클라우드 컴퓨팅 환경에서 데이터 보안을 보장 하는 방법

리소스 및 데이터를 개인 네트워크에 원래 수감 했다 이제는 인터넷에 노출 하 고 이러한 리소스와 데이터는 제 3 자 클라우드 컴퓨팅 공급자의 모든 공유 공용 네트워크에 배치 됩니다.

첫 번째 위험 요소와 관련 된 예로 아마존 웹 서비스 (AWS) 취약점 주의 1, 2008 년 12 월에에서 보고 있습니다. 블로그 게시물에서 저자는 디지털 서명 알고리즘, "아마존 SimpleDB HTTP (아마존 SimpleDB), 아마존 탄력 있는 계산 구름 (아마존 탄력 있는 계산 구름, ec2)를 통해 데이터베이스의 취약점에 정교한 또는 아마존 심플 큐 서비스 (아마존 쉬운 큐 서비스, sqs) 실행 쿼리 (쿼리, 나머지 라고도) 요청. "HTTPS (HTTP) 대신 무결성 위험을 줄일 수 있습니다, 하는 동안 사용자가 HTTPS (HTTP 사용) 하지만 얼굴 증가 사용 하지 않는 위험 그들의 데이터가 변경 될 수 있습니다 하지 몹시 전송 중에는.

주 1:이 문제는 2008 년 12 월 18 일에 콜린 퍼시벌의 블로그에서 보고 "악마 파견", "AWS 서명 버전 1은 보안" 참조 (Http://www.daem onology.net/blog/2008-12-18-aws-signature-version-1-is-insecure.html). 문제는 하지 공개적으로 인정 되어 아마존의 웹 서비스 웹 사이트에서 그리고 공공 퍼시벌의 블로그 게시물에 대 한 응답이 되었습니다.

그림 3-1: 일반적인 토폴로지 지도 개인의 클라우드 컴퓨팅

적절 한 액세스 제어

때문에 일부는 자원의 (아마도 모든 리소스) 지금 인터넷에 노출 되는, 공용 클라우드 사용자의 데이터 성장 위험을 직면할 것 이다. (언급 하지 않기 위하여 그것의 자신의 네트워크 기반 실시간 모니터링) 클라우드 공급자의 네트워크 작업을 감사 하는 것은 전 감사를 게시 후에 크게 가능성이 크다. 로그 및 데이터의 네트워크 수준에 대 한 액세스는 많은, 그리고 완벽 하 게 조사 하 고 증거 데이터 수집 능력은 매우 제한 된 또한.

예를 들어 두 번째 위험 요소와 관련 된 IP 주소 재사용 (재배포)의 문제입니다. 일반적으로, 클라우드 공급자는 더 이상 사용자는 더 이상 할당 된 IP 주소를 필요로 할 때 사용자의 IP 주소를 유지 한다. 주소를 사용할 수 있을 때, 주소는 일반적으로 다른 사용자에 게 재지정 됩니다. 클라우드 공급자의 관점에서이 의미가 있습니다. IP 주소 수 제한 되며 또한 요금에 대 한 자산 이다. 그러나, 사용자 보안의 관점에서 IP 주소 재배포를 사용 하 여 문제가 발생할 수 있습니다. 사용자가 특정 리소스에 대 한 네트워크 액세스 IP 주소의 출시와 함께 종료할 수 있습니다 및 IP 주소를 DNS에서 DNS 캐시 정리 사이의 시간 지연입니다 수 없습니다. ARP 테이블에서 실제 주소 (예를 들어 맥)를 변경도 이전 주소가 제거 될 때까지 ARP 캐시에 유지 됩니다 그래서 캐시에서 ARP 주소를 제거 하려면 지연 시간을 해야 합니다. 주소가 변경 되었을 수 있습니다 경우에 원래 주소는 여전히 유효 캐시에 사용자가 여전히 존재 해야 하는 리소스에 액세스할 수 있도록 하는 것이 즉. 최근, 큰 클라우드 컴퓨팅 공급자 중 하나는 확인할 수 없는 IP 주소 문제에 관련 된 문제 수를 받았습니다. 이것은 가장 가능성이 탄력적 IP 주소 운전 요소 노트 2의 능력을 홍보 하는 2008 년 3 월 아마존 네트워크의 노력 이다. (할당할 사용자 5 라우팅 가능한 IP 주소 사용자 컨트롤에 의해 할당 된 탄력적 IP 주소를 사용 합니다.) 또한, Simson Garfinkel에 따르면:

문제는 기존 로드밸런싱 시스템을 종료 하는 내용의 231 바이트를 초과 하는 모든 TCP/IP 연결은에 존재 합니다. 즉,는 2GB를 초과 하는 대상 콘텐츠 실행 해야 합니다 여러 번 아마존 심플 스토리지 서비스 (S3)에서 동일한 대상 콘텐츠 3의 다른 바이트 영역에 해당 하는 각 실행.

그러나, 아니 존재 하지 않는 IP 주소 리소스에 대 한 무단된 네트워크 액세스 등 문제 (예를 들어 그 직접 인터넷 액세스를 제공 하는) 라우팅 가능한 IP 주소에만 표시 되지 않습니다. 이 문제는 또한 사용자 비 라우팅 가능한 IP 주소 참고 4의 할당에는 공급자에 의해 제공 하는 내부 네트워크의 배포에 존재 합니다. 리소스는 인터넷을 통해 직접 사용할 수 없습니다, 비록 관리 목적을 위해 이러한 리소스 공급자의 네트워크에 액세스할 수 되어야 합니다. (각 공용 또는 인터넷 리소스는 자체 개인 주소 있습니다.) 그들은 그래서 5을 의도적으로 하지 않을 수 있습니다 비록 클라우드 컴퓨팅 공급자의 다른 사용자가 클라우드 공급자의 네트워크 내에서 자원의 얻을 가능성이 있다. 워싱턴 포스트에 보고, 아마존 웹 서비스는 공공 및 기타 사용자 6 위험 자원의 그것의 오용으로 문제가 있다.

일부 제품은 시장에서 7 IP 주소 재사용의 문제를 완화 수 있지만 사용자가 해야 합니다-타사 제품을 추구 하 고 클라우드 컴퓨팅 공급자 인 한 문제를 해결 하기 위해 비용을 지불 하지 않으면 클라우드 공급자에 게이 제품 사용할 수 있는 사용자 서비스, 참고.