Cloud Computing -Sicherheit

Für Cloud-veranstaltete Sicherheitssoftware siehe Sicherheit als Dienst.

Cloud Computing -Sicherheit oder einfacher, Cloud -Sicherheit bezieht sich auf eine Vielzahl von Richtlinien, Technologien, Anwendungen und Steuerelementen, die zum Schutz virtualisierter IP, Daten, Anwendungen, Dienste und der zugehörigen Infrastruktur von verwendet werden Cloud Computing. Es ist eine Unterdomäne von Computersicherheit, Netzwerksicherheitund, im weiteren Sinne, im weiteren Sinne, Informationssicherheit.

Sicherheitsprobleme im Zusammenhang mit der Cloud

Wolke Computer und Speicher bieten den Benutzern Funktionen, ihre Daten in Drittanbietern zu speichern und zu verarbeiten Daten Center.[1] Unternehmen verwenden die Cloud in einer Vielzahl verschiedener Servicemodelle (mit Akronymen, wie z. Saas, PaaS, und Iaas) und Bereitstellungsmodelle (Privatgelände, Öffentlichkeit, Hybrid, und Gemeinschaft).[2]

Sicherheitsbedenken im Zusammenhang mit Cloud Computing werden in der Regel auf zwei Arten kategorisiert: als Sicherheitsprobleme von Cloud -Anbietern (Organisationen, die zur Verfügung stellen Software-, Plattform-, oder Infrastruktur als ein Service über die Cloud) und Sicherheitsprobleme, mit denen ihre Kunden konfrontiert sind (Unternehmen oder Organisationen, die Anwendungen veranstalten oder Daten in der Cloud speichern).[3] Die Verantwortung wird jedoch geteilt und wird häufig in dem "Shared Security Responsibility" oder "Shared Responsibility Model" eines Cloud -Anbieters detailliert.[4][5][6] Der Anbieter muss sicherstellen, dass seine Infrastruktur sicher ist und dass die Daten und Anwendungen ihrer Kunden geschützt sind, während der Benutzer Maßnahmen ergreifen muss, um seine Anwendung zu stärken und starke Passwörter und Authentifizierungsmaßnahmen zu verwenden.[5][6]

Wenn sich eine Organisation dafür entscheidet, Daten oder Host -Anwendungen in der öffentlichen Cloud zu speichern, verliert es die Fähigkeit, physischen Zugriff auf die Server zu haben, die seine Informationen hosten. Infolgedessen sind potenziell sensible Daten durch Insiderangriffe gefährdet. Laut einem 2010 Cloud Security Alliance Bericht, Insider -Angriffe sind eine der sieben größten Bedrohungen beim Cloud Computing.[7] Daher müssen Cloud -Service -Anbieter sicherstellen, dass für Mitarbeiter, die einen physischen Zugriff auf die Server im Rechenzentrum haben, gründliche Hintergrundüberprüfungen durchgeführt werden. Darüber hinaus wird empfohlen, dass Datenzentren häufig auf verdächtige Aktivitäten überwacht werden.

Um Ressourcen zu sparen, die Kosten zu senken und die Effizienz aufrechtzuerhalten, speichern Cloud -Service -Anbieter häufig mehr als die Daten eines Kunden auf demselben Server. Infolgedessen besteht die Möglichkeit, dass die privaten Daten eines Benutzers von anderen Benutzern (möglicherweise sogar Wettbewerbern) angezeigt werden können. Um solche sensiblen Situationen zu bewältigen, sollten Cloud -Service -Anbieter ordnungsgemäß sicherstellen Datenisolation und logische Speichertrennung.[2]

Die umfassende Verwendung von Virtualisierung Bei der Implementierung der Cloud -Infrastruktur bringt Kunden oder Mieter eines öffentlichen Cloud -Dienstes einzigartige Sicherheitsbedenken.[8] Die Virtualisierung verändert die Beziehung zwischen dem Betriebssystem und der zugrunde liegenden Hardware - sei es Computer, Speicher oder sogar Netzwerk. Dies führt zu einer zusätzlichen Ebene - Virtualisierung -, die selbst ordnungsgemäß konfiguriert, verwaltet und gesichert werden muss.[9] Zu den spezifischen Bedenken gehören das Potenzial, die Virtualisierungssoftware zu gefährden, oder "Hypervisor". Obwohl diese Bedenken weitgehend theoretisch sind, existieren sie.[10] Beispielsweise kann ein Verstoß in der Administrator -Workstation mit der Verwaltungssoftware der Virtualisierungssoftware dazu führen, dass das gesamte Rechenzentrum die mögliche Weise untergeht oder neu konfiguriert wird.

Cloud Security Controls

Die Cloud -Sicherheitsarchitektur ist nur dann wirksam, wenn die richtigen defensiven Implementierungen vorhanden sind. Eine effiziente Cloud -Sicherheitsarchitektur sollte die Probleme erkennen, die mit dem Sicherheitsmanagement auftreten, und alle Best Practices, Verfahren und Richtlinien einzuhalten, um eine sichere Cloud -Umgebung zu gewährleisten. Das Sicherheitsmanagement befasst sich mit diesen Problemen mit Sicherheitskontrollen. Diese Steuerungen schützen Wolkenumgebungen und werden eingerichtet, um alle Schwächen im System zu schützen und die Auswirkung eines Angriffs zu verringern. Zwar gibt es viele Arten von Steuerelementen hinter einer Cloud -Sicherheitsarchitektur, können sie normalerweise in einer der folgenden Kategorien gefunden werden:

