Professional Documents
Culture Documents
Seminarski ALFA5
Seminarski ALFA5
FAKULTET
TEHNIKIH
NOVOM SADU
NAUKA
Nemanja Popovi,
Radosav Beloica
Sadraj
1.
2.
3.
Uvod.........................................................................................................................................3
Cloud computing......................................................................................................................4
2.1.
Javni cloud........................................................................................................................5
2.2.
Privatni cloud....................................................................................................................6
2.3.
Hibridni cloud...................................................................................................................7
Sigurnost u cloud-u..................................................................................................................8
3.1.
4.
5.
6.
4.2.
Gubitak podataka.............................................................................................................11
4.3.
Kraa naloga...................................................................................................................12
4.4.
Nesigurni API..................................................................................................................12
4.5.
Denial of Service.............................................................................................................13
4.6.
Zlonamerni insajder........................................................................................................14
4.7.
4.8.
4.9.
Zakljuak................................................................................................................................15
Literatura................................................................................................................................15
1 Uvod
U okviru ovog rada ukratko e biti predstavljen cloud computing i izloeni osnovni modeli ijom
primenom dolazi do poveanja sigurnosti u Cloud sistemima.
Koncept cloud computing-a prua velike mogunosti smanjivanja IT (Information Technology)
trokova, ali samo poslovanje u cloud-u nosi sa sobom odreene bezbednosne i sigurnosne rizike
koji se mogu znaajno umanjiti ako se ispotuju odreene procedure.
Sam rad se sastoji iz pet poglavlja koja zajedno stvaraju sliku funkiconisanja, izgleda i naina
implementacije sigurnosti u cloud sistemima. Cloud computing je opisan u drugom poglavlju,
sigurnost u cloudu u treem poglavlju, dok su glavne pretnje po bezbednost u cloud sistemima
opisane u etvrtom poglavlju. Zakljuak je naveden u petom poglavlju.
1.Cloud computing
Cloud computing se u pojednostavljenom smislu moe shvatiti kao uvanje, obraivanje i
korienje podataka koji se nalaze na udaljenim raunarima i kojima se moe pristupiti preko
interneta [1].
Cloud servise moemo podeliti na tri vrste:
Javni cloud (Public cloud),
Privatni cloud (Private cloud),
Hibridni cloud (Hybrid cloud).
Na slici 2.0 prikazana su tri osnovna modela servisa u cloudu :
Infrastruktura kao servis (IaaS)
Platforma kao servis (PaaS)
Softver kao servis (SaaS)
Privatni
Namenjena
koji ele da
prednosti
je klijentima
iskoriste sve
2. Sigurnost u cloud-u
Kod tradicionalnih IT infrastruktura aplikacije i podaci su uglavnom skladisteni na servisima i
obino nisu deljivi sa ostalim korisnicima. Takoe kod tradicionalnih IT infrastruktura za
mehanizam zatite podataka i aplikacije kao i za skladistenje same aplikacije odgovoran je tim
koji je implementirao IT proizvod.
U cloud okruenju obezbeivanje sigurnosti podataka i fiziko skladitenje naeg IT proizvoda
preputeno je cloud provajderu koga smo prethodno mi odabrali i sa kojim smo uspostavli odnos
poverenja.
Maine i podaci koje koristimo postaju dostupni preko interneta i mogu biti skladisteni bilo gde
na planeti u okviru cloud kompjuterskih resursa. Nai resursi, autentifikacione eme, sposobnost
oporavka od greke, tolerancija na otkaz postaju deljivi sa mnotvom klijenata sa kojima uopte
nemamo dodirnih taaka. Dok sa jedne strane smanjujemo trokove, poveavamo skalabilnost i
fleksibilnost sa druge strane odriemo se kontrole nad naim IT proizvodom.
Obezbeivanje sigurnosti podataka i aplikacije u cloud-u je neto drugaije nego to smo navikli.
Pri obezbeivanju sigurnosti moramo uzeti u obzir sledee pretpostavke:
Napadai su autentifikovani korisnici
Za razliku od internih mrea napadai u cloud-u su najverovatnije prijavljeni korisnici.
Ovo znai da neke konvencionalne tehnike odbrane kao to su odvojene sigurnosne zone,
firewall-ovi i slino igraju malu ulogu u ostvarenju sigurnosti.
Demilitarizovane zone (DMZ)
U javnom cloud-u ne postoji zona koja odvaja nau lokalnu (privatnu) mreu od
interneta.
