Upload
others
View
6
Download
0
Embed Size (px)
Citation preview
Gerti KALLBAQI,
FTI, Universiteti “Aleksander Moisiu”, Durres
Reference book: “Cloud Security and Privacy: An Enterprise Perspective on Risks and Compliance (Theory in Practice)”, Tim Mather et al. http://www.amazon.com/Cloud-Security-Privacy-Enterprise-Perspective/dp/0596802765
Shucheng Yu, Cong Wang, Kui Ren, and Wenjing Lou. 2010. “Achieving secure, scalable, and fine-grained data access control in cloud computing.” In Proceedings of the 29th conference on Information communications (INFOCOM'10). IEEE Press, Piscataway, NJ, USA, 534-542. http://www.ece.iit.edu/~ubisec/cloud/papers/INFOCOM10-sharing.pdf
Security Guidance for Critical Areas of Focus in Cloud Computing V3.0, https://cloudsecurityalliance.org/guidance/csaguide.v3.0.pdf
Guidelines on Security and Privacy in Public Cloud Computing, Wayne Jansen and Timothy Grance, NIST, January 2011 http://csrc.nist.gov/publications/drafts/800-144/Draft-SP-800-144_cloud-computing.pdf
Cilat jane karakteristikat qe e bejne cloud me te ndjeshem ndaj sigurise?
Cfare te perbashketa kane mbrojtja ndaj sulmeve mes krimit kibernetik ne pergjithesi dhe mbrojtja ndaj sulmeve te modelit Cloud ?
Infrastrukture ◦ IaaS, PaaS, dhe SaaS
Fokusohet tek Cloud Publik ◦ Nuk kemi probleme speciale te sigurise me cloud
privat, vetem probleme tradicionale te sigurise
Nivele te ndryshme ◦ Ne nivel rrjeti
◦ Ne nivel hosti
◦ Ne nivel aplikacioni
Kofidencialitetit dhe integriteti I te dhenave –ne tranzit ◦ Amazon pati disa probleme me vulen dixhitale ne aksesin e
bazave te te dhenave SimpleDB, EC2, dhe SQS ne 2008
Ka pak ose aspak nje sistem logesh dhe monitorimi ◦ Vetem ofruesi i cloud ka kete aftesi per te mbajtur log ◦ Ndaj eshte e veshtire per te ruajtur gjurmet e aktivitetit
Adresa IP qe ndryshojne ◦ Ekspozon sherbimet ndaj ndryshimeve te papritura ◦ Spamuesit perdroin nje teknike EC2 qe eshte e veshtire per
tu detektuar
Palet e treta te ndara fizikisht sillen sikur jane te ndara logjikisht ne rrjet
Siguria e nje rrjeti privat Cloud
Siguria e Hipervizorit ◦ Tendenca per te patur asnje dite dobesie ne
makinat virtuale nese sulmuesi kontrollon hipervizorin
Siguria e makinave virtuale ◦ SSH me celesa private (menyre komunikimi)
◦ Berja periodikisht i imazheve te VM
◦ Permiresimi I sherbimeve te dobeta
SaaS siguria ne nivel aplikacioni ◦ Shembull :
◦ Nje aksident ne sigurine e ketij tipi do te ishte psh , deshtimi ne akses te rregullt tek Google Docs. Te gjithe perdoruesit mund te aksesojne te gjithe dokumentat
Cilat jane ceshtjet kryesore ?
Ne cilen pike cloud I perkeqeson gjerat?
Cilat teknika duhet te perdoren per te tejkaluar pengesat ?
Siguria e te dhenave perfshin aspekte te ndryshme ne varesi te natyres dhe gjendjes se te dhenave
Te dhena ne tranzit
Te dhena jo ne levizje
Procesimi I te dhenave
Prejardhja e te dhenave
Destinacioni I te dhenave
Te dhena ne tranzit ◦ Kofidencialiteti dhe integriteti
Te dhena jo ne levizje & procesimi i te dhenave ◦ Mundesi enkriptimi per te dhenat ‘ne qetesi’
◦ Pamundesi per te enkriptuar PaaS dhe SaaS (si psh Google Apps) Parandalon Indeksimin ose kerkimin
Hulumtim mbi indeksimin/kerkimin e te dhenave te enkriptuara
Enkriptim homomorfik i plote
Percaktimi: ruajtja e gjurmeve dhe percaktimi te dhenave
Per auditim ose arsye perputhshmerie
Procese qe konsumojne kohe per qendrat e te dhenave qe ndodhen ne shtepi (tek klienti) ◦ Nuk eshte e mundur te perdoret per nje cloud publik
Origjina dhe pronesia e te dhenave ◦ Verifikimi I te dhenave dhe autoritetit te tyre
◦ Gjurmimi I pergjegjesise per dergesen
◦ P.sh te dhena financiare dhe mjekesore
Veshtiresi per te siguruar prejardhjen e te dhenaave ne nje skenar te perdorimit te Cloud
Provideri mbledh nje sasi mjaft te madhe te informacionit qe ka te beje me sigurine e te dhenave te klienteve por edhe te burimeve te tij. ◦ Te dhena zakonisht te lidhura me perdoruesit e
sherbimeve qe shfrytezojne Cloud
◦ Nese nuk manaxhohet sic duhet eshte nje rrezik potencial per sigurine e perdoruesve
Cfare tipe protokollesh dhe teknikash eshte e nevojshme dhe perdoren ne kete rast ?
