Es gibt unendlich viele Sicherheitsprobleme mit der Cloud. Um eine böse Wäscheliste zu sehen, lesen Sie die Dokumente von ENISA.

Aus dem ENISA-PDF, auf das @atdre bereits in seiner Antwort verwiesen hat.

GOVERNANCE-VERLUST: Bei der Verwendung von Cloud-Infrastrukturen gibt der Client die Kontrolle notwendigerweise an den Cloud-Anbieter ab ( CP) zu einer Reihe von Fragen, die die Sicherheit beeinträchtigen können. Gleichzeitig bieten SLAs möglicherweise keine Verpflichtung des Cloud-Anbieters an, solche Dienste bereitzustellen, wodurch eine Lücke in der Sicherheitsabwehr entsteht.
LOCK-IN: Derzeit ist nur wenig vorhanden Bieten Sie Tools, Verfahren oder Standarddatenformate oder Serviceschnittstellen an, die die Portabilität von Daten, Anwendungen und Diensten gewährleisten können. Dies kann es für den Kunden schwierig machen, von einem Anbieter zu einem anderen zu migrieren oder Daten und Dienste zurück in eine interne IT-Umgebung zu migrieren. Dies führt zu einer Abhängigkeit von einem bestimmten CP für die Bereitstellung von Diensten, insbesondere wenn die Datenportabilität als grundlegendster Aspekt nicht aktiviert ist.
ISOLATION FAILURE: Mandantenfähigkeit und gemeinsam genutzte Ressourcen definieren Merkmale von Cloud Computing. Diese Risikokategorie umfasst das Versagen von Mechanismen, die Speicher, Speicher, Routing und sogar die Reputation zwischen verschiedenen Mandanten trennen (z. B. sogenannte Guest-Hopping-Angriffe). Es sollte jedoch berücksichtigt werden, dass Angriffe auf Mechanismen zur Ressourcenisolierung (z. B. gegen Hypervisoren) für einen Angreifer immer noch weniger zahlreich und viel schwieriger in die Praxis umzusetzen sind als Angriffe auf herkömmliche Betriebssysteme.
COMPLIANCE-RISIKEN: Investitionen in das Erreichen der Zertifizierung (z. B. Industriestandard oder behördliche Anforderungen) können durch die Migration in die Cloud gefährdet werden:
wenn der CP nicht nachweisen kann, dass er die relevanten Anforderungen selbst erfüllt
wenn der CP erlaubt keine Prüfung durch den Cloud-Kunden (CC).
In bestimmten Fällen bedeutet dies auch, dass die Verwendung einer öffentlichen Cloud-Infrastruktur bedeutet, dass bestimmte Arten der Einhaltung nicht erreicht werden können (z. B. PCI DSS (4)).
KOMPROMISSE DER MANAGEMENT-SCHNITTSTELLE: Kundenverwaltungs-Schnittstellen eines öffentlichen Cloud-Anbieters sind über das Internet zugänglich und vermitteln den Zugriff auf größere Ressourcen (als herkömmliche Hosting-Anbieter) und stellen daher ein erhöhtes Risiko dar, insbesondere in Kombination mit Remote Sicherheitslücken in Bezug auf Zugriff und Webbrowser.
DATENSCHUTZ: Cloud Computing birgt verschiedene Datenschutzrisiken für Cloud-Kunden und -Anbieter. In einigen Fällen kann es für den Cloud-Kunden (in seiner Rolle als Datenverantwortlicher) schwierig sein, die Datenverarbeitungspraktiken des Cloud-Anbieters effektiv zu überprüfen und somit sicherzustellen, dass die Daten rechtmäßig behandelt werden. Dieses Problem wird in Fällen mehrfacher Datenübertragungen, z. B. zwischen Verbundwolken, verschärft. Auf der anderen Seite bieten einige Cloud-Anbieter Informationen zu ihren Datenverarbeitungspraktiken an. Einige bieten auch Zertifizierungszusammenfassungen zu ihren Datenverarbeitungs- und Datensicherheitsaktivitäten und den vorhandenen Datenkontrollen an, z. B. SAS70-Zertifizierung.
LÖSCHEN ODER UNVOLLSTÄNDIGES LÖSCHEN VON DATEN: Wenn eine Anforderung zum Löschen einer Cloud vorliegt Wie bei den meisten Betriebssystemen wird eine Ressource erstellt, die möglicherweise nicht zu einem echten Löschen der Daten führt. Ein angemessenes oder rechtzeitiges Löschen von Daten kann ebenfalls unmöglich (oder aus Kundensicht unerwünscht) sein, entweder weil zusätzliche Kopien von Daten gespeichert werden, aber nicht verfügbar sind, oder weil auf der zu zerstörenden Festplatte auch Daten von anderen Clients gespeichert werden. Bei mehreren Mietverhältnissen und der Wiederverwendung von Hardwareressourcen stellt dies ein höheres Risiko für den Kunden dar als bei dedizierter Hardware.
MALICIOUS INSIDER: Der Schaden, der normalerweise verursacht wird, ist normalerweise weniger wahrscheinlich von böswilligen Insidern ist oft viel größer. Cloud-Architekturen erfordern bestimmte Rollen, die ein extrem hohes Risiko aufweisen. Beispiele hierfür sind CP-Systemadministratoren und verwaltete Sicherheitsdienstanbieter.

