云计算的安全问题调查Enviro nment

Rachna耆那教徒的¹,Gaurav Saxena²,Anuj马丹³Saurabh Sharma,⁴,作者Nishant派⁵

助理教授,计算机科学系,GGSIPU BVCOE, Paschim Vihar,新德里,印度
UG的学生,计算机科学系,GGSIPU BVCOE, Paschim Vihar,新德里,印度

文摘

云也引入了一个新的概念提供随需应变的资源服务网络。云计算提供了一个有吸引力的模型,同时允许服务提供者节省成本。它允许用户自由本身的任务资源管理即资源的最有效利用。它还允许集中的信息和资源,以便用户可以从任何地方访问它们使用互联网。通常用于提供服务的资源属于第三方。用户不必投资资本等资源降低成本。即使云模型是有利可图的,用户一直在犹豫是否采用它,关于他们的私人数据安全问题的主要原因。在本文中,我们讨论各种安全问题在云环境。

关键字

IaaS云,PaaS, SaaS安全。

介绍

云计算已经成为一种时尚,收集个人大型机构的兴趣。它为用户提供了一个环境,让他们在任何时候根据需要动态地分配和重新分配资源。云除了提供容易的架构,也已经成为一种常见的方式来存储和共享文件的用户。由于其独特的架构,它面临着一些严重的安全问题,最常见的被隔离和安全云上的用户数据。我们首先给出一个简要介绍什么是云计算和它的各种服务和部署模型。然后我们讨论各种安全问题在云环境中紧随其后的是案例研究已知的安全漏洞。最后我们提出文献调查主题相关的云,云中的数据安全问题,安全。

云计算

“云计算是一个模型,使无处不在,方便,按需网络访问共享池的可配置的计算资源(如网络、服务器、存储、应用和服务),可以快速予以配置和发布通过最少的管理工作或服务提供者交互。这个云模型由五个基本特征,三个服务模型,四个部署模型”[1]

自成立以来的概念云收集了兴趣不仅研究大型组织。最终用户云是一个主要的数据存储和共享平台允许他们在任何地方访问自己的文件。云计算专业人士,让他们提供服务的体系结构与动态管理各种资源的能力来处理不同的负载。云计算是很快就成为最阴险的IT服务交付方法在公共和私营部门。量身定制的好处,如广泛的解决方案和提高效率使云计算前景诱人。

[2]云计算具有以下特点:

1。按需自助服务:消费者应该能够得到计算服务和网络存储不需要人工交互。

2。广泛的网络访问:云功能都可以通过网络和通过标准的访问机制。

3所示。资源池:提供者的资源汇集在一起为多个用户服务和资源动态分配和重新分配来满足消费者的需求。

4所示。快速弹性:云服务可以提供快速和弹性,快速向外扩展和快速释放快速规模。

5。云计算服务:系统能够控制和优化资源使用通过使用计量功能。提供透明度通过测量、控制和报告资源的使用。

根据设置云的目的和资源的访问级别,有4个云部署模型:

公共云、私有云、混合和社区。

1。公共云:公共云提供了基础设施和计算资源通过互联网[3],它提供了一些提供者像谷歌、亚马逊、微软。在公共云基础设施是由服务提供者和用户都不清楚,无法控制它。公共云通常是更有效的比内部云设置提供无缝的可扩展性的需求。[4]

2。私有云:在私有云计算环境致力于某一特定组织[3]。与公共云不共享任何外部实体,提供更大的安全性和控制。私有云可以管理在组织本身,与组织本身支付[4]使用的物理资源。这样的安排使组织完全控制,以及对资源的可配置性。私有云也可以由第三方管理的组织和主持组织内部或外部的数据中心[3]。

3所示。社区云:一个社区云介于私人和公共云,在基础设施和计算服务之间共享两个或两个以上的组织有类似的要求,隐私和安全问题[3]。

4所示。混合云:混合云的组合两个或两个以上的云可能是私人,公共或社区[3]。混合云提供了可能性合并私有云与公共云服务,从而使管理任何意想不到的工作量激增。

取决于如何使用基于云的服务,有三种云服务模型、软件即服务、平台即服务和基础设施作为服务。

1。软件作为一种服务:软件即服务(SaaS)为最终用户提供应用程序部署在云环境。用户无法控制云的基础设施或计算资源。SaaS的主要目的是减少成本的软件部署、维护和操作。微软Office 365是SaaS提供的一个例子。[5]

