क्लाउड कंप्यूटिंग कई अद्वितीय सुरक्षा मुद्दों और चुनौतियों को प्रस्तुत करता है। क्लाउड में, डेटा को तृतीय-पक्ष प्रदाता के साथ संग्रहीत किया जाता है और इंटरनेट पर एक्सेस किया जाता है। इसका मतलब है कि उस डेटा पर दृश्यता और नियंत्रण सीमित है। इससे यह सवाल भी उठता है कि इसे ठीक से कैसे सुरक्षित किया जा सकता है। यह जरूरी है कि हर कोई अपनी संबंधित भूमिका और क्लाउड कंप्यूटिंग में निहित सुरक्षा मुद्दों को समझे।
क्लाउड सेवा प्रदाता क्लाउड सुरक्षा मुद्दों और जोखिमों को एक साझा जिम्मेदारी के रूप में मानते हैं। इस मॉडल में, क्लाउड सेवा प्रदाता क्लाउड की सुरक्षा को कवर करता है, और ग्राहक इसमें जो कुछ भी डालता है उसकी सुरक्षा को कवर करता है। Microsoft 365 जैसे सॉफ़्टवेयर-ए-ए-सर्विस (SaaS) से लेकर Amazon Web Services (AWS) जैसे इन्फ्रास्ट्रक्चर-ए-ए-सर्विस (IaaS) तक - हर क्लाउड सेवा में - क्लाउड कंप्यूटिंग ग्राहक हमेशा अपने डेटा को सुरक्षा खतरों से बचाने और उस तक पहुंच को नियंत्रित करने के लिए जिम्मेदार होता है।
अधिकांश क्लाउड कंप्यूटिंग सुरक्षा जोखिम क्लाउड डेटा सुरक्षा से संबंधित हैं। चाहे डेटा की दृश्यता की कमी, डेटा को नियंत्रित करने में असमर्थता, या क्लाउड में डेटा की चोरी, अधिकांश मुद्दे क्लाउड में डाले गए डेटा ग्राहकों पर वापस आते हैं। SaaS, IaaS और निजी क्लाउड में शीर्ष क्लाउड सुरक्षा मुद्दों के विश्लेषण के लिए नीचे पढ़ें, इस क्रम में रखा गया है कि वे दुनिया भर के उद्यम संगठनों द्वारा कितनी बार अनुभव किए जाते हैं।
शीर्ष 10 सास क्लाउड सुरक्षा मुद्दे
- क्लाउड अनुप्रयोगों के भीतर कौन सा डेटा है, इसकी दृश्यता का अभाव
- दुर्भावनापूर्ण अभिनेता द्वारा क्लाउड एप्लिकेशन से डेटा की चोरी
- संवेदनशील डेटा तक कौन पहुँच सकता है, इस पर अधूरा नियंत्रण
- क्लाउड अनुप्रयोगों से ट्रांज़िट में डेटा की निगरानी करने में असमर्थता
- क्लाउड अनुप्रयोगों को आईटी दृश्यता के बाहर प्रावधान किया जा रहा है (जैसे, छाया आईटी)
- क्लाउड अनुप्रयोगों के लिए सुरक्षा का प्रबंधन करने के कौशल के साथ कर्मचारियों की कमी
- दुर्भावनापूर्ण अंदरूनी चोरी या डेटा के दुरुपयोग को रोकने में असमर्थता
- क्लाउड एप्लिकेशन प्रदाता के खिलाफ उन्नत खतरे और हमले
- क्लाउड एप्लिकेशन प्रदाता के संचालन की सुरक्षा का आकलन करने में असमर्थता
- नियामक अनुपालन बनाए रखने में असमर्थता
SaaS क्लाउड सुरक्षा मुद्दे स्वाभाविक रूप से डेटा और एक्सेस के आसपास केंद्रित हैं क्योंकि अधिकांश साझा सुरक्षा जिम्मेदारी मॉडल उन दोनों को SaaS ग्राहकों के लिए एकमात्र जिम्मेदारी के रूप में छोड़ देते हैं। यह समझना प्रत्येक संगठन की जिम्मेदारी है कि वे क्लाउड में कौन सा डेटा डालते हैं, इसे कौन एक्सेस कर सकता है, और उन्होंने (और क्लाउड प्रदाता) किस स्तर की सुरक्षा लागू की है।
