifier. Tagging gives the appearance of exclusive use of the instance, but relies on the service provider to maintain a sound secure database environment. Various types of multi-tenant arrangements exist for databases. Each type pools resources differently, offering different degrees of isolation and resource efficiency. Other considerations also apply. For example, certain features like data encryption are only viable with arrangements that use separate rather than shared databases. These sorts of tradeoffs require careful evaluation of the suitability of the data management solution for the data involved. Requirements in certain fields, such as healthcare, would likely influence the choice of database and data organization used in an application. Privacy sensitive information, in general, is a serious concern. Data must be secured while at rest, in transit, and in use, and access to the data controlled. Standards for communications protocols and public key certificates allow data transfers to be protected using cryptography. Procedures for protecting data at rest, however, are not as well standardized, making interoperability an issue due to the predominance of proprietary systems. The lack of interoperability affects data availability and complicates the portability of applications and data between cloud service providers. Currently, the responsibility for cryptographic key management falls mainly on the cloud service subscriber. Key generation and storage is usually performed outside the cloud using hardware security modules, which do not scale well to the cloud paradigm. Work is ongoing to identify scalable and usable cryptographic key management and exchange strategies for use by government, which could help to alleviate the problem eventually. Protecting data in use is an emerging area of cryptography with few practical results to offer, leaving trust mechanisms as the main safeguard.
5.2.    Data Sanitization
The data sanitization practices that a service provider implements have obvious implications for security. Sanitization is the removal of sensitive data from a storage device in various situations, such as when a storage device is removed from service or moved elsewhere to be stored. It also applies to backup copies made for recovery and restoration of service, and residual data remaining upon termination of service. In a cloud computing environment, data from one subscriber is physically commingled with the data of other subscribers, which can complicate matters. For example, with the proper skills and equipment, it is possible to recover data from failed drives that are not disposed  properly by service providers.
5.3.    Data Location
One of the most common compliance issues facing an organization is data location. Use of an in-house computing center allows an organization to structure its computing environment and know in detail where data is stored and the safeguards used to protect the data. In contrast, a characteristic of many cloud computing services is that the detailed information of the location of an organization’s data is unavailable or not disclosed to the service subscriber. This situation makes it difficult to ascertain whether sufficient safeguards are in place and whether legal and regulatory compliance requirements are being met. External audits and security certifications can, to some extent, alleviate this issue, but they are not a panacea. Once information crosses a national border, it is extremely difficult to guarantee protection under foreign laws and regulations.
6.      Availability
In simple terms, availability means that an organization has its full set of computing resources accessible and usable at all times. Availability can be affected temporarily or permanently, and a loss can be partial or complete. Denial of service attacks, equipment outages, and natural disasters are all threats to availability.
6.1.    Temporary Outages
Despite employing architectures designed for high service reliability and availability, cloud computing services can and do experience outages and performance slowdowns.hilbert
Several examples illustrate this point. In February 2008, Amazon’s Simple Storage Service (S3) and EC2
services suffered a three-hour outage that, in turn, affected Twitter and other startup companies using the services  In March 2009, Microsoft’s Azure cloud service experienced severe degradation for about 22 hours due to networking issues related to an upgrade. At a level of 99.999% reliability, 8.76 hours of down-time is to be expected in a year. The level of reliability of a cloud service and also its capabilities for backup and recovery should be taken into account in the organization’s contingency planning to address the restoration and recovery of disrupted cloud services and operations, using alternate services, equipment, and locations. Cloud storage services may represent a single point of failure for the applications hosted there. In such situations, a second cloud service provider could be used to back up data processed by the primary provider to ensure that during a prolonged disruption or serious disaster at the primary, the data remains available for immediate resumption of critical operations.
6.2.    Prolonged and Permanent Outages
It is possible for a service provider to experience serious problems, like bankruptcy or facility loss, which affect service for extended periods or cause a complete shutdown. For example, in April 2009, the FBI raided computing centers in Texas and seized hundreds of servers, when investigating fraud allegations against a handful of companies that operated out of the centers. The seizure disrupted service to hundreds of other businesses unrelated to the investigation, but who had the misfortune of having their computer operations collocated at the targeted centers.
