Kerentanan: Overview
Kerentanan merupakan faktor yang menonjol risiko. ISO 27005 mendefinisikan risiko
sebagai "potensi ancaman yang diberikan akan mengeksploitasi kerentanan aset
atau kelompok aset sehingga membahayakan organisasi, "mengukurnya baik dari
segi kemungkinan suatu peristiwa dan konsekuensinya. taksonomi resiko 1 The
Open Group (www.opengroup.org/onlinepubs/9699919899/toc.pdf) penawaran
gambaran yang berguna faktor risiko (lihat Gambar 1).
kelompok taksonomi menggunakan dua tingkat yang sama diatas, faktor risiko
seperti ISO 27005: kemungkinan dari kegiatan yang berbahaya (di sini, kehilangan
frekuensi event) dan konsekuensinya (Di sini, kemungkinan rugi besar). Besarnya
kerugian kemungkinan merupakan subfaktor (di sebelah kanan pada Gambar 1)
pengaruh biaya maksimum untuk sesuatu yang berbahaya. frekuensi kerugian
acara subfaktor (di sebelah kiri) sedikit lebih rumit. Sebuah loss event terjadi ketika
ancaman agen (seperti hacker) berhasil mengeksploitasi kerentanan. Frekuensi
dengan yang ini terjadi tergantung pada dua faktor:
untuk penyerang?) dan berapa banyak akses ( "Hubungi") agen untuk target
serangan.
Perbedaan antara kemampuan serangan ancaman agen dan kekuatan sistem
untuk melawan serangan itu. Faktor kedua ini membawa kita kearah definisi
kerentanan yang berguna.
Defining Vulnerability
Risiko menurut taksonomi Open Group,
Kerentanan adalah probabilitas bahwa aset akan mampu menahan tindakan
ancaman agen. Kerentanan ada ketika ada perbedaan antara teknik yang
diterapkan oleh ancaman agen, dengan kemampuan obyek untuk menahan teknik
itu.
Jadi, resistensi kerentanan harus selalu dijelaskan dalam hal terhadap jenis
serangan tertentu. Contoh dunia nyata, ketidakmampuan mobil untuk melindungi
sopirnya terhadap cedera saat terkena frontal oleh truk yang dikemudikan dalam
kecepatan60 mph adalah kerentanan; perlawanan mobil dari crumple zone hanya
terlalu lemah dibandingkan dengan kekuatan truk. Sedangkan terhadap "serangan"
dari biker, bahkan mengemudikan mobil kecil pada kecepatan yang lebih moderat,
Kekuatan perlawanan mobil memadai dengan sempurna.
Kami juga dapat menggambarkan kerentanan komputer yang merupakan bug yang
berhubungan dengan keamanan yang menutup Anda dengan vendorprovide patchsebagai melemahnya atau menghilangnya kekuatan perlawanan tertentu. Sebuah
kerentanan buffer-overflow, misalnya, melemahkan ketahanan sistem kode eksekusi
yang sewenang-wenang. Apakah penyerang bisa mengeksploitasi kerentanan ini
tergantung pada kemampuan mereka.
Vulnerabilities and Cloud Risk
Kita sekarang akan mengkaji bagaimana cloud computing pengaruh faktor risiko
pada Gambar 1, dimulai dengan sisi kanan pohon faktor risiko. Dari perspektif
pelanggan cloud, sebelah sisi kanan yang berurusan dengan besarnya kemungkinan
dimasa depan yang tidak berubah sama sekali oleh komputasi awan: konsekuensi
dan biaya akhir, katakanlah pelanggaran kerahasiaan, persis sama terlepas dari
apakah data pelanggaran terjadi dalam cloud atau konvensional infrastruktur TI.
Untuk penyedia layanan cloud, hal ini terlihat agak berbeda: karena sistem cloud
computing sebelumnya dipisahkan dari infrastruktur yang sama, kerugian kegiatan
bisa berarti sebuah dampak yang jauh lebih besar. Tapi fakta ini mudah dipahami
dan dimasukkan ke dalam penilaian risiko: tidak ada konseptual yang bekerja untuk
beradaptasi menganalisis dampak untuk komputasi awan yang tampaknya
diperlukan.
Jadi, kita harus mencari perubahan pada Gambar 1 ini pada sisi kiri-frekuensi loss
event. Cloud computing bisa mengubah probabilitas dari peristiwa berbahaya ini.