2。平台即服务:平台即服务(PaaS)是针对提供环境和服务发展的基于云的应用程序的交付。PaaS提供一个开放的或专有的语言来开发应用程序,与云的服务沟通。云计算提供了负责的任务资源分配给应用程序的管理。[5]微软Azure, Amazon AWS PaaS模型的例子。

3所示。基础设施作为服务:基础设施即服务(IaaS)提供了基本的基础设施的服务器、软件和设备可以开发一个平台开发和执行应用程序。它的主要目的是为了避免购买硬件和软件组件和获得他们争夺一个服务接口。[3]

在云环境中安全问题

私人和机密数据的安全是最大的问题在用户的云。即使他们在云存储数据,他们可能会感觉剥夺控制,主要的问题是“谁可能会访问他们的数据”。有时,服务提供者自己一些服务外包规模或节省成本。另一个问题是用户和服务提供者之间的信任。用户最关注数据的安全性和保密性,服务提供商价值用户的诚实和正直。

上面所有的担忧限制用户迁移或使用云环境提供他们的服务。但情况正在改善正在解决这些问题,人们采用云环境,可以从Lierberman软件2014云安全调查[6]:

比2012年减少79.65%的受访者(7.4%)选择保持他们的敏感数据在内部服务器上,而不是云。

较2012年下降33.21%(30.82%)的受访者表示,政府间谍的想法阻止他们从保持数据在云。

74.55%的受访者认为云应用程序用户下载引起安全问题。

威胁被“云安全联盟”(CSA)[18]云计算:

1。滥用和违法使用云计算。(适用于IaaS和PaaS服务模型)

许多云提供商允许简单的注册用户提供一个有效的信用卡,和一定程度的匿名性。IaaS为客户提供无限的计算机资源的错觉。垃圾邮件、恶意代码作者和其他研究人员已经能够利用这个匿名进行他们的活动。

建议由CSA防止:

更严格的初始登记和验证过程。

加强信用卡欺诈监控和协调。

客户网络流量的全面反思。

监控公众对自己的网络黑名单

2。不安全的应用程序编程接口。(适用于IaaS, PaaS和SaaS服务模型)

云计算服务提供通过一个api。云服务的安全取决于这些api是多么安全。许多第三方厂商构建应用程序在这些api进而增加这些api背后的安全考虑。

建议由CSA是:

分析云提供商的安全模型接口。

确保强大的身份验证和访问控制实现与加密传输。

理解与API相关的附属关系链。

3所示。恶意的内部人员

适用于IaaS, PaaS和SaaS服务模型。

恶意内部威胁的重要性是获得尽可能多的供应商仍然没有透露他们雇佣人,如何给予他们访问资产或监视他们。透明度,在这种情况下,云提供至关重要的安全,法规遵循报告和违反通知。

建议由客服人员:

执行严格的供应链管理和供应商进行全面评估。

指定人力资源需求作为法律合同的一部分。

需要透明度成整体信息安全管理实践,以及遵从性报告

确定安全漏洞通知流程。

4所示。共享的技术漏洞。(适用于IaaS服务模型)

IaaS服务模型是多租户架构,其中多个用户共享基础设施。的许多组件构建基础设施不提供隔离属性多租户架构。然后使用一个系统管理程序来克服这种差距,但即使它有自己的缺陷。因此,为了防止用户操作影响其他租户的相同的云提供商,应该使用强大的划分。

通过CSA的建议:

为安装/配置实现安全最佳实践。

未经授权的更改/监控环境的活动。

促进行政强身份验证和访问控制访问和操作。

执行服务水平协议打补丁和漏洞修复。

进行漏洞扫描和配置审计

5。数据丢失或泄漏。

删除或更改记录没有备份,解除链接记录从一个更大的背景下,失去编码关键可能导致数据丢失。由于特征的云数据妥协增加云的威胁。

建议通过CSA

实现强大的API访问控制。

在传输过程中数据加密和完整性保护。

在设计和运行时分析数据保护。

实现强大的密钥生成、存储和管理,和破坏行为。

合约地需求提供者擦持续媒体之前释放到池中。

不能随意指定供应商备份和保留策略。

6。账户或服务劫持。(适用于IaaS, PaaS和SaaS服务模型)

