Термин „облак“ је постао еминентан у савременим предузећима. Цлоуд^(Cloud) технологија је економична и флексибилна и омогућава корисницима приступ подацима са било ког места. Користе га појединци, као и мала, средња и велика предузећа. У основи постоје три врсте услуга у облаку које укључују:

1. Инфраструктура као услуга (ИааС)
2. Софтвер као услуга (СааС)
3. Платформа као услуга (ПааС).

Иако постоји много предности технологије у облаку, она такође има свој део безбедносних изазова и ризика. Подједнако је популаран међу хакерима и нападачима као и међу правим корисницима и предузећима. Недостатак одговарајућих безбедносних мера и механизама излаже услуге у облаку вишеструким претњама које могу нанети штету нечијем пословању. У овом чланку ћу разговарати о безбедносним претњама и питањима која треба да се позабаве и о којима треба водити рачуна док укључујете рачунарство у облаку у ваше пословање.

Шта су безбедносни изазови^{(Security Challenges)} , претње^(Threats) и проблеми у облаку

Главни ризици са услугама рачунарства у облаку су:

1. ДоС и ДДоС напади
2. Отмица налога
3. Кршење података
4. Небезбедни АПИ-ји
5. Убацивање злонамерног софтвера у облаку
6. Напади бочним каналом
7. Губитак података
8. Недостатак видљивости или контроле

1] ДоС и ДДоС напади

Напади ускраћивања услуге^{(Denial of Service)} (ДоС) и дистрибуираног ускраћивања услуге^{(Distributed Denial of Service)(Distributed Denial of Service)} ( ДДоС^(DDoS) ) су један од главних безбедносних ризика у било којој услузи у облаку. У овим нападима, противници преплављују мрежу нежељеним захтевима толико да мрежа постаје неспособна да одговори правим корисницима. Такви напади могу довести до тога да организација претрпи мањи приход, изгуби вредност бренда и поверења купаца, итд.

Предузећима се препоручује да користе услуге заштите од ДДоС-а^{(DDoS protection services)} помоћу технологије облака. За одбрану од оваквих напада заправо је постала потреба сата.

Повезано читање: ^{(Related read:)} Бесплатна ДДоС заштита за вашу веб локацију помоћу Гоогле Пројецт Схиелд-а

2] Отмица налога

Отмица^(Hijacking) налога је још један сајбер злочин којег сви морају бити свјесни. У услугама у облаку то постаје све теже. Ако су чланови компаније користили слабе лозинке или поново користили своје лозинке са других налога, противницима постаје лакше да хакују налоге и добију неовлашћени приступ њиховим налозима и подацима.

Организације које се ослањају на инфраструктуру засновану на облаку морају да се позабаве овим проблемом са својим запосленима. Зато што то може довести до цурења њихових осетљивих информација. Дакле, научите запослене важности јаких лозинки^{(strong passwords)} , замолите их да не користе поново своје лозинке са неког другог места, чувајте се пхисхинг напада^{(beware of phishing attacks)} и само будите пажљивији у целини. Ово може помоћи организацијама да избегну отмицу налога.

Прочитајте^(Read) :  Претње безбедности мреже^{(Network Security Threats)} .

3] Кршење података

Кршење података није нови термин у области сајбер безбедности. У традиционалним инфраструктурама, ИТ особље има добру контролу над подацима. Међутим, предузећа са инфраструктуром заснованом на облаку су веома рањива на кршење података. У различитим извештајима идентификован је напад под називом Човек у облаку^{(Man-In-The-Cloud)} ( МИТЦ^(MITC) ). У овој врсти напада на облак, хакери добијају неовлашћени приступ вашим документима и другим подацима који се чувају на мрежи и краду ваше податке. То може бити узроковано неправилним подешавањем сигурносних поставки у облаку.

Предузећа која користе облак морају проактивно да планирају такве нападе уградњом слојевитих одбрамбених механизама. Такви приступи им могу помоћи да избегну кршење података у будућности.

4] Небезбедни АПИ-ји

^(Cloud)Провајдери услуга у облаку нуде АПИ-^(APIs) је ( апликациони програмски интерфејси^{(Application Programming Interfaces)} ) корисницима за лаку употребљивост. Организације користе АПИ-^(APIs) је са својим пословним партнерима и другим појединцима за приступ својим софтверским платформама. Међутим, недовољно обезбеђени АПИ-ји^(APIs) могу довести до губитка осетљивих података. Ако се АПИ-ји^(APIs) креирају без аутентификације, интерфејс постаје рањив и нападач на интернету може имати приступ поверљивим подацима организације.

