क्लाउड कंप्यूटिंग सुरक्षा: Difference between revisions
No edit summary |
No edit summary |
||
Line 2: | Line 2: | ||
{{for|क्लाउड-होस्टेड सुरक्षा सॉफ़्टवेयर|एक सेवा के रूप में सुरक्षा}} | {{for|क्लाउड-होस्टेड सुरक्षा सॉफ़्टवेयर|एक सेवा के रूप में सुरक्षा}} | ||
{{Computer hacking|expanded=कंप्यूटर सुरक्षा}} | {{Computer hacking|expanded=कंप्यूटर सुरक्षा}} | ||
[[ क्लाउड कंप्यूटिंग ]] सुरक्षा या, अधिक सरलता से, क्लाउड सुरक्षा वर्चुअलाइज्ड आईपी, डेटा, | [[ क्लाउड कंप्यूटिंग ]] सुरक्षा या, अधिक सरलता से, क्लाउड सुरक्षा वर्चुअलाइज्ड आईपी, डेटा, आवेदन, सेवाओं और क्लाउड कंप्यूटिंग के संबंधित बुनियादी ढांचे की सुरक्षा के लिए उपयोग की जाने वाली नीतियों, तकनीकों, अनुप्रयोगों और नियंत्रणों के एक व्यापक सेट को संदर्भित करती है। यह [[ कंप्यूटर सुरक्षा ]],[[ नेटवर्क सुरक्षा ]], और अधिक व्यापक रूप से,[[ सूचना सुरक्षा ]] का एक उप-डोमेन है। | ||
== क्लाउड से जुड़े सुरक्षा मुद्दे == | == क्लाउड से जुड़े सुरक्षा मुद्दे == | ||
क्लाउड [[ कम्प्यूटिंग ]] और स्टोरेज उपयोगकर्ताओं को तीसरे पक्ष के डेटा केंद्रों में अपने डेटा को | क्लाउड [[ कम्प्यूटिंग ]] और स्टोरेज उपयोगकर्ताओं को तीसरे पक्ष के डेटा केंद्रों में अपने डेटा को संग्रहीत और संसाधित करने की क्षमता प्रदान करते हैं।<ref name="cloudid">{{cite journal |last1=Haghighat |first1=Mohammad |last2=Zonouz |first2=Saman |last3=Abdel-Mottaleb |first3=Mohamed |title=CloudID: भरोसेमंद क्लाउड-आधारित और क्रॉस-एंटरप्राइज़ बायोमेट्रिक पहचान|journal=Expert Systems with Applications |date=November 2015 |volume=42 |issue=21 |pages=7905–7916 |doi=10.1016/j.eswa.2015.06.025 }}</ref> संगठन विभिन्न प्रकार के विभिन्न सेवा मॉडल ([[ SaaS |सास]], [[ PaaS |पास]], और [[ IaaS |इसा]] जैसे परिवर्णी शब्दों के साथ) और परिनियोजन मॉडल (निजी क्लाउड, सार्वजनिक क्लाउड, संकर क्लाउड और [[ सामुदायिक बादल ]]) में क्लाउड का उपयोग करते हैं।<ref name="Srinivasan">{{cite book |doi=10.1145/2345396.2345474 |chapter=State-of-the-art cloud computing security taxonomies |title=कंप्यूटिंग, संचार और सूचना विज्ञान में प्रगति पर अंतर्राष्ट्रीय सम्मेलन की कार्यवाही - ICACCI '12|year=2012 |last1=Srinivasan |first1=Madhan Kumar |last2=Sarukesi |first2=K. |last3=Rodrigues |first3=Paul |last4=Manoj |first4=M. Sai |last5=Revathy |first5=P. |pages=470–476 |isbn=978-1-4503-1196-0 |s2cid=18507025 }}</ref> | ||
क्लाउड कंप्यूटिंग से जुड़ी सुरक्षा चिंताओं को आम तौर पर दो तरीकों से वर्गीकृत किया जाता है: क्लाउड प्रदाताओं (क्लाउड के माध्यम से सॉफ्टवेयर-, प्लेटफ़ॉर्म-या इंफ्रास्ट्रक्चर-ए-ए-सर्विस प्रदान करने वाले संगठन) और उनके ग्राहकों द्वारा सामना की जाने वाली सुरक्षा समस्याएं (कंपनियां या संगठन जो क्लाउड पर आवेदन होस्ट करते हैं या डेटा संग्रहीत करते हैं)द्वारा सामना किए जाने वाले सुरक्षा अभिपाय के रूप में।<ref>{{cite news|url=http://security.sys-con.com/node/1231725|title=दलदल कम्प्यूटिंग a.k.a. क्लाउड कम्प्यूटिंग|publisher=Web Security Journal|date=2009-12-28|access-date=2010-01-25}}</ref> हालाँकि, जिम्मेदारी साझा की जाती है, और बहुधा क्लाउड प्रदाता के साझा सुरक्षा जिम्मेदारी मॉडल या साझा जिम्मेदारी मॉडल में विस्तृत होती है।<ref name="CSACloudCont4">{{cite web |url=https://cloudsecurityalliance.org/artifacts/cloud-controls-matrix-v4/ |format=xlsx |title=क्लाउड कंट्रोल मैट्रिक्स v4|publisher=Cloud Security Alliance |date=15 March 2021 |access-date=21 May 2021}}</ref><ref name="AWSShared20">{{cite web |url=https://docs.aws.amazon.com/whitepapers/latest/navigating-gdpr-compliance/shared-security-responsibility-model.html |title=साझा सुरक्षा उत्तरदायित्व मॉडल|work=Navigating GDPR Compliance on AWS |publisher=AWS |date=December 2020 |access-date=21 May 2021}}</ref><ref name="TozziAvoid20">{{cite web |url=https://www.paloaltonetworks.com/blog/prisma-cloud/pitfalls-shared-responsibility-cloud-security/ |title=क्लाउड सुरक्षा के लिए साझा उत्तरदायित्व मॉडल के नुकसान से बचना|author=Tozzi, C. |work=Pal Alto Blog |publisher=Palo Alto Networks |date=24 September 2020 |access-date=21 May 2021}}</ref> प्रदाता को यह सुनिश्चित करना चाहिए कि उनका बुनियादी ढांचा सुरक्षित है और उनके ग्राहकों के डेटा और आवेदन सुरक्षित हैं, जबकि उपयोगकर्ता को अपने आवेदन को मजबूत करने और मजबूत कूटशब्द और प्रमाणीकरण उपायों का उपयोग करने के उपाय करने चाहिए।<ref name="AWSShared20" /><ref name="TozziAvoid20" /> | |||
जब कोई संगठन सार्वजनिक क्लाउड पर डेटा स्टोर करने या आवेदन होस्ट करने का चुनाव करता है, तो वह अपनी जानकारी होस्ट करने वाले सर्वर तक भौतिक पहुंच रखने की क्षमता खो देता है। नतीजतन, संभावित रूप से संवेदनशील डेटा अंदरूनी हमलों से खतरे में है। २०१० की [[ बादल सुरक्षा एलायंस | बादल सुरक्षा एलायंस]] रिपोर्ट के अनुसार, अंदरूनी हमले क्लाउड कंप्यूटिंग में शीर्ष सात सबसे बड़े खतरों में से एक हैं।<ref name="क्लाउड कंप्यूटिंग v1.0 के लिए शीर्ष खतरे">{{cite web|date=March 2010|title=क्लाउड कंप्यूटिंग v1.0 के लिए शीर्ष खतरे|url=http://www.itsecure.hu/library/file/Biztons%C3%A1gi%20%C3%BAtmutat%C3%B3k/Felh%C5%91%20szolg%C3%A1ltat%C3%A1sok/Top%20threats%20to%20cloud%20computing%20v1_0.pdf|access-date=2020-09-19|publisher=Cloud Security Alliance}}</ref> इसलिए, क्लाउड सेवा प्रदाताओं को यह सुनिश्चित करना चाहिए कि डेटा केंद्र में सर्वर तक भौतिक पहुंच रखने वाले कर्मचारियों के लिए पूरी तरह से पृष्ठभूमि की जांच की जाए। इसके अतिरिक्त, संदिग्ध गतिविधि के लिए डेटा केंद्रों की बहुधा निगरानी करने की सिफारिश की जाती है। | |||
क्लाउड | संसाधनों के संरक्षण, लागत में कटौती और दक्षता बनाए रखने के लिए, क्लाउड सेवा प्रदाता बहुधा एक ही सर्वर पर एक से अधिक ग्राहकों का डेटा संग्रहीत करते हैं। नतीजतन, एक संभावना है कि एक उपयोगकर्ता का निजी डेटा अन्य उपयोगकर्ताओं (संभवतः प्रतिस्पर्धी भी) द्वारा देखा जा सकता है। ऐसी संवेदनशील स्थितियों को संभालने के लिए, क्लाउड सेवा प्रदाताओं को उचित [[ अलगाव (डेटाबेस सिस्टम) |अलगाव (डेटाबेस सिस्टम)]] और तार्किक भंडारण अलगाव सुनिश्चित करना चाहिए।<ref name="Srinivasan" /> | ||
क्लाउड आधारिक संरचन को लागू करने में [[ वर्चुअलाइजेशन | वर्चुअलाइजेशन]] का व्यापक उपयोग ग्राहकों या सार्वजनिक क्लाउड सेवा के किरायेदारों के लिए अद्वितीय सुरक्षा चिंताएँ लाता है।<ref name="Cloud Virtual Security Winkler">{{cite web|last=Winkler|first=Vic|title=क्लाउड कंप्यूटिंग: वर्चुअल क्लाउड सुरक्षा चिंताएं|url=https://technet.microsoft.com/en-us/magazine/hh641415.aspx|publisher=Technet Magazine, Microsoft|access-date=12 February 2012}}</ref> वर्चुअलाइजेशन ओएस और अंतर्निहित हार्डवेयर के बीच संबंध को बदल देता है - चाहे वह कंप्यूटिंग, स्टोरेज या नेटवर्किंग हो। यह एक अतिरिक्त परत - वर्चुअलाइजेशन - का परिचय देता है - जो स्वयं को ठीक से कॉन्फ़िगर, प्रबंधित और सुरक्षित होना चाहिए।<ref name="virtualization risks hickey">{{cite web|last=Hickey|first=Kathleen|title=डार्क क्लाउड: अध्ययन वर्चुअलाइजेशन में सुरक्षा जोखिम पाता है|url=http://gcn.com/articles/2010/03/18/dark-cloud-security.aspx|publisher=Government Security News|access-date=12 February 2012}}</ref> विशिष्ट चिंताओं में वर्चुअलाइजेशन सॉफ़्टवेयर, या [[ हाइपरविजर | हाइपरविजर]] से समझौता करने की क्षमता शामिल है। हालांकि ये चिंताएँ काफी हद तक सैद्धांतिक हैं, वे मौजूद हैं।<ref name="Securing the Cloud Winkler virt">{{cite book |last1=Winkler |first1=Joachim R. |title=क्लाउड को सुरक्षित करना: क्लाउड कंप्यूटर सुरक्षा तकनीक और रणनीति|date=2011 |publisher=Elsevier |isbn=978-1-59749-592-9 |page=59 }}</ref> उदाहरण के लिए, वर्चुअलाइजेशन कार्यस्थान के प्रबंधन सॉफ़्टवेयर के साथ व्यवस्थापक वर्कस्टेशन में एक उल्लंघन पूरे डेटा केंद्र को नीचे जाने या हमलावर की पसंद के अनुसार पुन: कॉन्फ़िगर करने का कारण बन सकता है। | |||
== क्लाउड सुरक्षा नियंत्रण == | == क्लाउड सुरक्षा नियंत्रण == | ||
क्लाउड | क्लाउड सुरक्षा वास्तुकला तभी प्रभावी होता है जब सही रक्षात्मक कार्यान्वयन हो। एक कुशल क्लाउड सुरक्षा वास्तुकला को उन अभिपाय को पहचानना चाहिए जो सुरक्षा प्रबंधन के साथ उत्पन्न होंगे और सुरक्षित क्लाउड वातावरण सुनिश्चित करने के लिए सभी सर्वोत्तम प्रथाओं, प्रक्रियाओं और दिशानिर्देशों का पालन करना चाहिए। सुरक्षा प्रबंधन इन अभिपाय को सुरक्षा नियंत्रणों के साथ संबोधित करता है। ये नियंत्रण क्लाउड वातावरण की रक्षा करते हैं और प्रणाली में किसी भी कमजोरियों को सुरक्षित रखने और हमले के प्रभाव को कम करने के लिए लगाए जाते हैं। जबकि क्लाउड सुरक्षा संरचना के पीछे कई प्रकार के नियंत्रण होते हैं, वे आमतौर पर निम्नलिखित श्रेणियों में से एक में पाए जा सकते हैं: | ||
निवारक नियंत्रण | ''<s>निवारक नियंत्रण</s>'' | ||
:ये नियंत्रण प्रशासनिक तंत्र हैं जिनका उद्देश्य क्लाउड सिस्टम पर हमलों को कम करना है और बाहरी नियंत्रणों के अनुपालन को सुनिश्चित करने के लिए उपयोग किया जाता है। बाड़ या संपत्ति पर चेतावनी के संकेत की तरह, निवारक नियंत्रण आम तौर पर संभावित हमलावरों को सूचित करके खतरे के स्तर को कम करते हैं कि यदि वे आगे बढ़ते हैं तो उनके लिए प्रतिकूल परिणाम होंगे।<ref>Andress, J. (2014). Deterrent Control - an overview | ScienceDirect Topics. Retrieved October 14, 2021, from <nowiki>https://www.sciencedirect.com/topics/computer-science/deterrent-control</nowiki></ref> (कुछ उन्हें निवारक नियंत्रणों का एक सबसेट मानते हैं।) ऐसे नियंत्रणों के उदाहरणों को नीतियों, प्रक्रियाओं, मानकों, दिशानिर्देशों, कानूनों और विनियमों के रूप में माना जा सकता है जो किसी संगठन को सुरक्षा की दिशा में मार्गदर्शन करते हैं। हालांकि अधिकांश दुर्भावनापूर्ण अभिनेता ऐसे निवारक नियंत्रणों की उपेक्षा करते हैं, ऐसे नियंत्रणों का उद्देश्य उन लोगों को दूर करना है जो किसी संगठन के आईटी बुनियादी ढांचे से समझौता करने के बारे में अनुभवहीन या उत्सुक हैं। | :ये नियंत्रण प्रशासनिक तंत्र हैं जिनका उद्देश्य क्लाउड सिस्टम पर हमलों को कम करना है और बाहरी नियंत्रणों के अनुपालन को सुनिश्चित करने के लिए उपयोग किया जाता है। बाड़ या संपत्ति पर चेतावनी के संकेत की तरह, निवारक नियंत्रण आम तौर पर संभावित हमलावरों को सूचित करके खतरे के स्तर को कम करते हैं कि यदि वे आगे बढ़ते हैं तो उनके लिए प्रतिकूल परिणाम होंगे।<ref>Andress, J. (2014). Deterrent Control - an overview | ScienceDirect Topics. Retrieved October 14, 2021, from <nowiki>https://www.sciencedirect.com/topics/computer-science/deterrent-control</nowiki></ref> (कुछ उन्हें निवारक नियंत्रणों का एक सबसेट मानते हैं।) ऐसे नियंत्रणों के उदाहरणों को नीतियों, प्रक्रियाओं, मानकों, दिशानिर्देशों, कानूनों और विनियमों के रूप में माना जा सकता है जो किसी संगठन को सुरक्षा की दिशा में मार्गदर्शन करते हैं। हालांकि अधिकांश दुर्भावनापूर्ण अभिनेता ऐसे निवारक नियंत्रणों की उपेक्षा करते हैं, ऐसे नियंत्रणों का उद्देश्य उन लोगों को दूर करना है जो किसी संगठन के आईटी बुनियादी ढांचे से समझौता करने के बारे में अनुभवहीन या उत्सुक हैं। | ||
