Az EU Biztonsági Hivatala kiemeli a felhőalapú számítástechnikai kockázatokat

A felhőalapú számítástechnikai felhasználóknak az Európai Hálózat- és Információbiztonsági Ügynökség felmérése szerint felmerülő problémákkal kell szembenézniük, többek között az adatvesztés elvesztésével, a megfelelést bizonyító nehézségekkel és további jogi kockázatokkal, mivel az adatok átkerülnek egy jogi illetékességről a másikra (ENISA).

Az ügynökség kiemelte, hogy ezek a problémák a legsúlyosabb következményekkel járnak, és az ENISA szerint az egyik legvalószínűbb a számítási felhőszolgáltatásokat használó vállalatok számára.

Az ENISA megvizsgálta azokat az eszközöket, a felhőalapú számítástechnika, beleértve az ügyféladatokat és a saját hírnevét; a felhő-számítási rendszerekben rejlő sebezhetőségek; a kockázatok, amelyekre a biztonsági rések a vállalatokat érintik, és ezeknek a kockázatoknak a valószínűsége.

[További olvasnivalók: A rosszindulatú programok eltávolítása a Windows számítógépéről]

Felhő alapú számítási szolgáltatásokra történő áttérés esetén a vállalatoknak a felhőalapú szolgáltatót számos kérdésben felügyelheti, ami hátrányosan befolyásolhatja a biztonságot. Például a szolgáltató használati feltételei nem engedélyezik a portok beolvasását, a sebezhetőség felmérését és a penetráció vizsgálatát. Ugyanakkor a szolgáltatási szintű megállapodások (SLA-k) nem tartalmazhatják ezeket a szolgáltatásokat. Az eredmény egy védelmi rés, az ENISA a jelentésben elmondta.

A megfelelés is nagy problémát jelenthet, ha a szolgáltató nem tud felajánlani a megfelelő tanúsítási szintet, vagy a tanúsítási rendszert nem módosították a felhőszolgáltatásokhoz a jelentés szerint.

A felhőszolgáltatások egyik előnye, hogy az adatokat több helyen is tárolhatják, amelyek az egyik adatközpontban bekövetkező esemény esetén megmenthetik a napot. Ugyanakkor nagy kockázatot jelenthet akkor is, ha az adatközpontok olyan országokban találhatók, ahol a bizonytalan jogrendszer szerepel.

Egyéb aggodalomra ad okot a beszállók zárolása, a különböző vállalatokat elválasztó mechanizmusok hiánya, kezelési felületek hogy hozzáférjenek a hackerekhez, a nem törölt adatokhoz és a rosszindulatú bennfentesekhez.

A kockázatok minimalizálása érdekében a jelentés olyan kérdések listáját javasolja, amelyeket a vállalatnak fel kell kérnie a lehetséges felhő szolgáltatók számára. Például, milyen garanciákat nyújt a szolgáltató, hogy az ügyfélforrások teljes mértékben elszigeteltek, milyen biztonsági oktatási program fut a személyzet számára, milyen intézkedéseket hoznak a harmadik felek szolgáltatási szintjének teljesítéséhez stb.

A végén egy jó szerződés csökkentheti a kockázatokat, a jelentés szerint. A vállalatoknak különös figyelmet kell fordítaniuk az adatátvitelhez, a bűnüldözéshez való hozzáféréshez és a biztonság megsértéséről szóló értesítésekhez fűződő jogaikért és kötelezettségeikért.

Az ENISA jelentése azonban nem minden a végzet és a sötétség. A felhőalapú számítástechnikai szolgáltatások használata robusztusabb, méretezhetőbb és költséghatékonyabb védelmet eredményez egyes típusú támadások ellen, a jelentés szerint. Például az erőforrások dinamikus elosztásának képessége jobb védelmet nyújt a DDoS (elosztott szolgáltatásmegtagadási) támadásokkal szemben, az ENISA szerint.