Securitatea in Cloud

Universitatea Politehnica Bucureşti Facultatea Electronică,Telecomunicaţii şi Tehnologia Informaţiei

Securitatea în cadrul Cloud Computing

Autor: Petre Marius Disciplina: Sisteme de operare avansate

2013

Cuprins 1 Introducere ............................................................................................................................................... 3 2 Clasificare ................................................................................................................................................... 4 3 Caracteristici .............................................................................................................................................. 5 4 Avantaje și dezavantaje ............................................................................................................................. 7 5 Stiva de dependințe a Cloud Computing-ului ............................................................................................ 7 6 Infrastructura Cloud Computing și implicațiile în securitate ..................................................................... 8 7 Securitatea datelor.................................................................................................................................... 9 7.1 Securitatea datelor stocate ................................................................................................................. 9 7.2 Atacurile ostile .................................................................................................................................... 9 8 Soluții de securitate Cloud ........................................................................................................................ 9 8.1 Cadrul de securitate Cloud Computing ............................................................................................... 9 8.2 Asigurarea securității în stocarea datelor ......................................................................................... 10 8.3 Acordul privind nivelul serviciilor oferite (Service Level Agreement – SLA) ..................................... 10 9 Concluzii ................................................................................................................................................... 11 10 Bibliografie ............................................................................................................................................. 11

1 Introducere Cloud computing este un concept modern în domeniul computerelor și informaticii, reprezentând un ansamblu distribuit de servicii de calcul, aplicații, acces la informații și stocare de date, fără ca utilizatorul să aibă nevoie să cunoască amplasarea și configurația fizică a sistemelor care furnizează aceste servicii. Expresia cloud computing derivă dintr-o reprezentare grafică simbolică a Internetului des întâlnită în formă de nor („the cloud”), folosită atunci când detaliile tehnice ale Internetului pot fi ignorate, ca în imaginea de mai jos:

2 Clasificare După livrare: 

Software as a service - Software ca serviciu

Acest model este creat pentru a furniza software utilizatorului, de obicei prin intermediul unui portal web. În timp ce utilizatorul este liber să utilizeze serviciul de oriunde, companiile platesc unele taxe. 

Platform as a service - Platformă ca serviciu

Furnizorul de Cloud Computing oferă pachetul de soluții împreună cu anumite caracteristici specifice. În acest model de Cloud Computing, furnizorul oferă o platformă pentru fiecare utilizator. Serviciile oferite de acest model includ toate fazele ciclului de dezvoltare al sistemului (System Development Life Cycle – SDLC) și pot utiliza interfețele aplicațiilor de program (Application Program Interfaces – APIs), portaluri web, sau software de gateway. Cumpărătorii trebuie să fie atenți la anumite soluții, deoarece unii furnizori nu permit mutarea de pe platformă a software-ului creat de clienți pe platforma respectivă. 

Infrastructure as a service - Infrastructură ca serviciu

Așa cum spune și numele, utilizatorul cumpără infrasctructura. Deține deja software-ul și achiziționează puterea de calcul necesară. Este asemănătoare cu rularea unui server virtual pe un echipament, doar că acum rularea serverului se realizează pe un disc virtual. Acest model este similar cu conceptul “plătești doar ce utilizezi”. După implementare: 

Cloud public

Platforma Cloud este disponibilă utilizatorilor pentru a se înregistra și folosi infrastructura existentă. Acestea sunt cele mai vulnerabile deoarece sunt disponibile utilizatorilor publici care pot gazdui serviciile proprii și care pot fi utilizatori rău intenționați. 

Cloud privat O platformă cloud este dedicată unei organizații specifice.



Cloud hybrid

Un cloud privat care își poate extinde capabilitățile pentru a fi folosit în Cloud-urile publice. 

Cloud pentru o comunitate (community cloud)