संगठन के डेटा और प्रक्रियाओं के संभावित पहुंच बिंदु के रूप में सास प्रदाता की भूमिका पर विचार करना भी महत्वपूर्ण है। XcodeGhost और GoldenEye रैंसमवेयर के उदय जैसे विकास इस बात पर जोर देते हैं कि हमलावर बड़ी संपत्ति पर हमला करने के लिए सॉफ्टवेयर और क्लाउड प्रदाताओं के मूल्य को वेक्टर के रूप में पहचानते हैं। नतीजतन, हमलावर इस संभावित भेद्यता पर अपना ध्यान बढ़ा रहे हैं। अपने संगठन और उसके डेटा की सुरक्षा के लिए, सुनिश्चित करें कि आप अपने क्लाउड प्रदाता के सुरक्षा कार्यक्रमों की जाँच करते हैं। साझा रिपोर्ट के साथ अनुमानित तृतीय-पक्ष ऑडिटिंग की अपेक्षा निर्धारित करें और प्रौद्योगिकी समाधानों के पूरक के लिए उल्लंघन रिपोर्टिंग शर्तों पर जोर दें।
शीर्ष 10 IaaS क्लाउड सुरक्षा मुद्दे
- क्लाउड वर्कलोड और खाते आईटी दृश्यता के बाहर बनाए जा रहे हैं (जैसे, छाया आईटी)
- संवेदनशील डेटा तक कौन पहुँच सकता है, इस पर अधूरा नियंत्रण
- दुर्भावनापूर्ण अभिनेता द्वारा क्लाउड इन्फ्रास्ट्रक्चर में होस्ट किए गए डेटा की चोरी
- क्लाउड इन्फ्रास्ट्रक्चर को सुरक्षित करने के कौशल के साथ कर्मचारियों की कमी
- क्लाउड में कौन सा डेटा है, इसकी दृश्यता का अभाव
- दुर्भावनापूर्ण अंदरूनी चोरी या डेटा के दुरुपयोग को रोकने में असमर्थता
- मल्टी-क्लाउड और ऑन-प्रिमाइसेस परिवेशों पर लगातार सुरक्षा नियंत्रणों का अभाव
- क्लाउड इन्फ्रास्ट्रक्चर के खिलाफ उन्नत खतरे और हमले
- कमजोरियों के लिए क्लाउड वर्कलोड सिस्टम और अनुप्रयोगों की निगरानी करने में असमर्थता
- एक बादल कार्यभार से दूसरे बादल कार्यभार तक हमले का पार्श्व प्रसार
IaaS में डेटा की सुरक्षा महत्वपूर्ण है। जैसे-जैसे ग्राहक की जिम्मेदारी एप्लिकेशन, नेटवर्क ट्रैफ़िक और ऑपरेटिंग सिस्टम तक फैली होती है, अतिरिक्त खतरे पेश किए जाते हैं। संगठनों को हमलों में हाल के विकास पर विचार करना चाहिए जो IaaS जोखिम के केंद्र के रूप में डेटा से परे हैं। दुर्भावनापूर्ण अभिनेता क्रिप्टोक्यूरेंसी को माइन करने के लिए गणना संसाधनों के शत्रुतापूर्ण अधिग्रहण का संचालन कर रहे हैं, और वे उन संसाधनों को उद्यम बुनियादी ढांचे और तीसरे पक्ष के अन्य तत्वों के खिलाफ हमले वेक्टर के रूप में पुन: उपयोग कर रहे हैं।
क्लाउड में बुनियादी ढांचे का निर्माण करते समय, चोरी को रोकने और पहुंच को नियंत्रित करने की आपकी क्षमता का आकलन करना महत्वपूर्ण है। यह निर्धारित करना कि क्लाउड में डेटा कौन दर्ज कर सकता है, असामान्य व्यवहारों की पहचान करने के लिए संसाधन संशोधनों को ट्रैक करना, ऑर्केस्ट्रेशन टूल को सुरक्षित और सख्त करना, और समझौता के संभावित संकेत के रूप में उत्तर-दक्षिण और पूर्व-पश्चिम यातायात दोनों के नेटवर्क विश्लेषण को जोड़ना सभी जल्दी से मानक उपाय बन रहे हैं पैमाने पर क्लाउड इन्फ्रास्ट्रक्चर परिनियोजन की रक्षा करना।
शीर्ष 5 निजी क्लाउड सुरक्षा मुद्दे
- पारंपरिक सर्वर और वर्चुअलाइज्ड निजी क्लाउड इन्फ्रास्ट्रक्चर पर फैले लगातार सुरक्षा नियंत्रणों का अभाव
- बुनियादी ढांचे की बढ़ती जटिलता जिसके परिणामस्वरूप कार्यान्वयन और रखरखाव के लिए अधिक समय/प्रयास होता है
- सॉफ़्टवेयर-परिभाषित डेटा सेंटर (जैसे, वर्चुअल कंप्यूट, नेटवर्क, स्टोरेज) के लिए सुरक्षा का प्रबंधन करने के लिए कौशल वाले कर्मचारियों की कमी
