클라우드 컴퓨팅 위험 및 보호 조치 CIA 트리플 정의

회사는 점점 클라우드 컴퓨팅 및 더 많은 투자를 사용 하 여. 유일한 이유는 왜 큰 기업 임원들은 클라우드 컴퓨팅은 클라우드 보안 컴퓨팅에 대 한 주저. 그러나, 대부분의 기업 안전 하 게 평가 하거나 심지어 사용 하는 클라우드 컴퓨팅을 강화 하는 방법의 개념이 있고 따라서 계약 및 클라우드 컴퓨팅 효율성과 편의 보안 2 대를 사용 하 여에 대 한 합의 도달 하기 어렵습니다.

이에 따라,이 종이 고전적인 "CIA 3", 즉 기밀성 (기밀 유지), 무결성 (무결성)과 유용성 (가용성) 클라우드 컴퓨팅의 위험 종류를 정의 하를 사용 하 고 관련 국방, 탐지 및 차단 조치를 앞으로 넣습니다. 그런 다음에 나머지 위험 후 이러한 클라우드 컴퓨팅 사례에서에서 기업의 경영진에 대 한 유용한 참고 자료를 제공 하는.

"C": 기밀성 (기밀 유지) 위험

이러한 위험 정보를 무단으로 제 3 자에 그들을 노출 하지 않고 제어 하는 방식으로 필요한 요소에만 사용할 수 있도록 한다고 가정 하는 개인 정보 보호 및 정보 컨트롤과 관련 된 위협과 결함 관련이 있습니다.

1 데이터 유출, 도난, 노출, 전달

사용자 데이터 및 지적 재산권의 의도 하지 않은 수단을 통해 손실 됩니다. 데이터 누출 있다 4 개 주요 위협 중 개인: 도난, 외부 내부 (포함 무단된 데이터 인쇄, 복사 또는 전달할), 기물 파손 무단 권한 있는 사용자 및 모호한 정책으로 인 한 오류에 의해 오용.

방어: 소프트웨어 컨트롤 데이터 손실 방지 (DLP) 체계를 통해 부적절 한 데이터 액세스를 방지합니다. 구름에 민감한, 기밀, 또는 개인 식별 (PII) 정보를 배치 하지 마십시오.

검색: 모니터링 소프트웨어와 물 마커 및 데이터 분류 레이블을 사용 하 여 데이터 흐름을 추적 하 고

차단: 집행 및 보호 데이터 개인 정보 보호의 지정 하는 서비스 공급자와 계약에서 명확 하 고 강력한 언어의 사용.

잔여 위험: 클라우드 공급 업체 환경에서 위치 관련 된 여러 추적 불가능 한 논리 디스크 스토리지 뿐만 아니라 데이터 지 속성 문제에 관련 된 개인 데이터 관리자의 공급 업체 관리 액세스 문제를 노출.

2 검출, 패킷 감지, 패킷 재전송

의도적으로 무단된 네트워크 가로채기를 통해 정보를 캡처하고, 데이터 전송 네트워크 패킷을 가로채 또는 네트워크 트랜잭션을 복제 하 고 다시 보낼 도구를 사용 하 여.

방어: PGP, 암호화 된 파일 및 네트워크 암호화 기술 (예: TLS, SSL, SFTP) 네트워크에 있는 서버 간에 같은 강력한 암호화 기술을 사용 하 여 정적 데이터 및 전송된 데이터를 암호화 합니다. 링크 계층 데이터 암호화를 제공 하는 클라우드 제공자에 대 한 우선 순위입니다.

그러나 검색: 현재, 우리는 없습니다 누군가가 데이터를,, 기능 수 있습니다 무단된 범위 의도 나타낼 수 있는 네트워크에서 비정상적인 동작을 식별 하는 Id를 차단 하는 때의 잘 알고.

차단: 특정 계약 언어를 사용 하는 서비스 공급자에 대 한 무단된 액세스의 위험을 전송 합니다.

잔여 위험: 네트워크 토폴로지, 네트워크 결함, 침입 서버 및 네트워크 장치 및 네트워크 장치에 대 한 직접 액세스를 사용 하 여 네트워크에서 데이터를 훔칠.