За његову одбрану, АПИ-ји^(APIs) морају бити креирани са јаком аутентификацијом, шифровањем и безбедношћу. Такође, користите стандарде АПИ-ја^(APIs) који су дизајнирани са безбедносне тачке гледишта и користите решења као што је Детекција мреже^{(Network Detection)} за анализу безбедносних ризика у вези са АПИ-јима^(APIs) .

5] Убацивање злонамерног софтвера у облаку

Убацивање злонамерног^(Malware) софтвера је техника за преусмеравање корисника на злонамерни сервер и контролу над његовим/њеним информацијама у облаку. То се може извести тако што се убаци злонамерна апликација у СааС^(SaaS) , ПааС^(PaaS) или ИааС^(IaaS) сервис и буде преварен да преусмери корисника на сервер хакера. Неки примери напада убризгавањем злонамерног софтвера^{(Malware Injection)} укључују нападе скриптовања на више локација^{( Cross-site Scripting Attacks)} , нападе СКЛ ињекцијом^{(SQL injection attacks)} и нападе премотавања^{(Wrapping attacks)} .

6] Напади бочним каналом

У нападима са стране канала, противник користи злонамерну виртуелну машину на истом хосту као и физичка машина жртве, а затим извлачи поверљиве информације са циљне машине. Ово се може избећи коришћењем јаких безбедносних механизама као што су виртуелни заштитни зид, коришћење насумичног шифровања-дешифровања, итд.

7] Губитак података

Случајно^(Accidental) брисање података, злонамерно манипулисање или искључење услуге у облаку могу узроковати озбиљан губитак података предузећима. Да би превазишле овај изазов, организације морају бити припремљене са планом опоравка од катастрофе у облаку, заштитом мрежног слоја и другим плановима за ублажавање.

8] Недостатак видљивости или контроле

Надгледање ресурса заснованих на облаку представља изазов за организације. Пошто ови ресурси нису у власништву саме организације, то ограничава њихову способност да надгледају и штите ресурсе од сајбер напада.

Предузећа добијају много предности од технологије облака. Међутим, они не могу занемарити инхерентне безбедносне изазове са којима то долази. Ако се не предузму одговарајуће безбедносне мере пре имплементације инфраструктуре засноване на облаку, предузећа могу претрпети велику штету. Надамо се да ће вам овај чланак помоћи да научите безбедносне изазове са којима се суочавају услуге у облаку. Ријешите се ризика, имплементирајте снажне сигурносне планове у облаку и максимално искористите технологију облака.

Сада прочитајте: ^{(Now read:)} Свеобухватни водич за приватност на мрежи.^{(A Comprehensive Guide to Online Privacy.)}

What are Cloud Security Challenges, Threats and Issues

The term “cloud” has become eminent in modern-day businesses. Cloud tеchnоlogy is economical and flexible and it enables users to access data from anywhere. It is used by individuals as well as small, medium, and large size enterpriseѕ. There arе basіcally three typeѕ of сlоud services thаt include:

1. Infrastructure as a Service (IaaS)
2. Software as a Service (SaaS)
3. Platform as a Service (PaaS).

While there are a lot of advantages to cloud technology, it also has its share of security challenges and risks. It is equally popular amongst hackers and attackers as it is amongst genuine users and businesses. The lack of proper security measures and mechanisms exposes cloud services to multiple threats that can cause damage to one’s business. In this article, I am going to discuss the security threats and issues that need to be addressed and taken care of while incorporating cloud computing in your business.

What are Cloud Security Challenges, Threats, and Issues

The main risks with cloud computing services are:

1. DoS and DDoS attacks
2. Account Hijacking
3. Data Breaches
4. Insecure APIs
5. Cloud Malware Injection
6. Side Channel Attacks
7. Data Loss
8. Lack of Visibility or Control

1] DoS and DDoS attacks

Denial of Service (DoS) and Distributed Denial of Service (DDoS) attacks are one of the major security risks in any cloud service. In these attacks, adversaries overwhelm a network with unwanted requests so much that the network becomes unable to respond to genuine users. Such attacks may cause an organization to suffer less revenue, lose brand value and customer trust, etc.

Enterprises are recommended to employ DDoS protection services with cloud technology. It has actually become a need of the hour to defend against such attacks.

Related read: Free DDoS protection for your website with Google Project Shield

2] Account Hijacking

Hijacking of accounts is another cybercrime that everyone must be aware of. In cloud services, it becomes all the more tricky. If the members of a company have used weak passwords or reused their passwords from other accounts, it becomes easier for adversaries to hack accounts and get unauthorized access to their accounts and data.