3 Caracteristici Conexiunea permanentă a utilizatorului la Internet a devenit foarte răspândită, astfel încât acum aproape toate resursele disponibile se pot plasa în Internet și partaja, uneori chiar între utilizatori complet independenți unii de alții: software-ul (programele) și datele/informațiile sunt aduse din Internet pe calculatorul utilizatorului la cerere (on demand), ca și cum ar fi vorba de servicii publice banale precum apa sau energia electrică. Executarea aplicațiilor de computer online în Internet, și nu pe stația de lucru (workstation) proprie, reprezintă o nouă schimbare de paradigmă, urmașă a celei din anii 1980, când s-a trecut de la mainframes la conceptul client-server. Dacă interfața pusă la dispoziție de furnizorul (provider) de cloud computing este de bună calitate, atunci utilizatorul e eliberat de sarcina de a fi un expert în tehnologia și infrastructura folosite. De exemplu, el nu mai trebuie săși actualizeze software-ul, deoarece aceasta se face central, la furnizor. Cloud computing folosește noi metode de oferire și consumare a serviciilor IT în Internet, servicii care de obicei pot fi dimensionate dinamic și care includ resurse virtualizate. Este de fapt doar o posibilitate secundară, urmare a ușurinței cu care se pot acum accesa toate serverele și centrele de calcul interconectate prin intermediul Internetului. Furnizorii tipici de cloud computing pun la dispoziție, de exemplu, aplicații comerciale standard; utilizatorul are acces la acestea doar prin intermediul unui browser local, deoarece atât aplicația cât și datele proprii ale utilizatorului sunt găzduite în cloud, pe serverul furnizorului de servicii. În aceste condiții asigurarea confidențialității și drepturilor de acces la date în contextul Internetului atotprezent joacă un rol primordial. Pentru a realiza utilizarea eficientă a resurselor, furnizorii de servicii Cloud trebuie să sporească utilizarea resurselor reducând în același timp costurile. În același timp, consumatorii trebuie să poată să utilizeze resursele cât timp au nevoie existând posibilitatea de a mări sau micșora consumul în funcție de cerințe. Modelul Cloud Computing satisface aceste nevoi prin intermediul unei soluții tip “win-win” prin livrarea a două caracteristici esențiale: multiînchirierea și elasticitatea. Multi-închirierea presupune împărțirea resurselor de calcul, a spațiului de stocare, servicii și aplicații cu alți “locatari”. Multi-închirierea poate fi realizată prin mai multe metode, așa cum este ilustrat în figura de mai jos. În prima abordare, fiecare chiriaș folosește o instanță dedicată având personalizare proprie. În a doua abordare, fiecare chiriaș are propria instanță, ca și în prima metodă, dar toate instanțele sunt identice. În al treilea exemplu, toți utilizatorii împart aceeași instanță, având configurații identice. În al patrulea exemplu fiecare chiriaș este redirectat către un contorizor de încărcare, acesta trimițând cererea către instanța cea mai puțin utilizată la momentul respectiv. Metodele 3 și 4 sunt cele mai riscante, ele presupunând coexistența utilizatorilor în același proces, utilizând același hardware. Schimbul de resurse violează confidențialitatea utilizatorilor ceea ce duce la nevoia de securizare a multi-închirierii. Pentru a satisface această nevoie ar trebui să existe izolare între datele fiecărui utilizator precum și o transparență a locației, în care utilizatorii nu cunosc sau nu pot controla locația unde se afla datele pentru a evita atacurile plănuite prin care se încearcă furtul datelor victimelor

vizate.

Elasticitatea implică posibilitatea de a mări sau micșora resursele alocate unor servicii bazându-se pe cerințele curente. Crescând sau micșorând resursele alocate unui utilizator se dă oportunitatea altui utilizator de a utiliza resursele eliberate. Aceasta poate duce la probleme de confidențialitate. De exemplu, un chiriaș A poate elibera unele resurse, iar alt chiriaș B poate utiliza acele resurse pentru a recupera datele prelucrate de A. În plus, elasticitatea include un serviciu de plasare care permite memorarea unei liste de resurse disponibile din totalul resurselor oferite de provider. Această listă este folosită pentru a aloca resurse serviciilor care au nevoie. Aceste servicii de plasare a resurselor trebuie să încorporeze securitatea clienților Cloud și cerințele legale prin care să se evite plasarea serviciilor concurente pe același server.

4 Avantaje și dezavantaje Avantaje:    

Sincronizarea datelor utilizatorului care folosește mai multe dispozitive legate la cloud (de ex. un smartphone, o tabletă, un notebook, dar și un PC) este simplificată; Documentele online din cloud se pot prelucra cu ajutorul unor aplicații web; Viteză de calcul și capacitate de stocare sporite, dar fără investiții în propria configurație; Datele nu pot fi furate, purtătorul de date nu se poate defecta etc.

Dezavantaje:   

E necesară o legătură la Internet rapidă și stabilă; Securitatea necesară a datelor din cloud poate prezenta probleme și poate produce neîncrederea utilizatorilor; Situația legală este de obicei complexă, deoarece utilizatorul nu află nici măcar în ce țară sau în ce țări (!) se află serverele care îi găzduiesc datele sale.

