Trend prelaska na cloud usluge je vidljiv u proteklih nekoliko godina. Razlozi korištenja ovih usluga su najčešće cijena i fleksibilnost koja se inherentno nudi. Međutim, o sigurnosnim aspektima se rijetko razmišlja! Pružatelji cloud usluga najčešće imaju slojevitu zaštitu u pogledu fizičke i mrežne sigurnosti, sa velikim upitnikom u polju privatnosti. U toku izlaganja i diskusije ćete saznati više o zaštitnim mjerama i pretpostavkama vezanim za cyber bezbjednost.
2. AGENDA
• Uvod
• Pojam Cloud Computing-a
• Slojevi usluga u Cloud-u
• Pružatelji usluga
• Prava i odgovornosti
• Povjerenje u pružatelje usluga !?
• Mehanizmi zaštite Cloud-a
• Sigurnost podataka
• Raspoloživost
• Enkripcija
• Hibridno rješenje
• Kako se zaštititi ?
• Zaključak
3. UVOD
• Pojmovi od značaja: Cloud Computing i Cyber Security
• CIA trougao
– Povjerljivost
– Integritet
– Raspoloživost
• Sigurnost prati razvoj novih tehnologija
• Ključna pitanja:
– Šta ako treća strana ostvari neovlašten pristup Cloud-u?
– Šta ako je Cloud maliciozan?
4. CLOUD COMPUTING
• C12G – Cloud Computing
• Pristup resursima kroz uslužni ili servisni model
• Sloj apstrakcije prema korisnicima
• Trošak za održavanje sopstvene infrastrukture
visok
• Veća iskorištenost resursa kroz dijeljenje
infrastrukture
• Naplata na bazi potrošenih resursa (eng. Pay as
you go)
• Mainframe računari – sličan model iz prošlosti
• Omogućeno primjenom tehnologije virtuelizacije i
hipervizora
5. SLOJEVI USLUGA U CLOUD-U
• IaaS – Infrastructure as a Service
– Pristup virtuelizovanoj ili fizičkoj (eng. Bare metal) infrastrukturi
– Odabir odgovarajuće konfiguracije servera, mreže i skladišnih kapaciteta
• PaaS – Platform as a Service
– Pristup operativnom sistemu i servisima za razvoj aplikacija
– Baza podataka (DBaaS), Rezervna kopija (BaaS), Balansiranje opterećenja (LBaaS),
Mrežna konfiguracija, Keširanje, E-mail servis, Analitika podataka, Enkripcioni
ključevi, Automatsko skaliranje Redovi čekanja...
• SaaS – Software as a Service
– Pristup gotovim softverskim rješenjima
– CRM, SCM, ERP...
6.
7. PRUŽATELJI USLUGA
AWS Azure Google Cloud
Company AWS Inc. Microsoft Google
Launch year 2006 2010 2008
Geographical
Regions
25 54 21
Availability Zones 78 140 (countries) 61
Key offerings
Compute, storage,
database, analytics,
networking,
machine learning,
and AI, mobile,
developer tools, IoT,
security, enterprise
applications,
blockchain.
Compute, storage,
mobile, data
management,
messaging, media
services, CDN,
machine learning
and AI, developer
tools, security,
blockchain,
functions, IoT.
Compute, storage,
databases,
networking, big
data, cloud AI,
management tools,
Identity and
security, IoT, API
platform
Compliance
Certificates
46 90
Annual Revenue $33 billion $35 billion $8 billion
8. PRAVA I ODGOVORNOSTI (1)
• Podaci su vijednost u digitalnom dobu
• Odgovornost za podatke u slučaju smještanja lokalno ili u Cloud-u
• Odgovornost po slojevima usluga
• Niko ne čita EULA ili TOS!
• Neujednačenost zakona u različitim državama
• Zahtijev da se privatni podaci građana čuvaju u državi
9. PRAVA I
ODGOVORNOSTI (2)
• Privatnost vs Povjerljivost
• Povelja UN-a o ljudskim pravima: Niko ne sme biti
podvrgnut proizvoljnom mešanju u njegovu privatnost,
porodicu, dom ili prepisku, niti napadima na njegovu
čast i ugled. Svako ima pravo na zaštitu zakona od
takvih mešanja ili napada.
• Privatnost se može narušiti samo ako postoji valjan
razlog za to (npr. nacionalna bezbjednost)
• Državne institucije žele da vrše nadzor iz bezbjednosnih
razloga, ali...!
• Securite vs Liberte (Orwell, 1984)
10. POVJERENJE U PRUŽATELJE USLUGA !?
• Institucije zahtijevaju pristup !?
• Pristanak na obradu podataka u komercijalne svrhe
• Eskalacija privilegija
• Cloud revizija
• Povjerenje u pružatelje Cloud usluga
– Povjerljivi
– Povjerljivi ali radoznali
– Nepovjerljivi
11. MEHANIZMI ZAŠTITE
CLOUD-A
• Mrežne barijere (eng. Firewall)
• Obfuskacija
• Penetraciono testiranje
• Anonimizacija ili tokenizacija
• Enkripcija
• Virtuelne privatne mreže (eng. VPN – Virtual Private Network)
• Dvofaktorska autentikacija (eng. 2FA – Two Factor Authentication)
• Sistemi za detekciju napada (eng. IDS – Intrusion Detection
Systems)
• Sistemi za prevenciju napada (eng. IPS – Intrusion Prevention
Systems)
12. SIGURNOST PODATAKA
• Krađa i prodaja povjerljivih
podataka
• Kontrola pristupa (access
control)
• Klasifikacija podataka
• haveibeenpwned.com
• Aspekti sigurnosti podataka
– U toku prenosa
– U toku obrade
– Dok su smješteni ili
pohranjeni (eng. Data at rest)
13. RASPOLOŽIVOST
• Nedostupni podaci nisu korisni
• Visoka raspoloživost se podrazumijeva, ali!?