Line 37: | Line 38: | ||
हालांकि क्लाउड कंप्यूटिंग का विचार नया नहीं है, इसके लचीले मापनीयता, सापेक्ष भरोसेमंदता और सेवाओं की लागत मितव्ययिता के कारण संघ तेजी से इसे लागू कर रहे हैं। हालांकि, कुछ क्षेत्रों और विषयों में इसकी तेजी से आग लगने के बावजूद, यह अन्वेषण और आंकड़ों से स्पष्ट है कि सुरक्षा संबंधी नुकसान इसके व्यापक त्याग के लिए सबसे विशिष्ट बचाव हैं।{{cn|date=December 2021}} | हालांकि क्लाउड कंप्यूटिंग का विचार नया नहीं है, इसके लचीले मापनीयता, सापेक्ष भरोसेमंदता और सेवाओं की लागत मितव्ययिता के कारण संघ तेजी से इसे लागू कर रहे हैं। हालांकि, कुछ क्षेत्रों और विषयों में इसकी तेजी से आग लगने के बावजूद, यह अन्वेषण और आंकड़ों से स्पष्ट है कि सुरक्षा संबंधी नुकसान इसके व्यापक त्याग के लिए सबसे विशिष्ट बचाव हैं।{{cn|date=December 2021}} | ||
आम तौर पर यह अनुशंसा की जाती है कि सूचना सुरक्षा नियंत्रणों को जोखिमों के अनुसार और उनके अनुपात में चुना और कार्यान्वित किया जाए, आमतौर पर खतरों, कमजोरियों और प्रभावों का आकलन करके। क्लाउड सुरक्षा चिंताओं को विभिन्न तरीकों से समूहीकृत किया जा सकता है; गार्टनर ने सात नाम दिए<ref>{{cite magazine|url=http://www.infoworld.com/d/security-central/gartner-seven-cloud-computing-security-risks-853|title=गार्टनर: सात क्लाउड-कंप्यूटिंग सुरक्षा जोखिम|magazine=InfoWorld|date=2008-07-02|access-date=2010-01-25}}</ref> जबकि क्लाउड सिक्योरिटी एलायंस ने चिंता के बारह क्षेत्रों की पहचान की।<ref>{{cite web|url=https://cloudsecurityalliance.org/artifacts/top-threats-cloud-computing-plus-industry-insights/|title=क्लाउड कंप्यूटिंग प्लस के लिए शीर्ष खतरे: उद्योग अंतर्दृष्टि|date=2017-10-20|publisher=Cloud Security Alliance|access-date=2018-10-20}}</ref> [[ क्लाउड एक्सेस सुरक्षा ब्रोकर ]] (CASBs) सॉफ्टवेयर हैं जो क्लाउड | आम तौर पर यह अनुशंसा की जाती है कि सूचना सुरक्षा नियंत्रणों को जोखिमों के अनुसार और उनके अनुपात में चुना और कार्यान्वित किया जाए, आमतौर पर खतरों, कमजोरियों और प्रभावों का आकलन करके। क्लाउड सुरक्षा चिंताओं को विभिन्न तरीकों से समूहीकृत किया जा सकता है; गार्टनर ने सात नाम दिए<ref>{{cite magazine|url=http://www.infoworld.com/d/security-central/gartner-seven-cloud-computing-security-risks-853|title=गार्टनर: सात क्लाउड-कंप्यूटिंग सुरक्षा जोखिम|magazine=InfoWorld|date=2008-07-02|access-date=2010-01-25}}</ref> जबकि क्लाउड सिक्योरिटी एलायंस ने चिंता के बारह क्षेत्रों की पहचान की।<ref>{{cite web|url=https://cloudsecurityalliance.org/artifacts/top-threats-cloud-computing-plus-industry-insights/|title=क्लाउड कंप्यूटिंग प्लस के लिए शीर्ष खतरे: उद्योग अंतर्दृष्टि|date=2017-10-20|publisher=Cloud Security Alliance|access-date=2018-10-20}}</ref> [[ क्लाउड एक्सेस सुरक्षा ब्रोकर ]] (CASBs) सॉफ्टवेयर हैं जो क्लाउड आवेदन उपयोग, डेटा सुरक्षा और शासन में दृश्यता प्रदान करने के लिए क्लाउड उपयोगकर्ताओं और क्लाउड आवेदन के बीच बैठते हैं ताकि सभी गतिविधियों की निगरानी की जा सके और सुरक्षा नीतियों को लागू किया जा सके।<ref>{{cite web|title = CASB (क्लाउड एक्सेस सिक्योरिटी ब्रोकर) क्या है?|publisher = CipherCloud|url = https://www.ciphercloud.com/what-is-a-casb|access-date = 2018-08-30|archive-url = https://web.archive.org/web/20180831071934/https://www.ciphercloud.com/what-is-a-casb|archive-date = 2018-08-31|url-status = dead}}</ref> | ||
Line 49: | Line 50: | ||
=== शारीरिक सुरक्षा === | === शारीरिक सुरक्षा === | ||
क्लाउड सेवा प्रदाता अनधिकृत पहुंच, हस्तक्षेप, चोरी, आग, बाढ़ आदि के खिलाफ आईटी [[ कम्पुटर के वो भाग जिसे छूकर मेहसूस किया जा सके ]] (सर्वर, राउटर, केबल आदि) को भौतिक रूप से सुरक्षित करते हैं और यह सुनिश्चित करते हैं कि व्यवधान की संभावना को कम करने के लिए आवश्यक आपूर्ति (जैसे बिजली) पर्याप्त रूप से मजबूत हो। . यह सामान्य रूप से पेशेवर रूप से निर्दिष्ट, डिज़ाइन, निर्मित, प्रबंधित, निगरानी और रखरखाव वाले डेटा केंद्रों से क्लाउड | क्लाउड सेवा प्रदाता अनधिकृत पहुंच, हस्तक्षेप, चोरी, आग, बाढ़ आदि के खिलाफ आईटी [[ कम्पुटर के वो भाग जिसे छूकर मेहसूस किया जा सके ]] (सर्वर, राउटर, केबल आदि) को भौतिक रूप से सुरक्षित करते हैं और यह सुनिश्चित करते हैं कि व्यवधान की संभावना को कम करने के लिए आवश्यक आपूर्ति (जैसे बिजली) पर्याप्त रूप से मजबूत हो। . यह सामान्य रूप से पेशेवर रूप से निर्दिष्ट, डिज़ाइन, निर्मित, प्रबंधित, निगरानी और रखरखाव वाले डेटा केंद्रों से क्लाउड आवेदन की सेवा करके प्राप्त किया जाता है। | ||
=== कार्मिक सुरक्षा === | === कार्मिक सुरक्षा === | ||
Line 64: | Line 65: | ||
मुफ़्त या व्यावसायिक उत्पादों का उपयोग करके क्लाउड को बाहर और अंदर से स्कैन करना महत्वपूर्ण है क्योंकि कठोर वातावरण के बिना आपकी सेवा को एक आसान लक्ष्य माना जाता है। डेटा रिसाव की रोकथाम, मैलवेयर और शोषित कमजोरियों के विरुद्ध वर्चुअल सर्वर को एक भौतिक सर्वर की तरह ही कठोर होना चाहिए। डेटा हानि या रिसाव 24.6% और क्लाउड से संबंधित मैलवेयर 3.4% खतरों का प्रतिनिधित्व करता है जो क्लाउड आउटेज का कारण बनता है ” | मुफ़्त या व्यावसायिक उत्पादों का उपयोग करके क्लाउड को बाहर और अंदर से स्कैन करना महत्वपूर्ण है क्योंकि कठोर वातावरण के बिना आपकी सेवा को एक आसान लक्ष्य माना जाता है। डेटा रिसाव की रोकथाम, मैलवेयर और शोषित कमजोरियों के विरुद्ध वर्चुअल सर्वर को एक भौतिक सर्वर की तरह ही कठोर होना चाहिए। डेटा हानि या रिसाव 24.6% और क्लाउड से संबंधित मैलवेयर 3.4% खतरों का प्रतिनिधित्व करता है जो क्लाउड आउटेज का कारण बनता है ” | ||
क्लाउड प्रदाता द्वारा क्लाउड के अंदर या बाहर स्कैनिंग और पैठ परीक्षण को अधिकृत किया जाना चाहिए। चूंकि क्लाउड अन्य ग्राहकों या किरायेदारों के साथ एक साझा वातावरण है, इसलिए सगाई के पैठ परीक्षण नियमों का चरण-दर-चरण पालन करना एक अनिवार्य आवश्यकता है। स्वीकार्य उपयोग नीतियों के उल्लंघन से सेवा समाप्त हो सकती है। पैठ परीक्षण पर चर्चा करते समय समझने के लिए कुछ प्रमुख शब्दावली अनुप्रयोग और नेटवर्क परत परीक्षण के बीच का अंतर है। परीक्षक के रूप में आपसे जो पूछा गया है उसे समझना कभी-कभी प्रक्रिया में सबसे महत्वपूर्ण कदम होता है। नेटवर्क-परत परीक्षण परीक्षण को संदर्भित करता है जिसमें आंतरिक/बाहरी कनेक्शन के साथ-साथ पूरे स्थानीय नेटवर्क में परस्पर जुड़े सिस्टम शामिल होते हैं। | क्लाउड प्रदाता द्वारा क्लाउड के अंदर या बाहर स्कैनिंग और पैठ परीक्षण को अधिकृत किया जाना चाहिए। चूंकि क्लाउड अन्य ग्राहकों या किरायेदारों के साथ एक साझा वातावरण है, इसलिए सगाई के पैठ परीक्षण नियमों का चरण-दर-चरण पालन करना एक अनिवार्य आवश्यकता है। स्वीकार्य उपयोग नीतियों के उल्लंघन से सेवा समाप्त हो सकती है। पैठ परीक्षण पर चर्चा करते समय समझने के लिए कुछ प्रमुख शब्दावली अनुप्रयोग और नेटवर्क परत परीक्षण के बीच का अंतर है। परीक्षक के रूप में आपसे जो पूछा गया है उसे समझना कभी-कभी प्रक्रिया में सबसे महत्वपूर्ण कदम होता है। नेटवर्क-परत परीक्षण परीक्षण को संदर्भित करता है जिसमें आंतरिक/बाहरी कनेक्शन के साथ-साथ पूरे स्थानीय नेटवर्क में परस्पर जुड़े सिस्टम शामिल होते हैं। बहुधा, सोशल इंजीनियरिंग के हमले किए जाते हैं, क्योंकि सुरक्षा में सबसे कमजोर कड़ी बहुधा कर्मचारी होता है। | ||
व्हाइट-बॉक्स परीक्षण | व्हाइट-बॉक्स परीक्षण | ||
Line 79: | Line 80: | ||
== डेटा सुरक्षा == | == डेटा सुरक्षा == | ||
क्लाउड डेटा सेवाओं से जुड़े कई सुरक्षा खतरे हैं। इसमें पारंपरिक खतरे और गैर-पारंपरिक खतरे शामिल हैं। पारंपरिक खतरों में शामिल हैं: [[ नेटवर्क छिपकर बातें सुनना ]], अवैध आक्रमण, और सेवा हमलों से इनकार, लेकिन साथ ही विशिष्ट क्लाउड कंप्यूटिंग खतरे, जैसे कि साइड चैनल हमले, वर्चुअलाइजेशन भेद्यताएं, और क्लाउड सेवाओं का दुरुपयोग। इन खतरों को कम करने के लिए सुरक्षा नियंत्रण | क्लाउड डेटा सेवाओं से जुड़े कई सुरक्षा खतरे हैं। इसमें पारंपरिक खतरे और गैर-पारंपरिक खतरे शामिल हैं। पारंपरिक खतरों में शामिल हैं: [[ नेटवर्क छिपकर बातें सुनना ]], अवैध आक्रमण, और सेवा हमलों से इनकार, लेकिन साथ ही विशिष्ट क्लाउड कंप्यूटिंग खतरे, जैसे कि साइड चैनल हमले, वर्चुअलाइजेशन भेद्यताएं, और क्लाउड सेवाओं का दुरुपयोग। इन खतरों को कम करने के लिए सुरक्षा नियंत्रण बहुधा CIA तिकड़ी के तीन क्षेत्रों की निगरानी पर निर्भर करते हैं। सीआईए ट्रायड गोपनीयता, अखंडता, साथ ही अभिगम नियंत्रणीयता को संदर्भित करता है जिसे आगे निम्नलिखित से समझा जा सकता है।<ref>{{cite journal |last1=Tang |first1=Jun |last2=Cui |first2=Yong |last3=Li |first3=Qi |last4=Ren |first4=Kui |last5=Liu |first5=Jiangchuan |last6=Buyya |first6=Rajkumar |title=क्लाउड डेटा सेवाओं के लिए सुरक्षा और गोपनीयता संरक्षण सुनिश्चित करना|journal=ACM Computing Surveys |date=28 July 2016 |volume=49 |issue=1 |pages=1–39 |doi=10.1145/2906153 |s2cid=11126705 }}</ref> | ||
यह ध्यान रखना महत्वपूर्ण है कि कई प्रभावी सुरक्षा उपायों में कई या तीनों श्रेणियों में से सभी शामिल हैं। उदाहरण के लिए एन्क्रिप्शन अनधिकृत पहुंच को रोकता है और परिणामस्वरूप डेटा की गोपनीयता, उपलब्धता और अखंडता सुनिश्चित करता है। दूसरी ओर बैकअप आम तौर पर अखंडता को कवर करते हैं और फायरवॉल केवल गोपनीयता और पहुंच नियंत्रणीयता को कवर करते हैं।<ref>{{cite web|date=2018-08-04|title=गोपनीयता, अखंडता और उपलब्धता - सीआईए ट्रायड|url=https://www.certmike.com/confidentiality-integrity-and-availability-the-cia-triad/|access-date=2021-11-27|website=CertMike|language=en-US}}</ref> | यह ध्यान रखना महत्वपूर्ण है कि कई प्रभावी सुरक्षा उपायों में कई या तीनों श्रेणियों में से सभी शामिल हैं। उदाहरण के लिए एन्क्रिप्शन अनधिकृत पहुंच को रोकता है और परिणामस्वरूप डेटा की गोपनीयता, उपलब्धता और अखंडता सुनिश्चित करता है। दूसरी ओर बैकअप आम तौर पर अखंडता को कवर करते हैं और फायरवॉल केवल गोपनीयता और पहुंच नियंत्रणीयता को कवर करते हैं।<ref>{{cite web|date=2018-08-04|title=गोपनीयता, अखंडता और उपलब्धता - सीआईए ट्रायड|url=https://www.certmike.com/confidentiality-integrity-and-availability-the-cia-triad/|access-date=2021-11-27|website=CertMike|language=en-US}}</ref> | ||
Line 108: | Line 109: | ||
=== प्रबंधन इंटरफ़ेस के लिए अनधिकृत पहुँच === | === प्रबंधन इंटरफ़ेस के लिए अनधिकृत पहुँच === | ||