Cloud provajderi
Samim tim to se na servis kreira i odrava izvan nae kontrole nas tera da budemo
paljivi pri odabiru cloud provajdera za na IT proizvod.
Efektivno cloud computing premeta vei deo kontrole nad podacima i operacijama sa klijentske
organizacije na njihove cloud provajdere, gotovo na isti nain na koji organizacije povere deo
svojih IT poslovanja spoljnim preduzeima. ak i osnovni zadaci kao to su primena zakrpe i
konfigurisanje zatitnog zida, mogu postati odgovornost cloud provajdera servisa, a ne klijenta.
Kao rezultat toga, klijenti moraju da uspostave odnos poverenja sa svojim provajderima i da
budu svesni rizika da njihovi provajderi izvravaju, primenjuju i upravljaju bezbednou u
njihovo ime. Ovaj "Veruj, ali proveri"odnos izmeu cloud provajdera i cloud
klijenata (najee neke private organizacije ili pojedinani klijenti) je
kritian, jer cloud klijenti moraju i dalje korisnicima svojih usluga garantovati
istinitost i zatitu njihovih vanih podataka, ak i ako je taj posao sada postao
odgovornost cloud provajdera.
U stvari, neke organizacije odabiraju privatne ili hibridne modele umesto javnih cloud-s ba zbog
rizika u vezi sa spoljnim servisima.
2.1.
Razliiti modeli cloud computing-a imaju razliite naine za prikazivanje njihove osnovne
infrastrukture korisnicima. Ovo utie na stepen direktne kontrole nad upravljanjem raunarske
infrastrukture i raspodelu odgovornosti za upravljanje njene bezbednosti.
Kod SaaS modela, veinu odgovornosti za bezbednost upravljanja preuzima cloud provajder.
SaaS obezbeuje vie naina za kontrolu pristupa web portala, kao to su upravljanje identitetima
korisnika, aplikacija na nivou konfiguracije i mogunost da ograniite pristup odreenim IP
adresama opsega ili geografskog podruja.
Cloud model platforma kao servis (PAAS) omoguava klijentima da preuzmu vie odgovornosti
za upravljanje konfiguracijom i bezbednou baze podataka i softverskih aplikacija.
Infrastruktura kao servis (IAAS) model prebacuje jo vie kontrole i odgovornosti za bezbednost
od cloud provajdera ka klijentu. U ovom modelu, dozvoljen je pristup operativnom sistemu koji
podrava virtuelizaciju, umreavanje i skladitenje.
Virtuelizacija je simulacija softvera ili hardvera na kome drugi softver radi [2].
Veinu vremena serveri ne rade u punom kapacitetu, to znai da procesorska snaga nije u
potpunosti iskoriena.Virtuelizacijom postiemo da se fiziki server ponaa kao da su u pitanju
vie servera od kojih svaki izvrava sopstveni operativni sistem (server virtuelizacija).
Poveavajui broj individualnih servera server virtuelizacija smanjuje potrebu za vie fizikih
raunara (maina).
3.1.
Cloud servisi pruaju korisnicima prostor za skladitenje i obradu masvine koliine podataka. Uz
njihovu nisku cenu kompanije mogu da premeste celo svoje poslovanje na cloud, time ne moraju
da kupuju i odravaju servere na kojima bi skladitili podatke o svojim klijentima i upravljali
poslovanjem. Upravo zbog toga su osetljivi podaci na clodu postali zanimljivi cyber
kriminalcima.
Postoje mnogi naini za izvravanje krae podataka, ovo su metode koje se najee koriste u
napadima[5]:
SQL injection - je metoda koja iskoriava sigurnosne ranjivosti kod pristupa web
aplikacije bazi podataka
10
Cross Site Scripting (XSS) je bezbednosni propust koji se javlja u web aplikacijama i
dinaminim web stranicama koji omoguuje napadau da izvri kod na korisnikovom
raunaru i pristupi podacima.
Kompanije moraju da primene vieslojne strategije koje poseduju slojeve napredne zatite:
Agentless zatita - ugraditi naprednu anti-malwere tehnologiju koja koordinira agentbased sa agentless reenjima da prui adekvatnu zatitu. Umesto da instalirate i upravljate
zatitom na svakoj virtuelnoj maini dovoljno je instalirati jednu instancu Agentless
paketa za sve virtuelne maine na jednom fizikom serveru (hipervizoru).
Virtual patching Zatita virtuelnih servera od poznatih napada, dok se eka da stvarni
patch bude postavljen na sistem.