3 부적 절 한 관리자 액세스 권한

사용 권한 액세스 수준은 일반적으로 시스템 및 시스템 데이터 시스템 인증 과정을 통과 하지 않고 조정을 수 액세스할 수 있는 모든 데이터에 대 한 액세스를 제공 하는 시스템 관리자에 대 한 예약. 관리자는 모든 보안 제어를 의도적으로 사용할 수 있습니다 또는 잘못 하 여 개인 데이터를 손상 하지 않으려면 권리가 있습니다.

방어: 클라우드 서비스-서버, 네트워크 및 스토리지를 제공 하는 관리자의 수를 최소화 (선호 미만 10 그리고 5 개 이상 관리자). 또한, 서비스 제공 업체의 모든 직원은 상영 되도록 철저 한 배경 리뷰가입니다. 때 클라우드 공급자를 고용 하거나 계약을 서명, 공급 업체 보안 검사는 그들의 사례는 효과적인 수 있도록 필요 합니다.

그들의 내부 인프라에 대 한 클라우드 공급자 관리 액세스 로그의 탐지: 월별 또는 분기별 검사.

블록: 강력한 고 고객 조건 식별 하고자 하는 네트워크 관리 방법 증명할 수 있는 클라우드 공급자를 선택 합니다.

잔여 위험: 관리자 모든 권한 있기 때문에, 그들은 기꺼이 의도적으로 또는 실수로, 그들의 권한을 남용 개인 정보 또는 서비스 가용성 간의 트레이드 오프의 결과.

4 영구 저장

데이터는 더 이상 필요 하지 삭제 된, 또는 데이터 디스크에 남아 있을 수 없습니다. 데이터 삭제 될 수 있습니다 하지만 해야 합니다 덮어쓰지, 그래서 무단으로 개인 후 데이터 복구의 위험이 증가.

방어: 디스크가 교체 되거나 다시 할당 하는 경우 공급 업체 디스크 삭제 관리에 대 한 보호 계획을가지고 주장. 잘못 된 디스크 degaussing 한다 또는 누출 데이터 파괴.

검색: 당신이 찾을 수 없습니다 밖으로 때 데이터는 오프 라인 이미 디스크에 저장 됩니다.

차단: 디스크 삭제 구성표는 이러한 요구 사항을 명확 하 게 계약 언어에 정의 되도록 공급 업체를 선택 하기 전에 설립 되어야 합니다.

잔여 위험: 데이터 삭제 한 후 실제 미디어 오래 남아.

5 저장 플랫폼 공격

단일 스토리지 시스템에 대 한 관리 제어를 사용 하 여를 포함 하 여 산 또는 스토리지 인프라에 대 한 직접 공격 개인 데이터에 대 한 액세스를 제공 하 고 루프 밖에 서 운영 체제 이므로 제어 설정을 운영 체제에 내장 된 우회.

방어: 공급자는 강력한 구역 및 그들의 스토리지 시스템에 역할 기반 액세스 제어 및 공급 업체 스토리지 시스템 관리 인터페이스에 액세스 사용자 네트워크를 통해 수행 되지 않습니다 확인 합니다.

검색: 구현 Id 저장소에 대 한 네트워크 하 고 분기별로 스토리지 시스템 접근 통제 로그를 확인 합니다.

블록: 클라우드 서비스 제공 업체는 강력한 법적 표현을 식별 하 고 공격자를 기소를 저지를 수 있는 확인 합니다.

잔여 위험: SAN에서 직접 데이터를 도난 수 있습니다 그리고 아마도 그것을 실현 하지 않고, 그것을 발견할 수 있습니다.

데이터의 6 오용

도 그렇게 하도록 허용 되지 않는 작업을 포함 하 여 데이터에 다른 작업을 수행 하는 데이터에 액세스할 수 있는 누군가 위해 가능 하다. 예를 들어 경쟁 업체 직원, 생산 데이터, 개발자 테스트 주최자의 개인 네트워크의 관리 되는 환경에서 데이터를 제거 하 고 보호 되지 않은 주요 환경으로 퍼 팅에 게 정보 공개.

