Соображения безопасности для облачных вычислений (часть 6) — измеряемые услуги

Введение
В первых пяти частях этой серии статей, посвященных безопасности частного облака, мы говорили о некоторых основных факторах, которые необходимо учитывать применительно к проблемам безопасности в частном облаке. Эти вопросы являются ключевыми для основных характеристик облачных вычислений, и это их отличает из типичных соображений безопасности, с которыми вы сталкиваетесь в традиционном центре обработки данных# Мы говорили о том, как виртуализация, широкий доступ к сети, объединение ресурсов и самообслуживание по требованию влияют на решения по безопасности, которые вы принимаете в среде частного облака# В прошлый раз, мы обратили внимание на еще одну важную характеристику облачных вычислений, а именно на быструю эластичность#
И это подводит нас в этой шестой части нашей серии статей о безопасности частного облака к последней важной характеристике облачных вычислений: сервисы с измерителем. получил плохую репутацию# Многие люди в широкой публике, особенно в U#S#, связывают это с ограничениями и запретами на использование# Эта фраза напоминает им о «старой модели» подключения к Интернету, когда они платили 25 долларов в час за использовать CompuServe, или «новую модель» ограниченной полосы пропускания, недавно навязанную кабельными и телефонными компаниями своим ранее «неограниченным» клиентам#
Почему услуги по счетчику?
Измеряемые услуги также часто называют «платой за использование». На предприятии услуги измерения являются средством подотчетности. Измеряемые услуги необходимы для «полезного» аспекта облачных вычислений. настоящие коммунальные услуги, такие как электричество и вода # Количество киловатт-часов или галлонов воды, которые вы потребляете, измеряется счетчиком, который ведет учет, и каждый месяц количество возвращается поставщику услуг либо через удаленный доступ # через так называемый « «умные счетчики»# или считыватель счетчиков, который вручную проверяет счетчик и записывает использованное количество#
В отличие от традиционного центра обработки данных, где ваша основная задача — «поддерживать свет», среда частного облака предназначена для предоставления услуг. Вы не хотите просто поддерживать свет; вы хотите, чтобы сервисы работали. Все это часть принципа частного облака, согласно которому вы считаете себя поставщиком услуг. использует конкретный арендатор, и стоимость этого использования#
Облачная характеристика измеряемой услуги имеет решающее значение, поскольку часть вашей работы как поставщика услуг состоит в том, чтобы помочь вашим арендаторам быть хорошими распорядителями общего пула облачных ресурсов# Эти ресурсы включают общий пул вычислительных ресурсов, сетевых ресурсов и ресурсов хранения# Если арендатор не знает о затратах, связанных с получением ресурсов из общего пула, у арендатора не будет мотивации ограничивать использование ресурсов, и неизбежны потери #
Это также побуждает потребителей облачных сервисов думать о том, что им действительно нужно, а не о том, что, по их мнению, может понадобиться# Например, давайте возьмем пример безотказной работы# Время безотказной работы часто выражается в терминах «9s#». Итак, 99# 99 % называется «четыре девятки», 99#999 % — «пять девяток» и так далее. пять девяток»# Но действительно ли им нужны эти пять девяток? Чего человек может не знать, так это того, что для обеспечения такого уровня доступности затраты значительно возрастают, и это создает гораздо большую нагрузку на общий пул ресурсов#
Существенной характеристикой услуг с оплатой является то, что вы можете предоставить потребителю облачных услуг информацию о том, какова будет точная стоимость пяти девяток. Затем арендатор может принять эти затраты во внимание и сравнить с тем, что, по их расчетам, он потеряет если бы у них было только доступность с тремя девятками# Может оказаться, что сумма денег, которую вы теряете с доступностью с пятью девятками, меньше, чем стоимость получения этого уровня доступности# В этом случае арендатор был бы готов принять более низкий уровень доступности обслуживание, потому что общая стоимость ниже#
Как измеряемые услуги работают в частном облаке
В частной облачной среде вам нужно будет отслеживать все платное использование облачных сервисов, используемых арендаторами, чтобы вы могли выставлять им счета. В некоторых случаях, в основном в корпоративных средах, вы фактически не будете взимать плату с арендаторов; вместо этого вы будете делать что-то, называемое «показать назад», посредством чего вы предоставляете отчеты об использовании облачных сервисов и их стоимости, но на самом деле вы не получаете никаких денег от арендаторов частного облака# Даже если арендаторы на самом деле не платят долларов, они по-прежнему несут ответственность за количество ресурсов, которые они используют#
С точки зрения безопасности, вы должны убедиться, что арендаторы не смогут каким-либо образом обойти ваши системы мониторинга, так же как электроэнергетическая компания применяет меры, чтобы клиенты не вмешивались в работу счетчиков, установленных в их помещениях # Один из рисков Обход системы мониторинга заключается в том, что арендаторы могут уменьшить суммы, которые они платят, скорректировав данные, чтобы указать, что они используют меньше облачной инфраструктуры, чем они фактически используют # Этот «мошенничество» касается не только денег. ; это потенциально может привести к ситуации отказа в обслуживании, поскольку арендатор, который обходит систему мониторинга, может приобретать все больше облачных ресурсов без каких-либо ограничений. Если это произойдет, он может достичь точки исчерпания пула ресурсов, а затем другие арендаторы не смогут получить необходимые им ресурсы, когда они им понадобятся#
