web-dev-qa-db-ja.com

プライベートデータセンターはパブリッククラウドよりもどのように安全ですか?

アマゾンのようなパブリッククラウドでホストされているa SaaSは、プライベートデータセンターのコロケーションほど安全ではないと主張する金融サービス業界の顧客がいます。しかし、の具体的な詳細は見つかりません。これらのセキュリティ上の欠点は何でしょうか。私は2つの違いしか考えられません。

  1. マシンの物理的なアクセスとセキュリティ。
  2. Cisco他のセキュリティハードウェア(パケット検査、侵入検知)

(1)AWSは、ハードウェアの物理的なセキュリティを確保するために監査されています。保存されているすべてのデータ(ハードドライブとDB)と内部ネットワーク(VPC)上のすべてのデータを暗号化できます。

(2)CiscoとBarracudaは、AWSで実行される仮想セキュリティアプライアンスを提供しています。これらは、Webサーバーの前のレイヤーで実行できます。

銀行が自社のデータセンターで使用できる、AWSで複製できないセキュリティ機能はありますか?

ありがとう。

securityamazon-web-servicesdatacenter
3
projectshave

これはセキュリティの技術的な問題ではないかもしれませんが、規制要件とコンプライアンスの完全な制御と(解釈)の問題です。

1934年証券取引法 (改正)には、電子機器のバックアップとアーカイブに関連する規則 17a- および 17a-4 が含まれています。記録。金融業界規制当局には、サードパーティプロバイダーに関する規則もあります。基本的に、金融サービスプロバイダーは、コンプライアンス義務から解放され、サードパーティプロバイダーにプッシュすることはできません。

したがって、基本的に、Amazonが(一時的に)データを失った(アクセスした)場合でも、金融機関は完全に責任を負い、AmazonとそのSLAの背後に隠れることはできません。その点で、それを自分で行い、100%の管理を維持することは、金融機関の規制対象ビジネスにとってはるかに重要です。

Amazon またはたとえば Rackspace による、多かれ少なかれ予定外の再起動は、自分のスケジュールではなく、非常に大きなリスクとして認識される可能性があります。

技術的な問題は、金融機関が使用するコアアプリケーションの多くが、従来のアプリケーション、大規模なモノリシックデータベース、およびクラウドアプリケーションの成功に必要な型に合うように設計されていない、低レイテンシを必要とする大量のトランザクションを伴うアプリケーションであるということです。

アマゾンの 利用規約 または一部のクラウドプロバイダーほど「悪い」ではありませんが、コンテンツを保護するために設計された合理的かつ適切な手段を実装することのみを提供します偶発的または違法な損失、アクセスまたは開示および多くの人が好む慣習的な免責事項: "表明なしORいかなる保証もありませんKIND "が期待されます。

7
HBruijn

つい最近、Amazonはインフラストラクチャの一部を再起動する必要がありました(彼らは10%未満について話しました: http://aws.Amazon.com/blogs/aws/ec2-maintenance-update/ )セキュリティの脆弱性。
当時の詳細は禁輸措置中であったため不明でした。
これで、このXenの脆弱性が原因であることが明らかになりました: http://xenbits.xen.org/xsa/advisory-108.html

見積もり:

バグのあるまたは悪意のあるHVMゲストは、ホストをクラッシュさせたり、データを読み取ったりする可能性があります
他のゲストまたはハイパーバイザー自体に関連しています。

顧客として、インスタンスが実行されている場所を制御することはできません(たとえば、「隣人」は誰ですか)。
独自のデータセンターを運営している銀行や独自のプライベートクラウドをレンタルしている銀行は、このような妥協を完全に排除することができます。

これは明らかに、攻撃者が悪用するのは簡単ではありません。
彼がそのような未知のエクスプロイトを持っていたとしても、個々のサイトを標的にすることはほとんど不可能です。
このためにパブリッククラウドを回避することが理にかなっている場合、その機関はほとんど独自のリスク評価を行っています。

1
faker

マシンに物理的にアクセスできる場合は、いつでもそれを危険にさらす可能性があります。

アマゾンがこのアクセス権を持っているので、あなたはあなたがあなた自身のバンカーにあなた自身のサーバーを持っているときよりもハッキングされることへの一歩です..私はデータセンターを意味します。

彼らはまだあなたのデータを復号化する必要がありますが、スナップショットを作成してオフラインで復号化を行うことができ(そして彼らはいくつかのタスクを待機している巨大なデータセンターを持っています)そして5年で彼らはあなたの最大の顧客、彼が持っているお金、方法を知っています彼はあなたの銀行サービスなどに多くを費やしています。

これはAmazonだけでは問題ありません。たとえばマイクロソフトのような他のプレーヤーは、ダブリンの近くに巨大なデータセンターを構築します。完全にどこにもありませんが、同じサイズの巨大な「パン工場」のすぐ隣にあります。彼らはそこでパンを焼いているだけです、実話! ;)

1
user246830