क्लाउड की स्वायत्त प्रकृति के कारण, उपभोक्ताओं को | क्लाउड की स्वायत्त प्रकृति के कारण, उपभोक्ताओं को बहुधा उनके डेटाबेस की निगरानी के लिए प्रबंधन इंटरफेस दिए जाते हैं। इस तरह के एकत्रित स्थान में नियंत्रण रखने और उपयोगकर्ताओं के लिए सुविधा के लिए इंटरफ़ेस आसानी से सुलभ होने से, एक संभावना है कि एक एकल अभिनेता क्लाउड के प्रबंधन इंटरफ़ेस तक पहुंच प्राप्त कर सकता है; उन्हें डेटाबेस पर बहुत अधिक नियंत्रण और शक्ति प्रदान करता है।<ref name="Grobauer Walloschek & Stocker 2011">{{cite journal |last1=Grobauer |first1=Bernd |last2=Walloschek |first2=Tobias |last3=Stocker |first3=Elmar |title=क्लाउड कंप्यूटिंग कमजोरियों को समझना|journal=IEEE Security Privacy |date=March 2011 |volume=9 |issue=2 |pages=50–57 |doi=10.1109/MSP.2010.115 |s2cid=1156866 }}</ref> | ||
=== डेटा रिकवरी भेद्यता === | === डेटा रिकवरी भेद्यता === | ||
आवश्यकतानुसार संसाधनों को आवंटित करने के साथ क्लाउड की क्षमताएं | आवश्यकतानुसार संसाधनों को आवंटित करने के साथ क्लाउड की क्षमताएं बहुधा स्मृति में संसाधनों का परिणाम होती हैं और अन्यथा बाद में किसी अन्य उपयोगकर्ता को पुनर्नवीनीकरण किया जाता है। इन स्मृति या भंडारण संसाधनों के लिए, वर्तमान उपयोगकर्ताओं के लिए पिछले लोगों द्वारा छोड़ी गई जानकारी तक पहुंचना संभव हो सकता है।<ref name="Grobauer Walloschek & Stocker 2011"/> | ||
Line 124: | Line 125: | ||
=== कानूनी मुद्दे === | === कानूनी मुद्दे === | ||
गोपनीयता कानून | गोपनीयता कानून बहुधा एक देश से दूसरे देश में भिन्न होता है। क्लाउड के माध्यम से जानकारी संग्रहीत होने से यह निर्धारित करना मुश्किल है कि डेटा किस अधिकार क्षेत्र में आता है। ट्रांसबॉर्डर क्लाउड विशेष रूप से लोकप्रिय हैं क्योंकि सबसे बड़ी कंपनियां कई देशों को पार करती हैं। क्लाउड की अस्पष्टता से अन्य कानूनी दुविधाएं संदर्भित करती हैं कि कैसे संगठनों के बीच साझा की गई जानकारी और साझा की गई जानकारी के बीच गोपनीयता विनियमन में अंतर है।<ref name="Svantesson & Clarke 2010"/> | ||
Line 133: | Line 134: | ||
2020 की शुरुआत में शुरू हुई वैश्विक महामारी के प्रभावी होने के साथ, दूरस्थ कार्य में बड़े पैमाने पर बदलाव आया, इस वजह से कंपनियां क्लाउड पर अधिक निर्भर हो गईं। इस बड़े पैमाने पर बदलाव पर किसी का ध्यान नहीं गया, विशेष रूप से साइबर अपराधियों और बुरे अभिनेताओं द्वारा, जिनमें से कई ने इस नए दूरस्थ कार्य वातावरण के कारण क्लाउड पर हमला करने का अवसर देखा। कंपनियों को लगातार अपने कर्मचारियों को लगातार सतर्कता बरतने के लिए याद दिलाना पड़ता है खासकर दूर से। नवीनतम सुरक्षा उपायों और नीतियों के साथ लगातार अप टू डेट रहना, संचार में दुर्घटनाएं कुछ ऐसी चीजें हैं जिनकी ये साइबर अपराधी तलाश कर रहे हैं और उनका शिकार करेंगे। | 2020 की शुरुआत में शुरू हुई वैश्विक महामारी के प्रभावी होने के साथ, दूरस्थ कार्य में बड़े पैमाने पर बदलाव आया, इस वजह से कंपनियां क्लाउड पर अधिक निर्भर हो गईं। इस बड़े पैमाने पर बदलाव पर किसी का ध्यान नहीं गया, विशेष रूप से साइबर अपराधियों और बुरे अभिनेताओं द्वारा, जिनमें से कई ने इस नए दूरस्थ कार्य वातावरण के कारण क्लाउड पर हमला करने का अवसर देखा। कंपनियों को लगातार अपने कर्मचारियों को लगातार सतर्कता बरतने के लिए याद दिलाना पड़ता है खासकर दूर से। नवीनतम सुरक्षा उपायों और नीतियों के साथ लगातार अप टू डेट रहना, संचार में दुर्घटनाएं कुछ ऐसी चीजें हैं जिनकी ये साइबर अपराधी तलाश कर रहे हैं और उनका शिकार करेंगे। | ||
श्रमिकों को जारी रखने में सक्षम होने के लिए घर पर काम करना महत्वपूर्ण था, लेकिन जैसे ही दूरस्थ कार्य के लिए कदम बढ़ा, कई सुरक्षा मुद्दे जल्दी से उठे। | श्रमिकों को जारी रखने में सक्षम होने के लिए घर पर काम करना महत्वपूर्ण था, लेकिन जैसे ही दूरस्थ कार्य के लिए कदम बढ़ा, कई सुरक्षा मुद्दे जल्दी से उठे। आवेदन, व्यक्तिगत उपकरणों और इंटरनेट का उपयोग करते हुए डेटा गोपनीयता की आवश्यकता सबसे आगे आ गई। महामारी में बड़ी मात्रा में डेटा उत्पन्न हुआ है, विशेष रूप से स्वास्थ्य सेवा क्षेत्र में। बढ़ते कोरोनोवायरस महामारी के कारण स्वास्थ्य सेवा क्षेत्र के लिए अब पहले से कहीं अधिक बड़ा डेटा जमा हो गया है। क्लाउड को सुरक्षित रूप से अपने उपयोगकर्ताओं के साथ डेटा को व्यवस्थित और साझा करने में सक्षम होना चाहिए। डेटा की गुणवत्ता चार चीजों पर निर्भर करती है: सटीकता, अतिरेक, पूर्णता और निरंतरता।<ref>{{cite journal |last1=Alashhab |first1=Ziyad R. |last2=Anbar |first2=Mohammed |last3=Singh |first3=Manmeet Mahinderjit |last4=Leau |first4=Yu-Beng |last5=Al-Sai |first5=Zaher Ali |last6=Abu Alhayja’a |first6=Sami |title=प्रौद्योगिकियों और क्लाउड कंप्यूटिंग अनुप्रयोगों पर कोरोनावायरस महामारी संकट का प्रभाव|journal=Journal of Electronic Science and Technology |date=March 2021 |volume=19 |issue=1 |pages=100059 |doi=10.1016/j.jnlest.2020.100059 |doi-access=free }}</ref> | ||
उपयोगकर्ताओं को इस तथ्य के बारे में सोचना पड़ा कि विश्व स्तर पर भारी मात्रा में डेटा साझा किया जा रहा है। विभिन्न देशों के कुछ कानून और नियम हैं जिनका पालन करना होता है। नीति और क्षेत्राधिकार में अंतर क्लाउड से जुड़े जोखिम को जन्म देता है। कर्मचारी अब अपने निजी उपकरणों का अधिक उपयोग कर रहे हैं क्योंकि वे घर से काम कर रहे हैं। अपराधी इस वृद्धि को लोगों का शोषण करने के एक अवसर के रूप में देखते हैं, सॉफ्टवेयर लोगों के उपकरणों को संक्रमित करने और उनके क्लाउड तक पहुंच प्राप्त करने के लिए विकसित किया गया है। वर्तमान महामारी ने लोगों को ऐसी स्थिति में डाल दिया है जहां वे अविश्वसनीय रूप से कमजोर हैं और हमलों के लिए अतिसंवेदनशील हैं। दूरस्थ कार्य में परिवर्तन इतना अचानक था कि कई कंपनियां केवल कार्यों से निपटने के लिए तैयार नहीं थीं और बाद में काम का बोझ उन्होंने खुद को गहराई से उलझा हुआ पाया। संगठनों के भीतर उस नए तनाव को कम करने के लिए कड़े सुरक्षा उपाय करने होंगे। | उपयोगकर्ताओं को इस तथ्य के बारे में सोचना पड़ा कि विश्व स्तर पर भारी मात्रा में डेटा साझा किया जा रहा है। विभिन्न देशों के कुछ कानून और नियम हैं जिनका पालन करना होता है। नीति और क्षेत्राधिकार में अंतर क्लाउड से जुड़े जोखिम को जन्म देता है। कर्मचारी अब अपने निजी उपकरणों का अधिक उपयोग कर रहे हैं क्योंकि वे घर से काम कर रहे हैं। अपराधी इस वृद्धि को लोगों का शोषण करने के एक अवसर के रूप में देखते हैं, सॉफ्टवेयर लोगों के उपकरणों को संक्रमित करने और उनके क्लाउड तक पहुंच प्राप्त करने के लिए विकसित किया गया है। वर्तमान महामारी ने लोगों को ऐसी स्थिति में डाल दिया है जहां वे अविश्वसनीय रूप से कमजोर हैं और हमलों के लिए अतिसंवेदनशील हैं। दूरस्थ कार्य में परिवर्तन इतना अचानक था कि कई कंपनियां केवल कार्यों से निपटने के लिए तैयार नहीं थीं और बाद में काम का बोझ उन्होंने खुद को गहराई से उलझा हुआ पाया। संगठनों के भीतर उस नए तनाव को कम करने के लिए कड़े सुरक्षा उपाय करने होंगे। | ||
Line 142: | Line 143: | ||
विशेषता-आधारित एन्क्रिप्शन एक प्रकार का सार्वजनिक-कुंजी एन्क्रिप्शन है जिसमें उपयोगकर्ता की [[ गुप्त कुंजी ]] और सिफरटेक्स्ट विशेषताओं पर निर्भर होते हैं (उदाहरण के लिए वह देश जिसमें वह रहता है, या उसकी सदस्यता किस प्रकार की है)। ऐसी प्रणाली में, सिफरटेक्स्ट का डिक्रिप्शन तभी संभव है जब उपयोगकर्ता कुंजी के गुणों का सेट सिफरटेक्स्ट की विशेषताओं से मेल खाता हो। | विशेषता-आधारित एन्क्रिप्शन एक प्रकार का सार्वजनिक-कुंजी एन्क्रिप्शन है जिसमें उपयोगकर्ता की [[ गुप्त कुंजी ]] और सिफरटेक्स्ट विशेषताओं पर निर्भर होते हैं (उदाहरण के लिए वह देश जिसमें वह रहता है, या उसकी सदस्यता किस प्रकार की है)। ऐसी प्रणाली में, सिफरटेक्स्ट का डिक्रिप्शन तभी संभव है जब उपयोगकर्ता कुंजी के गुणों का सेट सिफरटेक्स्ट की विशेषताओं से मेल खाता हो। | ||
विशेषता-आधारित एन्क्रिप्शन की कुछ ताकत यह है कि यह उन | विशेषता-आधारित एन्क्रिप्शन की कुछ ताकत यह है कि यह उन अभिपाय को हल करने का प्रयास करता है जो वर्तमान सार्वजनिक-कुंजी अवसंरचना (पीकेआई) और पहचान-आधारित एन्क्रिप्शन (आईबीई) कार्यान्वयन में मौजूद हैं। विशेषताओं पर भरोसा करके एबीई पीकेआई के साथ-साथ आईबीई के साथ रिसीवर की पहचान जानने के साथ-साथ सीधे कुंजी साझा करने की आवश्यकता को रोकता है। | ||
ये लाभ लागत पर आते हैं क्योंकि ABE डिक्रिप्शन कुंजी पुनर्वितरण समस्या से ग्रस्त है। चूँकि ABE में डिक्रिप्शन कुंजियों में केवल पहुँच संरचना या उपयोगकर्ता की विशेषताओं के बारे में जानकारी होती है, इसलिए उपयोगकर्ता की वास्तविक पहचान को सत्यापित करना कठिन होता है। इस प्रकार दुर्भावनापूर्ण उपयोगकर्ता जानबूझकर अपनी विशेषता जानकारी को लीक कर सकते हैं ताकि अनधिकृत उपयोगकर्ता नकल कर सकें और पहुंच प्राप्त कर सकें।<ref>{{cite journal |last1=Xu |first1=Shengmin |last2=Yuan |first2=Jiaming |last3=Xu |first3=Guowen |last4=Li |first4=Yingjiu |last5=Liu |first5=Ximeng |last6=Zhang |first6=Yinghui |last7=Ying |first7=Zuobin |title=ब्लैकबॉक्स ट्रेसबिलिटी के साथ कुशल सिफरटेक्स्ट-पॉलिसी विशेषता-आधारित एन्क्रिप्शन|journal=Information Sciences |date=October 2020 |volume=538 |pages=19–38 |doi=10.1016/j.ins.2020.05.115 |s2cid=224845384 |url=https://ink.library.smu.edu.sg/sis_research/5179 }}</ref> | ये लाभ लागत पर आते हैं क्योंकि ABE डिक्रिप्शन कुंजी पुनर्वितरण समस्या से ग्रस्त है। चूँकि ABE में डिक्रिप्शन कुंजियों में केवल पहुँच संरचना या उपयोगकर्ता की विशेषताओं के बारे में जानकारी होती है, इसलिए उपयोगकर्ता की वास्तविक पहचान को सत्यापित करना कठिन होता है। इस प्रकार दुर्भावनापूर्ण उपयोगकर्ता जानबूझकर अपनी विशेषता जानकारी को लीक कर सकते हैं ताकि अनधिकृत उपयोगकर्ता नकल कर सकें और पहुंच प्राप्त कर सकें।<ref>{{cite journal |last1=Xu |first1=Shengmin |last2=Yuan |first2=Jiaming |last3=Xu |first3=Guowen |last4=Li |first4=Yingjiu |last5=Liu |first5=Ximeng |last6=Zhang |first6=Yinghui |last7=Ying |first7=Zuobin |title=ब्लैकबॉक्स ट्रेसबिलिटी के साथ कुशल सिफरटेक्स्ट-पॉलिसी विशेषता-आधारित एन्क्रिप्शन|journal=Information Sciences |date=October 2020 |volume=538 |pages=19–38 |doi=10.1016/j.ins.2020.05.115 |s2cid=224845384 |url=https://ink.library.smu.edu.sg/sis_research/5179 }}</ref> | ||
Line 165: | Line 166: | ||
डेटा के भंडारण और उपयोग से संबंधित कई कानून और नियम। अमेरिका में इनमें गोपनीयता या डेटा सुरक्षा कानून, [[ भुगतान कार्ड उद्योग डेटा सुरक्षा मानक ]] (PCI DSS), [[ स्वास्थ्य बीमा सुवाह्यता और जवाबदेही अधिनियम ]] (HIPAA), सरबनेस-ऑक्सले अधिनियम, [[ संघीय सूचना सुरक्षा प्रबंधन अधिनियम 2002 ]] (FISMA) शामिल हैं। , और चिल्ड्रेन्स ऑनलाइन प्राइवेसी प्रोटेक्शन एक्ट ऑफ़ 1998, अन्य के साथ। इसी तरह के मानक अन्य न्यायालयों में मौजूद हैं, उदा। सिंगापुर का [[ SS584 ]] | बहु-स्तरीय क्लाउड सुरक्षा मानक। | डेटा के भंडारण और उपयोग से संबंधित कई कानून और नियम। अमेरिका में इनमें गोपनीयता या डेटा सुरक्षा कानून, [[ भुगतान कार्ड उद्योग डेटा सुरक्षा मानक ]] (PCI DSS), [[ स्वास्थ्य बीमा सुवाह्यता और जवाबदेही अधिनियम ]] (HIPAA), सरबनेस-ऑक्सले अधिनियम, [[ संघीय सूचना सुरक्षा प्रबंधन अधिनियम 2002 ]] (FISMA) शामिल हैं। , और चिल्ड्रेन्स ऑनलाइन प्राइवेसी प्रोटेक्शन एक्ट ऑफ़ 1998, अन्य के साथ। इसी तरह के मानक अन्य न्यायालयों में मौजूद हैं, उदा। सिंगापुर का [[ SS584 ]] | बहु-स्तरीय क्लाउड सुरक्षा मानक। | ||
