はじめに
別名クラウドの急速な発展を目撃しているのは秘密ではありません。 すべてがすべて同じ雲に移動します。 しかし、情報セキュリティの観点からこれからどのような利益(および害)を引き出すことができますか?
新しい機会と新しい脅威を考慮してください。
プレゼンテーションの混乱を減らすための論文の前提は次のとおりです。
1.クラウドに保管-安全ではありません。
1.1。 海賊コレクションをそこに保管する必要はありません。
1.2。 ノイズで薄めながら有能に隠す必要があります。
1.3。 トリカの健全なパラノイアは傷つかず、私たちは自分自身を暗号化します。
2.クラウドでの処理は有益です。
2.1。 これを行うには、新しい方法でクラウドサービスを構築する必要があります。
2.2。 攻撃の存続がより簡単になりました。
3.邪悪なハッカーも簡単になりました-誰でもファームを構築してパスワードを解読できます。
3.1。 私たちは、辞書からではなく、よりクレイジーに、そして本物のパスワードを使用します。
3.2。 Keepassと類似物を使用してパスワードを管理します。
3.3。 可能な限り-キーに移動します。
クラウドストレージ
リポジトリは、サービスとは異なり、すべての人に関係します。
既に100,000人のアクティブな顧客がいる場合、次の100,000人はそれほどユニークなコンテンツをもたらさないという理由だけで、これらのGoogleドライブとKはすべて、雨上がりのキノコのように見えます。 そして、彼らは支払います-初めてのように。
テラバイトの音楽コレクションはありますか? クラウドに注ぎます。 通常の場合(通常のポップアップ、既にデジタル形式でアセンブルされている)、これは実際に(必要な代替)ドライブに0バイトを取ります。 ゼロ!
これらの構成はすべて既にアップロードされています。ファイルのハッシュを送信すると、一致するファイルのカウンターが1つ増えました。
原則として、それぞれに固有のコンテンツはそれほど多くありません。 このテキスト(さまざまな形式)、イラスト、写真。
あなたの「ユニークな」コンテンツ-燃やさない方法
これから興味深い結果が得られます。
たとえば-これ。 海賊版コンテンツをドライブに注ぎ、クレジットカードで支払います。 私たちはそれが好きです。 ハッシュのみを比較し、一致する人のリストを著作権所有者に自動的に送信します。
そして、マーケティング部門が「強力な暗号化」と「技術的なニーズのみ」について説明します。
メディアコンテンツ-彼はそうです。
ステガノグラフィ-新しい明白な制限
写真に情報を隠したい人にとってはつらい時がやってくる。 雲の中でステガノグラフィを使用することは、懐中電灯を首に掛けることと同じで、遠くからでもよく見えるようになります。
パメラアンダーソンの写真をダウンロードしましたか? そして、同じホスティングにアップロードされた100万枚の写真に単一のハッシュが一致しないのはなぜですか? 目を見てください!
そして、それはキャッチされます-統計によって。
したがって、同様にノイズを埋める必要があります-写真は普通です。
UPD:この質問は疑問を提起したので、統計についてさらに説明します。
ここでの危険は、そこにある写真やメディアファイルの使用そのものではありません。 また、リポジトリに類似物がない同じファイルを使用する場合。
写真付きの典型的なユースケースは次のようになります
- 私は誰かからダウンロードし(ポスター、動機付け、猫の写真、必要なものの代わりに)、自分にアップロードしました。 結果? そうです、これらの別の100,500は1-in-1です。 ハッシュは同じです。 そして、もはや変化しません。 一度書いてください。
- 彼はiPhoneをクリックし、すぐにパックをコンピューターに通知し、振りかけ、注ぎました。 一致しませんが、ファイルは変更されません。 一度書いてください。
これは、「写真に隠れている」という状況とどう違うのですか? 私たちのユニークなコンテンツは常に変化しているという事実。 一度書くのをやめる。 これにより、ステガノグラフィに興味のある人は鉛筆を簡単に手に入れることができます。
したがって、このような統計分析に該当しないようにするには、古いバージョンを近くに残して、より頻繁に画像名を変更する必要があります。 一度に1つずつではなく、iPhoneからの新しい写真の会社に記入します。 この場合、この使用パターンはすでに「ここにあるランプの下に隠れている」のではなく、「見ているものをすべて消している」ように見えます。
これは、一般に、特に突然の騒ぎに追加されます。
暗号化
コンテンツのネイティブな手動暗号化は救いです。 ボールトはあなたを嫌います-あなたから利益はありません。 コンテンツを圧縮したり、同じものを貼り付けたりしないでください。
暗号化をストレージから分離することを忘れないでください。 私たちは妄想ですが、少数です-これは役割を果たしていません。
しかし、突然1秒ごとに暗号化が開始された場合(必要に応じて)ドライブはサーバーにキーを配置する必要があります。 不正アクセスを得るためではなく、利益を上げるためです。
そして、ステガノグラフィーと同じ瞬間が現れます-なぜあなたは自分でファイルを暗号化する必要があるのですか、あなたはアラブのテロリストですか? あなたが妄想しているという証明書を忘れずに取ってください!
