Профиль риска для S3 и других облачных хранилищ данных не апробирован

Хотя отсутствие традиционных средств защиты сетевого периметра и заставляет многих экспертов в области безопасности скептически относиться к облачным средам, размещение критических данных в центре обработки данных, находящемся под контролем сторонней фирмы, выглядит нисколько не лучше.

Когда вы пользуетесь облачной средой, вы никогда не можете с уверенностью сказать, где именно в облачной инфраструктуре располагаются ваши данные.

Тем не менее, вы обладаете информацией о следующих базовых параметрах.

± Ваши данные находятся в гостевой операционной системе, работающей на виртуальной машине Xen, или хранятся на томе EBS, и в вашем распоряжении имеются механизмы, с помощью которых вы можете получить доступ к этим данным.

± Сетевой трафик, которым обмениваются ваши виртуальные экземпляры, невидим для других виртуальных хостов.

± Хранилище S3 лежит в публичном пространстве имен, но доступ к нему осуществляется через объекты, которые по умолчанию являются частными.

± Amazon обнуляет эфемерное хранилище в промежутках времени, когда оно не используется.

Поэтому вы можете исходить из следующих предположений, касающихся защищенности ваших данных.

± За исключением возможности специфических эксплойтов, использующих специфические уязвимости виртуализации, данные, находящиеся внутри виртуальной машины, защищены ничуть не хуже, чем данные, хранящиеся на физической машине. Если вас действительно серьезно заботит безопасность ваших данных, вы можете воспользоваться зашифрованными файловыми системами.

± Ваши объекты S3 не обладают внутренне присущей защищенностью, поэтому все данные, которые действительно являются конфиденциальными, перед помещением их в хранилище S3 должны шифроваться с использованием криптостойких алгоритмов.

± Ваши блочные хранилища и моментальные снимки, возможно, являются вполне защищенными. Хотя они и хранятся в S3, доступ к ним через обычные протоколы S3 невозможен. Тем не менее, если проблема безопасности вас серьезно заботит, не помешает зашифровать ваши блочные тома.

± Вы должны убедиться в том, что имеете возможность восстановления контроля над данными средствами, отличными от средств вашего облачного провайдера на случай его банкротства или возникновения других форс-мажорных обстоятельств.

Источник: Риз Дж., Облачные вычисления: Пер. с англ. — СПб.: БХВ-Петербург, 2011. — 288 с.: ил.

Вы можете следить за любыми ответами на эту запись через RSS 2.0 ленту. Вы можете промотать до конца и оставить ответ. Pinging в настоящее время не допускается.

Оставьте отзыв

XHTML: Вы можете использовать следующие теги: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

 
Rambler's Top100