Хотя маловероятно, что группа внутри вашей организации попытается таким образом украсть облачные сервисы из корпоративного частного облака, всегда существует риск того, что кто-то может попытаться использовать ресурсы частного облака в несанкционированных целях# Инсайдерские атаки являются одними из самых согласно многим исследованиям, это распространенное нарушение безопасности, поэтому вполне разумно предположить, что недовольный сотрудник может попытаться воспользоваться ресурсами, предоставляемыми частным облаком. хочет использовать ресурсы в личных целях и не платить за них# Рассмотрите сценарий, в котором сотрудник запускает частный веб-сервер в корпоративном облаке как «побочный бизнес» #возможно, размещает непристойный контент или материалы, защищенные авторским правом## Если кто-то узнает, что компания размещала такого рода материальные ресурсы, использующие корпоративные облачные ресурсы, это могло привести к негативной репутации компании и потере материального и брендового капитала. ты #
Конечно, внешние атаки могут иметь место и против облачной инфраструктуры, а также # Злоумышленник из-за пределов компании может получить доступ к частному облаку для запуска почтового сервера # Злоумышленник может использовать почтовый сервер в качестве стартовой площадки для спама. или атаки на основе электронной почты, или даже попытка запустить частный коммерческий почтовый сервер, чтобы заработать деньги, и все это без оплаты какого-либо компонента инфраструктуры# Конечно, чтобы добиться успеха, злоумышленник должен будет избежать обнаружения# Во избежание обнаружение, злоумышленник, использующий ресурсы частного облака, должен будет обойти системы мониторинга и выставления счетов, которые используются частным облаком. Другой альтернативой может быть для злоумышленника организация оплаты своего несанкционированного использования законным клиентом, например как бизнес-подразделение# Эти сборы могут быть даже распределены между большим количеством арендаторов, так что платежи могут остаться практически незамеченными законными арендаторами частного облака# Хороший механизм измерения ism поможет предотвратить это#
Вам также необходимо подумать о других областях, в которых измеряемая характеристика обслуживания частных облаков влияет на общую доступность компонентов общего пула ресурсов частного облака. Когда вы измеряете и взимаете плату за использование ресурсов частного облака, вы мотивируете арендаторов к освобождению ресурсов. в пул, когда они закончили с ними # Это помогает предотвратить непреднамеренный отказ в обслуживании из-за исчерпания облачных ресурсов # Помните о принципе стимулирования желаемого поведения # Без стимулирования затрат потребители облачных сервисов могут сохранить ресурсы, которые они больше не используют. нужно, даже если они их не используют, что снижает общую доступность пула ресурсов частного облака #
Бухучет, ведение учета, делопроизводство
Поскольку измеряемые услуги очень важны для производительности и доступности облачной инфраструктуры, вам необходимо убедиться, что все средства мониторинга и регистрации, которые измеряют и сообщают об использовании ресурсов, защищены от компрометации. использование ресурса # Вам необходимо убедиться, что элементы управления доступом, в том числе элементы управления доступом на основе ролей, используются во всей вашей инфраструктуре мониторинга и отчетности #
Вы должны предоставить арендаторам доступ к их платежной информации через системы управления финансами, которые вы развертываете в своем частном облаке, и они должны содержать достаточно подробностей, чтобы ваши арендаторы могли определить любое возможное несанкционированное использование ресурсов от их имени. система, с помощью которой арендаторы могут легко сообщать вам, если они обнаружат аномалии или несоответствия# Наконец, стоимость получения ресурсов из общего пула должна стать мощным стимулом для потребителей ваших облачных сервисов контролировать использование своих ресурсов#
Резюме
В этой серии из шести частей мы рассмотрели вопросы безопасности для частного облака. Хотя частное облако имеет много общих характеристик с традиционным центром обработки данных, когда речь идет о безопасности, есть некоторые ключевые различия в нескольких областях, о которых вам нужно подумать. возможно, измените свой фокус и акцент# Один из способов подойти к проблемам безопасности в частном облаке — использовать пять основных характеристик облачных вычислений в качестве точки опоры# В этой серии мы обсудили многие из ключевых соображений безопасности, которые вы должны учитывать при обеспечении безопасности частное облако, рассматривая проблемы безопасности, связанные с широким сетевым доступом, объединением ресурсов, самообслуживанием, быстрой эластичностью и дозируемыми услугами. Надеюсь, вам понравилась эта серия статей, и она помогла вам получить некоторое представление о необходимых вам вопросах учитывать при планировании и разработке системы безопасности для частного облака#