Abschreckungskontrollen
Diese Steuerelemente sind Verwaltungsmechanismen, die die Angriffe auf ein Cloud -System reduzieren sollen, und werden verwendet, um die Einhaltung externer Steuerelemente sicherzustellen. Ähnlich wie ein Warnzeichen für einen Zaun oder eine Immobilie verringern Abschreckungskontrollen in der Regel das Bedrohungsniveau, indem sie potenzielle Angreifer darüber informieren, dass es für sie nachteilige Konsequenzen gibt, wenn sie fortfahren.[11] (Einige betrachten sie als Teilmenge vorbeugender Kontrollen.) Beispiele für solche Kontrollen können als Richtlinien, Verfahren, Standards, Richtlinien, Gesetze und Vorschriften angesehen werden, die eine Organisation in Richtung Sicherheit führen. Obwohl die meisten böswilligen Akteure solche abschreckenden Kontrollen ignorieren, sollen solche Kontrollen diejenigen abwehren, die unerfahren oder neugierig sind, die IT -Infrastruktur einer Organisation zu beeinträchtigen.
Präventive Kontrollen
Das Hauptziel der vorbeugenden Kontrollen besteht darin, das System gegen Vorfälle zu stärken, im Allgemeinen durch Reduzieren, wenn nicht tatsächlich die Anfälligkeiten beseitigt und nicht autorisierte Eindringlinge daran hindern, auf das System zuzugreifen oder sie zu betreten.[12] Dies könnte durch beide erreicht werden Hinzufügen Software- oder Feature-Implementierungen (wie Firewall-Schutz, Endpunktschutz und Multi-Faktor-Authentifizierung) oder Entfernen nicht benötigte Funktionen, damit die Angriffsfläche minimiert wird (wie in Unikernel Anwendungen). Darüber hinaus sind die Schulung von Personen durch Schulungstrainings und -übungen in solchen Kontrollen einzuziehen, da das menschliche Fehler der schwächste Punkt der Sicherheit ist. Eine starke Authentifizierung von Cloud -Benutzern macht es beispielsweise weniger wahrscheinlich, dass nicht autorisierte Benutzer auf Cloud -Systeme zugreifen können, und wahrscheinlicher, dass Cloud -Benutzer positiv identifiziert werden. Insgesamt beeinflussen vorbeugende Kontrollen die Wahrscheinlichkeit eines Verlustereignisses und sollen die Exposition gegenüber böswilligen Maßnahmen durch die Systeme verhindern oder beseitigen.
Detektivkontrollen
Detektivkontrollen sollen alle auftretenden Vorfälle erfassen und angemessen reagieren. Im Falle eines Angriffs signalisiert eine Detektivkontrolle die vorbeugenden oder korrigierenden Steuerelemente, um das Problem anzugehen. Detective Security Controls Function Funktion nicht nur, wenn eine solche Aktivität im Gange ist und nachdem sie aufgetreten ist. Die Überwachung der System- und Netzwerksicherheitsüberwachung, einschließlich Eindringungserkennungs- und Präventionsvereinbarungen, werden in der Regel eingesetzt, um Angriffe auf Cloud -Systeme und die unterstützende Kommunikationsinfrastruktur zu erkennen. Die meisten Organisationen erwerben oder erstellen ein dediced Security Operations Center (SOC), in dem engagierte Mitglieder die IT -Infrastruktur der Organisation durch Protokoll- und Sicherheitsinformationen und Event -Management -Software (SIEM) kontinuierlich überwachen. Siems sind Sicherheitslösungen, die Organisationen und Sicherheitsteams helfen, „Daten in Echtzeit für die schnelle Erkennung von Sicherheitsvorfällen zu protokollieren“.[13] Siems sind nicht die einzigen Beispiele für Detektivkontrollen. Es gibt auch physikalische Sicherheitskontrollen, Intrusionserkennungssysteme und Antiviren-/Anti-Malware-Tools, die alle unterschiedliche Funktionen auf dem genauen Zweck des Erkennungssicherheitskomplums innerhalb einer IT-Infrastruktur haben.
Korrektursteuerungen
Korrekturkontrollen verringern die Folgen eines Vorfalls, was im Allgemeinen den Schaden begrenzt. Zu diesen Kontrollen gehören technische, physische und administrative Maßnahmen, die während oder nach einem Vorfall auftreten, um die Systeme oder Ressourcen nach einem Sicherheitsvorfall in ihren vorherigen Zustand wiederherzustellen.[14] Es gibt viele Beispiele für korrekte Kontrollen, sowohl physische als auch technische. Beispielsweise kann die Neuausstellung einer Zugangskarte oder die Reparatur physischer Schäden als korrigierende Steuerelemente angesehen werden. Technische Kontrollen wie die Beendigung eines Prozesses und Verwaltungskontrollen wie die Implementierung eines Vorfallantwortplans könnten jedoch ebenfalls als Korrektursteuerelemente angesehen werden. Korrektursteuerungen konzentrieren sich auf die Wiederherstellung und Reparatur von Schäden, die durch einen Sicherheitsvorfall oder eine nicht autorisierte Aktivität verursacht werden. Der Wert ist erforderlich, um die Funktion der Sicherheit zu ändern.

Dimensionen der Cloud -Sicherheit

Cloud Security Engineering zeichnet sich durch die Sicherheitsebenen, den Plan, das Design, die Programmierung und die Best Practices aus, die in einer Cloud -Sicherheitsanordnung vorhanden sind. Das Cloud Security Engineering erfordert, dass das komponierte und visuelle Modell (Design und UI) durch die Aufgaben in der Cloud charakterisiert werden. Dieser Prozess des Cloud Security Engineering umfasst Dinge wie Zugriff auf Führungskräfte, Techniken und Steuerelemente, um Anwendungen und Informationen sicherzustellen. Es umfasst auch Möglichkeiten, mit Permeabilität, Konsistenz, Gefahr -Haltung und großer Sicherheit umzugehen und Schritt zu halten. Prozesse zur Vermittlung von Sicherheitsstandards in Cloud -Verwaltungen und -Aktivitäten werden von einem Ansatz angenommen, der konsistente Richtlinien und Sicherheitsteile für wesentliche Framework erfüllt.[15]

Um das Interesse an Cloud -Fortschritten als tragfähig zu machen, sollten Unternehmen die verschiedenen Teile der Cloud erkennen und wie sie sich auswirken und ihnen helfen. Diese Interessen können beispielsweise Investitionen in Cloud Computing und Sicherheit umfassen. Dies führt natürlich zu dem Anstieg, dass die Cloud -Fortschritte erfolgreich sind.

Obwohl die Idee von Cloud Computing Ist nicht neu, Assoziationen setzen es aufgrund seiner flexiblen Skalierbarkeit, relativen Vertrauensbarkeit und Kostenvorauswidrigkeit von Diensten zunehmend durch. Trotz seiner schnellen Abgabe in einigen Sektoren und Disziplinen zeigt sich jedoch aus der Erkundung und Statistiken, dass sicherheitsrelevante Fallstricke die auffälligste Absicherung für seine weit verbreitete Aufgabe sind.

Es wird im Allgemeinen empfohlen, die Kontrollen für Informationssicherheit nach und im Verhältnis zu den Risiken auszuwählen und implementieren, normalerweise durch Beurteilung der Bedrohungen, Schwachstellen und Auswirkungen. Cloud -Sicherheitsbedenken können auf verschiedene Weise gruppiert werden. Gartner nannte sieben[16] während Cloud Security Alliance Identifizierte zwölf Sorge.[17] Cloud Access -Sicherheitsmakler (CASBS) sind Software, die zwischen Cloud -Benutzern und Cloud -Anwendungen sitzt, um die Nutzung von Cloud -Anwendungen, den Datenschutz und die Governance zu erhalten, um alle Aktivitäten zu überwachen und Sicherheitsrichtlinien durchzusetzen.[18]

Sicherheit und Privatsphäre

Jeder Dienst ohne "gehärtete" Umgebung wird als "weiches" Ziel angesehen. Virtuelle Server sollten genau wie ein physischer Server vor geschützt werden Datenlecks, Malwareund ausgebeutete Schwachstellen. "Datenverlust oder Leckage entspricht 24,6% und Cloud -bezogene Malware 3,4% der Bedrohungen, die Cloud -Ausfälle verursachen."[19]

Identitätsmanagement

Jedes Unternehmen wird seine eigene haben Identitätsmanagementsystem Zugriff auf Informationen und Rechenressourcen. Cloud -Anbieter integrieren entweder das Identitätsmanagementsystem des Kunden in ihre eigene Infrastruktur, indem sie verwendet werden Föderation oder Sso Technologie oder ein biometrisches Identifikationssystem,[1] oder ein eigenes Identitätsmanagementsystem bereitstellen.[20] Cloudid,[1] Bietet beispielsweise eine diometrische Identifizierung von Cloud-basierten und qualifizierten Praxis. Es verbindet die vertraulichen Informationen der Benutzer mit ihrer Biometrie und speichert sie verschlüsselt. In der verschlüsselten Domäne wird eine durchsuchbare Verschlüsselungstechnik verwendet, um sicherzustellen, dass der Cloud -Anbieter oder potenzielle Angreifer keinen Zugriff auf sensible Daten oder sogar den Inhalt der einzelnen Abfragen erhalten.[1]

Physische Sicherheit

Cloud -Dienstanbieter sichern die IT physisch Hardware- (Server, Router, Kabel usw.) gegen unbefugten Zugang, Einmischung, Diebstahl, Brände, Überschwemmungen usw. und stellen sicher, dass wesentliche Lieferungen (wie Elektrizität) ausreichend robust sind, um die Möglichkeit einer Störung zu minimieren. Dies wird normalerweise erreicht, indem Cloud -Anwendungen aus professionell spezifizierten, entworfenen, konstruierten, verwalteten, überwachten und gewarteten Rechenzentren bedient werden.