6.3.    Denial of Service
A denial of service attack involves saturating the target with bogus requests to prevent it from responding to legitimate requests in a timely manner. An attacker typically uses multiple computers or a botnet to launch an assault. Even an unsuccessful distributed denial of service attack can quickly consume a large amount of resources to defend against and cause charges to soar. The dynamic provisioning of a cloud in some ways simplifies the work of an attacker to cause harm. While the resources of a cloud are significant, with enough attacking computers they can become saturated. For example, a denial of service attack against Bit Bucket, a code hosting site, caused an outage of over 19 hours of downtime during an apparent denial of service attack on the underlying Amazon cloud infrastructure it uses. Besides publicly available services, denial of service attacks can occur against private services, such as those used in cloud management. For example, a denial of service attack occurred against the cloud management programming interface of the Amazon Cloud Services involved machine instances replicating themselves exponentially. Internally assigned non routable addresses, used to manage resources within the service provider’s network, may also be used as an attack vector. A worst-case possibility that exists is for elements of one cloud to attack those of another or to attack some of its own elements.
6.4.    Value Concentration
The bank robber Willie Hutton is often attributed with the claim that he robbed banks “because that is where the money is” . In many ways, data records are the currency of the 21st century and cloud-based data stores are the bank vault, making them an increasingly preferred target. Just as an economy of scale exists in robbing banks instead of individuals, a high payoff ratio also exists for successfully compromising a cloud. For instance, a recent exploit targeted a Twitter employee’s email account by reportedly answering a set of security questions and then using that information to access company files stored on his organizational Google Apps account. A similar weakness was noted in Amazon Web Services (AWS). A registered email address and valid password for an account are all that is required to download authentication credentials from the AWS Web dashboard, which in turn grant access to the account’s resources. Since lost passwords can be reset by email, an attacker controlling the mail system, or passively eavesdropping on the network thru which email containing a password reset would pass, could effectively take control of the account. Having data collocated with the data of an organization with a high threat profile could also lead to denial of service, as an unintended casualty from an attack targeted against that organization. Similarly, indirect effects from an attack against the physical resources of a high-profile organization’s service provider are also a possibility.
Conclusion
In emphasizing the cost and performance benefits of the cloud, some fundamental security problems have receded into the background and been left unresolved. Several critical pieces of technology, such as a solution for federated trust, are not yet fully realized, impinging on successful deployments. Determining the security of complex computer systems is also a long-standing security problem that overshadows large scale computing in general. Security of the cloud infrastructure relies on trusted computing and cryptography

. Organizational data must be protected in a manner consistent with policies, whether in the organization’s computing center or the cloud. No standard service contract exists that covers the ranges of cloud services available and the needs of different organizations. Having a list of common outsourcing provisions, such as privacy and security standards, regulatory and compliance issues, service level requirements and penalties, change management processes, continuity of service provisions, and termination rights, provides a useful starting point.

The migration to a cloud computing environment is in many ways an exercise in risk management. Both qualitative and quantitative factors apply in an analysis. The risks must be carefully balanced against the available safeguards and expected benefits, with the understanding that accountability for security remains with the organization. Too many controls can be inefficient and ineffective, if the benefits outweigh the costs and associated risks. An appropriate balance between the strength of controls and the relative risk associated with particular programs and operation must be ensured.
Artigo traduzido automaticamente pelo Google tradutor para o Português.

Segurança e Privacidade Desafios na nuvem pública

Abstrato
O desenvolvimento de serviços de computação em nuvem está se acelerando a taxa em que as organizações terceirizam seus serviços computacionais ou vender os seus recursos computacionais ociosos. Mesmo que a migração para a nuvem continua a ser uma tendência tentadora do ponto de vista financeiro, há vários outros aspectos que devem ser levados em conta pelas empresas antes de se decidir a fazê-lo. Um dos aspectos mais importante refere-se à segurança e privacidade: enquanto alguns problemas de segurança de computação em nuvem são herdadas as soluções adoptadas para criar tais serviços, muitas novas questões de segurança que são específicos para essas soluções também surgem, incluindo os relacionados com a forma como os serviços são organizado e qual o tipo de serviço / dados podem ser colocados na nuvem. Com o objetivo de dar uma melhor compreensão deste cenário complexo, neste artigo vamos identificar e classificar os principais problemas de segurança na computação em nuvem pública, dando uma visão geral do status atual da segurança nesta tecnologia emergente.

 A computação em nuvem tem agarrou o centro das atenções, com os fornecedores de produtos e serviços que equipá-lo com controles Hawking em grande quantidade para trazer ordem ao caos nuvem. Mas o primeiro passo é para a organização identificar precisamente onde estão as maiores ameaças relacionadas com a nuvem mentir. Para o efeito, o NSIT por Wayne A. Jansen, publicar artigo ” segurança e questões de privacidade na computação em nuvem “abordar as questões de segurança e privacidade na computação em nuvem pública. Este artigo resume os principais pontos de vista presentes na pesquisa mencionada acima.

