Actualmente estoy escribiendo un documento sobre los futuros desafíos de seguridad de la computación en la nube y posibles soluciones a estos problemas . Después de muchas horas de leer artículos en Internet (mi biblioteca cercana no tiene libros disponibles en este momento sobre el tema) ciertamente aprendí mucho, pero también me confundí mucho más sobre lo que realmente quiero incluir en mi artículo. Dado que el tema / área de Cloud Computing es tan amplio: desde servicios ofrecidos a personas privadas frente a grandes empresas, que requieren una seguridad diferente según el uso y los datos almacenados, etc. Pero también todos los diferentes tipos que se ofrecen: SaaS, PaaS e IaaS. .. Privado vs híbrido vs nube pública.
Mi problema podría ser que no soy muy pesado en el conocimiento tecnológico, y muchos artículos parecen apuntar a posibles clientes de la nube (muy tranquilizadores sobre la seguridad del servicio) vs publicaciones escritas y probablemente dirigidas a personas que conocen un Mucho de esta tecnología y seguridad de antes. Y necesitaría algo entre eso :)
Algunos de los desafíos que he enumerado hasta ahora son:
- Multitenancy & Arquitectura multi-instancia: varias personas / empresas almacenan sus datos o aplicaciones en el mismo lugar, manteniendo esto por separado
- La posibilidad de que el proveedor de la nube pueda dar acceso a los datos de sus clientes a las instituciones encargadas de hacer cumplir la ley, al gobierno, etc. El desafío se basa en la confianza, la ley, el acuerdo entre el proveedor y el cliente.
- Más datos (posiblemente muy privados / confidenciales) en tránsito: tecnología de red
- Cifrado: para buscar de manera efectiva a través de los datos en la nube, esto requiere descifrarlo, lo que le permite al proveedor de la nube (y posibles atacantes o instancias con capacidad para afectar al proveedor) acceder a los datos
- Gestión de identidad y acceso: algunos datos deben ser accesibles para personas externas / clientes / colaboradores, mientras que otros datos deben ser confidenciales
- Seguridad del hipervisor
- Gran problema general: personas / empresas que ya no están a cargo de sus propios datos, aplicaciones, etc. Acuerdos estándar, estándares, etc. para que el cliente sepa qué esperar del proveedor
Entonces, mis preguntas son:
- Cualquier artículo / página / blog recomendado para leer sobre el tema
- Cualquier punto importante / interesante que no haya incluido aquí que valga la pena echarle un vistazo
- Páginas / investigación o productos disponibles que resuelven o esperan resolver en el futuro cualquiera de estos desafíos
De soluciones He encontrado hasta ahora que hay cosas como Dome9 para la administración de cortafuegos en la nube, el cifrado homomórfico ... ¡Así que cualquier consejo / palabras clave sobre esto sería increíble!
Fuentes que he consultado:
- Cloud Security Alliance Blog
- Blog de Bruce Schneiers
- Wired: Cloudline Blog
- páginas de IBM con productos
- Blog experto de IBM Institute for Advanced Security
+++ otros artículos y sitios que comentan sobre el tema
:)