Eine kleine Untergruppe von Sicherheitsproblemen (nicht unbedingt neu in der Cloud, aber definitiv schwieriger):

• Zugriffskontrolle
• Datenschutz und Vertraulichkeit
• Verfügbarkeit (Wie stark ist Ihr SLA wirklich? Entschädigt Ihr Provider für Schäden, die durch Offline entstehen?)
• Verbindung mit internen Systemen - Sie müssen häufig offene Löcher in Ihre Firewall bohren Damit einige andere Protokolle auf Ihre sensiblen internen Systeme zugreifen können.
• Konformität - Es gibt einige Vorschriften, insbesondere PCI-DSS, die Sie derzeit nicht einhalten können, wenn Sie Cloud-basierte Systeme verwenden. Beachten Sie, dass sie Cloud-Systeme möglicherweise nicht explizit verbieten, es jedoch einfach unmöglich ist, bei der Verwendung von Cloud-Systemen wie heute konform zu sein.
• In einigen Ländern gibt es bestimmte Gesetze, die es Ihnen verbieten, private Daten ihrer Bürger aus ihrem Land zu entfernen. Es gibt andere Länder, in die Sie nicht Ihre Daten verschieben möchten, da Sie nicht deren Gesetzen unterliegen möchten ... Wenn Sie trüben Sie wissen nicht wirklich, wo sich Ihre Systeme und Daten befinden. Wie können Sie also sicherstellen, dass Ihre Benutzer etwas über ihren Standort wissen? Woher wissen Sie, welche Gesetze Sie zu welchem ​​Zeitpunkt einhalten müssen? Und woher weißt du, dass du nicht schon illegal bist?

Es gab nur einen Blog-Beitrag von Lenny Zeltser zu diesem Thema: Top 10 Cloud-Sicherheitsrisiken

Die meisten seiner Punkte beziehen sich auf das Problem, das Sie nicht vollständig haben Kontrolle über die Infrastruktur und weiß möglicherweise nicht einmal mehr, wie sie intern funktioniert. Man weiß auch nicht mehr, wer sich noch auf demselben System befindet, und eine Sicherheitslücke in seinem System kann auf Ihre Daten übergreifen.

Ein weiteres Problem besteht darin, dass Sie einem Außenstehenden vertrauen müssen, um Ihre Daten zu sichern. Eine falsche Konfiguration und alle Ihre Daten können auslaufen.

Ich kann diese Umfrage zu Sicherheitsproblemen beim Cloud-basierten Hosting nur empfehlen: Self-Hosting vs. Cloud-Hosting: Berücksichtigung der Sicherheitsauswirkungen des Hostings in der Cloud.

In der Praxis habe ich gesehen, dass Unternehmen Websites ohne Codeüberprüfung in die Cloud verschoben haben. Der Code wurde für einen einzelnen Computer geschrieben, auf dem ASP.NET ausgeführt wird.

