ภัยคุกคาม

7 อย่างสำหรับ Cloud computing

แม้ว่า cloud computing จะให้ประโยชน์แก่ผู้ใช้อย่างมากมาย อาทิ ได้ใช้บริการทางด้าน IT ในราคาถูกลง,องค์กรสามรถบริหารจัดการ IT ได้ง่ายและมีประสิทธิภาพมากขึ้น ,ทำให้ธุรกิจสามารถมุ่งความสนใจไปยัง core business ของตนเองได้อย่างเต็มที่โดยไม่ต้องกังวลเรื่องการบริหารจัดการ IT เป็นต้น แต่ทั้งนี้เหรียญย่อมมีสองด้านเสมอ
การใช้ cloud computing นั้นก็มีความเสี่ยงจากภัยคุกคามเช่นเดียวกับการใช้เทคโนโลยีอื่นๆ โดยทาง CSA หรือ Cloud  Security Alliance ได้ทำการสรุปประเภทของภัยคุกคามที่จะเกิดกับ  cloud computing เอาไว้  7 ประเภท ดังนี้
                   1. Abuse and nefarious use of cloud computing การใช้ cloud computing ในทางที่ผิด อย่างเช่น hacker ทีจะใช้ทรัพยากรที่มีอยู่อย่างไม่จำกัดของ cloud เช่น แบนด์วิธ,สตอเรจ เป็นฐานในการโจมตีผู้อื่น,การส่งสแปมเมล์,การ crack encryption ต่างๆ เป็นต้น
                   2. Insecure interfaces and APIs ความน่าเชื่อถือในด้าน security และ availability เนื่องจากผู้ใช้บริการจะอาศัย API ในการติดต่อกับ Backend software และเซอร์วิสต่างๆที่อยู่ใน cloud จึงอาจเป็นช่องทางที่ผู้ไม่หวังดีสามารถใช้เข้าโจมตีและเข้าถึงเซอร์วิสต่างๆได้โดยตรง ซึ่งสิ่งเหล่านี้จะมีผลต่อความน่าเชื่อถือของข้อมูลและการรักษาความลับของข้อมูลใน cloud
                   3. Malicious insiders ภัยคุกคามที่เกิดจากคนใน จากฝั่งผู้ให้บริการเอง เช่น พนักงานสามารถเข้าถึงข้อมูลที่เกินกว่าสิทธิของตนเองที่จะเข้าถึงได้
                   4. Shared technology issues เป็นปัญหาเกี่ยวกับ Software ที่ใช้ในการจัดการการแชร์ระบบและทรัพยากรต่างๆแก่ผู้ใช้เกิดความผิดพลาด หรือมี bug ทำให้เป็นช่องโหว่ที่ทำให้ hacker สวมรอยเข้ามาเป็นผู้ใช้บริการ cloud แล้วทำการเจาะระบบของผู้ใช้รายอื่นผ่านทางระบบที่ตนเองใช้งานอยู่ได้
                   5. Data loss or leakage การรั่วไหลของข้อมูล เนื่องจากอาจมีผู้อื่นมาใช้งานบน cloud ดดยไม่ได้รับอนุญาต
                   6. Account or service hijacking การถูกขโมยใช้งานเซอร์วิสต่างๆ,การ Phishing,การถูกโจมตีตามช่องโหว่ของ software ที่ไม่ได้มีการ patch ซึ่งสาเหตุส่วนหนึ่งก็มาจากการที่ผู้ใช้ใช้ password เดิมซ้ำๆอยู่นาน หรือไม่มีการเปลี่ยน password ในเวลาที่เหมาะสม
                   7. Unknown risk profile เนื่องจากบริการของ cloud นั้น ทางผู้ให้บริการไม่ได้เปิดเผยถึงรายละเอียดของการดำเนินการภายใน เช่น การ config ระบบ,กระบวนการด้าน security,การเก็บ log file ต่างๆ ทำให้ผู้ใช้บริการมีความเสี่ยงเพราะไม่รู้ว่าความเสี่ยงคืออะไรทำให้ไม่สามารถเตรียมการรองรับได้
ที่มา :  ภัยคุกคาม
สมัครสมาชิก: บทความ (Atom)