云账户或服务劫持增添了另一个维度。如果一个攻击者可以访问用户的凭证,他可以监视用户的活动和事务,操纵数据,返回错误信息,重定向用户的客户端。攻击者可以有效地使用用户自己优势的声誉。

建议通过CSA

禁止用户和服务之间共享帐户的凭证。

尽可能利用强大的双因素身份验证技术。

采用主动监视检测未经授权的活动。

理解云提供商安全策略和sla。

7所示。未知的风险。

版本的软件,代码更新、安全实践、漏洞资料,入侵企图和安全设计,都是重要的因素在评估贵公司的安全态势。

是谁共享你的信息基础设施可能是相关的,除了网络入侵日志,重定向和/或尝试成功,和其他日志。

建议通过CSA

适用的日志和数据的披露。

部分/全部披露基础结构细节(例如,补丁级别、防火墙等)。

必要的信息监测和报警。

其他云具体问题[14]- [17]:

隔离故障

数据拦截

不安全的或不完整的数据删除

缺乏安全的周边

更大的攻击表面

管理界面的妥协。

案例研究

1。DropBox

日期:2011年6月

影响:成功的身份验证使用不正确的密码。

一个缺陷在Dropbox的身份验证允许人们使用无效的密码登录到用户的Dropbox帐户。

根据100年Dropbox不到一个账户访问利用这个漏洞和账户都是由单个人访问。响应Dropbox发送电子邮件给每一个用户的帐户访问使用这个漏洞。

2。微软在线业务生产力套件

日期:2010年12月

影响:一个配置错误在微软在线业务生产力套件离开用户的联系信息在离线地址簿暴露于其他客户。雷竞技网页版

离线地址簿离线下载地址簿(OAB)是一个复制的Microsoft Outlook用户的地址列表,允许用户访问时的电子邮件地址从Exchange服务器断开连接。微软说,配置错误的固定在两个小时内发现了错误。[7]

3所示。GoGrid

日期:2011年3月30日

影响:可能泄漏用户的帐户信息,包括支付卡数据第三方用户。

GoGrid在其客户的邮件,一个未经授权的第三方用户可能获得账户信息和可能的支付卡数据。它还声称,该方法用于获取数据识别和纠正,与攻击背后的唯一目的从GoGrid获得免费服务。[8]

4所示。苹果的iCloud

日期:2014年9月26日

影响:个人照片在互联网上泄露。

苹果否认泄漏是由于iCloud的任何漏洞,并引起由于多目标攻击的用户名,密码和安全问题。

苹果公司否认其在线系统被破坏。苹果表示某些名人账户被更有针对性的攻击用户名,密码和安全问题。安全研究员报道苹果可能的漏洞让他尝试超过20000苹果ID账户密码组合,被认为是导致数据破坏。

苹果表明用户确保他们有一个强大的密码,他们启用两步verification-a安全特性,首先要求用户输入一个密码然后执行第二步,如输入代码。[9]

5。索尼的PlayStation网络

日期:2011年4月20日

影响:7700万PlayStation网络账户黑客攻击;索尼说失去了数百万,而网站是一个月。

这被看作是违反历史最糟糕的游戏社区数据。超过7700万个账户受到影响,1200万年未加密的信用卡号码。索尼表示,该公司表示之间的PlayStation网络被破坏PlayStation网络用户帐户信息4月17日至4月19日。这是怀疑黑客接管电脑系统管理员,获得索尼的客户的敏感信息。访问电脑管理员是通过发送电子邮件和恶意软件。索尼公司建议用户将信用卡欺诈警报。[10]

6。Xbox Live

日期:2014年3月

影响:没有数据损失的报道。

一个5岁的男孩发现漏洞在Xbox live认证系统。发现输入错误的密码,然后输入空格键,可以绕过密码验证通过后门[11]

