Diskusi tentang keamanan cloud computing yang sering gagal untuk membedakan

masalah-masalah umum dari masalah cluod-spesifik. Untuk memperjelas diskusi

mengenai kerentanan penulis mendefinisikan indikator berdasarkan definisi suara
faktor risiko dan cloud computing.
Setiap hari, sebuah berita segar, entri blog, atau publikasi lainnya memperingatkan
kita tentang risiko keamanan dan ancaman cloud computing ini; dalam banyak
kasus, keamanan dikutip sebagai hambatan paling besar untuk penyerapan
komputasi awan. Tapi wacana tentang masalah keamanan cloud computing
membuat sulit untuk merumuskan penilaian yang beralasan dampak keamanan
yang sebenarnya karena dua alasan utama. Pertama, banyak diskusi tentang risiko,
pengertian dasar kosakata termasuk risiko, ancaman, dan kerentanan sering
digunakan bergantian, tanpa memperhatikan definisi masing-masing. Kedua, tidak
setiap masalah yang diangkat adalah spesifik untuk cloud computing.
Untuk mencapai pemahaman yang didirikan dari "Delta" bahwa tambahanan cloud
computing yang berhubungan dengan keamanan masalah, kita harus menganalisis
bagaimana pengaruh cloud computing didirikan untuk masalah keamanan. Faktor
kunci di sini adalah kerentanan keamanan: cloud computing membuat kerentanan
tertentu dipahami lebih signifikan serta menambahkan hal yang baru ke dalamnya.
Sebelum kita melihat lebih dekat pada kerentanan cluod lebih spesifik. pertama kita
harus menetapkan apa yang benar-benar menjadi "kerentanan".

Kerentanan: Overview
Kerentanan merupakan faktor yang menonjol risiko. ISO 27005 mendefinisikan risiko
sebagai "potensi ancaman yang diberikan akan mengeksploitasi kerentanan aset
atau kelompok aset sehingga membahayakan organisasi, "mengukurnya baik dari
segi kemungkinan suatu peristiwa dan konsekuensinya. taksonomi resiko 1 The
Open Group (www.opengroup.org/onlinepubs/9699919899/toc.pdf) penawaran
gambaran yang berguna faktor risiko (lihat Gambar 1).
kelompok taksonomi menggunakan dua tingkat yang sama diatas, faktor risiko
seperti ISO 27005: kemungkinan dari kegiatan yang berbahaya (di sini, kehilangan
frekuensi event) dan konsekuensinya (Di sini, kemungkinan rugi besar). Besarnya
kerugian kemungkinan merupakan subfaktor (di sebelah kanan pada Gambar 1)
pengaruh biaya maksimum untuk sesuatu yang berbahaya. frekuensi kerugian
acara subfaktor (di sebelah kiri) sedikit lebih rumit. Sebuah loss event terjadi ketika
ancaman agen (seperti hacker) berhasil mengeksploitasi kerentanan. Frekuensi
dengan yang ini terjadi tergantung pada dua faktor:

Frekuensi ancaman agen mencoba untuk mengeksploitasi kerentanan.

Frekuensi ini ditentukan oleh motivasi agen '(Apa yang bisa mereka peroleh
dengan serangan? Berapa banyak usaha yang dibutuhkan? Apakah risiko

untuk penyerang?) dan berapa banyak akses ( "Hubungi") agen untuk target
serangan.
Perbedaan antara kemampuan serangan ancaman agen dan kekuatan sistem
untuk melawan serangan itu. Faktor kedua ini membawa kita kearah definisi
kerentanan yang berguna.