クラウドサービス
次に、サービスに移りましょう(例としてAmazonを使用)-これはより便利です。
明らかに、これらのサービスは「PHPをマイクロインスタンスにインストールし、共有ホスティングに置き換えました」というスタイルで使用できます。 この場合、クラウドのメリットはほとんどありません。つまり、友人のVasyaがphpbbを修正することは難しく、実際のハードウェアが落ちても脅威にはなりません。
しかし、賢明にアプローチすれば、可能性ははるかに大きくなります。 これはバランサーであり、CloudWatch、そしてもちろん-最もおいしいです! -S3およびCloudFront。
50万人以上のアクティブユーザー向けに設計された典型的なプロジェクトで通常使用されるサービスを以下に示します。
- EC2(通常、専用サーバー+ RoR、JBossなどのパック)
- S3
- クラウドフロント
- クラウドウォッチ
- RDS(MySQLまたはOracle-データモデルに応じて)
- BeanstalkまたはSQS(EC2サーバー間の通信)
- SESおよび/またはSNS(メーリングおよびプッシュツートーク)
予想される負荷が大きいほど、S3とCloudFrontがより積極的に使用され、さまざまなApache SolrとKに必要なEC2が多くなります。
経験を積んだ外観では、ElastiCacheリストで別名memcachedが見つかりません。これは明らかです。 既に使用されているテクノロジーのスタックにあるJBoss CacheまたはOracle Coherenceがある場合、もう1つのキャッシュは必要ありません。
代わりに、S3 / CloudFront APIを使用した専門サービスの結果のほとんどは、Amazonサーバーに強制的にアップロードされます。 そのため、ビデオ、写真、その他のレポートは毎回作成する必要がないだけでなく、データベースにUIDのみを保存してホストすることもできます。
保護の観点からクラウドのフルパワーを使用するための前提条件を提供するのはこのようなアーキテクチャであるため、この典型的なケースについて詳細に説明します。
DDoSは過去のものです
例は、ウィキリークスで有名な物語です。
DDoSまたはAssangeevoの作成、DDoSまたはDDoSかどうか。 4つの大陸にある世界最大のネットワークの1つを完全に獲得することは、ファンタジーの世界に由来します。
パスワードブルートフォース-フードの下の邪悪な力
ただし、黒い帽子も有利です。
7桁のコスト(ルーブルではない)で特別なデバイスやデータセンターを構築する必要がなくなりました。 ジョン・ザ・ザ・リッパー、できればテスラを乗せて、オンデマンドのEC2を2〜3台レンタルするだけで、その金額はすでに5桁です。
ブルートフォースを2桁減らすことは強力です。
より手頃な価格。
したがって、結論は明白です。
- 私たちは、辞書からではなく、よりクレイジーに、そして本物のパスワードを使用します。
- Keepassと類似物を使用してパスワードを管理します。
- 可能な限り-キーに移動します。
Habraeffectsおよび関連する攻撃タイプ
ここでも明らかなように、CloudWatchは、必要なだけ多くのフロントエンドノードをバランサーに送ります。これは、制限を正しく規定するだけです。 そして、彼自身が、必要がなくなるとそれらを置くでしょう。
S3 / CloudFrontは、「これらのシックな写真を見る」ことを望む多くの人々に耐えることができます。
また、SQS / Beanstalkでは、長時間の操作用のアプリケーションが消えることはありません。
質問は基本的に、データベースクラスターの設定とそのコストにかかっています。 同期レプリケーションを備えた本格的なMySQL Clusterは非常に高価です。
結論
新しい機会-新しい現実。 インターネット上のセキュリティ!