क्लाउड सुरक्षा क्या है?

क्लाउड कंप्यूटिंग श्रेणियाँ

क्लाउड सुरक्षा क्लाउड कंप्यूटिंग की श्रेणी के आधार पर भिन्न होती है। क्लाउड कंप्यूटिंग की चार मुख्य श्रेणियां हैं:

• सार्वजनिक क्लाउड प्रदाता द्वारा संचालित सार्वजनिक क्लाउड सेवाएँ — इनमें सॉफ़्टवेयर-एज़-ए-सर्विस (SaaS), इन्फ्रास्ट्रक्चर-एज़-ए-सर्विस (IaaS), और प्लेटफ़ॉर्म-एज़-ए-सर्विस (PaaS) शामिल हैं।
• सार्वजनिक क्लाउड प्रदाता द्वारा संचालित निजी क्लाउड सेवाएं - ये सेवाएं एक ग्राहक को समर्पित कंप्यूटिंग वातावरण प्रदान करती हैं, जो किसी तीसरे पक्ष द्वारा संचालित होती हैं।
• आंतरिक कर्मचारियों द्वारा संचालित निजी क्लाउड सेवाएं - ये सेवाएं पारंपरिक डेटा सेंटर का एक विकास हैं, जहां आंतरिक कर्मचारी एक आभासी वातावरण संचालित करते हैं जिसे वे नियंत्रित करते हैं।
• हाइब्रिड क्लाउड सेवाएं - निजी और सार्वजनिक क्लाउड कंप्यूटिंग कॉन्फ़िगरेशन को जोड़ा जा सकता है, लागत, सुरक्षा, संचालन और पहुंच जैसे अनुकूलन कारकों के आधार पर वर्कलोड और डेटा की मेजबानी की जा सकती है। ऑपरेशन में आंतरिक कर्मचारी शामिल होंगे, और वैकल्पिक रूप से सार्वजनिक क्लाउड प्रदाता।

सार्वजनिक क्लाउड प्रदाता द्वारा प्रदान की गई क्लाउड कंप्यूटिंग सेवा का उपयोग करते समय, डेटा और एप्लिकेशन को तीसरे पक्ष के साथ होस्ट किया जाता है, जो क्लाउड कंप्यूटिंग और पारंपरिक आईटी के बीच एक मूलभूत अंतर को चिह्नित करता है, जहां अधिकांश डेटा एक स्व-नियंत्रित नेटवर्क के भीतर रखा गया था। क्लाउड सुरक्षा रणनीति बनाने के लिए अपनी सुरक्षा जिम्मेदारी को समझना पहला कदम है।

क्लाउड सुरक्षा जिम्मेदारियों का विभाजन

अधिकांश क्लाउड प्रदाता ग्राहकों के लिए एक सुरक्षित क्लाउड बनाने का प्रयास करते हैं। उनका व्यवसाय मॉडल उल्लंघनों को रोकने और जनता और ग्राहक विश्वास को बनाए रखने पर टिका है। क्लाउड प्रदाता अपने द्वारा प्रदान की जाने वाली सेवा के साथ क्लाउड सुरक्षा मुद्दों से बचने का प्रयास कर सकते हैं, लेकिन यह नियंत्रित नहीं कर सकते कि ग्राहक सेवा का उपयोग कैसे करते हैं, वे इसमें कौन सा डेटा जोड़ते हैं, और किसके पास पहुंच है। ग्राहक अपने कॉन्फ़िगरेशन, संवेदनशील डेटा और एक्सेस नीतियों के साथ क्लाउड में साइबर सुरक्षा को कमजोर कर सकते हैं। प्रत्येक सार्वजनिक क्लाउड सेवा प्रकार में, क्लाउड प्रदाता और क्लाउड ग्राहक सुरक्षा के लिए जिम्मेदारी के विभिन्न स्तरों को साझा करते हैं। सेवा प्रकार से, ये हैं:

• सॉफ्टवेयर-एज-ए-सर्विस (सास) - ग्राहक अपने डेटा और उपयोगकर्ता पहुंच को सुरक्षित करने के लिए जिम्मेदार हैं।
• प्लेटफ़ॉर्म-एज़-ए-सर्विस (PaaS) - ग्राहक अपने डेटा, उपयोगकर्ता पहुंच और एप्लिकेशन को सुरक्षित करने के लिए जिम्मेदार हैं।
• इन्फ्रास्ट्रक्चर-ए-ए-सर्विस (IaaS) - ग्राहक अपने डेटा, उपयोगकर्ता पहुंच, एप्लिकेशन, ऑपरेटिंग सिस्टम और वर्चुअल नेटवर्क ट्रैफ़िक को सुरक्षित करने के लिए जिम्मेदार हैं।