समान कानून विभिन्न कानूनी न्यायालयों में लागू हो सकते हैं और अमेरिका में लागू किए गए कानूनों से काफी भिन्न हो सकते हैं। क्लाउड सेवा के उपयोगकर्ताओं को | समान कानून विभिन्न कानूनी न्यायालयों में लागू हो सकते हैं और अमेरिका में लागू किए गए कानूनों से काफी भिन्न हो सकते हैं। क्लाउड सेवा के उपयोगकर्ताओं को बहुधा न्यायालयों के बीच कानूनी और विनियामक अंतरों के बारे में जागरूक होने की आवश्यकता हो सकती है। उदाहरण के लिए, क्लाउड सेवा प्रदाता द्वारा संग्रहीत डेटा सिंगापुर में स्थित हो सकता है और यूएस में प्रतिबिंबित हो सकता है।<ref>{{cite web|url=http://www.technologyslegaledge.com/2014/08/29/managing-legal-risks-arising-from-cloud-computing/|title=क्लाउड कंप्यूटिंग से उत्पन्न होने वाले कानूनी जोखिमों का प्रबंधन|date=29 August 2014 |publisher=DLA Piper |access-date=2014-11-22}}</ref> | ||
इनमें से कई नियम विशेष नियंत्रण (जैसे मजबूत पहुंच नियंत्रण और ऑडिट ट्रेल्स) को अनिवार्य करते हैं और नियमित रिपोर्टिंग की आवश्यकता होती है। क्लाउड ग्राहकों को यह सुनिश्चित करना चाहिए कि उनके क्लाउड प्रदाता उपयुक्त आवश्यकताओं को पर्याप्त रूप से पूरा करते हैं, जिससे वे अपने दायित्वों का पालन करने में सक्षम होते हैं, क्योंकि वे काफी हद तक जवाबदेह रहते हैं। | इनमें से कई नियम विशेष नियंत्रण (जैसे मजबूत पहुंच नियंत्रण और ऑडिट ट्रेल्स) को अनिवार्य करते हैं और नियमित रिपोर्टिंग की आवश्यकता होती है। क्लाउड ग्राहकों को यह सुनिश्चित करना चाहिए कि उनके क्लाउड प्रदाता उपयुक्त आवश्यकताओं को पर्याप्त रूप से पूरा करते हैं, जिससे वे अपने दायित्वों का पालन करने में सक्षम होते हैं, क्योंकि वे काफी हद तक जवाबदेह रहते हैं। | ||
Line 175: | Line 176: | ||
अद्वितीय अनुपालन आवश्यकताओं | अद्वितीय अनुपालन आवश्यकताओं | ||
:ग्राहक जिन आवश्यकताओं के अधीन हैं, उनके अतिरिक्त क्लाउड प्रदाताओं द्वारा उपयोग किए जाने वाले डेटा केंद्र भी अनुपालन आवश्यकताओं के अधीन हो सकते हैं। क्लाउड सर्विस प्रोवाइडर (CSP) का उपयोग करने से डेटा क्षेत्राधिकार के आसपास अतिरिक्त सुरक्षा चिंताएँ हो सकती हैं क्योंकि ग्राहक या किरायेदार डेटा एक ही सिस्टम पर, एक ही डेटा | :ग्राहक जिन आवश्यकताओं के अधीन हैं, उनके अतिरिक्त क्लाउड प्रदाताओं द्वारा उपयोग किए जाने वाले डेटा केंद्र भी अनुपालन आवश्यकताओं के अधीन हो सकते हैं। क्लाउड सर्विस प्रोवाइडर (CSP) का उपयोग करने से डेटा क्षेत्राधिकार के आसपास अतिरिक्त सुरक्षा चिंताएँ हो सकती हैं क्योंकि ग्राहक या किरायेदार डेटा एक ही सिस्टम पर, एक ही डेटा केंद्र में, या एक ही प्रदाता के क्लाउड के भीतर भी नहीं रह सकते हैं।<ref name="Securing the Cloud Winkler">{{cite book |last1=Winkler |first1=Joachim R. |title=क्लाउड को सुरक्षित करना: क्लाउड कंप्यूटर सुरक्षा तकनीक और रणनीति|date=2011 |publisher=Elsevier |isbn=978-1-59749-592-9 |pages=65, 68, 72, 81, 218–219, 231, 240 }}</ref> | ||
:यूरोपीय संघ के [[ सामान्य डेटा संरक्षण विनियम ]] ने ग्राहक डेटा के लिए नई अनुपालन आवश्यकताओं की शुरुआत की है। | :यूरोपीय संघ के [[ सामान्य डेटा संरक्षण विनियम ]] ने ग्राहक डेटा के लिए नई अनुपालन आवश्यकताओं की शुरुआत की है। | ||
== कानूनी और संविदात्मक मुद्दे == | == कानूनी और संविदात्मक मुद्दे == | ||
ऊपर बताए गए सुरक्षा और अनुपालन | ऊपर बताए गए सुरक्षा और अनुपालन अभिपाय के अलावा, क्लाउड प्रदाता और उनके ग्राहक देयता के बारे में शर्तों पर बातचीत करेंगे (यह निर्धारित करते हुए कि डेटा हानि या समझौता से जुड़ी घटनाओं को कैसे हल किया जाएगा, उदाहरण के लिए), [[ बौद्धिक संपदा ]], और सेवा की समाप्ति (जब डेटा और आवेदन अंततः ग्राहक को वापस कर दिए जाते हैं)। इसके अलावा, क्लाउड से डेटा प्राप्त करने पर भी विचार किया जाता है जो मुकदमेबाजी में शामिल हो सकता है।<ref name="adams">{{cite book |last1=Adams |first1=Richard |chapter=The emergence of cloud storage and the need for a new digital forensic process model |pages=79–104 |chapter-url=https://researchrepository.murdoch.edu.au/id/eprint/19431/1/emergence_of_cloud_storage.pdf |editor1-last=Ruan |editor1-first=Keyun |title=साइबर अपराध और क्लाउड फोरेंसिक: जांच प्रक्रियाओं के लिए आवेदन|date=2013 |publisher=Information Science Reference |isbn=978-1-4666-2662-1 }}</ref> [[ सेवा स्तर समझौता ]] (SLA) में इन अभिपाय पर चर्चा की जाती है। | ||
=== सार्वजनिक रिकॉर्ड === | === सार्वजनिक रिकॉर्ड === | ||
कानूनी | कानूनी अभिपाय में [[ रिकॉर्ड प्रबंधन ]] भी शामिल हो सकता है। [[ सार्वजनिक क्षेत्र ]] में रिकॉर्ड रखने की आवश्यकताएं, जहां कई एजेंसियों को रिकॉर्ड प्रबंधन को बनाए रखने और उपलब्ध कराने के लिए कानून की आवश्यकता होती है # एक विशिष्ट फैशन में डिजिटल रिकॉर्ड प्रबंधित करना। यह कानून द्वारा निर्धारित किया जा सकता है, या कानून एजेंसियों को रिकॉर्ड रखने वाली एजेंसी द्वारा निर्धारित नियमों और प्रथाओं के अनुरूप होने की आवश्यकता हो सकती है। क्लाउड कंप्यूटिंग और स्टोरेज का उपयोग करने वाली सार्वजनिक एजेंसियों को इन चिंताओं को ध्यान में रखना चाहिए। | ||
== यह भी देखें == | == यह भी देखें == |
Revision as of 23:31, 12 January 2023
एक श्रृंखला का हिस्सा |
कंप्यूटर हैकिंग |
---|
क्लाउड कंप्यूटिंग सुरक्षा या, अधिक सरलता से, क्लाउड सुरक्षा वर्चुअलाइज्ड आईपी, डेटा, आवेदन, सेवाओं और क्लाउड कंप्यूटिंग के संबंधित बुनियादी ढांचे की सुरक्षा के लिए उपयोग की जाने वाली नीतियों, तकनीकों, अनुप्रयोगों और नियंत्रणों के एक व्यापक सेट को संदर्भित करती है। यह कंप्यूटर सुरक्षा ,नेटवर्क सुरक्षा , और अधिक व्यापक रूप से,सूचना सुरक्षा का एक उप-डोमेन है।
क्लाउड से जुड़े सुरक्षा मुद्दे
क्लाउड कम्प्यूटिंग और स्टोरेज उपयोगकर्ताओं को तीसरे पक्ष के डेटा केंद्रों में अपने डेटा को संग्रहीत और संसाधित करने की क्षमता प्रदान करते हैं।[1] संगठन विभिन्न प्रकार के विभिन्न सेवा मॉडल (सास, पास, और इसा जैसे परिवर्णी शब्दों के साथ) और परिनियोजन मॉडल (निजी क्लाउड, सार्वजनिक क्लाउड, संकर क्लाउड और सामुदायिक बादल ) में क्लाउड का उपयोग करते हैं।[2]
क्लाउड कंप्यूटिंग से जुड़ी सुरक्षा चिंताओं को आम तौर पर दो तरीकों से वर्गीकृत किया जाता है: क्लाउड प्रदाताओं (क्लाउड के माध्यम से सॉफ्टवेयर-, प्लेटफ़ॉर्म-या इंफ्रास्ट्रक्चर-ए-ए-सर्विस प्रदान करने वाले संगठन) और उनके ग्राहकों द्वारा सामना की जाने वाली सुरक्षा समस्याएं (कंपनियां या संगठन जो क्लाउड पर आवेदन होस्ट करते हैं या डेटा संग्रहीत करते हैं)द्वारा सामना किए जाने वाले सुरक्षा अभिपाय के रूप में।[3] हालाँकि, जिम्मेदारी साझा की जाती है, और बहुधा क्लाउड प्रदाता के साझा सुरक्षा जिम्मेदारी मॉडल या साझा जिम्मेदारी मॉडल में विस्तृत होती है।[4][5][6] प्रदाता को यह सुनिश्चित करना चाहिए कि उनका बुनियादी ढांचा सुरक्षित है और उनके ग्राहकों के डेटा और आवेदन सुरक्षित हैं, जबकि उपयोगकर्ता को अपने आवेदन को मजबूत करने और मजबूत कूटशब्द और प्रमाणीकरण उपायों का उपयोग करने के उपाय करने चाहिए।[5][6]
जब कोई संगठन सार्वजनिक क्लाउड पर डेटा स्टोर करने या आवेदन होस्ट करने का चुनाव करता है, तो वह अपनी जानकारी होस्ट करने वाले सर्वर तक भौतिक पहुंच रखने की क्षमता खो देता है। नतीजतन, संभावित रूप से संवेदनशील डेटा अंदरूनी हमलों से खतरे में है। २०१० की बादल सुरक्षा एलायंस रिपोर्ट के अनुसार, अंदरूनी हमले क्लाउड कंप्यूटिंग में शीर्ष सात सबसे बड़े खतरों में से एक हैं।[7] इसलिए, क्लाउड सेवा प्रदाताओं को यह सुनिश्चित करना चाहिए कि डेटा केंद्र में सर्वर तक भौतिक पहुंच रखने वाले कर्मचारियों के लिए पूरी तरह से पृष्ठभूमि की जांच की जाए। इसके अतिरिक्त, संदिग्ध गतिविधि के लिए डेटा केंद्रों की बहुधा निगरानी करने की सिफारिश की जाती है।
संसाधनों के संरक्षण, लागत में कटौती और दक्षता बनाए रखने के लिए, क्लाउड सेवा प्रदाता बहुधा एक ही सर्वर पर एक से अधिक ग्राहकों का डेटा संग्रहीत करते हैं। नतीजतन, एक संभावना है कि एक उपयोगकर्ता का निजी डेटा अन्य उपयोगकर्ताओं (संभवतः प्रतिस्पर्धी भी) द्वारा देखा जा सकता है। ऐसी संवेदनशील स्थितियों को संभालने के लिए, क्लाउड सेवा प्रदाताओं को उचित अलगाव (डेटाबेस सिस्टम) और तार्किक भंडारण अलगाव सुनिश्चित करना चाहिए।[2]
क्लाउड आधारिक संरचन को लागू करने में वर्चुअलाइजेशन का व्यापक उपयोग ग्राहकों या सार्वजनिक क्लाउड सेवा के किरायेदारों के लिए अद्वितीय सुरक्षा चिंताएँ लाता है।[8] वर्चुअलाइजेशन ओएस और अंतर्निहित हार्डवेयर के बीच संबंध को बदल देता है - चाहे वह कंप्यूटिंग, स्टोरेज या नेटवर्किंग हो। यह एक अतिरिक्त परत - वर्चुअलाइजेशन - का परिचय देता है - जो स्वयं को ठीक से कॉन्फ़िगर, प्रबंधित और सुरक्षित होना चाहिए।[9] विशिष्ट चिंताओं में वर्चुअलाइजेशन सॉफ़्टवेयर, या हाइपरविजर से समझौता करने की क्षमता शामिल है। हालांकि ये चिंताएँ काफी हद तक सैद्धांतिक हैं, वे मौजूद हैं।[10] उदाहरण के लिए, वर्चुअलाइजेशन कार्यस्थान के प्रबंधन सॉफ़्टवेयर के साथ व्यवस्थापक वर्कस्टेशन में एक उल्लंघन पूरे डेटा केंद्र को नीचे जाने या हमलावर की पसंद के अनुसार पुन: कॉन्फ़िगर करने का कारण बन सकता है।
क्लाउड सुरक्षा नियंत्रण
क्लाउड सुरक्षा वास्तुकला तभी प्रभावी होता है जब सही रक्षात्मक कार्यान्वयन हो। एक कुशल क्लाउड सुरक्षा वास्तुकला को उन अभिपाय को पहचानना चाहिए जो सुरक्षा प्रबंधन के साथ उत्पन्न होंगे और सुरक्षित क्लाउड वातावरण सुनिश्चित करने के लिए सभी सर्वोत्तम प्रथाओं, प्रक्रियाओं और दिशानिर्देशों का पालन करना चाहिए। सुरक्षा प्रबंधन इन अभिपाय को सुरक्षा नियंत्रणों के साथ संबोधित करता है। ये नियंत्रण क्लाउड वातावरण की रक्षा करते हैं और प्रणाली में किसी भी कमजोरियों को सुरक्षित रखने और हमले के प्रभाव को कम करने के लिए लगाए जाते हैं। जबकि क्लाउड सुरक्षा संरचना के पीछे कई प्रकार के नियंत्रण होते हैं, वे आमतौर पर निम्नलिखित श्रेणियों में से एक में पाए जा सकते हैं:
निवारक नियंत्रण
- ये नियंत्रण प्रशासनिक तंत्र हैं जिनका उद्देश्य क्लाउड सिस्टम पर हमलों को कम करना है और बाहरी नियंत्रणों के अनुपालन को सुनिश्चित करने के लिए उपयोग किया जाता है। बाड़ या संपत्ति पर चेतावनी के संकेत की तरह, निवारक नियंत्रण आम तौर पर संभावित हमलावरों को सूचित करके खतरे के स्तर को कम करते हैं कि यदि वे आगे बढ़ते हैं तो उनके लिए प्रतिकूल परिणाम होंगे।[11] (कुछ उन्हें निवारक नियंत्रणों का एक सबसेट मानते हैं।) ऐसे नियंत्रणों के उदाहरणों को नीतियों, प्रक्रियाओं, मानकों, दिशानिर्देशों, कानूनों और विनियमों के रूप में माना जा सकता है जो किसी संगठन को सुरक्षा की दिशा में मार्गदर्शन करते हैं। हालांकि अधिकांश दुर्भावनापूर्ण अभिनेता ऐसे निवारक नियंत्रणों की उपेक्षा करते हैं, ऐसे नियंत्रणों का उद्देश्य उन लोगों को दूर करना है जो किसी संगठन के आईटी बुनियादी ढांचे से समझौता करने के बारे में अनुभवहीन या उत्सुक हैं।