Segurança e Privacidade Desafios 
Embora a redução de custos é a principal motivação para avançar para um provedor de nuvem, reduzindo a responsabilidade pela segurança ou privacidade não deve ser. Em última análise, a organização é responsável pelo estado geral do serviço terceirizado. Questões de segurança e privacidade de Monitoramento e endereçamento permanecem na competência da organização, assim como outras questões importantes, tais como desempenho, disponibilidade e recuperação.
Este artical olha para as principais questões de segurança e privacidade pertinentes à computação em nuvem, como eles se relacionam com a terceirização de partes do ambiente computacional da organização. Ele aponta áreas de preocupação com as nuvens públicas que requerem atenção especial e fornece a base necessária para tomar decisões de segurança informadas.
1.      Confiança
Sob o paradigma de computação em nuvem, uma organização abandona o controle direto sobre muitos aspectos da segurança e, ao fazê-lo, confere um nível sem precedentes de confiança para o prestador de serviços.
1.1.    Insider Acesso
Os dados processados ​​ou armazenados fora dos limites de uma organização, o seu firewall, e outros controles de segurança traz consigo um nível inerente de risco. A ameaça à segurança insider é uma questão bem conhecida pela maioria das organizações. Ameaças internas vão além daqueles colocados por funcionários atuais ou antigos para incluir as filiais da organização, empreiteiros e outros partidos que receberam o acesso a redes de uma organização, sistemas e dados para realizar ou facilitar as operações.
Movimentação de dados e aplicações para um ambiente de computação em nuvem externo amplia o risco de segurança privilegiada não só para o pessoal do prestador de serviços, mas também, potencialmente, entre outros clientes que utilizam o serviço.
1.2.    Serviços Composite
Serviços de nuvem em si podem ser compostas através de assentamento e camadas com outros serviços em nuvem. Por exemplo, um provedor de SaaS pode construir os seus serviços àqueles de uma nuvem PaaS ou IaaS. Prestadores de serviços em nuvem que subcontratar alguns serviços aos prestadores de serviços de terceiros deve levantar preocupações, incluindo o alcance do controle sobre o terceiro, as responsabilidades envolvidas, e os remédios e recurso disponíveis devem ocorrer problemas. Confiança muitas vezes não é transitivo, exigindo que os arranjos de terceiros ser divulgado antes de chegar a um acordo com o prestador de serviços, e que os termos desses acordos são mantidos durante todo o contrato ou até notificação suficiente pode ser dada de quaisquer mudanças previstas.
1.3.    Visibilidade
A migração para os serviços em nuvem abandona o controle para o prestador de serviços para garantir os sistemas em que dados e aplicativos da organização opera. Para evitar a criação de brechas na segurança, gestão, controles processuais e técnicas devem ser aplicadas proporcionalmente com os utilizados para os sistemas organizacionais internos. A tarefa é formidável, desde métricas para comparar a segurança de dois sistemas de computador são uma área permanente de pesquisa. Além disso, a rede e monitoramento do nível do sistema, o usuário é geralmente fora do alcance da maior parte dos acordos de serviços, limitando a visibilidade e os meios para auditar as operações diretamente. Para garantir que a política e os procedimentos estão sendo aplicados em todo o ciclo de vida do sistema, acordos de serviços deve conter alguns meios para ganhar visibilidade dos controles de segurança e processos empregados a pelo fornecedor de serviços, bem como o seu desempenho ao longo do tempo.
1.4.    Gestão de Riscos
Com serviços baseados em nuvem, alguns subsistemas ou componentes do subsistema estão fora do controle direto da organização que possui as informações e autoriza o uso do sistema. Muitas pessoas se sentem mais confortáveis ​​com o risco quando têm mais controle sobre os processos e equipamentos envolvidos. No mínimo, um alto grau de controle oferece a opção de pesar alternativas, definir prioridades e agir de forma decisiva, no melhor interesse da organização, quando confrontado com um incidente. Na escolha entre uma solução in-house e uma implementação baseada em nuvem, os riscos associados precisam ser avaliados em detalhe. Avaliação e gestão de riscos em sistemas que usam serviços de nuvem pode ser um desafio. O ideal é que o nível de confiança é baseada na quantidade de controle direto da organização é capaz de exercer sobre o prestador de serviços externo no que diz respeito ao emprego de controles de segurança necessárias para a protecção do serviço ea prova trouxe quanto à eficácia dos controlos.