Personalsicherheit

Verschiedene Bedenken hinsichtlich der Informationssicherheit in Bezug auf die IT und andere mit Cloud-Diensten verbundene Fachkräfte werden in der Regel durch Vor-, Para- und Post-Arbeitsunternehmen behandelt, z.

Privatsphäre

Anbieter stellen sicher, dass alle kritischen Daten (z. B. Kreditkartennummern) sind maskiert oder verschlüsselt und dass nur autorisierte Benutzer in ihrer Gesamtheit Zugriff auf Daten haben. Darüber hinaus müssen digitale Identitäten und Anmeldeinformationen geschützt werden, da alle Daten, die der Anbieter über Kundenaktivitäten in der Cloud sammelt oder in Bezug auf Kundenaktivitäten erzeugt.

Penetrationstests

Penetrationstests ist der Prozess der Durchführung von offensiven Sicherheitstests in einem System, eines Dienstes oder Computernetzwerk Sicherheitsschwächen darin finden. Da es sich bei der Cloud um eine gemeinsame Umgebung mit anderen Kunden oder Mietern handelt, ist es eine obligatorische Voraussetzung, dass die Penetrationstestregeln für die Engagements schrittweise eine obligatorische Voraussetzung sind. Das Scannen und Penetrationstests von innen oder außerhalb der Cloud sollte vom Cloud -Anbieter autorisiert werden. Verstöße gegen die Richtlinien für akzeptable Nutzung können zur Beendigung des Dienstes führen.[21]

Wolkenanfälligkeit und Penetrationstests

Das Scannen der Cloud von außen und innen mit kostenlosen oder kommerziellen Produkten ist entscheidend, da Ihr Service ohne eine gehärtete Umgebung als weiches Ziel angesehen wird. Virtuelle Server sollten genau wie ein physischer Server dagegen gehärtet werden Datenlecks, Malware und ausgebeutete Schwachstellen. "Datenverlust oder Leckage entspricht 24,6% und Cloud-bezogene Malware 3,4% der Bedrohungen, die Cloud-Ausfälle verursachen."

Das Scannen und Penetrationstests von innen oder außerhalb der Cloud muss vom Cloud -Anbieter autorisiert werden. Da es sich bei der Cloud um eine gemeinsame Umgebung mit anderen Kunden oder Mietern handelt, ist es eine obligatorische Voraussetzung, dass die Penetrationstestregeln für die Engagements schrittweise eine obligatorische Voraussetzung sind. Verstöße gegen die Richtlinien für die Akzeptanz von Akzeptanz können zur Beendigung des Dienstes führen. Einige wichtige Terminologie, die bei der Diskussion von Penetrationstests erörtert werden müssen, ist der Unterschied zwischen Anwendungs- und Netzwerkschichttests. Zu verstehen, was von Ihnen als Tester verlangt wird, ist manchmal der wichtigste Schritt im Prozess. Der Netzwerk-Schicht-Test bezieht sich auf Tests, die interne/externe Verbindungen sowie die miteinander verbundenen Systeme im gesamten lokalen Netzwerk umfassen. Oft werden Social Engineering -Angriffe durchgeführt, da die am stärksten gefährdete Verbindung in der Sicherheit häufig der Mitarbeiter ist.

White-Box-Test

Testen unter der Bedingung, dass der „Angreifer“ über das interne Netzwerk, seine Gestaltung und Implementierung verfügt.

Grey-Box-Test

Testen unter der Bedingung, dass der „Angreifer“ teilweise über das interne Netzwerk, seine Gestaltung und Implementierung verfügt.

Black-Box-Tests

Testen unter der Bedingung, dass der „Angreifer“ keine Vorkenntnisse des internen Netzwerks, seiner Gestaltung und Implementierung hat.

Datensicherheit

Mit Cloud -Datendiensten sind zahlreiche Sicherheitsbedrohungen verbunden. Dies umfasst traditionelle Bedrohungen und nicht-traditionelle Bedrohungen. Zu den traditionellen Bedrohungen gehören: Netzwerklauschen, illegale Invasion und Ablehnung von Serviceangriffen, aber auch spezifische Cloud -Computing -Bedrohungen wie Nebenkanalangriffe, Virtualisierungslücken und Missbrauch von Cloud -Diensten. Um diese Bedrohungen zu mildern, beruhen Sicherheitskontrollen häufig auf die Überwachung der drei Bereiche der CIA -Triade. Die CIA -Triade bezieht sich auf Vertraulichkeit, Integrität sowie Zugriffskontrollierbarkeit, die aus den folgenden weiteren verstanden werden kann.[22]

Es ist wichtig zu beachten, dass viele effektive Sicherheitsmaßnahmen mehrere oder alle drei Kategorien abdecken. Die Verschlüsselung verhindert beispielsweise den unbefugten Zugriff und sorgt daher für die Vertraulichkeit, Verfügbarkeit und Integrität der Daten. Backups hingegen decken im Allgemeinen die Integrität ab und Firewalls deckt nur die Vertraulichkeit und den Zugriff auf die Kontrollebarkeit ab.[23]

Vertraulichkeit

Die Vertraulichkeit der Daten ist die Eigenschaft, die in diesem Dateninhalt nicht verfügbar oder illegalen Benutzern weitergegeben oder weitergegeben wird. Ausgelagerte Daten werden in einer Cloud und außerhalb der direkten Kontrolle der Eigentümer gespeichert. Nur autorisierte Benutzer können auf die sensiblen Daten zugreifen, während andere, einschließlich CSPs, keine Informationen über die Daten erhalten sollten. In der Zwischenzeit erwarten die Datenbesitzer, Cloud -Datendienste vollständig zu verwenden, z. B. Datensuche, Datenberechnung und Datenübertragung, ohne den Datengehalt an CSPs oder andere Gegner. Vertraulichkeit bezieht sich darauf, wie Daten dem Eigentümer dieser Daten ausschließlich vertraulich sein müssen

Ein Beispiel für die Sicherheitskontrolle, die die Vertraulichkeit abdeckt, ist die Verschlüsselung, damit nur autorisierte Benutzer auf die Daten zugreifen können.

Zugang zu Kontrollierbarkeit

Zugriffskontrollierbarkeit bedeutet, dass ein Datenbesitzer die selektive Einschränkung des Zugriffs auf seine Daten ausführen kann, die an die Cloud ausgelagert sind. Rechtsnutzer können vom Eigentümer autorisiert werden, auf die Daten zuzugreifen, während andere ohne Erlaubnis nicht darauf zugreifen können. Ferner ist es wünschenswert, feinkörnig durchzusetzen Zugangskontrolle An die ausgelagerten Daten, d. H. Den verschiedenen Benutzern, sollten verschiedene Zugriffsergebnisse in Bezug auf verschiedene Datenstücke erteilt werden. Die Zugangsberechtigung muss nur vom Eigentümer in nicht vertrauenswürdigen Cloud -Umgebungen gesteuert werden.