- निवारक नियंत्रण
- निवारक नियंत्रण का मुख्य उद्देश्य घटनाओं के खिलाफ प्रणाली को मजबूत करना है, आम तौर पर कमजोरियों को दूर नहीं करना है, साथ ही अनधिकृत घुसपैठियों को सिस्टम तक पहुंचने या प्रवेश करने से रोकना है।[12] इसे या तो सॉफ़्टवेयर या फीचर कार्यान्वयन (जैसे फ़ायरवॉल सुरक्षा, समापन बिंदु सुरक्षा और बहु-कारक प्रमाणीकरण) जोड़कर या अनावश्यक कार्यात्मकताओं को हटाकर प्राप्त किया जा सकता है ताकि हमले की सतह को कम से कम किया जा सके (जैसा कि unikernel अनुप्रयोगों में)। इसके अतिरिक्त, सुरक्षा जागरूकता प्रशिक्षण और अभ्यास के माध्यम से व्यक्तियों को शिक्षित करना इस तरह के नियंत्रणों में शामिल है क्योंकि मानवीय त्रुटि सुरक्षा का सबसे कमजोर बिंदु है। उदाहरण के लिए, क्लाउड उपयोगकर्ताओं के मजबूत प्रमाणीकरण से यह संभावना कम हो जाती है कि अनधिकृत उपयोगकर्ता क्लाउड सिस्टम तक पहुंच सकते हैं, और अधिक संभावना है कि क्लाउड उपयोगकर्ता सकारात्मक रूप से पहचाने जाते हैं। कुल मिलाकर, निवारक नियंत्रण किसी नुकसान की घटना के होने की संभावना को प्रभावित करते हैं और इसका उद्देश्य दुर्भावनापूर्ण कार्रवाई के लिए सिस्टम के जोखिम को रोकना या समाप्त करना है।
जासूसी नियंत्रण
- जासूस नियंत्रण का उद्देश्य घटित होने वाली किसी भी घटना का पता लगाना और उचित प्रतिक्रिया देना है। हमले की स्थिति में, एक जासूसी नियंत्रण समस्या को हल करने के लिए निवारक या सुधारात्मक नियंत्रणों को संकेत देगा। जासूसी सुरक्षा नियंत्रण न केवल तब कार्य करता है जब ऐसी गतिविधि चल रही हो और इसके होने के बाद। सिस्टम और नेटवर्क सुरक्षा निगरानी, घुसपैठ का पता लगाने और रोकथाम की व्यवस्था सहित, आमतौर पर क्लाउड सिस्टम और सहायक संचार बुनियादी ढांचे पर हमलों का पता लगाने के लिए नियोजित किया जाता है। अधिकांश संगठन एक समर्पित सुरक्षा संचालन केंद्र (SOC) प्राप्त करते हैं या बनाते हैं, जहाँ समर्पित सदस्य लॉग और सुरक्षा सूचना और इवेंट मैनेजमेंट (SIEM) सॉफ़्टवेयर के माध्यम से संगठन के IT बुनियादी ढांचे की लगातार निगरानी करते हैं। सिएम सुरक्षा समाधान हैं जो संगठनों और सुरक्षा टीमों को "सुरक्षा घटनाओं का तेजी से पता लगाने के लिए वास्तविक समय में लॉग डेटा" का विश्लेषण करने में मदद करते हैं।[13] SIEMS जासूसी नियंत्रणों का एकमात्र उदाहरण नहीं है। भौतिक सुरक्षा नियंत्रण, घुसपैठ का पता लगाने वाली प्रणालियाँ, और एंटी-वायरस/एंटी-मैलवेयर उपकरण भी हैं, जिनके सभी अलग-अलग कार्य हैं जो आईटी बुनियादी ढांचे के भीतर सुरक्षा समझौता का पता लगाने के सटीक उद्देश्य के आसपास केंद्रित हैं।
सुधारात्मक नियंत्रण
- सुधारात्मक नियंत्रण आम तौर पर क्षति को सीमित करके किसी घटना के परिणामों को कम करते हैं। इस तरह के नियंत्रण में तकनीकी, भौतिक और प्रशासनिक उपाय शामिल होते हैं जो किसी सुरक्षा घटना के बाद सिस्टम या संसाधनों को उनकी पिछली स्थिति में पुनर्स्थापित करने के लिए किसी घटना के दौरान या उसके बाद होते हैं।[14] भौतिक और तकनीकी दोनों तरह के सुधारात्मक नियंत्रणों के बहुत सारे उदाहरण हैं। उदाहरण के लिए, एक्सेस कार्ड को फिर से जारी करना या भौतिक क्षति की मरम्मत करना सुधारात्मक नियंत्रण माना जा सकता है। हालांकि, प्रक्रिया को समाप्त करने जैसे तकनीकी नियंत्रण और घटना प्रतिक्रिया योजना को लागू करने जैसे प्रशासनिक नियंत्रण को भी सुधारात्मक नियंत्रण माना जा सकता है। सुधारात्मक नियंत्रण किसी सुरक्षा घटना या अनधिकृत गतिविधि के कारण होने वाली किसी भी क्षति को पुनर्प्राप्त करने और मरम्मत करने पर केंद्रित होते हैं। सुरक्षा के कार्य को बदलने के लिए मूल्य की आवश्यकता है।
क्लाउड सुरक्षा के आयाम
क्लाउड सुरक्षा इंजीनियरिंग की विशेषता सुरक्षा परतों, योजना, डिज़ाइन, प्रोग्रामिंग और क्लाउड सुरक्षा व्यवस्था के अंदर मौजूद सर्वोत्तम प्रथाओं से होती है। क्लाउड सिक्योरिटी इंजीनियरिंग के लिए क्लाउड के अंदर के कार्यों की विशेषता के लिए रचित और दृश्य मॉडल (डिज़ाइन और UI) की आवश्यकता होती है। इस क्लाउड सुरक्षा इंजीनियरिंग प्रक्रिया में अधिकारियों तक पहुंच, तकनीकों और अनुप्रयोगों और सूचनाओं को सुनिश्चित करने के लिए नियंत्रण जैसी चीजें शामिल हैं। इसमें पारगम्यता, स्थिरता, खतरे की स्थिति और कुल मिलाकर सुरक्षा से निपटने और बनाए रखने के तरीके भी शामिल हैं। क्लाउड प्रशासनों और गतिविधियों में सुरक्षा मानकों को प्रदान करने की प्रक्रिया एक ऐसा दृष्टिकोण अपनाती है जो सुसंगत दिशानिर्देशों और आवश्यक ढांचे के सुरक्षा भागों को पूरा करता है।[15] क्लाउड प्रगति में रुचि के लिए व्यवहार्य होने के लिए, कंपनियों को क्लाउड के विभिन्न हिस्सों को पहचानना चाहिए और वे कैसे प्रभाव डालते हैं और उनकी मदद करते हैं। उदाहरण के लिए, इन रुचियों में क्लाउड कंप्यूटिंग और सुरक्षा में निवेश शामिल हो सकते हैं। यह निश्चित रूप से क्लाउड उन्नति के सफल होने के लिए ड्राइविंग पुश की ओर ले जाता है।
हालांकि क्लाउड कंप्यूटिंग का विचार नया नहीं है, इसके लचीले मापनीयता, सापेक्ष भरोसेमंदता और सेवाओं की लागत मितव्ययिता के कारण संघ तेजी से इसे लागू कर रहे हैं। हालांकि, कुछ क्षेत्रों और विषयों में इसकी तेजी से आग लगने के बावजूद, यह अन्वेषण और आंकड़ों से स्पष्ट है कि सुरक्षा संबंधी नुकसान इसके व्यापक त्याग के लिए सबसे विशिष्ट बचाव हैं।[citation needed] आम तौर पर यह अनुशंसा की जाती है कि सूचना सुरक्षा नियंत्रणों को जोखिमों के अनुसार और उनके अनुपात में चुना और कार्यान्वित किया जाए, आमतौर पर खतरों, कमजोरियों और प्रभावों का आकलन करके। क्लाउड सुरक्षा चिंताओं को विभिन्न तरीकों से समूहीकृत किया जा सकता है; गार्टनर ने सात नाम दिए[16] जबकि क्लाउड सिक्योरिटी एलायंस ने चिंता के बारह क्षेत्रों की पहचान की।[17] क्लाउड एक्सेस सुरक्षा ब्रोकर (CASBs) सॉफ्टवेयर हैं जो क्लाउड आवेदन उपयोग, डेटा सुरक्षा और शासन में दृश्यता प्रदान करने के लिए क्लाउड उपयोगकर्ताओं और क्लाउड आवेदन के बीच बैठते हैं ताकि सभी गतिविधियों की निगरानी की जा सके और सुरक्षा नीतियों को लागू किया जा सके।[18]
सुरक्षा और गोपनीयता
कठोर वातावरण के बिना किसी भी सेवा को आसान लक्ष्य माना जाता है। डेटा रिसाव की रोकथाम , मैलवेयर और शोषित कमजोरियों के खिलाफ वर्चुअल सर्वर को एक भौतिक सर्वर की तरह ही संरक्षित किया जाना चाहिए। डेटा हानि या रिसाव 24.6% का प्रतिनिधित्व करता है और क्लाउड से संबंधित मैलवेयर 3.4% क्लाउड आउटेज का कारण बनता है ”[19]
पहचान प्रबंधन
सूचना और कंप्यूटिंग संसाधनों तक पहुंच को नियंत्रित करने के लिए प्रत्येक उद्यम की अपनी पहचान प्रबंधन प्रणाली होगी। क्लाउड प्रदाता या तो संघीय पहचान प्रबंधन या पर भी हस्ताक्षर करें तकनीक या बायोमेट्रिक-आधारित पहचान प्रणाली का उपयोग करके ग्राहक की पहचान प्रबंधन प्रणाली को अपने स्वयं के बुनियादी ढांचे में एकीकृत करते हैं,[1]या स्वयं की एक पहचान प्रबंधन प्रणाली प्रदान करें।[20] क्लाउडआईडी,[1]उदाहरण के लिए, गोपनीयता-संरक्षण क्लाउड-आधारित और क्रॉस-एंटरप्राइज़ बायोमेट्रिक पहचान प्रदान करता है। यह उपयोगकर्ताओं की गोपनीय जानकारी को उनके बायोमेट्रिक्स से जोड़ता है और इसे एन्क्रिप्टेड तरीके से संग्रहीत करता है। खोजने योग्य एन्क्रिप्शन तकनीक का उपयोग करते हुए, बायोमेट्रिक पहचान एन्क्रिप्टेड डोमेन में की जाती है ताकि यह सुनिश्चित किया जा सके कि क्लाउड प्रदाता या संभावित हमलावर किसी भी संवेदनशील डेटा या यहां तक कि व्यक्तिगत प्रश्नों की सामग्री तक पहुंच प्राप्त नहीं करते हैं।[1]
शारीरिक सुरक्षा
क्लाउड सेवा प्रदाता अनधिकृत पहुंच, हस्तक्षेप, चोरी, आग, बाढ़ आदि के खिलाफ आईटी कम्पुटर के वो भाग जिसे छूकर मेहसूस किया जा सके (सर्वर, राउटर, केबल आदि) को भौतिक रूप से सुरक्षित करते हैं और यह सुनिश्चित करते हैं कि व्यवधान की संभावना को कम करने के लिए आवश्यक आपूर्ति (जैसे बिजली) पर्याप्त रूप से मजबूत हो। . यह सामान्य रूप से पेशेवर रूप से निर्दिष्ट, डिज़ाइन, निर्मित, प्रबंधित, निगरानी और रखरखाव वाले डेटा केंद्रों से क्लाउड आवेदन की सेवा करके प्राप्त किया जाता है।
कार्मिक सुरक्षा
आईटी और क्लाउड सेवाओं से जुड़े अन्य पेशेवरों से संबंधित विभिन्न सूचना सुरक्षा चिंताओं को आम तौर पर प्री-, पैरा- और पोस्ट-रोजगार गतिविधियों जैसे सुरक्षा स्क्रीनिंग संभावित भर्तियों, सुरक्षा जागरूकता और प्रशिक्षण कार्यक्रमों और सक्रिय रूप से नियंत्रित किया जाता है।
गोपनीयता
प्रदाता यह सुनिश्चित करते हैं कि सभी महत्वपूर्ण डेटा (उदाहरण के लिए क्रेडिट कार्ड नंबर) डेटा मास्किंग या एन्क्रिप्टेड हैं और केवल अधिकृत उपयोगकर्ताओं के पास डेटा तक पूरी तरह से पहुंच है। इसके अलावा, डिजिटल पहचान और क्रेडेंशियल्स को संरक्षित किया जाना चाहिए जैसा कि किसी भी डेटा को होना चाहिए जो प्रदाता क्लाउड में ग्राहक गतिविधि के बारे में एकत्र या उत्पन्न करता है।
पेनेट्रेशन परीक्षण
पेनेट्रेशन परीक्षण किसी सिस्टम, सेवा या कंप्यूटर नेटवर्क में सुरक्षा कमजोरियों का पता लगाने के लिए आक्रामक सुरक्षा परीक्षण करने की प्रक्रिया है। चूंकि क्लाउड अन्य ग्राहकों या किरायेदारों के साथ एक साझा वातावरण है, इसलिए सगाई के पैठ परीक्षण नियमों का चरण-दर-चरण पालन करना एक अनिवार्य आवश्यकता है। क्लाउड के अंदर या बाहर से स्कैनिंग और पैठ परीक्षण क्लाउड प्रदाता द्वारा अधिकृत होना चाहिए। स्वीकार्य उपयोग नीतियों के उल्लंघन से सेवा समाप्त हो सकती है।[21]
क्लाउड भेद्यता और पैठ परीक्षण
मुफ़्त या व्यावसायिक उत्पादों का उपयोग करके क्लाउड को बाहर और अंदर से स्कैन करना महत्वपूर्ण है क्योंकि कठोर वातावरण के बिना आपकी सेवा को एक आसान लक्ष्य माना जाता है। डेटा रिसाव की रोकथाम, मैलवेयर और शोषित कमजोरियों के विरुद्ध वर्चुअल सर्वर को एक भौतिक सर्वर की तरह ही कठोर होना चाहिए। डेटा हानि या रिसाव 24.6% और क्लाउड से संबंधित मैलवेयर 3.4% खतरों का प्रतिनिधित्व करता है जो क्लाउड आउटेज का कारण बनता है ”
क्लाउड प्रदाता द्वारा क्लाउड के अंदर या बाहर स्कैनिंग और पैठ परीक्षण को अधिकृत किया जाना चाहिए। चूंकि क्लाउड अन्य ग्राहकों या किरायेदारों के साथ एक साझा वातावरण है, इसलिए सगाई के पैठ परीक्षण नियमों का चरण-दर-चरण पालन करना एक अनिवार्य आवश्यकता है। स्वीकार्य उपयोग नीतियों के उल्लंघन से सेवा समाप्त हो सकती है। पैठ परीक्षण पर चर्चा करते समय समझने के लिए कुछ प्रमुख शब्दावली अनुप्रयोग और नेटवर्क परत परीक्षण के बीच का अंतर है। परीक्षक के रूप में आपसे जो पूछा गया है उसे समझना कभी-कभी प्रक्रिया में सबसे महत्वपूर्ण कदम होता है। नेटवर्क-परत परीक्षण परीक्षण को संदर्भित करता है जिसमें आंतरिक/बाहरी कनेक्शन के साथ-साथ पूरे स्थानीय नेटवर्क में परस्पर जुड़े सिस्टम शामिल होते हैं। बहुधा, सोशल इंजीनियरिंग के हमले किए जाते हैं, क्योंकि सुरक्षा में सबसे कमजोर कड़ी बहुधा कर्मचारी होता है।
व्हाइट-बॉक्स परीक्षण
इस शर्त के तहत परीक्षण कि "हमलावर" को आंतरिक नेटवर्क, उसके डिजाइन और कार्यान्वयन का पूरा ज्ञान हो।
ग्रे-बॉक्स परीक्षण
इस शर्त के तहत परीक्षण कि "हमलावर" को आंतरिक नेटवर्क, उसके डिजाइन और कार्यान्वयन का आंशिक ज्ञान है।
ब्लैक-बॉक्स परीक्षण
इस शर्त के तहत परीक्षण कि "हमलावर" को आंतरिक नेटवर्क, उसके डिजाइन और कार्यान्वयन का कोई पूर्व ज्ञान नहीं है।