• Mjera raspoloživosti – broj devetki (99.999%)
• Definisano u ugovoru (eng. SLA – Service Level Agreement)
• Mogućnost provjere statusa
• Replikacija na više zona dostupnosti
• Realizacija data centara (tiers)
• Backup rješenja
– Diskovi
– Linkovi
– Napajanje
14. ENKRIPCIJA
• Najšire rasprostranjeni mehanizam zaštite tajnosti
• Šifrovanje ili enkripcija omogućava konverziju
originalne poruke u neprepoznatljivu šifrovanu
poruku u cilju očuvanja tajnosti
• US DoD – Ten Commandments of Software 2018:
Podaci trebaju biti enkriptovani uvijek, osim u
slučaju ako su dio aktivne obrade
• E2EE – End to End Encryption
• Ko kreira enkripcione standarde !?
• Odgovornost za čuvanje ključeva
• Aktivna obrada enkriptovanog sadržaja !?
15. HIBRIDNO RJEŠENJE
• Kombinacija lokalne i Cloud
pohrane podataka
• Troškovi održavanja lokalne
infrastrukture
• Podrazumijeva arhitekturalnu
podršku aplikacija
• Diferencijacija važnosti
podataka
16. KAKO SE ZAŠTITI ?
• Edukacija
• Primjena adekvatnih alata
• Monitoring
• Postojanje i primjena sigurnosne politike
• Redovno ažuriranje svih softverskih
rješenja koja se koriste
• Redovno pravljenje sigurnih kopija
podataka
• Povremeno prolaženje standrdizovanih
evaluacionih procedura
• Angažovati eksterne eksperte ili
konsultante da testiraju sisteme i
primjene adekvatne mjere zaštite
• Stvoriti prave navike!
17. ZAKLJUČAK
• Cloud je apstrakcija centara za skladištenje i obradu podataka
• Sloj usluge diktira odnos između fleksibilnosti i odgovornosti
• Ugovori o isporuci usluga su definisani od strane pružatelja usluga i treba ih
pročitati/razumjeti
• Privatnost je ljudsko pravo, sve dok ne postoji ugroženost drugih
• Motivi za krađu podataka su sticanje materijalne koristi ili špijuniranje
• Nivo dostupnosti podataka zavisi od raspoloživosti pružatelja usluga
• Enkrpcija je efektivan mehanizam sa cijenom u oblasti performansi i fleksibilnosti
• Kombinovana rješenja su takođe kompromis
• Prvi korak za adekvatnu zaštitu je edukacija
Da li su Vasi podaci sigurni u Cloud-u? I zasto nisu?
-Cloud Computing ili “Racunarstvo u oblaku”
-Svaka nova tehnologija je napravljena da bude korisna, međutim, postoji sklonost ka sigurnosnim propustima
-Naplata kao struja
-Utičnica
-Iskorištenost resursa – očuvanje životne sredine (procesori ne ostaju neiskorišteni)
-Mainframe i pristup preko „dummy terminala“
-Prelazak na Cloud (sa dedicated servera ili sopstvene infrastrukture)
-IaaS – mogucnost da se odabere konfiguracija kao u prodavnici racunara (processor, memorija, disk)
-PaaS – developeri dobijaju okvir preko koga mogu da pristupe potrebnim servisima za razvoj
-SaaS – direktan pristup vec razvijenim aplikacijama
-Ispod svega ima sloj napajanja (backup napajanje, failover, otpornost na otkaze, UPS)
-Prva slika, podaci – jun 2020
-U TOS-u pisalo da treba prodati dusu djavolu
-Drzave mogu da zahtijevaju pristup podacima korisnika Cloud usluga
-Sloboda pojedinca je ogranicena slobodom drugih!
-Povjerenje u pruzatelje Cloud usluga
Povjerljivi – ne postoje indikacije da su imali sigurnosne propuste ili afere odavanja podataka (offshore provajderi)
Povjerljivi ali radoznali – Honest but curious
Nepovjerljivi – postoje indikacije da su nesigurni ili da saradjuju sa institucijama neke drzave
-Metode klasifikacije u cilju podjele ili fragmentacije (vaznije podatke na sigurnije lokacije)
-Klasifikaciju je tesko izvršiti kad su podaci čvrsto spregnuti ili povezani
Aspekti:
1. U toku prenosa – protokoli, sigurnost na razlicitim slojevima OSI modela
2. Sigurnost u toku obrade – procesorski prstenovi – rjesavanje multitenacy problema – eskalacija privilegija
3. Enkripcija je najefektivniji metod
-Nedostupnost moze nastati presjecanjem zice ili komunikacionog medijuma kojim putuju podaci
-Veliki pružatelji usluga u poslednje vrijeme imaju jedan pad raspoloživosti godišnje
-99.999% godisnje je oko 5min nedostupnosti
-Geografskom replikacijom se vrsi zastita od prirodnih katastrofa
-Čuvanje ključeva u hardverskim modulima: Amazon KMS ili Azure Key Vault
-E2EE – WhatsApp koristi
-kompromis
-memorijska hijerarnija (brza, ali skuplja memorija)
-zahtijeva odgovarajucu organizaciju podataka
-slicno memorijskoj hijerarhiji (performanse vs cijena, sigurnost vs cijena)
-Edukacija i sebe i organizacije
-Sigurnosna politika napisana od strane kvalifikovanih stručnjaka (model prijetnji)
-Azuriranje – OS i hipervizora pogotovo (eskalacija privilegija)
Druga tacka:
-Fleksibilnost i odgovornost su u pozitivnoj korelaciji u ovom slucaju
-With great power comes great responsibility