Die Zugriffskontrolle kann auch als Verfügbarkeit bezeichnet werden. Während unbefugter Zugang strengstens untersagt werden sollte, sollte der Zugriff auf administrative oder sogar Verbrauchernutzungen ebenfalls zulässig sein, aber ebenfalls überwacht werden. Verfügbarkeit und Zugangskontrolle stellen sicher, dass der richtigen Personen die richtige Berechtigungen erteilt wird.

Integrität

Datenintegrität Fordert die Aufrechterhaltung und Versicherung der Genauigkeit und Vollständigkeit von Daten. Ein Datenbesitzer erwartet immer, dass ihre oder seine Daten in einer Cloud korrekt und vertrauenswürdig gespeichert werden können. Dies bedeutet, dass die Daten nicht illegal manipuliert, unsachgemäß geändert, absichtlich gelöscht oder böswillig hergestellt werden sollten. Wenn unerwünschte Operationen die Daten beschädigen oder löschen, sollte der Eigentümer in der Lage sein, die Korruption oder den Verlust zu erkennen. Wenn ein Teil der ausgelagerten Daten beschädigt oder verloren geht, kann er weiterhin von den Datennutzern abgerufen werden. Effektive Integritätssicherheitskontrollen gehen über den Schutz vor böswilligen Akteuren hinaus und schützen Daten auch vor unbeabsichtigten Änderungen.

Ein Beispiel für die Sicherheitskontrolle, die die Integrität abdeckt, sind automatisierte Informationssicherungen.

Risiken und Schwachstellen des Cloud Computing

Während Cloud Computing auf dem neuesten Stand der Informationstechnologie ist, müssen Risiken und Schwachstellen berücksichtigt werden, bevor sie vollständig in sie investieren. Für die Cloud gibt es Sicherheitskontrollen und -dienste, aber wie bei jedem Sicherheitssystem ist es nicht garantiert, dass sie erfolgreich sind. Darüber hinaus gehen einige Risiken über die Sicherheit der Vermögenswerte hinaus und können auch Probleme in Bezug auf Produktivität und sogar Privatsphäre beinhalten.[24]

Datenschutzbedenken

Cloud Computing ist immer noch eine aufstrebende Technologie und entwickelt sich daher in relativ neuen technologischen Strukturen. Infolgedessen müssen alle Cloud -Dienste vor der Veröffentlichung ihrer Plattform Datenschutzbewertungen oder Pias durchführen. Auch die Verbraucher, die beabsichtigen, Wolken zu verwenden, um die Daten ihrer Kunden zu speichern, müssen sich auch über die Schwachstellen des nicht-physischen Speichers für private Informationen bewusst sein.[25]

Nicht autorisierter Zugriff auf die Verwaltungsschnittstelle

Aufgrund der autonomen Natur der Cloud erhalten Verbraucher häufig Management -Schnittstellen, um ihre Datenbanken zu überwachen. Indem Sie Steuerungen an einem solchen versammelten Ort haben und die Schnittstelle für die Benutzer leicht zugänglich machen, besteht die Möglichkeit, dass ein einzelner Akteur Zugriff auf die Verwaltungsschnittstelle der Cloud erhalten kann. Geben Sie ihnen viel Kontrolle und Macht über die Datenbank.[26]

Datenwiederherstellungsschwachstellen

Die Funktionen der Cloud, die Ressourcen nach Bedarf zuzuweisen, führen häufig zu Ressourcen im Speicher und werden bei einem späteren Ereignis an einen anderen Benutzer recycelt. Für diese Speicher- oder Speicherressourcen kann aktuelle Benutzer möglich sein, auf Informationen zugreifen, die von früheren hinterlassen wurden.[26]

Internet -Schwachstellen

Die Cloud benötigt eine Internetverbindung und damit Internet -Protokolle, um zugreifen zu können. Daher ist es offen für viele Schwachstellen für das Internetprotokoll wie Angriffe des Menschen in der Mitte. Darüber hinaus wird durch die starken Abhängigkeit von der Internetverbindung die Verbraucher durch Cloud -Ressourcen vollständig abgeschnitten.[26]

Verschlüsselungsschwachstellen

Kryptographie ist ein ständig wachsendes Feld und eine ständig wachsende Technologie. Was vor 10 Jahren sicher war, kann nach heutigen Maßstäben als erhebliches Sicherheitsrisiko angesehen werden. Da die Technologie weiter voranschreitet und ältere Technologien alt werden, werden neue Methoden zum Brechen von Verschlüssen sowie fatale Mängel bei älteren Verschlüsselungsmethoden entstehen. Cloud -Anbieter müssen über ihre Verschlüsselung auf dem Laufenden bleiben, da die Daten, die sie normalerweise enthalten, besonders wertvoll sind.[27]

Rechtsfragen

Die Datenschutzgesetzgebung variiert häufig von Land zu Land. Durch die Speicherung von Informationen über die Cloud ist es schwierig zu bestimmen, unter welchen Gerichtsbarkeiten die Daten fallen. Getränkende Wolken sind besonders beliebt, da die größten Unternehmen mehrere Länder überschreiten. Andere rechtliche Dilemmata aus der Unklarheit der Cloud beziehen sich darauf, wie ein Unterschied in der Datenschutzregulierung zwischen Informationen und Informationen, die innerhalb von Organisationen gemeinsam genutzt werden, einen Unterschied gibt.[25]

Anschläge

Es gibt verschiedene Arten von Angriffen auf Cloud Computing, eine, die immer noch sehr ungenutzt ist, ist Infrastruktur Kompromisse. Obwohl es nicht vollständig bekannt ist, ist es als Angriff mit der höchsten Auszahlung aufgeführt.[28] Was dies so gefährlich macht, ist, dass die Person, die den Angriff ausübt, ein Grad an Privilegien für den Wesentlichen einen Wurzelzugriff auf die Maschine erhalten kann. Es ist sehr schwer, sich gegen solche Angriffe zu verteidigen, weil sie so unvorhersehbar und unbekannt sind, Angriffe dieser Art werden ebenfalls genannt Null Day Exploits Weil sie schwer zu verteidigen sind, da die Schwachstellen bisher unbekannt und unkontrolliert waren, bis der Angriff bereits aufgetreten ist.

DOS Angriffe zielen darauf ab, dass Systeme für ihre Benutzer nicht verfügbar sind. Da Cloud Computing -Software von einer großen Anzahl von Menschen verwendet wird, ist die Auflösung dieser Angriffe immer schwieriger. Mit Cloud Computing stieg dies nun auf, da dies neue Möglichkeiten für Angriffe hinterlassen hat, da die Virtualisierung von Rechenzentren und Cloud -Diensten mehr genutzt wird.[29]

Mit der globalen Pandemie, die Anfang 2020 in Kraft trat, gab es eine massive Verschiebung der Fernarbeit, da diese Unternehmen stärker auf die Cloud angewiesen waren. Diese massive Verschiebung ist nicht unbemerkt geblieben, insbesondere von Cyberkriminellen und schlechten Schauspielern, von denen viele die Möglichkeit hatten, die Wolke aufgrund dieser neuen Fernarbeitsumgebung anzugreifen. Unternehmen müssen ihre Mitarbeiter ständig daran erinnern, die ständige Wachsamkeit besonders aus der Ferne zu halten. Pannen in der Kommunikation ständig über die neuesten Sicherheitsmaßnahmen und Richtlinien auf dem neuesten Stand sind und sind einige der Dinge, nach denen diese Cyberkriminellen suchen und nach denen sie sich bemühen werden.