Organizations that rely on cloud-based infrastructure must address this issue with their employees. Because it can lead to leak of their sensitive information. So, teach employees the importance of strong passwords, ask them to not reuse their passwords from somewhere else, beware of phishing attacks, and just be more careful on the whole. This may help organizations avoid account hijacking.

Read: Network Security Threats.

3] Data Breaches

Data Breach is no new term in the field of cybersecurity. In traditional infrastructures, IT personnel has good control over the data. However, enterprises with cloud-based infrastructures are highly vulnerable to data breaches. In various reports, an attack titled Man-In-The-Cloud (MITC) was identified. In this type of attack on the cloud, hackers get unauthorized access to your documents and other data stored online and steal your data. It can be caused due to improper configuration of cloud security settings.

Enterprises that utilize the cloud must plan proactively for such attacks by incorporating layered defense mechanisms. Such approaches may help them avoid data breaches in the future.

4] Insecure APIs

Cloud service providers offer APIs (Application Programming Interfaces) to customers for easy usability. Organizations use APIs with their business partners and other individuals for access to their software platforms. However, insufficiently secured APIs can lead to the loss of sensitive data. If APIs are created without authentication, the interface becomes vulnerable and an attacker on the internet can have access to the organization’s confidential data.

To its defense, APIs must be created with strong authentication, encryption, and security. Also, use APIs standards that are designed from a security point of view, and make use of solutions like Network Detection to analyze security risks related to APIs.

5] Cloud Malware Injection

Malware injection is a technique to redirect a user to a malicious server and have control of his/ her information in the cloud. It can be carried out by injecting a malicious application into SaaS, PaaS, or IaaS service and getting tricked into redirecting a user to a hacker’s server. Some examples of Malware Injection attacks include Cross-site Scripting Attacks, SQL injection attacks, and Wrapping attacks.

6] Side Channel Attacks

In side-channel attacks, the adversary uses a malicious virtual machine on the same host as the victim’s physical machine and then extracts confidential information from the target machine. This can be avoided using strong security mechanisms like virtual firewall, use of random encryption-decryption, etc.

7] Data Loss

Accidental data deletion, malicious tampering, or cloud service being down can cause serious data loss to enterprises. To overcome this challenge, organizations must be prepared with a cloud disaster recovery plan, network layer protection, and other mitigation plans.

8] Lack of Visibility or Control

Monitoring cloud-based resources is a challenge for organizations. As these resources are not owned by the organization themselves, it limits their ability to monitor and protect resources against cyberattacks.

Enterprises are gaining a lot of benefits from cloud technology. However, they can’t neglect the inherent security challenges it comes with. If no proper security measures are taken before implementing cloud-based infrastructure, businesses can suffer a lot of damage. Hopefully, this article helps you learning security challenges that are faced by cloud services. Address the risks, implement strong cloud security plans, and make the most out of cloud technology.

Now read: A Comprehensive Guide to Online Privacy.

Related posts

• Касперски Сецурити Цлоуд бесплатни антивирусни преглед - Заштитите Виндовс 10

• Цристал Сецурити је бесплатна алатка за откривање злонамерног софтвера заснована на облаку за рачунар

• Који су безбедносни ризици рачунарства у облаку?

• Мање познате претње мрежне безбедности којих би администратори требало да буду свесни

• Биометријске претње безбедности и противмере

• Шта је Цлоуд и Цлоуд Цомпутинг? Увод за почетнике!

• Врсте рачунарства у облаку

• Како користити Стеам Цлоуд Савес за своје игре

• пЦлоуд преглед: Да ли је то добра алтернативна услуга складиштења у облаку?

• Разумевање Блоб-а, реда чекања, складиштења табела у Виндовс Азуре-у

• Онемогућите претрагу садржаја у облаку у пољу за претрагу на траци задатака у оперативном систему Виндовс 11/10

• Како инсталирати ВордПресс на Гоогле Цлоуд Платформу

• Најбоље Гоогле Пхотос алтернативе за складиштење фотографија и видео записа на мрежи

• ОнеДриве против Гоогле диска – Која је боља услуга у облаку?

• Укључите Цлоуд Бацкуп за апликацију Мицрософт Аутхентицатор на Андроид-у и иПхоне-у

• Јавни облак наспрам приватног облака: дефиниција и разлика

• Како додати Дропбок као услугу у облаку у Мицрософт Оффице

• Гоогле диск наспрам Дропбок-а: карактеристике, софтвер, поређење планова за складиштење

• Цлоуд Цлипбоард (Цтрл+В) не ради или се не синхронизује у оперативном систему Виндовс 10

• Шта је Амазон Киндле Цлоуд Реадер и како га користити