7所示。Twitter违反

日期:2013年2月1日

影响:日期泄漏用户名、电子邮件地址、会话令牌和加密/咸版本的密码——大约250000用户。

该公司已发现一个不寻常的访问模式导致未经授权的访问尝试Twitter用户数据的识别。鲍勃主,Twitter信息安全主管称,“这种攻击不是业余的工作,我们不认为这是一起孤立事件。袭击者是非常复杂的,我们相信其他公司和组织最近也被同样的攻击。因此我们觉得宣传这种攻击很重要当我们仍在收集信息,我们正在帮助政府和联邦执法努力发现和起诉这些攻击者使所有用户的网络安全。“[12]

文献调查

8月Seema Verma等[19],2011解释公共密码系统RSA变异相结合的多端口RSA和重新平衡RSA,即。,重新提供动力。Repower RSA提供最大解密/签名生成RSA的所有变体的性能。但这性能为代价的加密/签名验证成本非常高。她还解释DRSA提供语义安全的系统。本文中提出的方法提供了更好的加密性能为代价的一个小的减少解密。它提供了语义RePower RSA不安全的系统。该计划被证明是比RePower RSA以及DRSA。

Abdul Wahid汗等[20]在文献调查,他发表的2012年5月- 6月的数据隐私讨论云计算/保护问题和挑战。他探索云计算的重要性以及风险与云计算相关的程序和流程。他说明了云计算环境中的数据隐私问题。他定义了不同的数据保护模式和云计算技术,展示他们的贡献。

要不是Koduru等[21]今年1月,2013年应用RSA算法提供数据安全在云环境。算法的性能在云网络根据不同类型的算法,如不对称,对称或散列算法,也随输入的大小。在拟议的工作只有经过身份验证和授权的用户可以访问数据,即使一些未经身份验证的用户可以访问数据,如果捕获数据,用户不能解密数据和恢复原始数据。

帕西人Kalpana等9月份[22],2012给了数据存储的概述以及安全在云系统在她的报告。她在云环境中讨论各种安全攻击。她致力于提供完整的云存储区域。为了提供安全作者用RSA算法。的主要目标是安全地存储和管理数据,因此只有授权用户可以访问的数据。

小河Chaudhary等[23]去年12月,2013现在云所面临的可能出现的问题进行讨论。主要问题是云中的数据安全问题。云安全依赖于可信计算和加密。他提出,只有经过授权的用户可以访问数据。即使未授权用户获取数据,他无法解密,恢复原始数据。

蔡Wei-Tek等[24]在2010年将这一概念在SOCCA和分析这种架构如何帮助消除缺乏灵活性和孤立于其他云。他们讨论的理论可能性和实验初始原型开发。

Pallis乔治等人[25]2010年认为云计算是一个新的“多学科研究领域”和寻求参与辩论和对话在相同的研究人员和学者。他希望扩大云计算的理论框架周围的这个领域,探索他们的潜能。

Shenai Sudhir等[26]阐述云计算的三种服务模型,例如IaaS, PaaS和SaaS进一步阐述了影响云已经在互联网上。然而他们理解商业、技术和安全挑战周围的云,和压力对需要解决这些问题来优化用户体验。萨瓦尔阿兹等人[27]解决云计算安全的担忧。他们,在他们的论文中,批判性分析的差距“信任管理”和现有的模型。通过这个对话,他们鼓励CIA模型(即:机密性、完整性和适用性)来解决安全问题。

Vishal加戈等[28]看看周围安全问题沟通通过分析和寻找攻击方法。他们看网络安全协议提供用户和研究人员更好的加密算法。重要的是要理解漏洞,开发算法处理,以防他们被攻击的原因。

结论

云计算是一种新的概念,承诺为其用户提供易于使用和高效的服务。但是,有安全问题,最常见的是用户的私人数据。雷竞技官网因此,本文介绍了关于云计算的概念,各种安全问题相关的帮助下的一些真实世界的例子和一些研究来改善安全的云计算。