Die Cloud bietet hauptsächlich Scale-Out-Funktionen. Wenn die Site nicht skaliert werden konnte, treten Parallelitätsprobleme mit der Datenintegrität oder der Sitzungssicherheit auf. Um diese Probleme zu lösen, entfernen Entwickler entweder den nicht gleichzeitig ablaufenden Code (wodurch er manchmal weniger sicher ist) oder schreiben den Code neu, der zur Unterstützung sitzungsloser, gleichzeitiger Bereitstellungen erforderlich ist.

Zusätzlich zu den guten Punkten von AviD sind auch die folgenden Punkte sehr wichtig:

• Verfügbarkeit - ja, AviD hat es erwähnt, aber ich kann nicht genug betonen, wie wichtig es ist, dass Sie Ihre verstehen Vertrauen in die Cloud. Oft erwähnen Cloud-Anbieter die Unverwundbarkeit der Cloud, aber in Wirklichkeit ist ein Denial-of-Service-Angriff immer noch gültig, wenn Sie nicht rechtzeitig auf Ihre Anwendung zugreifen können.
• Einhaltung gesetzlicher Bestimmungen - an zwei Fronten: Wo ist deine Daten? Können Sie garantieren, dass es in der richtigen Gerichtsbarkeit bleibt, und können Sie für die E-Discovery garantieren, dass Sie alle Daten abgerufen haben, die mit einer Person / einem Ereignis verbunden sind?

Die Cloud stellt beides her schwerer zu bestätigen.

Um sicherzustellen, dass die Daten sicher sind und der Datenschutz gewahrt bleibt, kümmern sich Cloud-Computing-Anbieter um die folgenden Bereiche:

Datenschutz - Um als geschützt zu gelten, Daten von einem Kunden muss ordnungsgemäß von dem eines anderen getrennt werden; Es muss im Ruhezustand sicher aufbewahrt werden und sich sicher von einem Ort zum anderen bewegen lassen. Cloud-Anbieter verfügen über Systeme, um Datenlecks oder den Zugriff durch Dritte zu verhindern. Durch eine ordnungsgemäße Aufgabentrennung sollte sichergestellt werden, dass die Prüfung und / oder Überwachung auch von privilegierten Benutzern des Cloud-Anbieters nicht beeinträchtigt werden kann.

Identitätsmanagement - Jedes Unternehmen verfügt über ein eigenes Identitätsmanagement System zur Steuerung des Zugriffs auf Informationen und Computerressourcen. Cloud-Anbieter integrieren entweder das Identitätsmanagementsystem des Kunden mithilfe von Verbund- oder SSO-Technologie in ihre eigene Infrastruktur oder bieten eine eigene Identitätsverwaltungslösung.

Physische und personelle Sicherheit - Anbieter Stellen Sie sicher, dass physische Maschinen ausreichend sicher sind und dass der Zugriff auf diese Maschinen sowie alle relevanten Kundendaten nicht nur eingeschränkt, sondern auch dokumentiert wird.

Verfügbarkeit - Cloud-Anbieter versichern Kunden dass sie regelmäßig und vorhersehbar auf ihre Daten und Anwendungen zugreifen können.

Anwendungssicherheit - Cloud-Anbieter stellen sicher, dass Anwendungen, die als Service über die Cloud verfügbar sind, durch Implementierung von Tests und Akzeptanz sicher sind Verfahren für ausgelagerten oder verpackten Anwendungscode. Außerdem müssen in der Produktionsumgebung Sicherheitsmaßnahmen für Anwendungen (Firewalls auf Anwendungsebene) vorhanden sein.

Datenschutz - Schließlich stellen die Anbieter sicher, dass alle kritischen Daten (z. B. Kreditkartennummern) maskiert sind und nur autorisierte Benutzer Zugriff auf Daten in ihrer Gesamtheit haben. Darüber hinaus müssen digitale Identitäten und Anmeldeinformationen geschützt werden, ebenso wie alle Daten, die der Anbieter über Kundenaktivitäten in der Cloud sammelt oder produziert.