Defining Vulnerability
Risiko menurut taksonomi Open Group,
Kerentanan adalah probabilitas bahwa aset akan mampu menahan tindakan
ancaman agen. Kerentanan ada ketika ada perbedaan antara teknik yang
diterapkan oleh ancaman agen, dengan kemampuan obyek untuk menahan teknik
itu.
Jadi, resistensi kerentanan harus selalu dijelaskan dalam hal terhadap jenis
serangan tertentu. Contoh dunia nyata, ketidakmampuan mobil untuk melindungi
sopirnya terhadap cedera saat terkena frontal oleh truk yang dikemudikan dalam
kecepatan60 mph adalah kerentanan; perlawanan mobil dari crumple zone hanya
terlalu lemah dibandingkan dengan kekuatan truk. Sedangkan terhadap "serangan"
dari biker, bahkan mengemudikan mobil kecil pada kecepatan yang lebih moderat,
Kekuatan perlawanan mobil memadai dengan sempurna.
Kami juga dapat menggambarkan kerentanan komputer yang merupakan bug yang
berhubungan dengan keamanan yang menutup Anda dengan vendorprovide patchsebagai melemahnya atau menghilangnya kekuatan perlawanan tertentu. Sebuah
kerentanan buffer-overflow, misalnya, melemahkan ketahanan sistem kode eksekusi
yang sewenang-wenang. Apakah penyerang bisa mengeksploitasi kerentanan ini
tergantung pada kemampuan mereka.
Vulnerabilities and Cloud Risk
Kita sekarang akan mengkaji bagaimana cloud computing pengaruh faktor risiko
pada Gambar 1, dimulai dengan sisi kanan pohon faktor risiko. Dari perspektif
pelanggan cloud, sebelah sisi kanan yang berurusan dengan besarnya kemungkinan
dimasa depan yang tidak berubah sama sekali oleh komputasi awan: konsekuensi
dan biaya akhir, katakanlah pelanggaran kerahasiaan, persis sama terlepas dari
apakah data pelanggaran terjadi dalam cloud atau konvensional infrastruktur TI.
Untuk penyedia layanan cloud, hal ini terlihat agak berbeda: karena sistem cloud
computing sebelumnya dipisahkan dari infrastruktur yang sama, kerugian kegiatan
bisa berarti sebuah dampak yang jauh lebih besar. Tapi fakta ini mudah dipahami
dan dimasukkan ke dalam penilaian risiko: tidak ada konseptual yang bekerja untuk
beradaptasi menganalisis dampak untuk komputasi awan yang tampaknya
diperlukan.
Jadi, kita harus mencari perubahan pada Gambar 1 ini pada sisi kiri-frekuensi loss

event. Cloud computing bisa mengubah probabilitas dari peristiwa berbahaya ini.
Seperti yang kita tunjukkan nanti, penyebab perubahan cloud computing yang
signifikan dalam faktor kerentanan. Dan Tentu saja, pindah ke infrastruktur cloud
mungkin mengubah tingkat akses dan motivasi penyerang, serta
usaha dan risiko-fakta yang harus dianggap sebagai pekerjaan dimasa depan. Tapi,
untuk mendukung penilaian risiko cloud yangspesifik, tampaknya yang paling
menguntungkan dengan memulai memeriksa
sifat yang tepat dari kerentanan cloud yang spesifik.
Cloud Computing
Apakah ada hal "cloud khusus" sebagai kerentanan?
Jika demikian, faktor-faktor tertentu didalam cloud computing ini harus membuat
kerentanan cloud yang spesifik. Pada dasarnya, cloud computing diketahui
menggabungkan teknologi (seperti virtualisasi) dengan cara cerdik untuk
menyediakan layanan TI "dari roda berjalan" menggunakan skala ekonomi. Kita
sekarang akan melihat lebih dekat apa teknologi inti dan karakteristik
penggunaannya dalam cloud computing yang sangat penting.
Inti Cloud Computing Teknologi
Cloud computing dibangun berdasarkan pada kemampuan yang tersedia melalui
beberapa teknologi inti:

Aplikasi dan layanan Web. Software sebagai sebuah layanan (SaaS) dan
platform sebagai layanan (PaaS) yang tidak mungkin tanpa aplikasi Web dan
teknologi layanan Web: SaaS biasanya diimplementasikan pada aplikasi Web,
sementara PaaS menyediakan pengembangan dan runtime lingkungan untuk
aplikasi web dan layanannya. Untuk infrastruktur layanan (IaaS),
administrator biasanya menerapkan layanan dan infrastruktur terkait, seperti
Akses manajemen untuk pelanggan menggunakan aplikasi Web/teknologi
layanan.
Virtualisasi IaaS. Teknologi ini memiliki teknik virtualisasi pada jantung
mereka; karena PaaS dan SaaS jasa biasanya dibangun di atas infrastruktur
IaaS yang mendukung, pentingnya virtualisasi juga meluas ke model layanan
ini. Di masa depan, kami berharap virtualisasi untuk pengembangan
virtualisasi server ke sumber daya komputasi yang dapat digunakan lebih
mudah untuk mengeksekusi layanan SaaS.
Kriptografi. Banyak persyaratan keamanan cloud computing dipecahkan
hanya dengan menggunakan kriptografi teknik.