引用

彼得干预,盖光亮型,NIST的云计算的定义,“NIST的特殊出版800 - 145
http://searchcloudcomputing.techtarget.com/definition/hybrid-cloud, 2014年11月3日
NIST的特殊出版800 - 144,“云计算安全与隐私准则,”韦恩·詹森盖光亮型
http://blog.appcore.com/blog/bid/167543/Types-of-Cloud-Computing-Private-Public-and-Hybrid-Clouds, 2014年11月3日
http://www.cloud-competence-center.com/understanding/cloud-computing-service-models/, 2014年11月1日
http://www.liebsoft.com/cloud-security-survey-2014/, 2014年11月3日,2014年11月2日
http://www.dailytech.com/Microsoft +让+用户+ + +数据+是+泄露+ + +云/ article20482.htm, 2014年11月3日,2014年10月30日
http://cloudsecurity.org/blog/2011/03/30/gogrid-security-reach.html, 2014年11月3日
http://www.mirror.co.uk/news/technology science/technology/apple警告- icloud漏洞-月- 432691、2014年11月3日
http://in.reuters.com/article/2011/04/26/us-sony-stoldendata-idUSTRE73P6WB20110426, 2014年10月29日
2014年11月thehackernews.com/2014/04/5-year-old-boy-discovers-microsoft-xbox.html, 3
https://blog.twitter.com/2013/keeping-our-users-secure, 2014年11月3日
——http://techcrunch.com/2011/06/24/dropbox——违反少于- 100 -账户-影响-但是- - - - - - -一个人积极利用it/, 2014年10月29日
Krešimir瑞尔一个½eljko Hocenski“云计算安全问题和挑战”,MIPRO 2010年5月24 - 28,2010年,奥,克罗地亚
保罗伍力,泰科电子识别云计算安全风险”
V Venkateswara Rao, g .苏雷什·库马尔,阿扎姆汗SanthiPriya,”云威胁和补救措施
云计算安全调查,挑战和威胁”,《当前计算机科学和技术。卷1期4 [2011]101 - 106
“云计算高级威胁V1.0”,云安全联盟,2010年3月。
Seema Verma Deepak Garg“提高RSA密码体制”杂志的信息技术的进步,卷2,3号,2011年8月
Abdul Wahid汗Siffat Ullah汗,穆罕默德·伊卜拉欣-和穆罕默德·伊卜拉欣-阿兹,“文学调查数据隐私/保护云计算”问题和挑战,IOSR《计算机工程(IOSRJCE), ISSN: 2278 - 0661卷1,问题3(2012年5月- 6月)
N。Padmaja Priyanka Koduru”,提供云计算的数据安全使用公钥密码术”,国际期刊的工程科学Research-IJESR ISSN: 2230 - 8504, e - ISSN 04 - 2230 - 8512卷,特殊问题,2013年1月
帕西人Kalpana Sudha Singaraja和,“云计算数据安全使用RSA算法”,国际期刊的研究在计算机和通信技术中,IJRCCT, ISSN 2278 - 5841,卷1,问题4,2012年9月
小河Chaudhary和Ravinder Thakur”点评:云计算数据安全的方法通过使用RSA算法”,国际发展研究期刊》的研究在计算机科学和管理研究中,ISSN: 2321 - 7782,卷1期2013年12月7日
阳光鑫,蔡Wei-Tek Balasooriya加纳克,“面向服务的云计算体系结构”,2010年第七信息技术国际会议上,2010年
Pallis乔治,”云计算、互联网计算”的新边疆,IEEE计算机协会,2010
Shenai Sudhir, Aramudhan M, Monisha B Suganya K,“云计算”研究的挑战,国际杂志》的研究在工程与先进技术卷1,问题1,2013年3月
萨瓦尔阿兹,汗穆罕默德Naeem Ahmed,“云计算”的信任方面,国际云计算和服务科学杂志卷2。2013年4月2号,
加戈Vishal Rishu,“网络安全增强改进diffie - hellman算法”,Int.J。计算机技术与应用、体积3(4),2012年8月
http://www.centre4cloud.nl/nl/kennis-ontwikkeling/definition-cloud-computing/deployment-models/
https://www.spkaa.com/plm-in-the-cloud-computer-system-validation-in-fda-regulated-industries