Die Überwachung der Arbeit in den Haushalt war für die Arbeitnehmer von entscheidender Bedeutung, um weiterzumachen, aber als der Umzug in die Fernarbeit auftrat, traten schnell mehrere Sicherheitsprobleme auf. Die Notwendigkeit von Datenschutz, Verwendung von Anwendungen, persönlichen Geräten und dem Internet stand alle in den Vordergrund. In der Pandemie wurden große Mengen an Daten generiert, insbesondere im Gesundheitswesen. Big Data wird aufgrund der wachsenden Coronavirus -Pandemie jetzt mehr denn je für den Gesundheitssektor aufgenommen. Die Cloud muss in der Lage sein, die Daten sicher mit ihren Benutzern zu organisieren und zu teilen. Die Qualität der Daten sucht nach vier Dingen: Genauigkeit, Redundanz, Vollständigkeit und Konsistenz.[30]

Die Benutzer mussten darüber nachdenken, dass massive Datenmengen weltweit geteilt werden. Verschiedene Länder haben bestimmte Gesetze und Vorschriften, an die eingehalten werden muss. Unterschiede in Politik und Zuständigkeit führen zu dem Risiko, das mit der Cloud verbunden ist. Die Arbeitnehmer nutzen ihre persönlichen Geräte jetzt mehr, da sie von zu Hause aus arbeiten. Kriminelle sehen diesen Anstieg als Gelegenheit, Menschen auszunutzen. Software wird entwickelt, um die Geräte von Menschen zu infizieren und Zugang zu ihrer Cloud zu erhalten. Die derzeitige Pandemie hat die Menschen in eine Situation gebracht, in der sie unglaublich verletzlich und anfällig für Angriffe sind. Die Änderung der abgelegenen Arbeit war so plötzlich, dass viele Unternehmen einfach nicht vorbereitet waren, um die Aufgaben und die anschließende Arbeitsbelastung zu bewältigen, in denen sie tief verwurzelt waren. Es müssen engere Sicherheitsmaßnahmen ergriffen werden, um diese neu entdeckte Spannung innerhalb von Organisationen zu erleichtern.

Verschlüsselung

Einige fortgeschritten Verschlüsselung Algorithmen, die auf Cloud Computing angewendet wurden, erhöhen den Schutz der Privatsphäre. In einer Praxis genannt Crypto-ShreddingDie Schlüssel können einfach gelöscht werden, wenn die Daten nicht mehr verwendet werden.

Attributbasierte Verschlüsselung (ABE)

Attributbasierte Verschlüsselung ist eine Art von Art von Verschlüsselung der Öffentlichkeit in welcher geheimer Schlüssel Ein Benutzer und der Chiffretext hängen von Attributen ab (z. B. dem Land, in dem er lebt, oder von der Art von Abonnement, die er hat). In einem solchen System ist die Entschlüsselung eines Chiffretextes nur möglich, wenn der Satz der Attribute der Benutzerschlüssel mit den Attributen des Ciphertext übereinstimmt.

Einige der Stärken der attributbasierten Verschlüsselung sind, dass versucht wird, Probleme zu lösen, die in der aktuellen Implementierung der öffentlichen Infrastruktur (PKI) und identitätsbasierter Verschlüsselung (IBE) vorhanden sind. Indem Sie sich auf Attribute verlassen, müssen sich um die Umgehungen direkt wie bei PKI die Keys teilen und die Identität des Empfängers wie bei IBE kennen.

Diese Vorteile sind kostengünstig, da ABE unter dem Entschlüsselungsschlüsselproblem leidet. Da Entschlüsselungsschlüssel in ABE nur Informationen zur Zugriffsstruktur oder die Attribute des Benutzers enthalten, ist es schwierig, die tatsächliche Identität des Benutzers zu überprüfen. Daher können böswillige Benutzer ihre Attributinformationen absichtlich austauschen, damit nicht autorisierte Benutzer nachahmen und Zugriff erhalten können.[31]

Chiffretext-Policy Abe (CP-ABE)

CipheText-Policy Abe (CP-ABE) ist eine Art von öffentlicher Key-Verschlüsselung. In der CP-ABE kontrolliert der Verschlüsselor die Zugangsstrategie. Die Hauptforschungsarbeit von CP-ABE konzentriert sich auf die Gestaltung der Zugangsstruktur. Ein CipheText-Policy-Attribut-basierte Verschlüsselungsschema besteht aus vier Algorithmen: Setup, Verschlüsselung, Keygen und Entschlüsselung.[32] Der Setup -Algorithmus nimmt Sicherheitsparameter und eine Attributuniversumbeschreibung als Eingabe und Ausgabe öffentlicher Parameter und einen Startschlüssel vor. Der Verschlüsselungsalgorithmus nimmt Daten als Eingabe an. Anschließend verschlüsselt es, um einen Chiffretext zu erzeugen, dass nur ein Benutzer, der eine Reihe von Attributen besitzt, die die Zugriffsstruktur erfüllen, die Nachricht entschlüsselt. Der Keygen -Algorithmus nimmt dann den Hauptschlüssel und die Attribute des Benutzers ein, um einen privaten Schlüssel zu entwickeln. Schließlich nimmt der Entschlüsselungsalgorithmus die öffentlichen Parameter, den Chiffretext, den privaten Schlüssel und die Benutzerattribute als Eingabe auf. Mit diesen Informationen überprüft der Algorithmus zunächst, ob die Attribute der Benutzer die Zugriffsstruktur erfüllen und dann den Chiffretext entschlüsseln, um die Daten zurückzugeben.

Schlüsselpolitik Abe (KP-ABE)

Key-Policy-Attribut-basierte Verschlüsselung oder KP-ABE ist eine wichtige Art von Art von Attributbasierte Verschlüsselung. Mit KP-ABE können Sender ihre Nachrichten unter einer Reihe von Attributen verschlüsseln, ähnlich wie bei jedem Attribut-basierten Verschlüsselungssystem. Für jede Verschlüsselung werden dann private Benutzerschlüssel generiert, die Entschlüsselungsalgorithmen für die Entschlüsselung der Nachricht enthalten, und diese privaten Benutzerschlüssel geben Benutzern Zugriff auf bestimmte Nachrichten, die sie entsprechen. In einem KP-ABE-System, Chiffretexteoder die verschlüsselten Nachrichten werden von den Erstellern mit einer Reihe von Attributen markiert, während die privaten Schlüssel des Benutzers ausgestellt werden, die angeben, welche Art von Chiffrorten der Schlüssel entschlüsseln kann.[33] Die privaten Schlüsseln steuern, welche Chiffretexten ein Benutzer entschlüsseln kann.[34] In KP-ABE werden die Attributsätze verwendet, um die verschlüsselten Texte zu beschreiben, und die privaten Schlüssel sind der angegebenen Richtlinie zugeordnet, die Benutzer zur Entschlüsselung der Chiffretexte haben. Ein Nachteil bei KP-ABE ist, dass der Verschlüsselor in KP-ABE nicht kontrolliert, wer Zugriff auf die verschlüsselten Daten hat, außer durch beschreibende Attribute, was eine Abhängigkeit von den Schlüsselausweisungen erzeugt, die den Zugriff auf Benutzer gewährt und verweigert. Daher die Schaffung anderer ABE-Systeme wie CipherText-Policy-Attribut-basierte Verschlüsselung.[35]