2.      Arquitetura
A arquitetura dos sistemas dos sistemas de software usados ​​para entregar serviços de nuvem inclui hardware e software que reside na nuvem. A localização física da infra-estrutura é determinado pela operadora como é a implementação de confiabilidade e escalabilidade lógica do quadro de apoio subjacente. As máquinas virtuais (VMs) geralmente servem como unidade abstrata de implantação e são de baixo acoplamento com a arquitetura de armazenamento em nuvem. Os aplicativos são construídos sobre as interfaces de programação de serviços acessíveis pela Internet e normalmente envolvem vários componentes intercomunicação nuvem.
2.1.    Superfície de ataque
Um hipervisor ou monitor de máquina virtual é uma camada adicional de software entre um sistema operacional e plataforma de hardware, necessários para operar multi-tenant VMs e aplicativos hospedados por isso. Além dos recursos virtualizados, o hypervisor normalmente suporta outras interfaces de programação para realizar operações administrativas, como o lançamento, migração, e terminando instâncias VM. Em comparação com uma execução não virtualizado, a adição de um hipervisor provoca um aumento na superfície de ataque. A complexidade em ambientes VM também pode ser mais desafiador do que o seu homólogo tradicional, dando origem a condições que prejudiquem a segurança. Por exemplo, a paginação, verificação apontando, e migração de VMs pode vazar dados confidenciais para o armazenamento persistente, subvertendo os mecanismos de proteção no sistema operacional hospedado. O hipervisor si também pode ser comprometida. A-dia zero explorar na aplicação de virtualização Hyper VM supostamente levou à destruição de cerca de 100.000 Websites servidor virtual baseado hospedados no Vaserv.com.
2.2.    Proteção de Rede Virtual
A maioria das plataformas de virtualização tem a capacidade de criar chaves baseadas em software e configurações de rede como parte do ambiente virtual para permitir que máquinas virtuais no mesmo host para se comunicar mais diretamente e de forma eficiente. Por exemplo, a arquitetura de rede virtual VMware suporta rede mesmo acolhimento em que uma sub-rede privada é criado para VMs sem necessidade de acesso à rede externa. Tráfego sobre tais redes não está visível para os dispositivos de proteção de segurança na rede física, tais como sistemas de prevenção de intrusão e detecção baseada em rede. Para evitar a perda de visibilidade e proteção contra ataques intra-hospedeiro, a duplicação das proteções de rede física pode ser necessária na rede virtual.
2.3.    Dados auxiliares
Embora o foco de proteção é colocada principalmente em dados de aplicativos, prestadores de serviços também têm detalhes importantes sobre as contas dos usuários dos serviços que possam ser comprometidos e utilizados em ataques subseqüentes. Enquanto a informação de pagamento é um exemplo, outras fontes de informação, mais sutis podem estar envolvidos. Por exemplo, um banco de dados de informações de contato roubado da Salesforce.com, por meio de um ataque de phishing direcionados contra um funcionário, foi usado para lançar ataques bem sucedidos e-mail direcionados contra os usuários do serviço. O incidente ilustra a necessidade de os prestadores de serviços a comunicar imediatamente violações de segurança que ocorrem não só nos dados que tem para com os seus clientes, mas também os dados que detém sobre eles. Outro tipo de dados auxiliares é imagens de VM. Uma imagem VM implica a pilha de software, incluindo aplicativos instalados e configurados, usado para inicializar a máquina virtual em um estado inicial ou o estado de algum ponto de verificação anterior.
2.4.    Proteção do lado do cliente
A defesa bem sucedida contra ataques requer tanto um cliente seguro e uma infra-estrutura de site seguro. Com ênfase tipicamente colocado sobre este último, o primeiro pode ser facilmente negligenciado. Navegadores da Web, um elemento-chave para muitos serviços de computação em nuvem, e os vários plug-ins e extensões disponíveis para eles são notórios por seus problemas de segurança. Além disso, muitos complementos do navegador não fornecem atualizações automáticas, aumentando a persistência de vulnerabilidades existentes. O aumento da disponibilidade e uso das mídias sociais, webmail pessoal, e outros locais de acesso público também tem riscos associados que podem afetar a segurança do navegador, sua plataforma subjacente, e as contas de serviços em nuvem negativamente através de ataques de engenharia social. Por exemplo, spyware teria instalado em um hospital por conta do Yahoo Webmail de um funcionário enviado mais de 1.000 capturas de tela contendo informações confidenciais financeiras e outras para o autor antes de ser descoberto. Ter um Trojan backdoor, keystroke logger, ou outro tipo de corrida de malware em um cliente não augura nada de bom para a segurança da nuvem ou outros serviços baseados na web. As organizações precisam de empregar medidas para proteger o lado do cliente como parte da arquitetura global. Os bancos estão começando a assumir a liderança na implantação de ambientes de navegador endurecidos que criptografam as trocas de rede e proteger contra keystroke logging.
