Adopt bessere öffentliche Cloud-Admin-Gewohnheiten

Weitere Unternehmen und Endbenutzer melden sich für öffentliche Cloud-Services, insbesondere Infrastruktur-as-a-Service, als schnelle und kostengünstige Möglichkeit, zusätzliche Rechenleistung für spezifische Aufgaben zu erwerben. Da Adoption wächst, müssen diese Benutzer jedoch bessere Gewohnheiten anwenden, um mögliche Malware, Datenverletzungen und Lecks zu verhindern, fordern die Beobachter.

In einem kürzlich durchgeführten Test haben französische Forscher vom Technologieinstitut, der Eurecom, der Northeastern University und dem Security-Anbieter SecludIT automatisierte Scan-Tools zur Erkennung von Sicherheitslücken und Malware auf mehr als 5000 virtuellen Maschinen (VM), die im Amazon Web Services (AWS) Katalog veröffentlicht wurden Von VMs, die mit voreingestellten Konfigurationen eingerichtet werden, um auf dem EC2-Dienst des Cloud-Providers ausgeführt zu werden.

Die Ergebnisse zeigten, dass 22 Prozent der VMs die Person, die die Maschine – entweder von AWS oder Drittfirmen wie Turnkey und Jumpbox – für den Zugriff auf Inhalte auf der Maschine gespeichert zu ermöglichen, die Forscher angegeben. Zusätzlich enthielten 98 Prozent dieser Amazon Machine Images (AMIs) Daten, die die Firma oder Einzelperson, die die Maschine eingerichtet hatte, zu löschen, aber noch aus der VM extrahiert werden konnte.

“Wenn der Mann, der die Maschine eingerichtet hat, vergessen hat, seine Anmeldeinformationen zu löschen oder sie dort absichtlich zu verlassen, kann jeder, der über die Anmeldeinformation verfügt, sich auf dem Server anmelden”, erklärte Marco Balduzzi, einer der Eurecom-Forscher, Forbes in einem Bericht vom 8. November .

Die Forscher, die behaupteten, sie würden ihre Ergebnisse offiziell im März nächsten Jahres veröffentlichen, fügte hinzu, dass solche Szenarien auch mit anderen Cloud-Anbietern wie Joyent, IBM, Rackspace und Terremark möglich waren.

Steve Hodgkinson, Ovums Asien-Pazifik-Forschungsleiter für Informationstechnologie, sagte, dass viele der derzeit verfügbaren AMIs kostenlos zur Verfügung stehen.

Als solches ist es bis zu den Benutzern, ihre Sicherheit zu schützen, entweder mit vertrauenswürdigen AMIs oder Prüfung und Desinfektion der AMI vor und nach Gebrauch, fügte er hinzu.

Hodgkinson wies auch darauf hin, dass mit der Leichtigkeit der Anmeldung für solche öffentlichen Cloud-Services, mehr Endkunden ihre IT-Abteilungen umgehen, um diese Dienste auf ihre eigenen zu erwerben. Das bedeutet, dass die Informationen auf diesen virtuellen Maschinen nicht vom IT-Team verwaltet werden, was zu den möglichen Datensicherheitsrisiken führt, bemerkte er in seiner E-Mail.

GoDaddy kauft WordPress-Management-Tool ManageWP, SMBs, Video: 3 unschätzbare Tipps von berühmten Tech-Unternehmern, KMUs, Video: 3 Tipps für die Einstellung Millennials, Enterprise Software, Microsofts neues Geschäftsmodell für Windows 10: Pay-to-Play

Ein Sprecher von AWS erkannte die Gültigkeit der von den französischen Forschern hervorgehobenen Sicherheitsanfälligkeit an und sagte, dass das Loch eingeführt wird, wenn Kunden AMIs veröffentlichen, bevor sie geeignete Vorkehrungen treffen, um private Informationen zu entfernen.

Sie wies auch auf einen Sicherheitspostpfosten des Cloud-Anbieters im Juni dieses Jahres hin, in dem festgestellt wurde, dass sie keine Berichte erhalten habe, dass solche Schwachstellen aktiv genutzt worden seien.

In Fällen, in denen AWS auf eine öffentliche AMI aufmerksam gemacht wird, die einen SecureShell-Schlüssel (SSH) enthält, der es dem Herausgeber ermöglicht, remote auf jede laufende Instanz des AMI zuzugreifen, kontaktiert AWS den Verlag und fordert, dass der AMI privat gemacht wird Post angegeben. Wenn der Verlag nicht kontaktiert werden kann, wird AWS die AMI privat in ihrem Namen machen, fügte er hinzu.

Cloud-Anbieter, Rackspace, lehnte es, für den Artikel zu kommentieren.

Hodgkinson empfahl IT-Abteilungen, insbesondere Organisationen im Finanzsektor und im öffentlichen Sektor, die Kontrolle über die “Stealth-Cloud-Adoption” durch die Endnutzer und bringen diese Dienste unter eine normale IT-Governance Vereinbarungen.

Weitere bewährte Verfahren sind die Etablierung bewährter und bewährter Verfahren für die Nutzung von öffentlichen Cloud-Diensten und die Einrichtung von Governance-Vereinbarungen, um sicherzustellen, dass Standardpraktiken eingehalten werden, wobei Genehmigungs- und Überwachungsregelungen eingeführt werden.

Victor Keong, Partner und Practice-Leiter für Information Protection und Business Resilience für Asien-Pazifik bei KPMG Advisory, fügte hinzu, dass Unternehmen die verschiedenen Cloud Service Provider nach der Art der Datensicherheit und Datenschutzmaßnahmen, die sie befolgen zu bewerten.

Unternehmen sollten auch regelmäßig überwachen und ihre Dienstleister zu überprüfen, um festzustellen, ob die Sicherheitsrichtlinien und erforderlichen Service Levels erfüllt sind, sagte er der Website Asien in seiner E-Mail.

Ein zusätzlicher Schritt wäre die Entwicklung oder Aufrechterhaltung einer Standardvorlage für vertragliche Schutzmaßnahmen im Falle von Datenverletzungen, bemerkte Keong. Beispielsweise sollten Vertragsbestimmungen “Datenschutzpolitik, Kommunikation und Schulung, Datenschutzverwaltung, Compliance und Auswahl und Zustimmung zur Datenportabilität” umfassen.

GoDaddy kauft WordPress Management-Tool ManageWP

Video: 3 unschätzbare Tipps von berühmten Tech-Unternehmern

Video: 3 Tipps für die Einstellung Millennials

Microsofts neues Geschäftsmodell für Windows 10: Pay-to-Play