5 Stiva de dependințe a Cloud Computing-ului Modelul Cloud Computing depinde de o stiva structurată pe mai multe nivele unde funcționalitatea și securtiatea unui nivel depinde de nivelele anterioare. Modelul IaaS acoperă nivelul fizic al Cloud-ului (spații de stocare, rețele și servere), stratul virtual si resursele virtuale. Modelul PaaS acoperă nivelele platformă (cum ar fi aplicațiile de server, serverele web, IDE și alte unelte), nivelele API si serviciile. Modelul PaaS depinde de virtualizarea resurselor livrate de IaaS. Modelul SaaS acoperă aplicațiile și serviciile oferite utilizatorilor finali, așa cum este ilustrat în figura de mai jos. SaaS depinde de un strat de platforme care să găzduiască serviciile și un strat de virtualizare care să optimizeze utilizarea resurselor atunci când serviciile sunt livrate unei structuri „multi-închiriere”. Această stivă de dependințe complică și mai mult problema securității deoarece securitatea fiecărui nivel depinde de securitatea nivelelor inferioare. Orice străpungere a unui nivel va avea impact asupra tuturor nivelelor. Fiecare nivel Cloud prezintă o serie de cerințe de securitate și vulnerabilități așa că necesită un control al securității pentru a livra servicii sigure. Asta duce la un număr foarte mare de cerințe de securitate care trebuie să fie gestionate.

6 Infrastructura Cloud Computing și implicațiile în securitate Cloud Computing implică diferiți furnizori cum ar fi: furnizorul de cloud (entitatea care se ocupă cu furnizarea infrastructurii către utilizatori), furnizorul de servicii (entitatea care folosește infrastructura pentru a livra aplicații/servicii utilizatorilor finali) și consumatorii de servicii (entitatea care folosește serviciile stocate în infrastructură). Fiecare parte are propriul management al securității și fiecare are propria lor cerință și capabilitate. Aceasta duce la: 1. Un set de cerințe de securitate definit în cadrul unui serviciu pentru diferiți chiriași care pot intra în conflict unele cu celelalte. Astfel, configurațiile de securitate ar trebui să fie menținute și aplicate la nivelul instanței serviciului și în timpul rulării, luând în considerare posibilitatea de schimbare a cerințelor bazate pe nevoile actuale ale consumatorilor de a atenua noi riscuri. 2. Providerii și consumatorii trebuie să negocieze și să cadă de acord asupra proprietăților de securitate aplicate. Totuși, nici un standard de securitate nu conține niște reglementări pe baza cărora providerii să poată susține nivelul de securitate aplicat. 3. Fiecare furnizor trebuie să aibe propriul sistem de gestiune al procesului de securizare, folosit pentru a defini serviciile pe care le pot oferi, riscurile posibile și impactul lor și felul în care se pot minimiza aceste riscuri. Adoptând modelul Cloud, ambele părți pierd controlul efectiv asupra datelor, incluzând aici și providerii de Cloud (care nu sunt conștienți de conținutul și cerințele de securitate stocate pe infrastructura lor) precum și consumatorii de Cloud (care nu pot controla nici securitatea datelor proprii și nici un alt serviciu care împarte resursele).

7 Securitatea datelor Este una dintre cele mai semificative probleme în domeniul securității Cloud. În mediul Cloud Computing toate datele și înregistrările sunt încredințate unui terț ceea ce face ca securitatea datelor să devină principala problemă de securitate.

7.1 Securitatea datelor stocate Sunt mai multe probleme în legătură cu securitatea datelor stocate pe Cloud. În primul rând, Cloud Computing nu reprezintă doar o bază de date terță, ceea ce face ca soluțiile tradiționale de securitate să nu poată fi implementate direct. În al doilea rând, metodele criptografice nu pot fi folosite. Folosirea unor astfel de metode pentru a garanta securitatea Cloud duce la imposibilitatea clienților de a avea control total asupra datelor stocate în Cloud. Prin urmare, verificarea datelor corecte de stocare trebuie să se desfășoare în Cloud fără cunoștiințe explicite asupra datelor. Și nu în ultimul rând, Cloud Computing este gestionat de data center-e care lucrează într-un mod cooperativ, simultan și distribuit, protocoalele distribuite având un rol cheie în scopul asigurării securității în sistemul de stocare a datelor pe Cloud.

7.2 Atacurile ostile Cele mai multe incidente privind securitatea Cloud Computing le reprezintă atacurile ostile tradiționale. Atacurile DdoS (Distributed Denial of Service) vor deveni mai frecvente în Cloud Computing, incluzând atacurile atacurile bazate pe rețea, cum ar fi flood-urile SYN sau UDP. Atacurile de tip brute force și instrumentele de exploatare Debian Open SSL funcționează în Cloud la fel cum o fac și in cazul botnet-urilor.