सभी प्रकार की सार्वजनिक क्लाउड सेवाओं के भीतर, ग्राहक अपने डेटा को सुरक्षित रखने और यह नियंत्रित करने के लिए जिम्मेदार होते हैं कि उस डेटा तक कौन पहुंच सकता है। क्लाउड कंप्यूटिंग में डेटा सुरक्षा क्लाउड के लाभों को सफलतापूर्वक अपनाने और प्राप्त करने के लिए मौलिक है। Microsoft Office 365 या Salesforce जैसे लोकप्रिय SaaS प्रसाद पर विचार करने वाले संगठनों को यह योजना बनाने की आवश्यकता है कि वे क्लाउड में डेटा की सुरक्षा के लिए अपनी साझा जिम्मेदारी को कैसे पूरा करेंगे। अमेज़ॅन वेब सर्विसेज (एडब्ल्यूएस) या माइक्रोसॉफ्ट एज़ूर जैसे आईएएएस प्रसाद पर विचार करने वालों को डेटा से शुरू होने वाली अधिक व्यापक योजना की आवश्यकता होती है, लेकिन क्लाउड ऐप सुरक्षा, ऑपरेटिंग सिस्टम और वर्चुअल नेटवर्क ट्रैफ़िक भी शामिल है - जिनमें से प्रत्येक डेटा सुरक्षा मुद्दों के लिए क्षमता भी पेश कर सकता है।

क्लाउड सुरक्षा चुनौतियां

चूंकि सार्वजनिक क्लाउड में डेटा किसी तीसरे पक्ष द्वारा संग्रहीत किया जा रहा है और इंटरनेट पर एक्सेस किया जा रहा है, इसलिए सुरक्षित क्लाउड बनाए रखने की क्षमता में कई चुनौतियाँ उत्पन्न होती हैं। य़े हैं:

• क्लाउड डेटा में दृश्यता - कई मामलों में, क्लाउड सेवाओं को कॉर्पोरेट नेटवर्क के बाहर और आईटी द्वारा प्रबंधित नहीं किए गए उपकरणों से एक्सेस किया जाता है। इसका मतलब यह है कि आईटी टीम को नेटवर्क ट्रैफ़िक की निगरानी के पारंपरिक साधनों के विपरीत, डेटा पर पूर्ण दृश्यता रखने के लिए क्लाउड सेवा में देखने की क्षमता की आवश्यकता होती है।
• क्लाउड डेटा पर नियंत्रण - तृतीय-पक्ष क्लाउड सेवा प्रदाता के वातावरण में, आईटी टीमों के पास अपने स्वयं के परिसर में सर्वर और एप्लिकेशन को नियंत्रित करने की तुलना में डेटा तक कम पहुंच होती है। क्लाउड ग्राहकों को डिफ़ॉल्ट रूप से सीमित नियंत्रण दिया जाता है, और अंतर्निहित भौतिक बुनियादी ढांचे तक पहुंच अनुपलब्ध है।
• क्लाउड डेटा और एप्लिकेशन तक पहुंच - उपयोगकर्ता इंटरनेट पर क्लाउड एप्लिकेशन और डेटा तक पहुंच सकते हैं, जिससे पारंपरिक डेटा सेंटर नेटवर्क परिधि के आधार पर एक्सेस कंट्रोल अब प्रभावी नहीं रह गए हैं। उपयोगकर्ता पहुंच किसी भी स्थान या डिवाइस से हो सकती है, जिसमें ब्रिंग-योर-ओन-डिवाइस (BYOD) तकनीक शामिल है। इसके अलावा, क्लाउड प्रदाता कर्मियों द्वारा विशेषाधिकार प्राप्त पहुंच आपके स्वयं के सुरक्षा नियंत्रणों को बायपास कर सकती है।
• अनुपालन - क्लाउड कंप्यूटिंग सेवाओं का उपयोग नियामक और आंतरिक अनुपालन में एक और आयाम जोड़ता है। आपके क्लाउड वातावरण को HIPAA, PCI और Sarbanes-Oxley जैसी नियामक आवश्यकताओं के साथ-साथ आंतरिक टीमों, भागीदारों और ग्राहकों की आवश्यकताओं का पालन करने की आवश्यकता हो सकती है। क्लाउड प्रदाता अवसंरचना, साथ ही इन-हाउस सिस्टम और क्लाउड के बीच इंटरफेस भी अनुपालन और जोखिम प्रबंधन प्रक्रियाओं में शामिल हैं।
• क्लाउड-नेटिव ब्रीच - क्लाउड में डेटा उल्लंघन ऑन-प्रिमाइसेस उल्लंघनों के विपरीत हैं, जिसमें डेटा चोरी अक्सर क्लाउड के मूल कार्यों का उपयोग करके होती है। क्लाउड-नेटिव ब्रीच एक प्रतिकूल अभिनेता द्वारा कार्यों की एक श्रृंखला है जिसमें वे मैलवेयर का उपयोग किए बिना क्लाउड परिनियोजन में त्रुटियों या कमजोरियों का फायदा उठाकर अपने हमले को "भूमि" करते हैं, मूल्यवान डेटा का पता लगाने के लिए कमजोर रूप से कॉन्फ़िगर या संरक्षित इंटरफेस के माध्यम से अपनी पहुंच का "विस्तार" करते हैं, और उस डेटा को अपने स्वयं के भंडारण स्थान पर "बाहर निकालना" करते हैं।
• गलत कॉन्फ़िगरेशन - क्लाउड-देशी उल्लंघन अक्सर सुरक्षा के लिए क्लाउड ग्राहक की जिम्मेदारी पर आते हैं, जिसमें क्लाउड सेवा का कॉन्फ़िगरेशन शामिल है। अनुसंधान से पता चलता है कि केवल 26% कंपनियां वर्तमान में कॉन्फ़िगरेशन त्रुटियों के लिए अपने IaaS वातावरण का ऑडिट कर सकती हैं। IaaS का गलत विन्यास अक्सर क्लाउड-नेटिव ब्रीच के सामने के दरवाजे के रूप में कार्य करता है, जिससे हमलावर को सफलतापूर्वक उतरने और फिर डेटा का विस्तार और बहिर्गमन करने के लिए आगे बढ़ने की अनुमति मिलती है। अनुसंधान से यह भी पता चलता है कि 99% गलत कॉन्फ़िगरेशन क्लाउड ग्राहकों द्वारा IaaS में किसी का ध्यान नहीं जाता है। इस अध्ययन का एक अंश यहां दिया गया है जो इस स्तर के गलत कॉन्फ़िगरेशन डिस्कनेक्ट को दर्शाता है:

• आपदा वसूली - महत्वपूर्ण नकारात्मक उल्लंघनों के प्रभावों की रक्षा के लिए साइबर सुरक्षा योजना की आवश्यकता है। एक आपदा वसूली योजना में डेटा की पुनर्प्राप्ति को सक्षम करने और संगठन को संचालन और व्यवसाय जारी रखने की अनुमति देने के लिए डिज़ाइन की गई नीतियां, प्रक्रियाएं और उपकरण शामिल हैं।
• अंदरूनी सूत्र खतरे - एक दुष्ट कर्मचारी किसी संगठन को साइबर सुरक्षा उल्लंघन के लिए उजागर करने के लिए क्लाउड सेवाओं का उपयोग करने में सक्षम है। हाल ही में McAfee क्लाउड एडॉप्शन एंड रिस्क रिपोर्ट ने 85% संगठनों में अंदरूनी खतरे का संकेत देने वाली अनियमित गतिविधि का खुलासा किया।

क्लाउड सुरक्षा समाधान

क्लाउड सुरक्षा समाधान चाहने वाले संगठनों को क्लाउड डेटा पर दृश्यता और नियंत्रण की प्राथमिक क्लाउड सुरक्षा चुनौतियों को हल करने के लिए निम्नलिखित मानदंडों पर विचार करना चाहिए।