Voll homomorphe Verschlüsselung (FHE)

Voll homomorphe Verschlüsselung ist ein Cryptosystem, das eine willkürliche Berechnung des Ciphertext unterstützt und auch die Berechnung der Summe und des Produkts für die verschlüsselten Daten ohne Entschlüsselung ermöglicht. Ein weiteres interessantes Merkmal der vollständig homomorphen Verschlüsselung oder kurzer Zeit ist, dass Operationen ohne die Notwendigkeit eines geheimen Schlüssels ausgeführt werden können.[36] FHE wurde nicht nur mit Cloud Computing, sondern auch mit elektronischer Abstimmung in Verbindung gebracht. Die vollständig homomorphe Verschlüsselung war besonders hilfreich bei der Entwicklung von Cloud -Computing- und Computing -Technologien. Da diese Systeme jedoch den Bedarf an Cloud -Sicherheit entwickeln, hat ebenfalls erhöht. FHE zielt darauf ab, die Datenübertragung sowie den Cloud -Computing -Speicher mit seinen Verschlüsselungsalgorithmen zu sichern.[37] Sein Ziel ist es, in größerem Maßstab eine viel sicherere und effizientere Verschlüsselungsmethode zu sein, um die massiven Fähigkeiten der Cloud zu bewältigen.

Durchsuchbare Verschlüsselung (SE)

Durchsuchbare Verschlüsselung ist ein kryptografisches System, das sichere Suchfunktionen über verschlüsselte Daten bietet.[38][39] SE-Schemata können in zwei Kategorien eingeteilt werden: SE basierend auf einer Kryptographie der geheimen Key (oder symmetrisch-key) und SE auf der Grundlage von Kryptographie im öffentlichen Key. Um die Suche Effizienz zu verbessern, erstellt symmetrisch-key SE im Allgemeinen Keyword-Indizes, um Benutzeranfragen zu beantworten. Dies hat den offensichtlichen Nachteil der Bereitstellung multimodaler Zugriffswege für nicht autorisiertes Datenabruf und Umgehung des Verschlüsselungsalgorithmus, indem das Framework alternativen Parametern innerhalb der gemeinsamen Cloud -Umgebung unterzogen wird.[40]

Beachtung

Zahlreiche Gesetze und Vorschriften für die Speicherung und Verwendung von Daten. In den USA umfassen dies Datenschutz- oder Datenschutzgesetze, Zahlungskartenbranche Datensicherheitsstandard (PCI DSS), die Gesundheitsversicherung und Rechenschaftspflichtgesetz (HIPAA), die Sarbanes-Oxley Act, das Bundesverwaltungsgesetz über Information Security Management von 2002 (Fisma) und Kinder für das Online -Datenschutzschutz von Kindern von 1998, unter anderen. Ähnliche Standards existieren in anderen Gerichtsbarkeiten, z. Singapurs Multi-Tier-Cloud-Sicherheitsstandard.

Ähnliche Gesetze können in unterschiedlichen Rechtsgerichtsbarkeiten gelten und können sich von denen, die in den USA durchgesetzt werden, sehr deutlich unterscheiden. Cloud -Service -Benutzer müssen sich häufig der rechtlichen und regulatorischen Unterschiede zwischen den Gerichtsbarkeiten bewusst sein. Zum Beispiel können Daten, die von einem Cloud -Dienstanbieter gespeichert sind, in Singapur in den USA enthalten sein.[41]

Viele dieser Vorschriften erfordern bestimmte Kontrollen (z. B. starke Zugangskontrollen und Prüfungsspuren) und erfordern regelmäßige Berichterstattung. Cloud -Kunden müssen sicherstellen, dass ihre Cloud -Anbieter die angemessenen Anforderungen angemessen erfüllen, sodass sie ihren Verpflichtungen nachkommen können, da sie weitgehend verantwortlich sind.

Geschäftskontinuität und Datenwiederherstellung
Wolkenanbieter haben Geschäftskontinuität und Datenwiederherstellung Die vorhandenen Pläne, um sicherzustellen, dass der Service im Falle einer Katastrophe oder eines Notfalls aufrechterhalten werden kann und dass ein Datenverlust wiederhergestellt wird.[42] Diese Pläne können von ihren Kunden mit den Kunden mit den eigenen Kontinuitätsarrangements der Kunden geteilt und überprüft werden. Gelenkkontinuitätsübungen können angemessen sein und beispielsweise einen großen Internet- oder Stromversagen simulieren.
Protokoll- und Prüfpfad
Neben der Erzeugung von Protokollen und BuchungsprotokolleCloud -Anbieter arbeiten mit ihren Kunden zusammen, um sicherzustellen, dass diese Protokolle und Prüfungswege ordnungsgemäß gesichert sind, so lange gewartet werden, wie der Kunde benötigt, und sind für die Zwecke der forensischen Untersuchung zugänglich (z. B.,, Ediscovery).
Einzigartige Compliance -Anforderungen
Zusätzlich zu den Anforderungen, denen Kunden ausgesetzt sind, können die von Cloud -Anbietern verwendeten Rechenzentren auch den Compliance -Anforderungen unterliegen. Die Verwendung eines Cloud -Dienstanbieters (CSP) kann zu zusätzlichen Sicherheitsbedenken hinsichtlich der Datengestaltung führen, da Kunden- oder Mietdaten möglicherweise nicht im selben System, im selben Rechenzentrum oder sogar in der Cloud desselben Anbieters verbleiben.[43]
Die Europäische Union GDPR hat neue Compliance -Anforderungen für Kundendaten eingeführt.

Rechtliche und vertragliche Fragen

Abgesehen von den oben genannten Sicherheits- und Compliance -Problemen verhandeln Cloud -Anbieter und ihre Kunden Begriffe über die Haftung (beispielsweise, wie Vorfälle mit Datenverlust oder Kompromisse aufgelöst werden). geistiges Eigentumund das End-of-Service (wenn Daten und Anwendungen letztendlich an den Kunden zurückgegeben werden). Darüber hinaus gibt es Überlegungen zum Erfassen von Daten aus der Cloud, die möglicherweise an Rechtsstreitigkeiten beteiligt sind.[44] Diese Themen werden in erörtert in Service Level Agreements (SLA).

Öffentliche Daten

Rechtsfragen können auch einschließen Aufzeichnungen-Keeping Anforderungen in der Öffentlicher Sektor, wo gesetzlich viele Agenturen erforderlich sind, um zu halten und zur Verfügung zu stellen elektronische Aufzeichnungen auf bestimmte Weise. Dies kann durch Gesetzgebung festgelegt werden, oder das Gesetz kann die Behörden verlangen, dass sie den von einer Aufzeichnungsbehörde festgelegten Regeln und Praktiken entsprechen. Öffentliche Behörden, die Cloud Computing und Speicher verwenden, müssen diese Bedenken berücksichtigen.