डेटा सुरक्षा
क्लाउड डेटा सेवाओं से जुड़े कई सुरक्षा खतरे हैं। इसमें पारंपरिक खतरे और गैर-पारंपरिक खतरे शामिल हैं। पारंपरिक खतरों में शामिल हैं: नेटवर्क छिपकर बातें सुनना , अवैध आक्रमण, और सेवा हमलों से इनकार, लेकिन साथ ही विशिष्ट क्लाउड कंप्यूटिंग खतरे, जैसे कि साइड चैनल हमले, वर्चुअलाइजेशन भेद्यताएं, और क्लाउड सेवाओं का दुरुपयोग। इन खतरों को कम करने के लिए सुरक्षा नियंत्रण बहुधा CIA तिकड़ी के तीन क्षेत्रों की निगरानी पर निर्भर करते हैं। सीआईए ट्रायड गोपनीयता, अखंडता, साथ ही अभिगम नियंत्रणीयता को संदर्भित करता है जिसे आगे निम्नलिखित से समझा जा सकता है।[22] यह ध्यान रखना महत्वपूर्ण है कि कई प्रभावी सुरक्षा उपायों में कई या तीनों श्रेणियों में से सभी शामिल हैं। उदाहरण के लिए एन्क्रिप्शन अनधिकृत पहुंच को रोकता है और परिणामस्वरूप डेटा की गोपनीयता, उपलब्धता और अखंडता सुनिश्चित करता है। दूसरी ओर बैकअप आम तौर पर अखंडता को कवर करते हैं और फायरवॉल केवल गोपनीयता और पहुंच नियंत्रणीयता को कवर करते हैं।[23]
गोपनीयता
डेटा गोपनीयता वह संपत्ति है जिसमें डेटा सामग्री को अवैध उपयोगकर्ताओं के लिए उपलब्ध या खुलासा नहीं किया जाता है। आउटसोर्स किए गए डेटा को क्लाउड में और मालिकों के सीधे नियंत्रण से बाहर रखा जाता है। केवल अधिकृत उपयोगकर्ता ही संवेदनशील डेटा तक पहुंच सकते हैं, जबकि सीएसपी सहित अन्य को डेटा के बारे में कोई जानकारी प्राप्त नहीं करनी चाहिए। इस बीच, डेटा मालिक सीएसपी या अन्य विरोधियों को डेटा सामग्री के रिसाव के बिना, क्लाउड डेटा सेवाओं, जैसे डेटा खोज, डेटा गणना और डेटा साझाकरण का पूरी तरह से उपयोग करने की उम्मीद करते हैं। गोपनीयता से तात्पर्य है कि डेटा को उक्त डेटा के स्वामी के लिए कड़ाई से गोपनीय कैसे रखा जाना चाहिए
गोपनीयता को कवर करने वाले सुरक्षा नियंत्रण का एक उदाहरण एन्क्रिप्शन है ताकि केवल अधिकृत उपयोगकर्ता ही डेटा तक पहुंच सकें। एन्क्रिप्शन के लिए सममित या असममित कुंजी प्रतिमान का उपयोग किया जा सकता है।[24]
पहुंच नियंत्रणीयता
एक्सेस नियंत्रणीयता का अर्थ है कि एक डेटा स्वामी क्लाउड पर आउटसोर्स किए गए अपने डेटा तक पहुंच के चयनात्मक प्रतिबंध का निष्पादन कर सकता है। कानूनी उपयोगकर्ताओं को डेटा तक पहुंचने के लिए स्वामी द्वारा अधिकृत किया जा सकता है, जबकि अन्य बिना अनुमति के इसे एक्सेस नहीं कर सकते। इसके अलावा, आउटसोर्स किए गए डेटा के लिए ठीक-ठीक कंप्यूटर अभिगम नियंत्रण लागू करना वांछनीय है, यानी अलग-अलग उपयोगकर्ताओं को अलग-अलग डेटा टुकड़ों के संबंध में अलग-अलग एक्सेस विशेषाधिकार दिए जाने चाहिए। अविश्वसनीय क्लाउड वातावरण में एक्सेस प्राधिकरण को केवल स्वामी द्वारा नियंत्रित किया जाना चाहिए।
अभिगम नियंत्रण को उपलब्धता के रूप में भी संदर्भित किया जा सकता है। जबकि अनाधिकृत पहुंच को सख्ती से प्रतिबंधित किया जाना चाहिए, प्रशासनिक या यहां तक कि उपभोक्ता उपयोगों के लिए भी पहुंच की अनुमति दी जानी चाहिए लेकिन साथ ही निगरानी भी की जानी चाहिए। उपलब्धता और अभिगम नियंत्रण यह सुनिश्चित करता है कि सही व्यक्तियों को उचित मात्रा में अनुमति दी जाए।
अखंडता
डेटा अखंडता डेटा की सटीकता और पूर्णता को बनाए रखने और सुनिश्चित करने की मांग करती है। एक डेटा मालिक हमेशा उम्मीद करता है कि क्लाउड में उसका या उसका डेटा सही ढंग से और भरोसेमंद रूप से संग्रहीत किया जा सकता है। इसका अर्थ है कि डेटा के साथ अवैध रूप से छेड़छाड़ नहीं की जानी चाहिए, अनुचित रूप से संशोधित किया जाना चाहिए, जानबूझकर हटाया जाना चाहिए, या दुर्भावनापूर्ण रूप से गढ़ा जाना चाहिए। यदि कोई अवांछित संचालन डेटा को दूषित या हटा देता है, तो स्वामी को भ्रष्टाचार या हानि का पता लगाने में सक्षम होना चाहिए। इसके अलावा, जब आउटसोर्स किए गए डेटा का एक हिस्सा दूषित या खो जाता है, तब भी इसे डेटा उपयोगकर्ताओं द्वारा पुनर्प्राप्त किया जा सकता है। प्रभावी अखंडता सुरक्षा नियंत्रण दुर्भावनापूर्ण अभिनेताओं से सुरक्षा से परे जाते हैं और डेटा को अनजाने में परिवर्तन से भी बचाते हैं।
अखंडता को कवर करने वाले सुरक्षा नियंत्रण का एक उदाहरण सूचना का स्वचालित बैकअप है।
क्लाउड कंप्यूटिंग के जोखिम और कमजोरियां
जबकि क्लाउड कंप्यूटिंग सूचना प्रौद्योगिकी के अत्याधुनिक रूप में है, इसमें पूरी तरह से निवेश करने से पहले विचार करने के लिए जोखिम और कमजोरियां हैं। क्लाउड के लिए सुरक्षा नियंत्रण और सेवाएं मौजूद हैं लेकिन किसी भी सुरक्षा प्रणाली की तरह उनके सफल होने की गारंटी नहीं है। इसके अलावा, कुछ जोखिम संपत्ति की सुरक्षा से परे होते हैं और इसमें उत्पादकता और यहां तक कि गोपनीयता के मुद्दे भी शामिल हो सकते हैं।[25]
गोपनीयता चिंताएं
क्लाउड कंप्यूटिंग अभी भी एक उभरती हुई तकनीक है और इस प्रकार यह अपेक्षाकृत नई तकनीकी संरचनाओं में विकसित हो रही है। परिणामस्वरूप, सभी क्लाउड सेवाओं को अपना प्लेटफ़ॉर्म जारी करने से पहले गोपनीयता प्रभाव आकलन या PIA करना चाहिए। उपभोक्ताओं के साथ-साथ जो अपने ग्राहक के डेटा को स्टोर करने के लिए क्लाउड का उपयोग करने का इरादा रखते हैं, उन्हें भी निजी जानकारी के लिए गैर-भौतिक भंडारण की कमजोरियों के बारे में पता होना चाहिए।[26]
प्रबंधन इंटरफ़ेस के लिए अनधिकृत पहुँच
क्लाउड की स्वायत्त प्रकृति के कारण, उपभोक्ताओं को बहुधा उनके डेटाबेस की निगरानी के लिए प्रबंधन इंटरफेस दिए जाते हैं। इस तरह के एकत्रित स्थान में नियंत्रण रखने और उपयोगकर्ताओं के लिए सुविधा के लिए इंटरफ़ेस आसानी से सुलभ होने से, एक संभावना है कि एक एकल अभिनेता क्लाउड के प्रबंधन इंटरफ़ेस तक पहुंच प्राप्त कर सकता है; उन्हें डेटाबेस पर बहुत अधिक नियंत्रण और शक्ति प्रदान करता है।[27]
डेटा रिकवरी भेद्यता
आवश्यकतानुसार संसाधनों को आवंटित करने के साथ क्लाउड की क्षमताएं बहुधा स्मृति में संसाधनों का परिणाम होती हैं और अन्यथा बाद में किसी अन्य उपयोगकर्ता को पुनर्नवीनीकरण किया जाता है। इन स्मृति या भंडारण संसाधनों के लिए, वर्तमान उपयोगकर्ताओं के लिए पिछले लोगों द्वारा छोड़ी गई जानकारी तक पहुंचना संभव हो सकता है।[27]
इंटरनेट भेद्यता
क्लाउड को एक्सेस करने के लिए इंटरनेट कनेक्शन और इसलिए इंटरनेट प्रोटोकॉल की आवश्यकता होती है। इसलिए, यह मैन-इन-द-मिडल हमलों जैसी कई इंटरनेट प्रोटोकॉल कमजोरियों के लिए खुला है। इसके अलावा, इंटरनेट कनेक्टिविटी पर भारी निर्भरता होने से, यदि कनेक्शन विफल हो जाता है तो उपभोक्ता किसी भी क्लाउड संसाधनों से पूरी तरह कट जाएंगे।[27]
एन्क्रिप्शन भेद्यता
क्रिप्टोग्राफी एक निरंतर विकसित होने वाला क्षेत्र और तकनीक है। 10 साल पहले जो सुरक्षित था उसे आज के मानकों द्वारा एक महत्वपूर्ण सुरक्षा जोखिम माना जा सकता है। जैसे-जैसे तकनीक आगे बढ़ती है और पुरानी प्रौद्योगिकियां पुरानी होती जाती हैं, वैसे-वैसे एन्क्रिप्शन को तोड़ने के नए तरीके सामने आएंगे और साथ ही पुराने एन्क्रिप्शन के तरीकों में घातक खामियां सामने आएंगी। क्लाउड प्रदाताओं को अपने एन्क्रिप्शन के साथ अद्यतित रहना चाहिए क्योंकि उनके पास आमतौर पर जो डेटा होता है वह विशेष रूप से मूल्यवान होता है।[28]
कानूनी मुद्दे
गोपनीयता कानून बहुधा एक देश से दूसरे देश में भिन्न होता है। क्लाउड के माध्यम से जानकारी संग्रहीत होने से यह निर्धारित करना मुश्किल है कि डेटा किस अधिकार क्षेत्र में आता है। ट्रांसबॉर्डर क्लाउड विशेष रूप से लोकप्रिय हैं क्योंकि सबसे बड़ी कंपनियां कई देशों को पार करती हैं। क्लाउड की अस्पष्टता से अन्य कानूनी दुविधाएं संदर्भित करती हैं कि कैसे संगठनों के बीच साझा की गई जानकारी और साझा की गई जानकारी के बीच गोपनीयता विनियमन में अंतर है।[26]
हमला
क्लाउड कंप्यूटिंग पर कई अलग-अलग प्रकार के हमले हैं, जिनमें से एक अभी भी बहुत अधिक अप्रयुक्त है, वह बुनियादी ढांचा समझौता है। हालांकि पूरी तरह से ज्ञात नहीं है, लेकिन इसे सबसे अधिक अदायगी वाले हमले के रूप में सूचीबद्ध किया गया है।[29] जो चीज इसे इतना खतरनाक बनाती है वह यह है कि हमले को अंजाम देने वाला व्यक्ति मशीन तक अनिवार्य रूप से रूट पहुंच रखने का विशेषाधिकार प्राप्त करने में सक्षम होता है। इस तरह के हमलों के खिलाफ बचाव करना बहुत कठिन है क्योंकि वे इतने अप्रत्याशित और अज्ञात हैं, इस प्रकार के हमलों को शून्य दिन शोषण भी कहा जाता है क्योंकि उनके खिलाफ बचाव करना मुश्किल होता है क्योंकि भेद्यताएं पहले अज्ञात और अनियंत्रित थीं जब तक कि हमला पहले ही नहीं हो गया।
डिनायल-ऑफ़-सर्विस हमले के हमलों का उद्देश्य सिस्टम को अपने उपयोगकर्ताओं के लिए अनुपलब्ध करना है। चूंकि क्लाउड कंप्यूटिंग सॉफ्टवेयर का उपयोग बड़ी संख्या में लोगों द्वारा किया जाता है, इसलिए इन हमलों को हल करना लगातार कठिन होता जा रहा है। अब क्लाउड कंप्यूटिंग में वृद्धि के साथ, इसने डेटा केंद्रों के वर्चुअलाइजेशन और क्लाउड सेवाओं के अधिक उपयोग के कारण हमलों के नए अवसर छोड़े हैं।[30] 2020 की शुरुआत में शुरू हुई वैश्विक महामारी के प्रभावी होने के साथ, दूरस्थ कार्य में बड़े पैमाने पर बदलाव आया, इस वजह से कंपनियां क्लाउड पर अधिक निर्भर हो गईं। इस बड़े पैमाने पर बदलाव पर किसी का ध्यान नहीं गया, विशेष रूप से साइबर अपराधियों और बुरे अभिनेताओं द्वारा, जिनमें से कई ने इस नए दूरस्थ कार्य वातावरण के कारण क्लाउड पर हमला करने का अवसर देखा। कंपनियों को लगातार अपने कर्मचारियों को लगातार सतर्कता बरतने के लिए याद दिलाना पड़ता है खासकर दूर से। नवीनतम सुरक्षा उपायों और नीतियों के साथ लगातार अप टू डेट रहना, संचार में दुर्घटनाएं कुछ ऐसी चीजें हैं जिनकी ये साइबर अपराधी तलाश कर रहे हैं और उनका शिकार करेंगे।
श्रमिकों को जारी रखने में सक्षम होने के लिए घर पर काम करना महत्वपूर्ण था, लेकिन जैसे ही दूरस्थ कार्य के लिए कदम बढ़ा, कई सुरक्षा मुद्दे जल्दी से उठे। आवेदन, व्यक्तिगत उपकरणों और इंटरनेट का उपयोग करते हुए डेटा गोपनीयता की आवश्यकता सबसे आगे आ गई। महामारी में बड़ी मात्रा में डेटा उत्पन्न हुआ है, विशेष रूप से स्वास्थ्य सेवा क्षेत्र में। बढ़ते कोरोनोवायरस महामारी के कारण स्वास्थ्य सेवा क्षेत्र के लिए अब पहले से कहीं अधिक बड़ा डेटा जमा हो गया है। क्लाउड को सुरक्षित रूप से अपने उपयोगकर्ताओं के साथ डेटा को व्यवस्थित और साझा करने में सक्षम होना चाहिए। डेटा की गुणवत्ता चार चीजों पर निर्भर करती है: सटीकता, अतिरेक, पूर्णता और निरंतरता।[31] उपयोगकर्ताओं को इस तथ्य के बारे में सोचना पड़ा कि विश्व स्तर पर भारी मात्रा में डेटा साझा किया जा रहा है। विभिन्न देशों के कुछ कानून और नियम हैं जिनका पालन करना होता है। नीति और क्षेत्राधिकार में अंतर क्लाउड से जुड़े जोखिम को जन्म देता है। कर्मचारी अब अपने निजी उपकरणों का अधिक उपयोग कर रहे हैं क्योंकि वे घर से काम कर रहे हैं। अपराधी इस वृद्धि को लोगों का शोषण करने के एक अवसर के रूप में देखते हैं, सॉफ्टवेयर लोगों के उपकरणों को संक्रमित करने और उनके क्लाउड तक पहुंच प्राप्त करने के लिए विकसित किया गया है। वर्तमान महामारी ने लोगों को ऐसी स्थिति में डाल दिया है जहां वे अविश्वसनीय रूप से कमजोर हैं और हमलों के लिए अतिसंवेदनशील हैं। दूरस्थ कार्य में परिवर्तन इतना अचानक था कि कई कंपनियां केवल कार्यों से निपटने के लिए तैयार नहीं थीं और बाद में काम का बोझ उन्होंने खुद को गहराई से उलझा हुआ पाया। संगठनों के भीतर उस नए तनाव को कम करने के लिए कड़े सुरक्षा उपाय करने होंगे।