Ovi virtuelno-svesni sigurnosni elementi bi trebali biti ukljueni u trenutna poslovna reenja da
bi se spreili sloeni napadi sa posledicom krae podataka ,bez degradacije prednosti virtuelnih i
cloud platformi.
3.2.
Gubitak podataka
Podaci sauvani u cloudu mogu biti izgubljeni i na druge naine osim kao posledica malicioznih
napadaa. Sluajno brisanje od strane cloud provajdera ili jo gore prirodne katastrofe poput
poara ili zemljotresa mogu dovesti do trajnog gubitka podataka ako provajder nije sproveo
odgovarajue mere uvanja podataka u rezervi tj kreiranjem rezervi na vise udaljenih data
centara.
DLP je skraenica za Data Loss Prevention. DLP je ime za kategoriju proizvoda ili skup alata
dizajniranih da zatite informacije. DLP moe da detektuje neautorizovane tokove podataka ili
sprei nedozvoljen prenos osetljivih informacija u zavisnosti od toga kako je konfigurisan.
DLP sistemi reguliu sluajno brisanje, curenje podataka od strane radnika , namernu krau
podataka od strane radnika , krau podataka od strane hakera.
11
3.3.
Kraa naloga
Ako napada sazna vae kredencijale, moe da prislukuje vae aktivnosti i transakcije,
manipulie podacima , vraa lane informacije , usmerava vae klijente na lane sajtove. Va
nalog ili servis moe da predstavlja bazu za slanje novih napada.
Sa ukradenim kredencijalima napadai esto dobijaju pristup kritinim zonama cloud servisa
ugroavajui poverljivost dostupnost i integritet tih servisa .
Naini odbrane:
3.4.
Nesigurni API
Cloud provajderi pruaju set softverskih interfejsa takozvanih API-ja (Application Programming
Interface) koje korisnici koriste da upravljaju i pristupaju cloud servisima. Sigurnost i dostupnost
cloud servisa zavisi od sigurnosti ovih API-ja.
Postoje etiri glavne oblasti gde cloud treba da se integrie sa drugim platformama ili ak sa
drugim provajderima[6]:
PaaS APIs (Servisni nivo) ovi API-ji su dizajnirani da prue pristup i funkcionalnost
cloud okruenja. to predstavlja integraciju sa bazom podataka, sistemom za razmenu
poruka , portalima..
SaaS APIs ( Aplikacioni nivo ) njihov cilj je da se povee aplikacioni nivo sa cloudom i
IT infrastrukturom .
12
IaaS APIs (Infrastrukturni nivo) su API-ji koji kontroliu specifine cloud resurse i
njihovu distribuciju. Takoe konfiguracija mree i menadment virtuelnih maina je
oblast gde su ovi API korieni.
Cloud provider i cross-platform APIs- mnoga okruenja ne koriste samo jedan servisni
model ili samo jednog cloud provajdera. Cross-platform API dozvoljavaju da koriste
resurse od vie cloud provajdera.
Pri izgradnji potpuno novog API-ja moramo se detaljno baviti sledeim bezbednosnim
pitanjima[7]:
Nie su predstavljene neke tehnike koje aplikacija moe da koristi da identifikuje i autentifikuje
korisnike.
3.5.
Denial of Service
DOS napadi su napadi koji spreavaju korisnike cloud servisa da pristupe njihovim podacima ili
aplikacijama. Primoravajui cloud servis da koristi ogromne koliine sistemskih resursa kao to
su procesorska snaga, memorija, prostor na diskovima itd, izaziva veliko usporenje servisa i time
ga ini nedostupnim. Sa novim tehnologijama DDOS napadi postaju jai i veeg obima
uspevajui da srue gigante poput Sonija tanije SonyPlaystation Network i Sony Entertainment
Network. Jedan od najveih DDoS napada na neki cloud servis je bio napad na Cloudflare uz
400 Gbps saobraaja [8].
13
Information Theory Based Metrics Method ova metoda radi u dve faze , posmatranju
ponaanja i detekciji ponaanja. U prvoj fazi detektuje se normalno ponaanje web
korisnika tokom perioda bez napada , rauna se vrednost enotropije zahteva po sesiji i
vrednost pouzdanosti se dodeljuje korsnicima. U fazi detekcije izraunava se vrednost
entropije za svaki novi zahtev i poredi sa pragom , ako je vei od praga, paket se
odbacuje a ako je manji, na osnovu vrednosti pouzdanosti i razlike u entropiji ograniava
se pristup korisniku.