Siehe auch

Verweise

  1. ^ a b c d Haghighat, Mohammad; Zonouz, Saman; Abdel-Mottaleb, Mohamed (November 2015). "CloudID: vertrauenswürdige Cloud-basierte und kreuzweise biometrische Identifizierung". Expertensysteme mit Anwendungen. 42 (21): 7905–7916. doi:10.1016/j.eswa.2015.06.025.
  2. ^ a b Srinivasan, Madhan Kumar; Sarukesi, K.; Rodrigues, Paul; Manoj, M. Sai; Revathy, P. (2012). "Hochmoderne Cloud Computing-Sicherheitstaxonomien". Verfahren der Internationalen Konferenz über Fortschritte in Computer, Kommunikation und Informatik - ICACCI '12. S. 470–476. doi:10.1145/2345396.2345474. ISBN 978-1-4503-1196-0. S2CID 18507025.
  3. ^ "Swamp Computing a.k.a. Cloud Computing". Web Security Journal. 2009-12-28. Abgerufen 2010-01-25.
  4. ^ "Cloud steuert Matrix V4" (xlsx). Cloud Security Alliance. 15. März 2021. Abgerufen 21. Mai 2021.
  5. ^ a b "Shared Sicherheitsverantwortungsmodell". Navigation der DSGVO -Einhaltung auf AWS. AWS. Dezember 2020. Abgerufen 21. Mai 2021.
  6. ^ a b Tozzi, C. (24. September 2020). "Vermeiden Sie die Fallstricke des gemeinsamen Verantwortungsmodells für die Cloud -Sicherheit". PAL Alto Blog. Palo Alto Networks. Abgerufen 21. Mai 2021.
  7. ^ "Top -Bedrohungen für Cloud Computing v1.0" (PDF). Cloud Security Alliance. März 2010. Abgerufen 2020-09-19.
  8. ^ Winkler, Vic. "Cloud Computing: Virtuelle Cloud -Sicherheitsprobleme". Technet Magazine, Microsoft. Abgerufen 12. Februar 2012.
  9. ^ Hickey, Kathleen. "Dark Cloud: Studie findet Sicherheitsrisiken in der Virtualisierung". Regierungssicherheitsnachrichten. Abgerufen 12. Februar 2012.
  10. ^ Winkler, Joachim R. (2011). Sicherung der Cloud: Cloud -Computer -Sicherheitstechniken und Taktiken. Elsevier. p. 59. ISBN 978-1-59749-592-9.
  11. ^ Andress, J. (2014). Abschreckungskontrolle - Ein Überblick | Sciencedirect -Themen. Abgerufen am 14. Oktober 2021 von https://www.sciencedirect.com/topics/computer-science/deterrent-control
  12. ^ Virtue, T. & Rainey, J. (2015). Vorbeugende Kontrolle - Ein Überblick | Sciencedirect -Themen. Abgerufen am 13. Oktober 2021 von https://www.sciencedirect.com/topics/computer-science/preventative-control
  13. ^ Marturano, G. (2020b, 4. Dezember). Detective Security Controls. Abgerufen am 1. Dezember 2021 von https://lifars.com/2020/12/detective-security-controls/
  14. ^ Walkowski, D. (2019, 22. August). Was sind Sicherheitskontrollen? Abgerufen am 1. Dezember 2021 von https://www.f5.com/labs/articles/education/what-resecurity-controls
  15. ^ www.guidepointsecurity.com https://www.guidepointsecurity.com/education-center/cloud-security-architecture/. Abgerufen 2021-12-06. {{}}: Fehlen oder leer |title= (Hilfe)
  16. ^ "Gartner: Seven Cloud-Computing-Sicherheitsrisiken". InfoWorld. 2008-07-02. Abgerufen 2010-01-25.
  17. ^ "Top -Bedrohungen für Cloud Computing Plus: Branchenerkenntnisse". Cloud Security Alliance. 2017-10-20. Abgerufen 2018-10-20.
  18. ^ "Was ist ein CASB (Cloud Access Security Broker)?". Ciphercloud. Archiviert von das Original Am 2018-08-31. Abgerufen 2018-08-30.
  19. ^ Thangasamy, Veeraiyah (2017). "Journal of Applied Technology and Innovation" (PDF). 1: 97. {{}}: Journal zitieren erfordert |journal= (Hilfe)
  20. ^ "Identitätsmanagement in der Cloud". Informationswoche. 2013-10-25. Abgerufen 2013-06-05.
  21. ^ Guarda, Teresa; Orozco, Walter; Augusto, Maria Fernanda; Morillo, Giovanna; Navarrete, Silvia Arévalo; Pinto, Filipe Mota (2016). "Penetrationstests in virtuellen Umgebungen". Proceedings der 4. Internationalen Konferenz über Informations- und Netzwerksicherheit - ICINS '16. S. 9–12. doi:10.1145/3026724.3026728. ISBN 978-1-4503-4796-9. S2CID 14414621.
  22. ^ Tang, Jun; Cui, Yong; Li, Qi; Ren, Kui; Liu, Jiangchuan; Buyya, Rajkumar (28. Juli 2016). "Gewährleistung der Sicherheit und des Datenschutzes für Cloud -Datendienste". ACM Computing -Umfragen. 49 (1): 1–39. doi:10.1145/2906153. S2CID 11126705.
  23. ^ "Vertraulichkeit, Integrität und Verfügbarkeit - die CIA -Triade". Certmike. 2018-08-04. Abgerufen 2021-11-27.
  24. ^ Carroll, Mariana; van der Merwe, Alta; Kotzé, Paula (August 2011). "Secure Cloud Computing: Vorteile, Risiken und Steuerelemente". 2011 Informationssicherheit für Südafrika: 1–9. Citeseerx 10.1.1.232.2868. doi:10.1109/issa.2011.6027519. ISBN 978-1-4577-1481-8. S2CID 6208118.
  25. ^ a b Svantesson, Dan; Clarke, Roger (Juli 2010). "Privatsphäre und Verbraucherrisiken im Cloud Computing". Computerrecht und Sicherheitsüberprüfung. 26 (4): 391–397. doi:10.1016/j.clsr.2010.05.005. HDL:1885/57037. S2CID 62515390.
  26. ^ a b c Grobauer, Bernd; Walloschek, Tobias; Stocker, Elmar (März 2011). "Cloud Computing -Schwachstellen verstehen". IEEE -Sicherheit Privatsphäre. 9 (2): 50–57. doi:10.1109/msp.2010.115. S2CID 1156866.
  27. ^ Rukavitsyn, Andrey N.; Borisenko, Konstantin A.; Holod, Ivan I.; Shorov, Andrey V. (2017). "Die Methode zur Gewährleistung von Vertraulichkeits- und Integritätsdaten im Cloud -Computing". 2017 XX IEEE International Conference über Soft Computing und Messungen (SCM). S. 272–274. doi:10.1109/scm.2017.7970558. ISBN 978-1-5386-1810-3. S2CID 40593182.
  28. ^ Yao, huiping; Shin, Dongwan (2013). "Auf der Verhinderung von QR -Code -basierten Angriffen auf das Android -Telefon mit Sicherheitswarnungen". Verfahren des 8. ACM SIGSAC -Symposiums für Informations-, Computer- und Kommunikationssicherheit - Asien -CCS '13. p. 341. doi:10.1145/2484313.2484357. ISBN 9781450317672. S2CID 1851039.
  29. ^ Iqbal, Salman; Mat Kiah, Miss Laiha; Dhaghighi, Babak; Hussain, Muzammil; Khan, Suleman; Khan, Muhammad Khurram; Raymond Choo, Kim-Kwang (Oktober 2016). "Bei Cloud -Sicherheitsangriffen: Eine Taxonomie und Eindringungserkennung und Prävention als Dienstleistung". Journal of Network- und Computeranwendungen. 74: 98–120. doi:10.1016/j.jnca.2016.08.016.
  30. ^ Alashhab, Ziyad R.; Anbar, Mohammed; Singh, Manmeet Mahinderjit; Leau, Yu-Beng; Al-Sai, Zaher Ali; Abu Alhayja'a, Sami (März 2021). "Einfluss der Coronavirus -Pandemie -Krise auf Technologien und Cloud Computing -Anwendungen". Zeitschrift für elektronische Wissenschaft und Technologie. 19 (1): 100059. doi:10.1016/j.jnlest.2020.100059.
  31. ^ Xu, Shengmin; Yuan, Jiaming; Xu, Guowen; Li, Yingjiu; Liu, Ximeng; Zhang, Yinghui; Ying, Zuobin (Oktober 2020). "Effiziente Verschlüsselung der CipheText-Policy Attributbasierte Verschlüsselung mit Blackbox-Rückverfolgbarkeit". Informationswissenschaften. 538: 19–38. doi:10.1016/j.ins.2020.05.115. S2CID 224845384.
  32. ^ Bethencourt, John; Sahai, Amit; Waters, Brent (Mai 2007). "CipheText-Policy Attributbasierte Verschlüsselung" (PDF). 2007 IEEE Symposium über Sicherheit und Privatsphäre (SP '07). 2007 IEEE Symposium über Sicherheit und Privatsphäre (SP '07). S. 321–334. doi:10.1109/sp.2007.11. ISBN 978-0-7695-2848-9. S2CID 6282684.
  33. ^ Wang, Changji; Luo, Jianfa (2013). "Ein effizientes, von der Schlüsselpolitik basierendes Verschlüsselungsschema mit konstanter Chiffretextlänge". Mathematische Probleme im Ingenieurwesen. 2013: 1–7. doi:10.1155/2013/810969. S2CID 55470802.
  34. ^ Wang, Chang-ji; Luo, Jian-Fa (November 2012). "Ein Schlüsselpolitik-Attribut-basierte Verschlüsselungsschema mit Chiffretext mit konstanter Größe". 2012 Achte internationale Konferenz über Computer -Intelligenz und Sicherheit: 447–451. doi:10.1109/cis.2012.106. ISBN 978-1-4673-4725-9. S2CID 1116590.
  35. ^ Bethencourt, John; Sahai, Amit; Waters, Brent (Mai 2007). "CipheText-Policy Attributbasierte Verschlüsselung" (PDF). 2007 IEEE Symposium über Sicherheit und Privatsphäre (SP '07). 2007 IEEE Symposium über Sicherheit und Privatsphäre (SP '07). S. 321–334. doi:10.1109/sp.2007.11. ISBN 978-0-7695-2848-9. S2CID 6282684.
  36. ^ Armknecht, Frederik; Katzenbeisser, Stefan; Peter, Andreas (2012). "Homomorphe Verschlüsselung vom Typ schichtetyp und ihre Anwendung auf eine vollständig homomorphe Verschlüsselung". Fortschritte in der Kryptologie - AfricaCrypt 2012. Vorlesungsnotizen in Informatik. Vol. 7374. S. 234–251. doi:10.1007/978-3-642-31410-0_15. ISBN 978-3-642-31409-4.
  37. ^ Zhao, Feng; Li, Chao; Liu, Chun Feng (2014). "Eine Cloud Computing -Sicherheitslösung basierend auf einer vollständig homomorphen Verschlüsselung". 16. Internationale Konferenz zur fortschrittlichen Kommunikationstechnologie. S. 485–488. doi:10.1109/icact.2014.6779008. ISBN 978-89-968650-3-2. S2CID 20678842.
  38. ^ Wang, Qian; Er, Meiqi; Du, minxin; Chow, Sherman S. M.; Lai, Russell W. F.; Zou, Qin (1. Mai 2018). "Durchsuchbare Verschlüsselung über merkmalreiche Daten". IEEE -Transaktionen auf zuverlässigem und sicherem Computing. 15 (3): 496–510. doi:10.1109/tdsc.2016.2593444. S2CID 13708908.
  39. ^ Kirchenschiff, Muhammad; Prabhakaran, Manoj; Gunter, Carl A. (2014). "Dynamische durchsuchbare Verschlüsselung über Blind Storage". 2014 IEEE Symposium über Sicherheit und Privatsphäre. S. 639–654. doi:10.1109/sp.2014.47. ISBN 978-1-4799-4686-0. S2CID 10910918.
  40. ^ Sahayini, T (2016). "Verbesserung der Sicherheit moderner IKT -Systeme mit multimodaler biometrischer Kryptosystem und kontinuierlicher Benutzerauthentifizierung". Internationales Journal of Information and Computer Security. 8 (1): 55. doi:10.1504/ijics.2016.075310.
  41. ^ "Verwalten von rechtlichen Risiken, die sich aus Cloud Computing ergeben". DLA Piper. 29. August 2014. Abgerufen 2014-11-22.
  42. ^ "Es ist an der Zeit, die Vorteile einer Cloud-basierten Katastrophenwiederherstellung zu untersuchen.". Dell.com. Archiviert von das Original Am 2012-05-15. Abgerufen 2012-03-26.
  43. ^ Winkler, Joachim R. (2011). Sicherung der Cloud: Cloud -Computer -Sicherheitstechniken und Taktiken. Elsevier. S. 65, 68, 72, 81, 218–219, 231, 240. ISBN 978-1-59749-592-9.
  44. ^ Adams, Richard (2013). "Die Entstehung des Cloud -Speichers und die Notwendigkeit eines neuen digitalen forensischen Prozessmodells" (PDF). In Ruan, Keyun (Hrsg.). Cyberkriminalität und Cloud -Forensik: Anwendungen für Untersuchungsprozesse. Informationswissenschaftsreferenz. S. 79–104. ISBN 978-1-4666-2662-1.