कूटलेखन
क्लाउड कंप्यूटिंग पर लागू किए गए कुछ उन्नत एन्क्रिप्शन एल्गोरिदम गोपनीयता की सुरक्षा में वृद्धि करते हैं। क्रिप्टो कतरन नामक अभ्यास में, कुंजियों को केवल तब हटाया जा सकता है जब डेटा का और अधिक उपयोग न हो।
विशेषता-आधारित एन्क्रिप्शन (एबीई)
विशेषता-आधारित एन्क्रिप्शन एक प्रकार का सार्वजनिक-कुंजी एन्क्रिप्शन है जिसमें उपयोगकर्ता की गुप्त कुंजी और सिफरटेक्स्ट विशेषताओं पर निर्भर होते हैं (उदाहरण के लिए वह देश जिसमें वह रहता है, या उसकी सदस्यता किस प्रकार की है)। ऐसी प्रणाली में, सिफरटेक्स्ट का डिक्रिप्शन तभी संभव है जब उपयोगकर्ता कुंजी के गुणों का सेट सिफरटेक्स्ट की विशेषताओं से मेल खाता हो।
विशेषता-आधारित एन्क्रिप्शन की कुछ ताकत यह है कि यह उन अभिपाय को हल करने का प्रयास करता है जो वर्तमान सार्वजनिक-कुंजी अवसंरचना (पीकेआई) और पहचान-आधारित एन्क्रिप्शन (आईबीई) कार्यान्वयन में मौजूद हैं। विशेषताओं पर भरोसा करके एबीई पीकेआई के साथ-साथ आईबीई के साथ रिसीवर की पहचान जानने के साथ-साथ सीधे कुंजी साझा करने की आवश्यकता को रोकता है।
ये लाभ लागत पर आते हैं क्योंकि ABE डिक्रिप्शन कुंजी पुनर्वितरण समस्या से ग्रस्त है। चूँकि ABE में डिक्रिप्शन कुंजियों में केवल पहुँच संरचना या उपयोगकर्ता की विशेषताओं के बारे में जानकारी होती है, इसलिए उपयोगकर्ता की वास्तविक पहचान को सत्यापित करना कठिन होता है। इस प्रकार दुर्भावनापूर्ण उपयोगकर्ता जानबूझकर अपनी विशेषता जानकारी को लीक कर सकते हैं ताकि अनधिकृत उपयोगकर्ता नकल कर सकें और पहुंच प्राप्त कर सकें।[32]
सिफरटेक्स्ट-पॉलिसी एबीई (सीपी-एबीई)
सिफरटेक्स्ट-पॉलिसी ABE (CP-ABE) एक प्रकार का सार्वजनिक-कुंजी एन्क्रिप्शन है। CP-ABE में, एनक्रिप्टर एक्सेस रणनीति को नियंत्रित करता है। सीपी-एबीई का मुख्य शोध कार्य एक्सेस स्ट्रक्चर के डिजाइन पर केंद्रित है। एक सिफरटेक्स्ट-नीति विशेषता-आधारित एन्क्रिप्शन योजना में चार एल्गोरिदम होते हैं: सेटअप, एनक्रिप्ट, कीजेन और डिक्रिप्ट।[33] सेटअप एल्गोरिदम सुरक्षा पैरामीटर और एक विशेषता ब्रह्मांड विवरण को इनपुट के रूप में लेता है और सार्वजनिक पैरामीटर और एक मास्टर कुंजी को आउटपुट करता है। एन्क्रिप्शन एल्गोरिथ्म डेटा को इनपुट के रूप में लेता है। इसके बाद यह सिफरटेक्स्ट उत्पन्न करने के लिए इसे एन्क्रिप्ट करता है कि केवल एक उपयोगकर्ता जिसके पास विशेषताओं का एक सेट है जो एक्सेस संरचना को संतुष्ट करता है, संदेश को डिक्रिप्ट करेगा। KeyGen एल्गोरिथ्म तब एक निजी कुंजी विकसित करने के लिए मास्टर कुंजी और उपयोगकर्ता की विशेषताओं को लेता है। अंत में, डिक्रिप्ट एल्गोरिदम सार्वजनिक पैरामीटर, सिफरटेक्स्ट, निजी कुंजी और उपयोगकर्ता विशेषताओं को इनपुट के रूप में लेता है। इस जानकारी के साथ, एल्गोरिथ्म पहले जांचता है कि क्या उपयोगकर्ता की विशेषताएं एक्सेस संरचना को संतुष्ट करती हैं और फिर डेटा वापस करने के लिए सिफरटेक्स्ट को डिक्रिप्ट करती हैं।
कुंजी-नीति अबे (केपी-एबीई)
कुंजी-नीति विशेषता-आधारित एन्क्रिप्शन, या KP-ABE, विशेषता-आधारित एन्क्रिप्शन का एक महत्वपूर्ण प्रकार है। विशेषता-आधारित एन्क्रिप्शन। KP-ABE प्रेषकों को अपने संदेशों को विशेषताओं के एक सेट के तहत एन्क्रिप्ट करने की अनुमति देता है, किसी भी विशेषता आधारित एन्क्रिप्शन प्रणाली की तरह। प्रत्येक एन्क्रिप्शन के लिए, निजी उपयोगकर्ता कुंजियाँ तब उत्पन्न होती हैं जिनमें संदेश को समझने के लिए डिक्रिप्शन एल्गोरिदम होते हैं और ये निजी उपयोगकर्ता कुंजियाँ उपयोगकर्ताओं को उन विशिष्ट संदेशों तक पहुँच प्रदान करती हैं जिनसे वे मेल खाते हैं। केपी-एबीई प्रणाली में, सिफर टेक्स्ट, या एन्क्रिप्टेड संदेशों को रचनाकारों द्वारा विशेषताओं के एक सेट के साथ टैग किया जाता है, जबकि उपयोगकर्ता की निजी कुंजी जारी की जाती है जो निर्दिष्ट करती है कि कुंजी किस प्रकार के सिफरटेक्स्ट को डिक्रिप्ट कर सकती है।[34] निजी कुंजियाँ नियंत्रित करती हैं कि कौन सा सिफरटेक्स्ट उपयोगकर्ता डिक्रिप्ट करने में सक्षम है।[35] केपी-एबीई में, विशेषता सेट का उपयोग एन्क्रिप्ट किए गए पाठ का वर्णन करने के लिए किया जाता है और निजी कुंजियाँ निर्दिष्ट नीति से जुड़ी होती हैं जो उपयोगकर्ताओं के पास सिफरटेक्स्ट के डिक्रिप्शन के लिए होंगी। केपी-एबीई के लिए एक दोष यह है कि केपी-एबीई में एन्क्रिप्टर यह नियंत्रित नहीं करता है कि किसके पास एन्क्रिप्टेड डेटा तक पहुंच है, सिवाय वर्णनात्मक विशेषताओं के, जो उपयोगकर्ताओं को एक्सेस देने और इनकार करने वाले कुंजी-जारीकर्ता पर निर्भरता बनाता है। इसलिए, अन्य ABE सिस्टम जैसे सिफरटेक्स्ट-पॉलिसी एट्रीब्यूट-आधारित एन्क्रिप्शन का निर्माण।[36]
पूरी तरह से होमोमोर्फिक एन्क्रिप्शन (FHE)
पूरी तरह से होमोमोर्फिक एन्क्रिप्शन एक क्रिप्टोसिस्टम है जो सिफरटेक्स्ट पर मनमाना संगणना का समर्थन करता है और बिना डिक्रिप्शन के एन्क्रिप्टेड डेटा के लिए कंप्यूटिंग योग और उत्पाद की अनुमति देता है। संक्षेप में फुली होमोमोर्फिक एनक्रिप्शन या एफएचई की एक और दिलचस्प विशेषता यह है कि यह एक गुप्त कुंजी की आवश्यकता के बिना संचालन को निष्पादित करने की अनुमति देता है।[37] FHE को न केवल क्लाउड कंप्यूटिंग बल्कि इलेक्ट्रॉनिक वोटिंग से भी जोड़ा गया है। पूरी तरह से होमोमॉर्फिक एन्क्रिप्शन क्लाउड कंप्यूटिंग और कंप्यूटिंग प्रौद्योगिकियों के विकास में विशेष रूप से सहायक रहा है। हालाँकि, जैसे-जैसे ये प्रणालियाँ विकसित हो रही हैं, क्लाउड सुरक्षा की आवश्यकता भी बढ़ गई है। FHE का उद्देश्य अपने एन्क्रिप्शन एल्गोरिदम के साथ डेटा ट्रांसमिशन के साथ-साथ क्लाउड कंप्यूटिंग स्टोरेज को सुरक्षित करना है।[38] इसका लक्ष्य क्लाउड की व्यापक क्षमताओं को संभालने के लिए बड़े पैमाने पर एन्क्रिप्शन की अधिक सुरक्षित और कुशल विधि बनना है।
खोजने योग्य एन्क्रिप्शन (एसई)
खोजने योग्य एन्क्रिप्शन एक क्रिप्टोग्राफ़िक सिस्टम है जो एन्क्रिप्टेड डेटा पर सुरक्षित खोज फ़ंक्शन प्रदान करता है।[39][40] एसई योजनाओं को दो श्रेणियों में वर्गीकृत किया जा सकता है: गुप्त-कुंजी (या सममित-कुंजी) क्रिप्टोग्राफी पर आधारित एसई, और सार्वजनिक-कुंजी क्रिप्टोग्राफी पर आधारित एसई। खोज दक्षता में सुधार के लिए, सममित-कुंजी एसई आम तौर पर उपयोगकर्ता प्रश्नों का उत्तर देने के लिए कीवर्ड इंडेक्स बनाता है। साझा क्लाउड वातावरण के भीतर वैकल्पिक मापदंडों के ढांचे के अधीन एन्क्रिप्शन एल्गोरिथ्म को दरकिनार करते हुए, अनधिकृत डेटा पुनर्प्राप्ति के लिए मल्टीमॉडल एक्सेस मार्ग प्रदान करने का स्पष्ट नुकसान है।[41]
अनुपालन
डेटा के भंडारण और उपयोग से संबंधित कई कानून और नियम। अमेरिका में इनमें गोपनीयता या डेटा सुरक्षा कानून, भुगतान कार्ड उद्योग डेटा सुरक्षा मानक (PCI DSS), स्वास्थ्य बीमा सुवाह्यता और जवाबदेही अधिनियम (HIPAA), सरबनेस-ऑक्सले अधिनियम, संघीय सूचना सुरक्षा प्रबंधन अधिनियम 2002 (FISMA) शामिल हैं। , और चिल्ड्रेन्स ऑनलाइन प्राइवेसी प्रोटेक्शन एक्ट ऑफ़ 1998, अन्य के साथ। इसी तरह के मानक अन्य न्यायालयों में मौजूद हैं, उदा। सिंगापुर का SS584 | बहु-स्तरीय क्लाउड सुरक्षा मानक।
समान कानून विभिन्न कानूनी न्यायालयों में लागू हो सकते हैं और अमेरिका में लागू किए गए कानूनों से काफी भिन्न हो सकते हैं। क्लाउड सेवा के उपयोगकर्ताओं को बहुधा न्यायालयों के बीच कानूनी और विनियामक अंतरों के बारे में जागरूक होने की आवश्यकता हो सकती है। उदाहरण के लिए, क्लाउड सेवा प्रदाता द्वारा संग्रहीत डेटा सिंगापुर में स्थित हो सकता है और यूएस में प्रतिबिंबित हो सकता है।[42] इनमें से कई नियम विशेष नियंत्रण (जैसे मजबूत पहुंच नियंत्रण और ऑडिट ट्रेल्स) को अनिवार्य करते हैं और नियमित रिपोर्टिंग की आवश्यकता होती है। क्लाउड ग्राहकों को यह सुनिश्चित करना चाहिए कि उनके क्लाउड प्रदाता उपयुक्त आवश्यकताओं को पर्याप्त रूप से पूरा करते हैं, जिससे वे अपने दायित्वों का पालन करने में सक्षम होते हैं, क्योंकि वे काफी हद तक जवाबदेह रहते हैं।
व्यापार निरंतरता और डेटा रिकवरी
- क्लाउड प्रदाताओं के पास यह सुनिश्चित करने के लिए व्यापार निरंतरता योजना और डेटा रिकवरी योजनाएँ हैं कि आपदा या आपात स्थिति में सेवा को बनाए रखा जा सकता है और किसी भी डेटा हानि की भरपाई की जाएगी।[43] इन योजनाओं को उनके ग्राहकों के साथ साझा किया जा सकता है और उनकी समीक्षा की जा सकती है, आदर्श रूप से ग्राहकों की अपनी निरंतरता व्यवस्था के साथ। संयुक्त निरंतरता अभ्यास उपयुक्त हो सकता है, उदाहरण के लिए एक प्रमुख इंटरनेट या बिजली आपूर्ति विफलता का अनुकरण करना।
लॉग और लेखापरीक्षा
- लॉग और ऑडिट ट्रेल तैयार करने के अलावा, क्लाउड प्रदाता यह सुनिश्चित करने के लिए अपने ग्राहकों के साथ काम करते हैं कि ये लॉग और ऑडिट ट्रेल उचित रूप से सुरक्षित हैं, जब तक ग्राहक की आवश्यकता होती है, तब तक बनाए रखा जाता है और फोरेंसिक जांच के उद्देश्यों के लिए सुलभ हैं (उदाहरण के लिए, ईडिस्कवरी ) ).
अद्वितीय अनुपालन आवश्यकताओं
- ग्राहक जिन आवश्यकताओं के अधीन हैं, उनके अतिरिक्त क्लाउड प्रदाताओं द्वारा उपयोग किए जाने वाले डेटा केंद्र भी अनुपालन आवश्यकताओं के अधीन हो सकते हैं। क्लाउड सर्विस प्रोवाइडर (CSP) का उपयोग करने से डेटा क्षेत्राधिकार के आसपास अतिरिक्त सुरक्षा चिंताएँ हो सकती हैं क्योंकि ग्राहक या किरायेदार डेटा एक ही सिस्टम पर, एक ही डेटा केंद्र में, या एक ही प्रदाता के क्लाउड के भीतर भी नहीं रह सकते हैं।[44]
- यूरोपीय संघ के सामान्य डेटा संरक्षण विनियम ने ग्राहक डेटा के लिए नई अनुपालन आवश्यकताओं की शुरुआत की है।
कानूनी और संविदात्मक मुद्दे
ऊपर बताए गए सुरक्षा और अनुपालन अभिपाय के अलावा, क्लाउड प्रदाता और उनके ग्राहक देयता के बारे में शर्तों पर बातचीत करेंगे (यह निर्धारित करते हुए कि डेटा हानि या समझौता से जुड़ी घटनाओं को कैसे हल किया जाएगा, उदाहरण के लिए), बौद्धिक संपदा , और सेवा की समाप्ति (जब डेटा और आवेदन अंततः ग्राहक को वापस कर दिए जाते हैं)। इसके अलावा, क्लाउड से डेटा प्राप्त करने पर भी विचार किया जाता है जो मुकदमेबाजी में शामिल हो सकता है।[45] सेवा स्तर समझौता (SLA) में इन अभिपाय पर चर्चा की जाती है।
सार्वजनिक रिकॉर्ड
कानूनी अभिपाय में रिकॉर्ड प्रबंधन भी शामिल हो सकता है। सार्वजनिक क्षेत्र में रिकॉर्ड रखने की आवश्यकताएं, जहां कई एजेंसियों को रिकॉर्ड प्रबंधन को बनाए रखने और उपलब्ध कराने के लिए कानून की आवश्यकता होती है # एक विशिष्ट फैशन में डिजिटल रिकॉर्ड प्रबंधित करना। यह कानून द्वारा निर्धारित किया जा सकता है, या कानून एजेंसियों को रिकॉर्ड रखने वाली एजेंसी द्वारा निर्धारित नियमों और प्रथाओं के अनुरूप होने की आवश्यकता हो सकती है। क्लाउड कंप्यूटिंग और स्टोरेज का उपयोग करने वाली सार्वजनिक एजेंसियों को इन चिंताओं को ध्यान में रखना चाहिए।
यह भी देखें
- कंप्यूटर सुरक्षा
- सामान्य भेद्यताएं और जोखिम
संदर्भ
Incident Detection, Handling, and Response in the Cloud
- ↑ 1.0 1.1 1.2 1.3 Haghighat, Mohammad; Zonouz, Saman; Abdel-Mottaleb, Mohamed (November 2015). "CloudID: भरोसेमंद क्लाउड-आधारित और क्रॉस-एंटरप्राइज़ बायोमेट्रिक पहचान". Expert Systems with Applications. 42 (21): 7905–7916. doi:10.1016/j.eswa.2015.06.025.