방어: 직원, 보안 제어 DLP, 역할 기반 접근 제어, 그리고 간섭 테스트 및 개발 데이터와 같은 개인 데이터 네트워크와 비슷한 사용 합니다. 외부 주소로 전자 메일 첨부 파일을 보낼 수 있는 능력을 파괴 합니다.

검색: 모니터링 소프트웨어와 물 마커 및 데이터 분류 레이블을 사용 하 여 데이터 흐름을 추적 하 고

보안 인식의 사용 차단: 처벌 및 제재 행위 사람들이 통제 된 환경에서 제어 되지 않는 환경에 데이터를 전송 하는 것을 방지 하는 프로그램.

잔여 위험: 사람들이 도난 되거나 오용 될 수 있는 제어 되지 않는 환경에 데이터를 삽입 하려면 몇 가지 제어 전략을 찾을 수 있습니다.

7 사기

인증 되지 않은 정보에 대 한 불법 (또는 현혹) 액세스 사기, 외부인에 의해 저지른 수 있습니다 하지만 일반적으로 신뢰할 수 있는 직원에 의해 최선을 다하고.

수비수: 검열 하 고 한 개인에 대 한 의존도 줄임으로써 완벽 하 게 분리 하는 균형. 비즈니스 프로세스 관리 검토 및 승인 포함 되어 있는지 확인 합니다.

탐지: 컴퓨터 시스템 액세스 및 데이터 사용, 무단된 액세스에 특정 관심의 정기적인 감사를 수행 합니다.

방지: 직원 적절 한 처벌 절차를가지고 확인 합니다. 서비스 공급자에 대 한 계약의 서 면된 언어는 위험을 전송 하는 데 사용 됩니다.

잔여 위험: 부정 상당한 reputational, 경제적 손실을 발생할 수 있습니다.

8) 납치

유효한 컴퓨터 세션, 때로는 정보 및 컴퓨터 시스템, 특히 사용자 인증에 대 한 원격 서버 액세스에 사용 되는 마법 쿠키의 오용에서에서 서비스에 대 한 무단된 액세스의 개발에 대 한 세션 키를 라고도 합니다. 예를 들어 많은 웹 사이트에서 세션을 유지 하는 데 사용 하는 HTTP 쿠키는 중간 컴퓨터에 또는 피해자에 액세스 하는 컴퓨터에 저장 된 쿠키를 사용 하 여 도난 수 있습니다. 공격자는 쿠키를 훔칠 수, 경우 공격자 수 실제 사용자 같은 데이터 작업을 요청, 권한 정보에 액세스 하거나 변경 데이터. 쿠키는 영구 쿠키, 가짜 행동 꽤 오랜 시간 동안 지난 수 있습니다. 이 경우에, 양쪽에는 키를 전달 하 여 유지 관리 하는 프로토콜은 깨지기 쉬운, 암호화 되지 않은 경우에 특히. 같은 클라우드 환경에 대 한 관리 자격 증명을 적용 하 고 전체 클라우드 환경 세션 키를 통해 관리 되는 경우 전체 환경을 효과적으로 세션 하이재킹 공격에 의해 악용 될 수 있습니다.

방어: 강력 하 고, 암호화 된, 정확한 세션 키이 위험을 강조 하는 서비스 공급자에서 단단한 신원 관리 구현을 찾습니다. 고객으로 서, 사용 해야 좋은 키 관리 프로세스 및 시나리오, 키 에스크로 및 키 복구 제도 그래서 그 직원 회전율 서비스 관리를 발생 하지 않습니다.

검색: 정기적으로 클라우드 리소스의 액세스 로그 및 예외를 식별 하기 위해 그들의 관리 인터페이스를 확인 합니다.

중지: 우리는 긍정적인 법적 대응 밖에 인질 세션을 복용에서 납치범을 방지 하기 위해 효과적인 조치를 받을 수 없어.

잔여 위험: 공격자를 가장할 수도 있습니다 하는 클라우드 서비스의 유효한 사용자 아래로 손상 기업의 전체 인프라를 관리 자격 증명을 사용할 수 있습니다.