- सॉफ़्टवेयर-परिभाषित डेटा सेंटर (जैसे, वर्चुअल कंप्यूट, नेटवर्क, स्टोरेज) के लिए सुरक्षा पर अपूर्ण दृश्यता
- उन्नत खतरे और हमले
सार्वजनिक बनाम निजी क्लाउड को संसाधन आवंटित करने के लिए निर्णय लेने की प्रक्रिया में एक महत्वपूर्ण कारक निजी क्लाउड वातावरण में उपलब्ध फाइन-ट्यून नियंत्रण है। निजी क्लाउड में, नियंत्रण और पूरक सुरक्षा के अतिरिक्त स्तर निजी क्लाउड परिनियोजन की अन्य सीमाओं की भरपाई कर सकते हैं और अखंड सर्वर-आधारित डेटा केंद्रों से व्यावहारिक संक्रमण में योगदान कर सकते हैं।
उसी समय, संगठनों को इस बात पर विचार करना चाहिए कि ठीक-ठाक नियंत्रण बनाए रखने से जटिलता पैदा होती है, कम से कम सार्वजनिक क्लाउड विकसित होने से परे। वर्तमान में, क्लाउड प्रदाता स्वयं बुनियादी ढांचे को बनाए रखने के लिए बहुत प्रयास करते हैं। क्लाउड उपयोगकर्ता सुरक्षा प्रबंधन को सरल बना सकते हैं और नियंत्रणों के अमूर्तता के माध्यम से जटिलता को कम कर सकते हैं। यह भौतिक, आभासी और हाइब्रिड वातावरण के ऊपर और भर में सार्वजनिक और निजी क्लाउड प्लेटफार्मों को एकीकृत करता है।
सामान्य क्लाउड कंप्यूटिंग सुरक्षा मुद्दों को कैसे कम करें
आपका संगठन क्लाउड सेवाओं का उपयोग कर रहा है, भले ही वे क्लाउड सेवाएँ आपकी सूचना प्रौद्योगिकी (IT) के लिए प्राथमिक कार्यनीति न हों. क्लाउड कंप्यूटिंग सुरक्षा जोखिमों को कम करने के लिए, तीन सर्वोत्तम प्रथाएं हैं जिनके लिए सभी संगठनों को काम करना चाहिए:
- DevSecOps प्रक्रियाएं — DevOps और DevSecOps को कोड की गुणवत्ता में सुधार करने और शोषण और कमजोरियों को कम करने और एप्लिकेशन विकास और सुविधा परिनियोजन की गति बढ़ाने के लिए बार-बार प्रदर्शित किया गया है। व्यवसाय इकाई या एप्लिकेशन टीम के भीतर विकास, क्यूए और सुरक्षा प्रक्रियाओं को एकीकृत करना - एक स्टैंड-अलोन सुरक्षा सत्यापन टीम पर भरोसा करने के बजाय - आज के कारोबारी माहौल की मांगों की गति से संचालन के लिए महत्वपूर्ण है।
- स्वचालित अनुप्रयोग परिनियोजन और प्रबंधन उपकरण - सुरक्षा कौशल की कमी, सुरक्षा खतरों की बढ़ती मात्रा और गति के साथ मिलकर, इसका मतलब है कि सबसे अनुभवी सुरक्षा पेशेवर भी नहीं रख सकते हैं। स्वचालन जो सांसारिक कार्यों को हटाता है और मशीन के फायदे के साथ मानवीय लाभ को बढ़ाता है, आधुनिक आईटी संचालन का एक मूलभूत घटक है।
- सभी सेवाओं और प्रदाताओं में केंद्रीकृत प्रबंधन के साथ एकीकृत सुरक्षा - कोई भी उत्पाद या विक्रेता सब कुछ वितरित नहीं कर सकता है, लेकिन कई प्रबंधन उपकरण किसी चीज़ के लिए पर्ची करना बहुत आसान बनाते हैं। एक खुले एकीकरण कपड़े के साथ एक एकीकृत प्रबंधन प्रणाली भागों को एक साथ लाकर और वर्कफ़्लो को सुव्यवस्थित करके जटिलता को कम करती है।
अंत में, जब व्यापार-बंद निर्णय किए जाने चाहिए, तो बेहतर दृश्यता नंबर 1 प्राथमिकता होनी चाहिए, न कि अधिक नियंत्रण। क्लाउड में सब कुछ देखने में सक्षम होना बेहतर है, इसके अधूरे हिस्से को नियंत्रित करने का प्रयास करने की तुलना में।