Sebagai pengembang cloud computing, daftar teknologi inti kemungkinan dapat

diperluas.

Karakteristik penting
Dalam deskripsi dari karakteristik awan yang penting, US National Institute of
Standards and Technology

(NIST) menangkap dengan baik apa yang dimaksud untuk memberikan layanan TI
dari roda berjalan menggunakan skala ekonomi:
On-demand self-service. Pengguna dapat memesan dan mengelola layanan tanpa
interaksi manusia dengan layanan penyedia, menggunakan, misalnya, sebuah
portal Web dan antarmuka manajemen. Provisioning dan deprovisioning layanan
dan sumber daya terkait terjadi secara otomatis pada penyedia.
akses jaringan Ubiquitous. layanan cloud diakses melalui jaringan (biasanya
internet), dengan menggunakan standar mekanisme dan protokol.
Sumber Daya pooling. sumber daya komputasi yang digunakan untuk
menyediakan layanan cloud yang diwujudkan menggunakan homogen infrastruktur
yang dibagi antara semua pengguna layanan.
elastisitas cepat. Sumber daya dapat ditingkatkan dan diturunkan dengan cepat
dan elastis.
layanan Terukur. Penggunaan sumber daya / layanan terus diukur, mendukung
optimasi penggunaan sumber daya, penggunaan dilaporkan kepada pelanggan, dan
membayar sebagi anda-dilihat dari model bisnis.
kerangka definisi NIST untuk cloud computing dengan daftar karakteristik penting
sekarang telah berkembang menjadi de facto standar untuk mendefinisikan cloud
computing.

Kerentanan cloud-Spesifik
Berdasarkan pandangan abstrak dari cloud computing yang kami sajikan
sebelumnya, kita sekarang dapat bergerak menuju definisi dari apa yang
merupakan kerentanan cloud-spesifik. Kerentanan cloud tertentu jika

intrinsik atau lazim dalam cloud computing inti teknologi,

akar di salah satu yang dimiliki NIST adalah cloud karakteristik penting,
Saat inovasi cloud itu dicoba dan ditesting menyebabkan kontrol keamanan
sulit atau tidak mungkin untuk mengimplementasikannya, atau
lazim di didirikan state-of-the-art yang diberikan cloud.

Kami sekarang memeriksa masing-masing empat indikator tersebut.

Core-Teknologi Kerentanan
aplikasi inti teknologi-Web cloud computing dan jasa, virtualisasi, dan cryptographymemiliki kerentanan yang intrinsik dengan teknologi atau yang lazim di teknologi
negara dari implementasi seni. Tiga contoh kerentanan tersebut adalah mesin
virtual yang lepas, session riding dan pembajakan, dan kriptografi yang sudah tidak
aman atau usang.
Pertama, kemungkinan bahwa penyerang mungkin berhasil melarikan diri dari
lingkungan virtual terletak pada sifat virtualisasi. Oleh karena itu, kita harus

mempertimbangkan kerentanan ini sebagai intrinsik untuk virtualisasi dan sangat

relevan untuk cloud computing.
Kedua, teknologi aplikasi Web harus diatasi terkait masalah itu, dengan desain,
protokol HTTP yang merupakan protokol stateless, sedangkan aplikasi Web
membutuhkan beberapa gagasan tentang session state. Banyak teknik yang
menerapkan penanganan session dan pengetahuan profesional keamanan dalam
keamanan aplikasi Web akan bersaksi, banyak implementasi penanganan session
rentan terhadap session riding dan pembajakan. Apakah session riding / kerentanan
pembajakan intrinsik untuk teknologi aplikasi Web atau "Hanya" lazim di banyak
implementasi, saat ini masih diperdebatkan; dalam hal apapun, kerentanan
tersebut tentu relevan untuk cloud computing.
Akhirnya, kemajuan cryptoanalysis dapat membuat setiap mekanisme kriptografi
atau algoritma tidak aman sebagai metode baru untuk menghentikannya. Bahkan
lebih umum untuk menemukan kelemahan penting dalam implementasi algoritma
kriptografi, yang dapat mengubah enkripsi yang kuat dalam enkripsi lemah (atau
kadang-kadang tidak ada enkripsi sama sekali). Karena penyerapan luas cloud
computing tidak terpikirkan tanpa menggunakan kriptografi untuk melindungi
kerahasiaan dan integritas data di cloud, tidak aman atau usang merupakan
kerentanan kriptografi yang sangat relevan untuk cloud computing.