Kufiri i sigurise eshte i riforcuar nga kontrolli i rrjetit ◦ VPN, Intrusion detection, intrusion prevention
Humbje e kontrollit te rrjetit ne Cloud Computing eshte kercenim per Identitetin e perdoruesve si dhe manaxhimin e aksesit mbi burimet
Duhet ti besohet nje niveli te larte te kontrollit software ◦ Siguria e Aplikacionit
◦ Kontrolli i aksesit te perdoruesve - IAM
IAM Komponentet ◦ Autentikimi
◦ Autorizimi
◦ Auditimi
IAM Procesi ◦ Manaxhimi I perdoruesve
◦ Manaxhimi I autentikimit
◦ Manaxhimi I autorizimit
◦ Manaxhimi I aksesit– Kontroll I aksesit
◦ Perhapja e identitetit tek burimet
◦ Monitorimi dhe auditimi
OpenID
Information Cards
Open Authentication (OATH)
Ceshtje per OpenID ◦ Phishing – qellime dashakeqe drejton perdoruesit e
fundit drejt faqeve te autuentikimit me providera te identitikimit fallco per vjedhjen e te dhenave
◦ Lejon te gjendet certifikata dixhitale e duhur si dhe te ktheje nje pergjigje kur ka dicka te dyshimte
Diferenca mes Open ID versus Oauth
Jo te gjithe metodat tradicionale jane efektive per te ofruar siguri ne Cloud ◦ Supozojne se pronari i te dhenave dhe serverat e
ruajtjes jane ne te njejtin domain te besuar
◦ Jo e vlefshme ne cloud sepse pronari i te dhenave dhe serverat e cloud jane ne domaine te ndryshem
Burimet e te dhenave jane fizikisht jo nen kontrollin e plote te pronarit apo te ndonje serveri te vetem te cloud, ato mund te jene te shperndara madje edhe gjeografikisht.
Aplikimi I metodave te kriptografise Enkriptimi i te dhenave dhe zbulimi i celsave tek
perdoruesit e autorizuar ◦ Enkriptimi i cdo skedari duke perdorur celesa publike qe i
korrespondojne atributeve te aksesit ◦ Zbulimi i dekriptimit te te dhenave vetem per perdoruesit e
autorizuar
Problemet me zgjidhjet ekzistuese ◦ Perllogaritje te medha qe behen ‘overhead’ per pronarin e te
dhenave per manaxhimin e te dhenave dhe shperndarjen e celsave ◦ Per file access control lists (ACL) jo e shkallezueshme ◦ Grupimi I skedareve perseri zgjidhje e trashe
Nje ceshtje mjaft sfiduese : Implementimi I anullimit te veprimit nga perdoruesi ◦ Kerkon ri-enkriptimin e skedarit te te dhenave te
aksesueshem tek perdoruesit ◦ Mund te kerkoje azhornimin e celsave sekret per te gjithe
perdoruesit e mbetur.
Asocio gjithe skedaret me nje grup atributesh te caktuar
Lidh cdo perdorues me nje strukture aksesi te percaktuar mbi gjithe keto atribute te skedareve
Delego llogaritjet intensive te operacioneve tek serverat cloud pa zbuluar permbajtjen e skedareve
Kompleksiteti I perllogaritjeve ne serverat cloud eshte : ◦ Proporcional me numrin e atributeve te sistemit ose ◦ Linear me madhesine e struktures/pemes te aksesit te perdoruesit ◦ I pavarur nga numri i perdoruesve ne sistem ◦ Pra shkallezueshmeria ofrohet dhe sigurohet gjithmone
Faleminderit !