Det är en gammal säkerhet maxim: Den enda säkra datorn är en helt bortkopplad från resten av världen. Det är ännu mer säker om den är avstängd.
I den verkliga världen, alla system måste vara tillgängliga för en viss grad och är därför sårbara för angrepp. Vissa är särskilt i fråga om system och data i den offentliga moln, som körs på datorer som ägs av någon annan, med management-system som ägs och drivs av någon annan, med andra kunder, kanske även din egna konkurrenter — körs på samma datorer. Säkert att dessa är stora risker…inte de?
Ja, det är sant: Angripare kan nå ditt system i det publika molnet och infiltrera dem, stjäla konfidentiella data, krascha dem. Men, detta har ingenting att göra med dem som i ett moln, offentliga eller privata. När administratörer att ta väl hand för att säkra system och data, deras fysiska läge och arkitektur är av oavsett. När du förstår den modell för säkerhet, falska argument av cloud-fobi falla sönder.
Precis som alla andra server-infrastruktur, system i den offentliga moln är ansluten, kanske för att endast andra system du styr, kanske till Internet i stort. Detta är nödvändigt för att de ska vara användbart, men det gör också att potentiella angripare att kontakta dem.
I en stor offentlig moln som Amazon Web Services eller Microsoft Azure, programvara som körs i virtuella maskiner (VMs) som kontrolleras av ett master program kallas en hypervisor. Varje VM ser ut att programvaran som körs på den, som en dator. Om det körs på en riktig dator eller en VM är irrelevant för ansökan.
Hypervisor kan, för optimering eller juridiska syften, vissa virtuella maskiner på vissa fysiska värdar. Till exempel myndigheter kan bli skyldiga att hålla medborgare data på hårdvara som ligger just i det landet eller staten. Och, om en kund har flera VMs för att kommunicera över nätverket, skulle det vara optimalt för dem VMs för att vara värd på samma fysiska server, så att anslutningarna är mycket snabb.
Men i större system av saker, du vet inte vad din dator VMs kör på. Så länge molnet leverantören levererar prestanda, kapacitet och bandbredd som du betalar för, du har ingen anledning att bry sig om vad datorer som de kör på.
Så hur skulle förekomsten av en konkurrent-system eller andra system, på samma fysiska dator utgöra ett hot? De kan inte attackera ditt system via virtuella nätverk, mer än någon annan dator i världen. Den enda potentiella faran skulle vara för angriparen att bryta ut i ett VM i hypervisor och använda som privilegierad position för att stjäla data från och annat övergrepp annan VMs.
Om detta verkligen hända i den verkliga världen, men? Cross-hypervisor-attacker är möjligt, men att vi inte har några trovärdiga rapporter om dessa bedrifter som förekommer utanför en research lab.
Offentliga moln leverantörer har mekanismer för att skydda VMs från varandra: I AWS, till exempel gäst Linux OS-kod som körs vid en lägre behörighetsnivå än normalt. Alla nätverk kommunikation går via en brandvägg som körs på mer privileved hypervisor lager.
Men myten att pubilc moln utsätter ditt system till nya risker kvarstår. I själva verket, publika moln ger en mer säker infrastruktur än vad du kan ha på lokaler eller i en co-location center. Ett offentligt moln verksamhet skulle misslyckas om deras infrastruktur var inte säker. För att vara tydlig, den infrastruktur som avser tillträde till den fysiska datacenter, tillgång till den underliggande nätverk och datorer som miljö, tillförlitlighet av tjänster, och den ständiga uppdateringen av de tjänster som de tillhandahåller. Men, något du driftsätta och köra på ett offentligt moln miljö är ditt ansvar att säkra. När ditt system startar upp, deras säkerhet är ditt ansvar. Detta är vad Amazon Web Services samtal Delat Ansvar Modellen, även om den grundläggande principen är universell.
Molnet befriar dig av en viss trygghet bördor och gör att uppfylla många av de andra lättare. Till exempel, det kommer att förse dig med en stark IAM (Identity and Access Management) – system och kryptering faciliteter för din egen användning. Men det är inte befriar dig från ditt ansvar. Dessa uppgifter är sådana som du skulle ha i någon annan computing-modellen, inklusive ditt eget data center som kör alla dina egna program på din egen hårdvara. Ett klassiskt exempel är sårbarheter i mjukvara. Använder du äldre versioner av program som har kända sårbarheter i dem? Det är upp till dig att uppdatera dessa program.
Att ge efter för cloud-fobi verkligen sätter företag i underläge. I den verkliga världen, moln-tjänster är hackad, men det är en myt att detta händer eftersom de finns i molnet. Sanningen är att den överväldigande majoriteten av oro för säkerheten för cloud kunder är identiska med dem som gäller för icke-cloud kunder: Du behöver patch ditt system snabbt, du behöver för att hantera identitet och tillgång flitigt, du behöver för att kryptera data, och du behöver för att utnyttja den expertis av hängiven säkerhetsexperter om du inte har den möjligheten-huset.
Lär dig mer om moln säkerhet här