2.5.    Protection Server-Side
Servidores e aplicativos virtuais, bem como suas contrapartes não-virtualizados, precisam ser protegidos em nuvens IaaS. Seguintes políticas e procedimentos organizacionais, endurecimento do sistema operacional e aplicativos deve ocorrer para produzir imagens de VM para implantação. Cuidados também devem ser tomados para fazer ajustes para os ambientes virtualizados em que as imagens são executados. Por exemplo, firewalls virtuais podem ser usados ​​para isolar grupos de VMs a partir de outros grupos hospedados, tais como sistemas de produção de sistemas de desenvolvimento ou sistemas de desenvolvimento de outros sistemas cloud residentes. Gerir cuidadosamente imagens de VM também é importante para evitar acidentalmente implantação de imagens contendo vulnerabilidades.
3.      Gerenciamento de Identidade
Sensibilidade de dados e privacidade da informação são cada vez mais uma preocupação para as organizações, e acesso não autorizado a recursos de informação na nuvem é um grande problema. Uma razão é que o quadro de identificação e autenticação de uma organização não pode estender-se naturalmente em nuvem e pode exigir esforço para modificar o quadro existente para suportar serviços em nuvem. A alternativa de ter dois sistemas diferentes para autenticação de uso, um para sistemas organizacionais internos e outro para sistemas baseados em nuvem externa é uma complicação que pode se tornar inviável ao longo do tempo. Federação de identidade, popularizado com a introdução de serviços orientados arquitecturas, é uma solução que pode ser realizado em um número de maneiras, tais como com a segurança asserção Markup Language (SAML) padrão.
3.1.    Autenticação
Um número crescente de provedores de serviços de nuvem suportam o padrão SAML e usá-lo para administrar usuários e autenticá-los antes de fornecer acesso a aplicativos e dados. SAML fornece um meio para a troca de informações, tais como afirmações relacionados a um assunto ou informações de autenticação, entre os domínios de cooperação. Solicitação SAML e mensagens de resposta são normalmente mapeado sobre o Simple Object Access Protocol (SOAP), que se baseia em XML para seu formato. Com o Amazon Web Services, por exemplo, uma vez que um usuário criou um certificado de chave pública, é usado para assinar solicitações SOAP para o EC2 para interagir com ele. Validação de segurança mensagem SOAP é complicado e deve ser feito com cuidado para evitar ataques. Ataques embrulho XML que envolvem a manipulação de mensagens SOAP foram demonstradas com sucesso contra os serviços EC2 da Amazon.
3.2.    Controle de Acesso
Além de autenticação, a capacidade de se adaptar os privilégios do usuário e manter o controle sobre o acesso aos recursos também é necessária, como parte da gestão de identidade. Normas como a eXtensible Access Control Markup Language (XACML) pode ser empregada para controlar o acesso a recursos de nuvem, em vez de usar interface proprietária de um provedor de serviços. XACML enfoca o mecanismo para se chegar a decisões de autorização, que complementa o foco da SAML sobre os meios para a transferência de decisões de autenticação e autorização entre entidades cooperantes. XACML é capaz de controlar as interfaces da maioria dos prestadores de serviços proprietários, e alguns prestadores de serviços, tais como salesforce.com e Google Apps, já tê-lo no lugar.
4.      Isolamento Software
Alto grau de multi-locação sobre um grande número de plataformas são necessários para a computação em nuvem para atingir a flexibilidade previsto de provisionamento sob demanda de serviços de confiança e os benefícios de custo e eficiência, devido às economias de escala. Para alcançar as altas escalas de consumo desejado, prestadores de serviços têm para garantir a entrega dinâmica flexível do serviço e isolamento de recursos do usuário. Multi-tenancy na computação em nuvem é normalmente feito por multiplexação a execução de VMs a partir potencialmente diferentes usuários no mesmo servidor físico. É importante observar que os aplicativos implementados em VMs convidadas permanecem susceptíveis ao ataque e compromisso, o mesmo que suas contrapartes não-virtualizados. Isto foi dramaticamente exemplificado recentemente por uma botnet encontrado operando fora de ambiente de computação em nuvem EC2 da Amazon.