• क्लाउड डेटा में दृश्यता - क्लाउड डेटा के पूर्ण दृश्य के लिए क्लाउड सेवा तक सीधी पहुंच की आवश्यकता होती है। क्लाउड सुरक्षा समाधान क्लाउड सेवा के लिए एक एप्लिकेशन प्रोग्रामिंग इंटरफ़ेस (एपीआई) कनेक्शन के माध्यम से इसे पूरा करते हैं। एपीआई कनेक्शन के साथ यह देखना संभव है:
  • क्लाउड में कौन सा डेटा संग्रहीत किया जाता है।
  • क्लाउड डेटा का उपयोग कौन कर रहा है?
  • क्लाउड डेटा तक पहुंच वाले उपयोगकर्ताओं की भूमिका।
  • क्लाउड उपयोगकर्ता किसके साथ डेटा साझा कर रहे हैं।
  • जहां क्लाउड डेटा स्थित है।
  • क्लाउड डेटा को कहां से एक्सेस और डाउनलोड किया जा रहा है, जिसमें किस डिवाइस से भी शामिल है।
• क्लाउड डेटा पर नियंत्रण — क्लाउड डेटा में दृश्यता प्राप्त करने के बाद, उन नियंत्रणों को लागू करें जो आपके संगठन के लिए सबसे उपयुक्त हों. इन नियंत्रणों में शामिल हैं:
  • डेटा वर्गीकरण - डेटा को कई स्तरों पर वर्गीकृत करें, जैसे संवेदनशील, विनियमित या सार्वजनिक, क्योंकि यह क्लाउड में बनाया गया है। एक बार वर्गीकृत होने के बाद, डेटा को क्लाउड सेवा में प्रवेश करने या छोड़ने से रोका जा सकता है।
  • Data Loss Prevention (डीएलपी) - डेटा को अनधिकृत पहुंच से बचाने के लिए क्लाउड डीएलपी समाधान लागू करें और संदिग्ध गतिविधि का पता चलने पर डेटा की पहुंच और परिवहन को स्वचालित रूप से अक्षम करें।
  • सहयोग नियंत्रण — क्लाउड सेवा के भीतर नियंत्रण प्रबंधित करें, जैसे निर्दिष्ट उपयोगकर्ताओं के लिए फ़ाइल और फ़ोल्डर अनुमतियों को संपादक या दर्शक के लिए डाउनग्रेड करना, अनुमतियाँ निकालना और साझा लिंक रद्द करना।
  • एन्क्रिप्शन - क्लाउड डेटा एन्क्रिप्शन का उपयोग डेटा तक अनधिकृत पहुंच को रोकने के लिए किया जा सकता है, भले ही वह डेटा बाहर निकल गया हो या चोरी हो गया हो।
• क्लाउड डेटा और एप्लिकेशन तक पहुंच- इन-हाउस सुरक्षा के साथ, अभिगम नियंत्रण क्लाउड सुरक्षा का एक महत्वपूर्ण घटक है। विशिष्ट नियंत्रणों में शामिल हैं:
  • उपयोगकर्ता अभिगम नियंत्रण - सिस्टम और एप्लिकेशन एक्सेस नियंत्रण लागू करें जो केवल अधिकृत उपयोगकर्ताओं को क्लाउड डेटा और एप्लिकेशन तक पहुंचने के लिए सुनिश्चित करते हैं।  एकCloud Access Security Broker(CASB) का उपयोग अभिगम नियंत्रण लागू करने के लिए किया जा सकता है
  • डिवाइस अभिगम नियंत्रण — जब कोई व्यक्तिगत, अनधिकृत डिवाइस क्लाउड डेटा तक पहुँचने का प्रयास करता है तो पहुँच को ब्लॉक करें।
  • दुर्भावनापूर्ण व्यवहार पहचान - उपयोगकर्ता व्यवहार विश्लेषण (UBA) के साथ समझौता किए गए खातों और अंदरूनी खतरों का पता लगाएं ताकि दुर्भावनापूर्ण डेटा निष्कासन न हो।
  • मैलवेयर की रोकथाम - फ़ाइल-स्कैनिंग, एप्लिकेशन व्हाइटलिस्टिंग, मशीन लर्निंग-आधारित मैलवेयर डिटेक्शन और नेटवर्क ट्रैफ़िक विश्लेषण जैसी तकनीकों का उपयोग करके मैलवेयर को क्लाउड सेवाओं में प्रवेश करने से रोकें।
  • विशेषाधिकार प्राप्त पहुंच - पहुंच के सभी संभावित रूपों की पहचान करें जो विशेषाधिकार प्राप्त खातों के पास आपके डेटा और एप्लिकेशन के लिए हो सकते हैं, और जोखिम को कम करने के लिए नियंत्रण स्थापित करें।
• अनुपालन - क्लाउड में रहने वाले डेटा और अनुप्रयोगों को शामिल करने के लिए मौजूदा अनुपालन आवश्यकताओं और प्रथाओं को बढ़ाया जाना चाहिए।
  • जोखिम मूल्यांकन - क्लाउड सेवाओं को शामिल करने के लिए जोखिम आकलन की समीक्षा और अद्यतन करें। क्लाउड वातावरण और प्रदाताओं द्वारा पेश किए गए जोखिम कारकों को पहचानें और उनका पता लगाएं। मूल्यांकन प्रक्रिया में तेजी लाने के लिए क्लाउड प्रदाताओं के लिए जोखिम डेटाबेस उपलब्ध हैं।
  • अनुपालन आकलन - PCI, HIPAA, Sarbanes-Oxley और अन्य अनुप्रयोग नियामक आवश्यकताओं के लिए अनुपालन आकलन की समीक्षा और अद्यतन करें।