8 Soluții de securitate Cloud 8.1 Cadrul de securitate Cloud Computing Acesta se referă la sistemul de server Cloud Computing și la sistemul standard, care au ca scop menținerea în siguranță a informațiilor utilizatorilor. Acest cadru oferă o nouă idee în rezolvarea problemelor de securitate. Concret, o serie de servicii Cloud constituie sistemul de servere Cloud Computing, incluzând servicii fundamentale de securitate Cloud, și servicii credibile de infrastructură Cloud. Garantarea securității datelor necesită o abilitate semnificativă. În același timp, sistemele standard de Cloud Computing asigură servicii și în domeniul mangementului.

8.2 Asigurarea securității în stocarea datelor În prezent, cercetătorii au creat protocoale distribuite pentru a se asigura corectitudinea datelor stocate pe mai multe servere. Totuși, aceste scheme distribuite nu pot fi conștiente de operațiunile dinamice asupra datelor. Prin urmare aplicabilitatea acestora în depozitarea datelor în Cloud este limitată. Schema efectivă distribuită si flexibilă ar trebui să fie concepută special pentru depozitarea datelor în cloud, și care să aibe ca scop asigurarea corectitudinii datelor, localizarea rapidă, suport dinamic, fiabilitate și să fie ușor de implementat. Schema presupune că fiecare canal de comunicație point-to-point între furnizorul de servicii cloud și client este autentificată și de incredere. În comparație cu metodele trdiționale de distribuție a fișierelor, această schemă reduce comunicarea și spațiul de depozitare suplimentar. Indiferent de momentul în care date corupte au fost detectate în timpul verificării corectitudinii de stocare, schema poate garanta localizarea simultana a erorilor. Fără îndoilă această schemă poate îmbunătății securitatea stocării datelor.

8.3 Acordul privind nivelul serviciilor oferite (Service Level Agreement – SLA) Acordul privind nivelul serviciilor face parte din Master Service Agreement și este adoptat de către toate serviciile oferite direct către utilizator de furnizorul de Cloud Computing. SLA conține 5 nivele de securitate Cloud, incluzând securitatea accesului la server, securitatea accesului la internet, securitatea accesului la baza de date, confidențialitatea datelor și securitatea accesului la programe. Pe lângă asta, SLA este un document care definește relația între furnizor și client, care include și definirea serviciilor, managementul performanței, mangementul problemelor, obligațiile si responsabilitățile clientului, garanția și remedierea, recuperarea în cazul unor dezastre naturale și continuitatea afacerii. În plus, SLA conține detalii privitoare la politicile de securitate, metode și implementari.

9 Concluzii Modelul Cloud Computing este unul dintre modelele de calcul promițătoare pentru furnizorii de servicii, furnizorii de cloud și utilizatorii de cloud. Dar pentru a utiliza modelul în cel mai bun fel trebuie sa astupăm găurile de securitate existente. Pe baza detaliilor prezentate mai sus, putem rezuma problemele de securitate Cloud după cum urmează:    

Unele probleme de securitate provin de la tehnologiile utilizate cum ar fi virtualizarea și arhitecturile orientate pe servicii; Multi-închirierea și izolarea sunt o parte improtantă în cadrul securității și necesită soluții verticale de la nivelul SaaS până la nivelul fizic; Managementul securității este greu de controlat, având în vedere numărul de cerințe; Modelul Cloud ar trebui să aibe o structură care să asigure accesul la datele din cloud doar după trecerea în prealabil prin nivelele de securitate.

Soluțiile recomandate sunt:    

Inerență în arhitectura Cloud. Când mecanismul de livrare și interfețele cu utilizatorul ar trebui sa ofere interfețe flexibile de securitate; Suport pentru: multi-închiriere unde fiecare user să poată vedea doar configurațiile sale de securitate, elasticitate, să poată mări sau miscșora nivelul de securitate pe baza nevoilor; Suportul și integrarea altor metode de securizare pentru diferite straturi pentru a asigura o mai buna securitate; Adaptarea continuă la schimbările de mediu și la nevoile furnizorilor.

10 Bibliografie    

Mohamed Al Morsy, John Grundy and Ingo Müller, An Analysis of The Cloud Computing Security Problem, 2010 Pankaj Patel, Ravindra Kumar Gupta and Gajendra Singh Chandel , Cloud Computing Security Issues and Challenges, 2012 www.wikipedia.com https://wiki.internet2.edu/confluence/display/itsg2/Cloud+Computing+Security