Weitere Lektüre

  • Mowbray, Miranda (15. April 2009). "Der Nebel über dem Grimpen Mire: Cloud Computing und das Gesetz". Script-ed. 6 (1): 132–146. doi:10.2966/scrip.060109.132.
  • Mather, Tim; Kumaraswamy, Subra; Latif, Shahed (2009). Cloud -Sicherheit und Privatsphäre: Eine Unternehmensperspektive auf Risiken und Compliance. O'Reilly Media, Inc. ISBN 9780596802769.
  • Winkler, Vic (2011). Sicherung der Cloud: Cloud -Computer -Sicherheitstechniken und Taktiken. Elsevier. ISBN 9781597495929.
  • Ottenheimer, Davi (2012). Sicherung der virtuellen Umgebung: Wie man das Unternehmen gegen Angriff verteidigen. Wiley. ISBN 9781118155486.
  • BS ISO/IEC 27017: "Informationstechnologie. Sicherheitstechniken. Praxiscode für Informationssicherheitskontrollen basierend auf ISO/IEC 27002 für Cloud -Dienste." (2015)
  • BS ISO/IEC 27018: "Informationstechnologie. Sicherheitstechniken. Praxiskodex zum Schutz von persönlich identifizierbare Informationen (PII) in öffentlichen Wolken, die als PII -Prozessoren fungieren. "(2014)
  • BS ISO/IEC 27036-4: "Informationstechnologie. Sicherheitstechniken. Informationssicherheit für Lieferantenbeziehungen. Richtlinien für die Sicherheit von Cloud -Diensten" (2016)

Externe Links

Archiviert 2018-10-21 bei der Wayback -Maschine