- ↑ 2.0 2.1 Srinivasan, Madhan Kumar; Sarukesi, K.; Rodrigues, Paul; Manoj, M. Sai; Revathy, P. (2012). "State-of-the-art cloud computing security taxonomies". कंप्यूटिंग, संचार और सूचना विज्ञान में प्रगति पर अंतर्राष्ट्रीय सम्मेलन की कार्यवाही - ICACCI '12. pp. 470–476. doi:10.1145/2345396.2345474. ISBN 978-1-4503-1196-0. S2CID 18507025.
- ↑ "दलदल कम्प्यूटिंग a.k.a. क्लाउड कम्प्यूटिंग". Web Security Journal. 2009-12-28. Retrieved 2010-01-25.
- ↑ "क्लाउड कंट्रोल मैट्रिक्स v4" (xlsx). Cloud Security Alliance. 15 March 2021. Retrieved 21 May 2021.
- ↑ 6.0 6.1 Tozzi, C. (24 September 2020). "क्लाउड सुरक्षा के लिए साझा उत्तरदायित्व मॉडल के नुकसान से बचना". Pal Alto Blog. Palo Alto Networks. Retrieved 21 May 2021.
- ↑ "क्लाउड कंप्यूटिंग v1.0 के लिए शीर्ष खतरे" (PDF). Cloud Security Alliance. March 2010. Retrieved 2020-09-19.
- ↑ Winkler, Vic. "क्लाउड कंप्यूटिंग: वर्चुअल क्लाउड सुरक्षा चिंताएं". Technet Magazine, Microsoft. Retrieved 12 February 2012.
- ↑ Hickey, Kathleen. "डार्क क्लाउड: अध्ययन वर्चुअलाइजेशन में सुरक्षा जोखिम पाता है". Government Security News. Retrieved 12 February 2012.
- ↑ Winkler, Joachim R. (2011). क्लाउड को सुरक्षित करना: क्लाउड कंप्यूटर सुरक्षा तकनीक और रणनीति. Elsevier. p. 59. ISBN 978-1-59749-592-9.
- ↑ Andress, J. (2014). Deterrent Control - an overview | ScienceDirect Topics. Retrieved October 14, 2021, from https://www.sciencedirect.com/topics/computer-science/deterrent-control
- ↑ Virtue, T., & Rainey, J. (2015). Preventative Control - an overview | ScienceDirect Topics. Retrieved October 13, 2021, from https://www.sciencedirect.com/topics/computer-science/preventative-control
- ↑ Marturano, G. (2020b, December 4). Detective Security Controls. Retrieved December 1, 2021, from https://lifars.com/2020/12/detective-security-controls/
- ↑ Walkowski, D. (2019, August 22). What are Security Controls? Retrieved December 1, 2021, from https://www.f5.com/labs/articles/education/what-are-security-controls
- ↑ www.guidepointsecurity.com https://www.guidepointsecurity.com/education-center/cloud-security-architecture/. Retrieved 2021-12-06.
{{cite web}}
: Missing or empty|title=
(help) - ↑ "गार्टनर: सात क्लाउड-कंप्यूटिंग सुरक्षा जोखिम". InfoWorld. 2008-07-02. Retrieved 2010-01-25.
- ↑ "क्लाउड कंप्यूटिंग प्लस के लिए शीर्ष खतरे: उद्योग अंतर्दृष्टि". Cloud Security Alliance. 2017-10-20. Retrieved 2018-10-20.
- ↑ "CASB (क्लाउड एक्सेस सिक्योरिटी ब्रोकर) क्या है?". CipherCloud. Archived from the original on 2018-08-31. Retrieved 2018-08-30.
- ↑ Thangasamy, Veeraiyah (2017). "एप्लाइड टेक्नोलॉजी एंड इनोवेशन जर्नल" (PDF). 1: 97.
{{cite journal}}
: Cite journal requires|journal=
(help) - ↑ "क्लाउड में पहचान प्रबंधन". Information Week. 2013-10-25. Retrieved 2013-06-05.
- ↑ Guarda, Teresa; Orozco, Walter; Augusto, Maria Fernanda; Morillo, Giovanna; Navarrete, Silvia Arévalo; Pinto, Filipe Mota (2016). "Penetration Testing on Virtual Environments". सूचना और नेटवर्क सुरक्षा पर चौथे अंतर्राष्ट्रीय सम्मेलन की कार्यवाही - ICINS '16. pp. 9–12. doi:10.1145/3026724.3026728. ISBN 978-1-4503-4796-9. S2CID 14414621.
- ↑ Tang, Jun; Cui, Yong; Li, Qi; Ren, Kui; Liu, Jiangchuan; Buyya, Rajkumar (28 July 2016). "क्लाउड डेटा सेवाओं के लिए सुरक्षा और गोपनीयता संरक्षण सुनिश्चित करना". ACM Computing Surveys. 49 (1): 1–39. doi:10.1145/2906153. S2CID 11126705.
- ↑ "गोपनीयता, अखंडता और उपलब्धता - सीआईए ट्रायड". CertMike (in English). 2018-08-04. Retrieved 2021-11-27.
- ↑ Tabrizchi, Hamed; Kuchaki Rafsanjani, Marjan (2020-12-01). "क्लाउड कंप्यूटिंग में सुरक्षा चुनौतियों पर एक सर्वेक्षण: मुद्दे, खतरे और समाधान". The Journal of Supercomputing (in English). 76 (12): 9493–9532. doi:10.1007/s11227-020-03213-1. ISSN 1573-0484.
- ↑ Carroll, Mariana; van der Merwe, Alta; Kotzé, Paula (August 2011). "सुरक्षित क्लाउड कंप्यूटिंग: लाभ, जोखिम और नियंत्रण". 2011 Information Security for South Africa: 1–9. CiteSeerX 10.1.1.232.2868. doi:10.1109/ISSA.2011.6027519. ISBN 978-1-4577-1481-8. S2CID 6208118.
- ↑ 26.0 26.1 Svantesson, Dan; Clarke, Roger (July 2010). "क्लाउड कंप्यूटिंग में गोपनीयता और उपभोक्ता जोखिम". Computer Law & Security Review. 26 (4): 391–397. doi:10.1016/j.clsr.2010.05.005. hdl:1885/57037. S2CID 62515390.
- ↑ 27.0 27.1 27.2 Grobauer, Bernd; Walloschek, Tobias; Stocker, Elmar (March 2011). "क्लाउड कंप्यूटिंग कमजोरियों को समझना". IEEE Security Privacy. 9 (2): 50–57. doi:10.1109/MSP.2010.115. S2CID 1156866.
- ↑ Rukavitsyn, Andrey N.; Borisenko, Konstantin A.; Holod, Ivan I.; Shorov, Andrey V. (2017). "The method of ensuring confidentiality and integrity data in cloud computing". 2017 सॉफ्ट कंप्यूटिंग और मापन (एससीएम) पर आईईईई अंतर्राष्ट्रीय सम्मेलन. pp. 272–274. doi:10.1109/SCM.2017.7970558. ISBN 978-1-5386-1810-3. S2CID 40593182.
- ↑ Yao, Huiping; Shin, Dongwan (2013). "Towards preventing QR code based attacks on android phone using security warnings". सूचना, कंप्यूटर और संचार सुरक्षा पर 8वीं एसीएम सिग्सैक संगोष्ठी की कार्यवाही - एशिया सीसीएस '13. p. 341. doi:10.1145/2484313.2484357. ISBN 9781450317672. S2CID 1851039.
- ↑ Iqbal, Salman; Mat Kiah, Miss Laiha; Dhaghighi, Babak; Hussain, Muzammil; Khan, Suleman; Khan, Muhammad Khurram; Raymond Choo, Kim-Kwang (October 2016). "क्लाउड सुरक्षा हमलों पर: एक सेवा के रूप में एक वर्गीकरण और घुसपैठ का पता लगाने और रोकथाम". Journal of Network and Computer Applications. 74: 98–120. doi:10.1016/j.jnca.2016.08.016.
- ↑ Alashhab, Ziyad R.; Anbar, Mohammed; Singh, Manmeet Mahinderjit; Leau, Yu-Beng; Al-Sai, Zaher Ali; Abu Alhayja’a, Sami (March 2021). "प्रौद्योगिकियों और क्लाउड कंप्यूटिंग अनुप्रयोगों पर कोरोनावायरस महामारी संकट का प्रभाव". Journal of Electronic Science and Technology. 19 (1): 100059. doi:10.1016/j.jnlest.2020.100059.
- ↑ Xu, Shengmin; Yuan, Jiaming; Xu, Guowen; Li, Yingjiu; Liu, Ximeng; Zhang, Yinghui; Ying, Zuobin (October 2020). "ब्लैकबॉक्स ट्रेसबिलिटी के साथ कुशल सिफरटेक्स्ट-पॉलिसी विशेषता-आधारित एन्क्रिप्शन". Information Sciences. 538: 19–38. doi:10.1016/j.ins.2020.05.115. S2CID 224845384.
- ↑ Bethencourt, John; Sahai, Amit; Waters, Brent (May 2007). "Ciphertext-Policy Attribute-Based Encryption" (PDF). 2007 सुरक्षा और गोपनीयता पर IEEE संगोष्ठी (SP '07). 2007 सुरक्षा और गोपनीयता पर IEEE संगोष्ठी (SP '07). pp. 321–334. doi:10.1109/SP.2007.11. ISBN 978-0-7695-2848-9. S2CID 6282684.
- ↑ Wang, Changji; Luo, Jianfa (2013). "निरंतर सिफरटेक्स्ट लंबाई के साथ एक कुशल कुंजी-नीति विशेषता-आधारित एन्क्रिप्शन योजना". Mathematical Problems in Engineering. 2013: 1–7. doi:10.1155/2013/810969. S2CID 55470802.
- ↑ Wang, Chang-Ji; Luo, Jian-Fa (November 2012). "कॉन्सटेंट साइज सिफरटेक्स्ट के साथ एक की-पॉलिसी एट्रिब्यूट-आधारित एन्क्रिप्शन स्कीम". 2012 Eighth International Conference on Computational Intelligence and Security: 447–451. doi:10.1109/CIS.2012.106. ISBN 978-1-4673-4725-9. S2CID 1116590.
- ↑ Bethencourt, John; Sahai, Amit; Waters, Brent (May 2007). "Ciphertext-Policy Attribute-Based Encryption" (PDF). 2007 सुरक्षा और गोपनीयता पर IEEE संगोष्ठी (SP '07). 2007 सुरक्षा और गोपनीयता पर IEEE संगोष्ठी (SP '07). pp. 321–334. doi:10.1109/SP.2007.11. ISBN 978-0-7695-2848-9. S2CID 6282684.
- ↑ Armknecht, Frederik; Katzenbeisser, Stefan; Peter, Andreas (2012). "Shift-Type Homomorphic Encryption and Its Application to Fully Homomorphic Encryption". क्रिप्टोलॉजी में प्रगति - अफ्रीकाक्रिप्ट 2012. Lecture Notes in Computer Science. Vol. 7374. pp. 234–251. doi:10.1007/978-3-642-31410-0_15. ISBN 978-3-642-31409-4.
- ↑ Zhao, Feng; Li, Chao; Liu, Chun Feng (2014). "A cloud computing security solution based on fully homomorphic encryption". उन्नत संचार प्रौद्योगिकी पर 16वां अंतर्राष्ट्रीय सम्मेलन. pp. 485–488. doi:10.1109/icact.2014.6779008. ISBN 978-89-968650-3-2. S2CID 20678842.
- ↑ Wang, Qian; He, Meiqi; Du, Minxin; Chow, Sherman S. M.; Lai, Russell W. F.; Zou, Qin (1 May 2018). "फ़ीचर-रिच डेटा पर खोजने योग्य एन्क्रिप्शन". IEEE Transactions on Dependable and Secure Computing. 15 (3): 496–510. doi:10.1109/TDSC.2016.2593444. S2CID 13708908.
- ↑ Sahayini, T (2016). "मल्टीमॉडल बायोमेट्रिक क्रिप्टोसिस्टम और निरंतर उपयोगकर्ता प्रमाणीकरण के साथ आधुनिक आईसीटी सिस्टम की सुरक्षा बढ़ाना". International Journal of Information and Computer Security. 8 (1): 55. doi:10.1504/IJICS.2016.075310.
- ↑ "क्लाउड कंप्यूटिंग से उत्पन्न होने वाले कानूनी जोखिमों का प्रबंधन". DLA Piper. 29 August 2014. Retrieved 2014-11-22.
- ↑ "यह क्लाउड-आधारित डिजास्टर रिकवरी के लाभों का अन्वेषण करने का समय है". Dell.com. Archived from the original on 2012-05-15. Retrieved 2012-03-26.
- ↑ Winkler, Joachim R. (2011). क्लाउड को सुरक्षित करना: क्लाउड कंप्यूटर सुरक्षा तकनीक और रणनीति. Elsevier. pp. 65, 68, 72, 81, 218–219, 231, 240. ISBN 978-1-59749-592-9.
- ↑ Adams, Richard (2013). "The emergence of cloud storage and the need for a new digital forensic process model" (PDF). In Ruan, Keyun (ed.). साइबर अपराध और क्लाउड फोरेंसिक: जांच प्रक्रियाओं के लिए आवेदन. Information Science Reference. pp. 79–104. ISBN 978-1-4666-2662-1.
आगे की पढाई
- Mowbray, Miranda (15 April 2009). "The Fog over the Grimpen Mire: Cloud Computing and the Law". SCRIPT-ed. 6 (1): 132–146. doi:10.2966/scrip.060109.132.
- Mather, Tim; Kumaraswamy, Subra; Latif, Shahed (2009). Cloud Security and Privacy: An Enterprise Perspective on Risks and Compliance. O'Reilly Media, Inc. ISBN 9780596802769.
- Winkler, Vic (2011). Securing the Cloud: Cloud Computer Security Techniques and Tactics. Elsevier. ISBN 9781597495929.
- Ottenheimer, Davi (2012). Securing the Virtual Environment: How to Defend the Enterprise Against Attack. Wiley. ISBN 9781118155486.
- BS ISO/IEC 27017: "Information technology. Security techniques. Code of practice for information security controls based on ISO/IEC 27002 for cloud services." (2015)
- BS ISO/IEC 27018: "Information technology. Security techniques. Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors." (2014)
- BS ISO/IEC 27036-4: "Information technology. Security techniques. Information security for supplier relationships. Guidelines for security of cloud services" (2016)
बाहरी कड़ियाँ
- Cloud Security Alliance
- Check Point Cloud Security
- Cloud Security Solutions
- Why cloud security requires multiple layers
- The Beginner's Guide to Cloud Security
- DoD Cloud Computing Security Requirements Guide (CC SRG)
पुरालेख
- Archived 2018-10-21 at the Wayback Machine
श्रेणी:क्लाउड कंप्यूटिंग
श्रेणी:कंप्यूटर सुरक्षा