4.1.    Hypervisor Complexidade
A segurança de um sistema de computador depende da qualidade do miolo software subjacente que controla o confinamento e execução de processos. Um hipervisor ou monitor de máquina virtual (VMM) é projetada para executar várias VMs convidado, hospedagem de sistemas operacionais e aplicativos, ao mesmo tempo em um único computador host e para fornecer isolamento entre o hóspede VMS. Um VMM pode, em teoria, ser menor e menos complexo do que um sistema operativo. O pequeno tamanho e simplicidade tornar mais fácil para analisar e melhorar a qualidade da segurança, dando um VMM o potencial de ser mais adequado para a manutenção da forte isolamento entre VMs convidadas de um sistema operacional é para os processos de isolamento. Na prática, no entanto, hipervisores modernas pode ser grande e complexa, comparável a um sistema operativo, que anula esta vantagem.
4.2.    Vetores de Ataque
Multi-arrendamento em infraestruturas de nuvem baseadas em VM, juntamente com as sutilezas na forma como os recursos físicos são compartilhados entre VMs convidadas, podem dar origem a novas fontes de ameaças. A ameaça mais grave é que o código malicioso pode escapar dos limites de sua VMM e interferir com o hypervisor ou outro convidado VMs. A migração ao vivo, a capacidade de transitar de uma VM entre hypervisors em diferentes computadores host sem interromper o sistema operacional convidado, e outros recursos fornecidos por ambientes VMM para facilitar o gerenciamento de sistemas, também aumentar o tamanho do software e da complexidade e potencialmente adicionar outras áreas-alvo em um ataque .
5.      Protecção de Dados
Os dados armazenados na nuvem geralmente reside em um ambiente compartilhado colocado com dados de outros clientes. Organizações móveis de dados sensíveis e regulados para a nuvem, por isso, deve levar em conta os meios pelos quais o acesso aos dados é controlado e os dados são mantidos em segurança.
5.1.    Isolamento de Dados
Os dados podem tomar muitas formas. Por exemplo, para o desenvolvimento de aplicativos baseados em nuvem, que inclui os programas de aplicação, scripts e configurações, juntamente com as ferramentas de desenvolvimento. Para aplicativos implantados, inclui registros e outros conteúdos criados ou utilizados pelas aplicações, bem como conta informações sobre os usuários dos aplicativos. Os controles de acesso são um meio para manter os dados longe de usuários não autorizados; criptografia é outra. Os controles de acesso são normalmente baseados em identidade, o que faz a autenticação da identidade do usuário uma questão importante na computação em nuvem. Ambientes de banco de dados usado na computação em nuvem podem variar significativamente.
, por exemplo, alguns ambientes de apoiar um modelo multi-instância, enquanto outros suportam um modelo multi-tenant. O primeiro fornece um sistema de gerenciamento de banco de dados único em execução em uma instância VM para cada usuário do serviço, dando ao usuário controle completo sobre a definição do papel, a autorização do usuário, e outras tarefas administrativas relacionadas com a segurança. Este último fornece um ambiente pré-definido para o utilizador do serviço de nuvem que é compartilhado com outros inquilinos, normalmente por meio de dados de marcação com um identificador de usuário. Tagging dá a aparência de uso exclusivo da instância, mas depende do provedor de serviços para manter um ambiente de banco de dados seguro som. Existem vários tipos de arranjos multi-inquilino para bancos de dados. Cada tipo de piscinas recursos de forma diferente, oferecendo diferentes graus de isolamento e eficiência dos recursos. Outras considerações também se aplicam. Por exemplo, certos recursos como criptografia de dados só são viáveis ​​com arranjos que utilizam separado, em vez de bancos de dados compartilhados. Esses tipos de compensações requerem cuidadosa avaliação da adequação da solução de gerenciamento de dados para os dados envolvidos. Requisitos em determinadas áreas, como a saúde, provavelmente influenciar a escolha do banco de dados e organização de dados usado em um aplicativo. Privacidade de informações sensíveis, em geral, é uma preocupação séria. Os dados devem ser protegidos, enquanto em repouso, em trânsito e em uso e acesso aos dados controlados. Normas para protocolos de comunicação e certificados de chave pública permitem transferências de dados a ser protegido usando criptografia. Os procedimentos para a proteção de dados em repouso, no entanto, não são tão bem padronizado, tornando a interoperabilidade um problema devido à predominância de sistemas proprietários. A falta de interoperabilidade afeta a disponibilidade de dados e complica a portabilidade de aplicações e dados entre os prestadores de serviços em nuvem. Atualmente, a responsabilidade pela gestão de chaves criptográficas recai principalmente sobre o assinante do serviço de nuvem. Geração e armazenamento de chave geralmente é realizado fora da nuvem usando módulos de segurança de hardware, que não escalam bem com o paradigma da nuvem. O trabalho está em andamento para identificar estratégias-chave de criptografia escaláveis ​​e utilizáveis ​​de gestão e taxas de utilização por parte do governo, o que poderia ajudar a aliviar o problema, eventualmente. Protegendo dados em uso é uma área emergente da criptografia com poucos resultados práticos para oferecer, deixando mecanismos de confiança como a salvaguarda principal.