Provajderi moraju da ogranie pristupe svojih administratora u smislu da svaki administrator ima
pristup odreenom delu infrastrukture , logovanje i praenje korisnika i administratora , uvoenje
nekog insider detection modela
3.7.
enkripcionih kljueva ili izvravanje DDOS napada ije bi izvravanje preko uobiajenih
raunarskih konfiguracija bilo jako teko.
3.8.
Previe preduzea prelaze na cloud bez potpunog sagledavanja stvari koje su potrebne za takav
skok. Bez potpunog razumevanja sredine cloud service provajdera, aplikacija ili servisa koji se
alje na cloud i operativnih odgovornosti kao to su reagovanja na incidente, enkripcije i
nadgledanja sistema, preduzea prave velike rizike na nivoima koje moda ni ne shvataju.
Ugovorni problemi nastaju usled neshvatanja ta su to obaveze provajdera a ta korisnika clouda.
Postavljanje aplikacija na cloud koje zavise od unutranjih kontrola mrenog nivoa je opasno
kada te kontrole vie ne postoje ili ne ispunjavaju oekivanja korisnika. Nepoznavanje cloud
tehnologija dovodi do mnogih greaka i mana u programima koji se dizajniraju i postavljaju na
cloud.
3.9.
Cloud service provajderi pruaju skalabilnost svojih usluga delei infrastrukturu platforme i
aplikacije. Bilo da osnovne komponente koje ine infrastrukturu (CPU ke, GPU) nisu
dizajnirane da prue snane izolacije atribute za multi-tenant arhitekturu (IaaS), re-deployable
platforme (PaaS) ili viekorisnke aplikacije (SaaS) pretnje deljenih ranjivosti postoje u svim
modelima. Preporuuje se detaljna bezbednosna strategija koja ukljuuje mreu , skladita
podataka, sigurnost korisnika i izvrenja aplikacija i nadgledanje celog sistema bez obzira da li je
model IaaS, SaaS ili PaaS. Klju je u tome da jedina slaba taka ili loa konfiguracija moe
dovesti do kompromitovanja celog clouda.
4. Zakljuak
Fleksibilnost i otvorenost modela cloud computing-a stvorili su veliki broj sigurnosnih problema.
Ogromne koliine IT resursa se dele meu mnogim korisnicima i bezbednosti procesa su esto
skrivene iza slojeva apstrakcije. Cloud computing se esto nudi kao usluga, tako da se kontrola
podataka i operacija prebacuje na nezavisnog provajdera servisa, zahtevajui da njihovi klijenti
uspostave odnos poverenja sa svojim provajderima i razviju reenja za sigurnost koja ovaj odnos
uzimaju u obzir.
U ovom radu smo ukratko predstavili osnovne modele koje cloud provajderi nude u cilju
poveanja sigurnosti u cloud sistemima.
16
5. Literatura
[1] DukoMarti,Raunarstvo u oblacima (cloud computing),
http://pravoikt.org/racunarstvo-u-oblacima-cloud-computing-sta-je-i-sto-nas-treba-da-budebriga/, 22.01.2015
[2]IT Modul, Virtuelizacija,
http://www.it-modul.rs/01/2013/pojam-virtuelizacije-i-osnovni-termini/, 22.01.2015
[3]IBM Corporation (International Business Machines Corporation) 2010,
http://www.redbooks.ibm.com/redpapers/pdfs/redp4614.pdf, 22.01.2015
[4] Cloud Security Alliance, Top Threats to Cloud Computing,
https://cloudsecurityalliance.org/research/top-threats/, 22.01.2015
[5] Evolving Data Centers: Defending against data breach attack
http://about-threats.trendmicro.com/cloud-content/us/entprimers/pdf/tlp_evolving_data_centers.pdf , 23.01,2015
[6] Bill Kleyman, Understanding cloud APIs and why they matter
http://www.datacenterknowledge.com/archives/2012/10/16/understanding-cloud-integration-alook-at-apis/, 22.01.2015
[7] Dejan Lukan, Building a Secure API in a Cloud Environment
http://resources.infosecinstitute.com/building-secure-api-cloud-environment/, 22.01.2015
[8] http://www.businessweek.com/articles/2014-08-26/ddos-attacks-are-soaring, 22.01.2015
[9] Vidhya.V, A Review of DOS Attacks in Cloud Computing
http://www.iosrjournals.org/iosr-jce/papers/Vol16-issue5/Version-2/E016523235.pdf, 22.01.2015
[10]MiltiadisKandias, Nikos Virvilis, DimitrisGritzalis, Insider Threat in Cloud Computing
http://www.cis.aueb.gr/Publications/CRITISCloud%20Insider.pdf, 22.01.2015
17