Levinumad pilveteenustega seonduvad riskid

Pilveteenus
Pilveteenuste kasutamine levib üha enam.

Ettevõtete seas üha levivate pilveteenustega seotud riskid ulatuvad andmevahetuse pealtkuulamisest võrguprobleemide ja otseste rünnakuteni.

Kuigi pilveteenuste heade külgede kõrval nähakse neid suurema ohu allikana kui majasisest ITd, on enamik riske siiski kattuvad. Majasiseste lahenduste puhul lihtsalt teadvustatakse neid riske vähem.

Ülevaate pilveteenustega seotud peamistest riskidest ja nende olemusest annab CSA (Cloud Security Alliance) ja ENISA (European Union Agency for Network and Information Security) loetelu.

Tootjalõks. Pilveteenused põhinevad tihti mittestandardsetel andmeformaatidel ja rakenduste loogikal, mis võib andmete ülekandmise ühe teenusepakkuja juurest teise juurde teha keeruliseks või isegi võimatuks.

Halduskontrolli kadumine. Pilveteenuseid kasutades võib klient teenusepakkuja kätte loovutada kontrolli mitme asjaolu üle, mis võivad mõjutada muu hulgas näiteks turvalisust.

Andmete õngitsemine. Eesmärk on infot koguda, inimestega manipuleerida konfidentsiaalsete andmete avaldamiseks või mingite tegevuste sooritamiseks arvutisüsteemidele ligipääsuks ohvri teadmata.

Ressursside ammendumine. Kuna pilveteenused on nõudmispõhised, siis on võimalus, et teenusepakkuja ei ole võimeline pakkuma kliendi soovitud suuremat hulka mingit ressurssi.

Isolatsiooni katkemine. Ühiskasutatavate keskkondade puhul pole võimatu, et süsteemivigade või sihilike rünnakute tõttu pääseb üks teenusekasutaja (või ründaja) ligi teise kasutaja ressurssidele või andmetele.

Teenusepakkuja pahatahtlik tegevus. Teenusepakkuja töötaja pahatahtlik privilegeeritud õigustega ligipääs kliendi ressurssidele ja andmetele.

Teadmata riskid. Teenusepakkujate tegevus on läbipaistmatu, mis tähendab kliendi jaoks teadmatust vastavussertifikaatide, turvaprotseduuride, konfiguratsioonihalduse, monitooringu, logihalduse jms kohta.

Haldusvahendite kompromiteeri mine. Avaliku pilveteenuse puhul on haldusvahendid interneti kaudu ligipääsetavad, mis tähendab riski soovimatute ligipääsukatsete näol. Täiendav oht on kaugligipääsuvahendite ja veebilehitsejate vigade ärakasutamine.

Andmevahetuse pealtkuulamine. Avaliku pilveteenuse ja kliendi andmevahetuse puhul on tõenäosus andmeside pealtkuulamiseks suurem kui majasiseste lahenduste puhul.

Ebaturvaline või ebapiisav andmete kustutamine. Krüpteerimata andmete puhul on oht, et näiteks salvestusruumi mahu muutmisel suuremast väiksemaks või teenusepakkuja vahetamise korral avalduvad kustutamata andmed kas teistele teenuse kasutajatele või teenusepakkujale.

DDos-rünne. Ründe eesmärk on teenusepakkuja ülekoormamine, nii et klientidel on oma teenuseni jõudmine raskendatud. Tõenäosus, et niisugust rünnet tehakse teenusepakkuja ühe kliendi vastu, on väiksem kui üksiku kliendi ettevõttesisese IT-lahenduse vastu. Enamasti on pilveteenuste pakkujatel rohkem võimalusi ja ressursse sellise ründega toime tulla kui üksikettevõttel.

EDoS-rünne. Lähtuvalt asjaolust, et pilveteenuste puhul mõõdetakse ressursikasutust, sh näiteks andmesidet ja süsteemi parameetreid, ning koormuse tõustes saab neil lasta automaatselt suureneda, on teenuse kehva halduse või rahaliste vahendite halva piiramisvõimaluse tõttu võimalik põhjustada kliendi suurenenud rahalisi väljaminekuid, mis omakorda võib kliendi finantsressursside ootamatu lõppemise korral (nt ettemakse puhul) teenuse peatada.

Pilveteenusest olenematud võrguprobleemid. Võivad ilmneda ka majasiseste IT-lahenduste puhul, ründed andmesidevõrgule, võrguoperaatori ühenduse probleemid, pilveteenuse pakkuja võrguoperaatori võrguprobleemid.

Loodusõnnetused. Loodusõnnetuste (uputused, maavärinad jne) mõju teenusepakkuja tegevusele, mis võib mõju avaldada ka õnnetuskohast kaugel asuvale kliendile. Enamasti on teenusepakkujate taristulahendused piisava varuga, et teenus saaks jätkuda, olles seega töökindlam kui paljude klientide tavalahendused.

Kohtuasjad ja juurdlused. Õiguskaitseorganite tegevuse tõttu on võimalik, et teenusepakkuja andmesalvestusseadmed või muu riistvara arestitakse või konfiskeeritakse asitõendina.

Õigusalluvuse risk. Kui kliendi andmeid hoitakse või töödeldakse mõnes muus riigis, mitte kliendi asukohamaal, võib esineda olukordi, kus andmed arestitakse või teenused katkestatakse põhjustel, milliseid kliendi asukohariigis ei eksisteeri.

Intellektuaalomandi probleemid. On võimalus, et luuakse originaalloomingut (nt uued tarkvaralahendused), mis on seotud teenusepakkuja konkreetse keskkonnaga. Kui see ei ole teenusepakkuja ja -kasutaja kokkuleppes kaetud, kätkeb loodav originaallooming omandiriski.

Osale arutelus

  • Karel Lember, cloudware.ee pilveteenuste konsultant

Toetajad

Jälgi ITuudiseid sotsiaalmeedias

RSS

Toetajad

Valdkonna töökuulutused

Derivco is looking for a QA SPECIALIST

Derivco Estonia OÜ

15. september 2017

Artiza Networks is looking for an R&D TEAM LEADER

Manpower OÜ

03. september 2017

Derivco is looking for a JUNIOR .NET DEVELOPER

Derivco Estonia OÜ

15. september 2017

Käsi­raamatud