5.2.    Sanitização de dados
As práticas de higienização de dados que um provedor de serviços implementos têm implicações óbvias para a segurança. Sanitização é a remoção dos dados sensíveis de um dispositivo de armazenamento em várias situações, tais como quando um dispositivo de armazenamento é retirado de serviço, ou movido para outro local para ser armazenado. Também se aplica a cópias de segurança feitas para a recuperação e restauração do serviço, e os dados residuais remanescentes após o término do serviço. Em um ambiente de computação em nuvem, os dados de um assinante é fisicamente misturados com os dados de outros assinantes, o que pode complicar as coisas. Por exemplo, com as habilidades e equipamentos adequados, é possível recuperar dados de discos fracassados ​​que não estão dispostos corretamente pelos prestadores de serviços.
5.3.    Dados Localização
Uma das questões de conformidade mais comuns que enfrentam uma organização é a localização de dados. O uso de um centro de computação in-house permite que uma organização para estruturar seu ambiente de computação e saber em detalhes onde os dados são armazenados e as salvaguardas utilizadas para proteger os dados. Por outro lado, uma característica de muitos serviços de computação em nuvem é que a informação detalhada da localização dos dados de uma organização não está disponível ou não divulgadas ao assinante do serviço. Esta situação faz com que seja difícil de determinar se as salvaguardas suficientes no local e se os requisitos de conformidade legais e regulamentares estão sendo cumpridos. Auditorias e certificações de segurança externos podem, de certa forma, aliviar este problema, mas não são uma panacéia. Uma vez que a informação atravessa uma fronteira nacional, é extremamente difícil garantir proteção sob as leis e regulamentos estrangeiros.
6.      Disponibilidade
Em termos simples, a disponibilidade significa que uma organização tem o seu conjunto completo de recursos de computação acessível e utilizável em todos os momentos. A disponibilidade pode ser afetado temporariamente ou permanentemente, e uma perda pode ser parcial ou completa. Ataques de negação de serviço, falta de equipamentos e desastres naturais são todas as ameaças à disponibilidade.
6.1.    As interrupções temporárias
Apesar de empregar arquiteturas projetados para alta confiabilidade de serviço e disponibilidade, serviços de computação em nuvem pode e fazer interrupções de experiência e lentidão de desempenho.
Vários exemplos ilustram este ponto. Em fevereiro de 2008, Simple Service da Amazon Armazenamento (S3) e EC2
serviços sofreu uma queda de três horas, que, por sua vez, afetou Twitter e outras empresas que utilizam os serviços de inicialização Em março de 2009, o serviço de nuvem da Microsoft Azure experimentou grave degradação de cerca de 22 horas, devido a questões relacionadas com uma atualização de rede. Em um nível de 99,999% de confiabilidade, 8,76 horas de tempo de inatividade é de se esperar em um ano. Deve ser tomado O nível de confiabilidade de um serviço de nuvem e também as suas capacidades de backup e recuperação em conta no planejamento de contingência da organização para enfrentar a restauração e recuperação de serviços em nuvem interrompidos e operações, o uso de serviços alternativos, equipamentos e locais. Serviços de armazenamento em nuvem pode representar um ponto único de falha para as aplicações hospedadas lá. Em tais situações, um segundo provedor de serviços em nuvem pode ser usado para fazer backup de dados processados ​​pelo fornecedor primário para assegurar que, durante uma interrupção prolongada ou desastre grave no primário, os dados permanecem disponíveis para a retomada imediata das operações críticas.
6.2.    Prolongada e interrupções permanentes
É possível que um prestador de serviços a ter problemas graves, como a falência ou perda de instalação, que afetam o serviço por longos períodos ou causar um desligamento completo. Por exemplo, em abril de 2009, o FBI invadiu centros de computação em Texas e apreendeu centenas de servidores, na investigação de alegações de fraude contra um punhado de empresas que operavam fora dos centros. A apreensão interrompido serviço a centenas de outros negócios não relacionados com a investigação, mas que teve a infelicidade de ter suas operações de computador colocado nos centros direcionados.