Seperti yang kita tunjukkan nanti, penyebab perubahan cloud computing yang
signifikan dalam faktor kerentanan. Dan Tentu saja, pindah ke infrastruktur cloud
mungkin mengubah tingkat akses dan motivasi penyerang, serta
usaha dan risiko-fakta yang harus dianggap sebagai pekerjaan dimasa depan. Tapi,
untuk mendukung penilaian risiko cloud yangspesifik, tampaknya yang paling
menguntungkan dengan memulai memeriksa
sifat yang tepat dari kerentanan cloud yang spesifik.
Cloud Computing
Apakah ada hal "cloud khusus" sebagai kerentanan?
Jika demikian, faktor-faktor tertentu didalam cloud computing ini harus membuat
kerentanan cloud yang spesifik. Pada dasarnya, cloud computing diketahui
menggabungkan teknologi (seperti virtualisasi) dengan cara cerdik untuk
menyediakan layanan TI "dari roda berjalan" menggunakan skala ekonomi. Kita
sekarang akan melihat lebih dekat apa teknologi inti dan karakteristik
penggunaannya dalam cloud computing yang sangat penting.
Inti Cloud Computing Teknologi
Cloud computing dibangun berdasarkan pada kemampuan yang tersedia melalui
beberapa teknologi inti:
Aplikasi dan layanan Web. Software sebagai sebuah layanan (SaaS) dan
platform sebagai layanan (PaaS) yang tidak mungkin tanpa aplikasi Web dan
teknologi layanan Web: SaaS biasanya diimplementasikan pada aplikasi Web,
sementara PaaS menyediakan pengembangan dan runtime lingkungan untuk
aplikasi web dan layanannya. Untuk infrastruktur layanan (IaaS),
administrator biasanya menerapkan layanan dan infrastruktur terkait, seperti
Akses manajemen untuk pelanggan menggunakan aplikasi Web/teknologi
layanan.
Virtualisasi IaaS. Teknologi ini memiliki teknik virtualisasi pada jantung
mereka; karena PaaS dan SaaS jasa biasanya dibangun di atas infrastruktur
IaaS yang mendukung, pentingnya virtualisasi juga meluas ke model layanan
ini. Di masa depan, kami berharap virtualisasi untuk pengembangan
virtualisasi server ke sumber daya komputasi yang dapat digunakan lebih
mudah untuk mengeksekusi layanan SaaS.
Kriptografi. Banyak persyaratan keamanan cloud computing dipecahkan
hanya dengan menggunakan kriptografi teknik.
Karakteristik penting
Dalam deskripsi dari karakteristik awan yang penting, US National Institute of
Standards and Technology
(NIST) menangkap dengan baik apa yang dimaksud untuk memberikan layanan TI
dari roda berjalan menggunakan skala ekonomi:
On-demand self-service. Pengguna dapat memesan dan mengelola layanan tanpa
interaksi manusia dengan layanan penyedia, menggunakan, misalnya, sebuah
portal Web dan antarmuka manajemen. Provisioning dan deprovisioning layanan
dan sumber daya terkait terjadi secara otomatis pada penyedia.
akses jaringan Ubiquitous. layanan cloud diakses melalui jaringan (biasanya
internet), dengan menggunakan standar mekanisme dan protokol.
Sumber Daya pooling. sumber daya komputasi yang digunakan untuk
menyediakan layanan cloud yang diwujudkan menggunakan homogen infrastruktur
yang dibagi antara semua pengguna layanan.
elastisitas cepat. Sumber daya dapat ditingkatkan dan diturunkan dengan cepat
dan elastis.
layanan Terukur. Penggunaan sumber daya / layanan terus diukur, mendukung
optimasi penggunaan sumber daya, penggunaan dilaporkan kepada pelanggan, dan
membayar sebagi anda-dilihat dari model bisnis.
kerangka definisi NIST untuk cloud computing dengan daftar karakteristik penting
sekarang telah berkembang menjadi de facto standar untuk mendefinisikan cloud
computing.
Kerentanan cloud-Spesifik
Berdasarkan pandangan abstrak dari cloud computing yang kami sajikan
sebelumnya, kita sekarang dapat bergerak menuju definisi dari apa yang
merupakan kerentanan cloud-spesifik. Kerentanan cloud tertentu jika
Core-Teknologi Kerentanan
aplikasi inti teknologi-Web cloud computing dan jasa, virtualisasi, dan cryptographymemiliki kerentanan yang intrinsik dengan teknologi atau yang lazim di teknologi
negara dari implementasi seni. Tiga contoh kerentanan tersebut adalah mesin
virtual yang lepas, session riding dan pembajakan, dan kriptografi yang sudah tidak
aman atau usang.
Pertama, kemungkinan bahwa penyerang mungkin berhasil melarikan diri dari
lingkungan virtual terletak pada sifat virtualisasi. Oleh karena itu, kita harus