Weitere Informationen zu Cloud Computing in Indien finden Sie unter - Link von mod entfernt

Durch die Virtualisierung, die die Wurzel der Cloud-Computing-Technologie darstellt, wird der sogenannte Begriff "Perimeter" entfernt, der in üblichen DCs (Rechenzentren) als Leitfaden diente, wo mit der Verteidigung begonnen werden soll und was zu tun ist. Da die meisten Daten in Clouds zwischen physischen Servern und virtuellen Maschinen übertragen werden, ist die Kontrolle über ein solches System eingeschränkt - weniger Möglichkeiten für die Netzwerksegmentierung und die Verwendung von Hardwareschutz. Eine solche neue DC-Virtualisierung erfordert eine neue Zugriffsrichtlinie und Datenverwaltungssoftware.

Es wurde eine gemeinnützige Organisation namens Cloud Security Alliance (CSA) gegründet, die auf Cloud-Sicherheit abzielt: http://www.cloudsecurityalliance.org/. Dort finden Sie Anleitungen und Best Practices für den Umgang mit Cloud Computing.

NIST erschien 2020 mit NISTIR 8006, NIST Cloud Computing Forensic Science Challenges | CSRC. Es dokumentiert und kategorisiert Herausforderungen, die für die forensische Untersuchung von Cloud Computing spezifisch sind, aber dies beinhaltet viele verwandte Probleme.

Hier ist die Liste der Herausforderungen aus Abschnitt 3.2.3 Kategorisierung von Herausforderungen :

• Architektur (z. B. Vielfalt, Komplexität, Herkunft, Mandantenfähigkeit, Datensegregation).
  • Umgang mit Variabilität in Cloud-Architekturen zwischen Anbietern
  • Mandant Datenkompartimentierung und -isolierung während der Bereitstellung von Ressourcen
  • Verbreitung von Systemen, Standorten und Endpunkten, in denen Daten gespeichert werden können
  • Genaue und sichere Herkunft für die Aufrechterhaltung und Aufrechterhaltung der Aufbewahrungskette
• Datenerfassung (z. B. Datenintegrität, Datenwiederherstellung, Datenortung, Bildgebung).
  • Lokalisieren von forensischen Artefakten in großen, verteilten und dynamischen Systemen
  • Auffinden und Sammeln flüchtiger Daten
  • Datenerfassung von virtuellen Maschinen
  • Datenintegrität in einer Umgebung mit mehreren Mandanten, in der Daten gemeinsam genutzt werden g mehrere Computer an mehreren Standorten, auf die mehrere Parteien zugreifen können
  • Unfähigkeit, alle forensischen Artefakte in der Cloud abzubilden
  • Zugriff auf die Daten eines Mandanten, ohne die Vertraulichkeit anderer Mandanten zu verletzen
  • Wiederherstellung gelöschter Daten in einer gemeinsam genutzten und verteilten virtuellen Umgebung

• Analyse (z. B. Korrelation, Rekonstruktion, Zeitsynchronisation, Protokolle, Metadaten, Zeitleisten).
  • Korrelation forensischer Artefakte zwischen und innerhalb von Cloud-Anbietern
  • Rekonstruktion von Ereignissen aus virtuellen Bildern oder Speichern
  • Integrität von Metadaten
  • Zeitleistenanalyse von Protokolldaten, einschließlich Synchronisierung von Zeitstempeln

• Anti-Forensik (z. B. Verschleierung, Ausblenden von Daten, Malware). Anti-Forensik ist eine Reihe von Techniken, die speziell verwendet werden, um forensische Analysen zu verhindern oder irrezuführen.
  • Die Verwendung von Verschleierung, Malware, Ausblenden von Daten oder anderen Techniken, um die Integrität von Beweisen zu gefährden.
  • Malware kann Isolationsmethoden für virtuelle Maschinen
• umgehen Vorfälle bei Ersthelfern (z. B. Vertrauenswürdigkeit von Cloud-Anbietern, Reaktionszeit, Rekonstruktion).
  • Vertrauen, Kompetenz und Vertrauenswürdigkeit der Cloud-Anbieter, als Ersthelfer zu fungieren und Datenerfassung durchzuführen.
  • Schwierigkeit in Durchführen einer ersten Triage
  • Verarbeiten einer großen Menge gesammelter forensischer Artefakte

Umgebungen mit mehreren Mandanten sind anfällig für verwandte Domain-Cookie-Angriffe