6.3.    Denial of Service
Um ataque de negação de serviço envolve saturando o alvo com pedidos falsos para impedi-lo de responder a pedidos legítimos em tempo hábil. Um atacante geralmente usa vários computadores ou uma botnet para lançar um ataque. Mesmo uma negação distribuída de serviço ataque mal sucedido pode rapidamente consumir uma grande quantidade de recursos para se defender contra acusações e causar a subir. O provisionamento dinâmico de uma nuvem de certa forma simplifica o trabalho de um atacante para causar danos. Enquanto os recursos de uma nuvem são significativos, com computadores de ataque suficiente eles podem tornar-se saturada. Por exemplo, um ataque de negação de serviço contra Bucket Bit, um site de hospedagem de código, causou uma queda de energia de mais de 19 horas de tempo de inatividade durante uma negação aparente de ataque de serviço na infraestrutura de nuvem da Amazon subjacente que ele usa. Além de serviços acessíveis ao público, ataques de negação de serviço pode ocorrer contra os serviços privados, como aqueles usados ​​em gerenciamento de nuvem. Por exemplo, um ataque de negação de serviço ocorreu contra a interface de programação de gerenciamento de nuvem de serviços de nuvem da Amazon envolvidos instâncias de máquinas que reproduzem-se exponencialmente. Endereços não roteáveis ​​Internamente atribuídos, usado para gerenciar os recursos dentro da rede do provedor de serviços, também pode ser usado como um vetor de ataque. A possibilidade do pior caso que existe é para elementos de uma nuvem para atacar os de outro ou para atacar alguns dos seus próprios elementos.
6.4.    Valor de concentração
O ladrão de bancos Willie Hutton é muitas vezes atribuída com a alegação de que ele roubava bancos “porque é onde está o dinheiro”. De muitas maneiras, os registros de dados são a moeda do século 21 e armazenamentos de dados baseados na nuvem são o cofre do banco, tornando-os um alvo cada vez mais preferido. Assim como uma economia de escala existe em roubar bancos em vez de indivíduos, uma alta taxa de retorno também existe para comprometer com sucesso uma nuvem. Por exemplo, uma recente exploit direcionado conta de e-mail de um funcionário do Twitter por supostamente respondendo a um conjunto de questões de segurança e, em seguida, usar essas informações para acessar os arquivos da empresa armazenados em sua organização conta do Google Apps. A fraqueza semelhante foi observado na Amazon Web Services (AWS). Um endereço de e-mail cadastrado e senha válidos para uma conta são tudo o que é necessário para baixar as credenciais de autenticação do painel Web AWS, que por sua vez garantem acesso a recursos da conta. Desde senhas perdidas pode ser reposto por e-mail, um atacante controlar o sistema de e-mail, ou passivamente escutando na rede através do qual e-mail contendo uma redefinição de senha passaria, poderia efetivamente assumir o controle da conta. Ter os dados co-instalados com os dados de uma organização com um elevado perfil ameaça também poderia levar a negação de serviço, como uma vítima involuntária de um ataque dirigido contra essa organização. Da mesma forma, os efeitos indirectos de um ataque contra os recursos físicos de prestadores de serviços de uma organização de alto nível também são uma possibilidade.
Conclusão
Ao enfatizar os benefícios de custo e de desempenho da nuvem, alguns problemas fundamentais de segurança recuaram para o fundo e foi deixado em aberto. Várias peças críticas de tecnologia, como uma solução para a confiança federada, não estão ainda plenamente realizado, colidir com implementações bem-sucedidas. Determinar a segurança dos sistemas informáticos complexos é também um problema de segurança de longa data que ofusca a computação em larga escala, em geral. Segurança da infra-estrutura de nuvem depende de computação confiável e criptografia

. Dados organizacionais devem ser protegidos de uma forma consistente com as políticas, seja no centro de computação da organização ou na nuvem. Não existe contrato de serviço padrão que cobre as gamas de serviços em nuvem disponíveis e as necessidades de diferentes organizações. Ter uma lista de disposições comuns de terceirização, tais como padrões de privacidade e segurança, questões de regulamentação e conformidade, requisitos de nível de serviço e multas, processos de gestão da mudança, a continuidade das prestações de serviços e direitos de rescisão, fornece um ponto de partida útil.

A migração para um ambiente de computação em nuvem é em muitos aspectos um exercício de gestão de riscos. Ambos os fatores qualitativos e quantitativos aplicar em uma análise. Os riscos devem ser cuidadosamente equilibrado com as salvaguardas disponíveis e os benefícios esperados, com o entendimento de que a responsabilidade pela segurança permanece com a organização. Muitos controles pode ser ineficiente e ineficaz, se os benefícios superam os custos e riscos associados. Deve ser assegurado um equilíbrio adequado entre a força dos controlos e do risco relativo associado com determinados programas e operação.

Fonte: Vega BI