УДК 004.771.7:004.056
ББК 32.973.202
Д 58
Довгаль В.А.
Кандидат технических наук, доцент кафедры автоматизированных систем обработки информации и управления инженерно-физического факультета Адыгейского государственного университета, Майкоп, тел. (8772) 59-39-11, e-mail: [email protected]
Облачные вычисления и анализ вопросов информационной
безопасности в облаке
(Рецензирована)
Аннотация. Рассматривается современное состояние применения и развития облачных вычислений, основные преимущества их использования государством, предприятием и в научной деятельности. Обозначаются и анализируются стандарты, нормативные и руководящие документы в области информационной безопасности облачных вычислений, разработанныеCloudSecurityAШance (CSA), Европейским агентством сетевой и информационной безопасности (ENISA) и Национальным институтом стандартов и технологий (NIST). Также приводятся результаты детального анализа вопросов в облаке.
Ключевые слова: облачные технологии, облачные вычисления, информационная безопасность, сравнительный анализ, недостатки и преимущества вычислений в облаках.
Dovgal VA.
Candidate of Technical Sciens, Associate Professor of Department of Automated Systems of Processing
Information and Control at Engineering-Physics Faculty, Adyghe State University, Maikop, ph.
(8772)59-39-11, e-mail: [email protected]
Cloud computing and the analysis of questions of information
security in the cloud
Abstract. The paper explores the current state of application and development of cloud computing and the main advantages of their use by the state, enterprise and scientists. We designate and analyze the standards, the normative and guideline documents in the field of information security of cloud computing developed by CloudSecurityAlliance (CSA), the European Agency of Network and Information Security (ENISA) and National Institute of Standards and Technologies (NIST) and give the results of the detailed analysis of information security in the cloud.
Keywords: cloudy technologies, cloud computing, information security, the comparative analysis, shortcomings and advantages of calculations in clouds.
В последние годы все большую популярность и эффективность применения завоевывают облачные технологии и облачные вычисления (англ. cloud computing). Последние определяются как модели обеспечения повсеместного и удобного доступа посредством сети к общему пулу вычислительных ресурсов, подлежащие настройке (например, к коммуникационным сетям, серверам, средствам сохранения данных, прикладных программ и сервисов), которые могут быть оперативно предоставлены и освобождены с минимальными эксплуатационными затратами или обращением к провайдеру [1].
К облачным технологиям проявляют интерес не только крупные компании, проводящие оптимизацию затрат на инфраструктуру, но и малые фирмы, которые не имеют возможности сразу развернуть собственную структуру для обработки данных. Таким образом, основная причина внедрения таких технологий заключается в том экономическом эффекте, который предоставляет их использование. Все проблемы, связанные с построением центров обработки данных, покупкой серверного и сетевого оборудования, аппаратных и программных решений, а также обеспечением непрерывности и работоспособности, перекладываются на плечи провайдеров сетевых технологий. Пользователь только оплачивает предоставляемые ему в аренду гибкие в настройке сервисы.
Несмотря на явные преимущества использования, облачные технологии требуют решения проблемных вопросов, основным из которых является степень доверия поставщика
облачных услуг, обеспечения конфиденциальности, целостности, актуальности и неопровержимости информации на всех этапах ее существования, бесперебойность в работе, защита от несанкционированного доступа (НСД) и сохранение личных данных пользователей, передаваемых и обрабатываемых в облаке. Целью этой статьи является классификация и обзор основных технологий облачных вычислений, а также анализ современного состояния использования и исследований в отрасли безопасности облачных технологий.
Национальным институтом стандартов и технологий (NIST) США предложена модель облака, которая состоит из пяти основных характеристик, трех моделей обслуживания и четырех моделей развертывания [1]. Среди основных характеристик облака можно назвать:
• качество самообслуживания по требованию (англ. on demand self-service), когда потребитель, не взаимодействуя непосредственно с представителем поставщика услуг, может самостоятельно определять и изменять такие вычислительные потребности, как серверное время, скорость доступа и обработки данных, объем сохраненных данных и тому подобное;
• универсальность доступа с использованием сети (англ. broad network access), когда услуги доступны потребителям через сети передачи информации, независимо от терминального устройства клиентских платформ (например, мобильные телефоны, планшеты, ноутбуки и рабочие станции);
• степень объединения ресурсов (англ. resource pooling), когда поставщик услуг объединяет ресурсы для обслуживания нескольких потребителей, используя многопользовательскую модель с разными физическими и виртуальными ресурсами, которые динамически распределяются и перераспределяются между пользователями в соответствии со спросом. При этом клиент не имеет возможности контролировать расположение ресурса или не знает точное место его расположения, но в состоянии указать место расположения на более высоком уровне абстракции (например, страну, область или центр обработки данных). Такие ресурсы могут играть роль хранилищ данных, вычислительных мощностей, памяти и пропускной способности сети.
• достаточная эластичность (англ. rapid elasticity), когда услуги в любой момент времени без дополнительных расходов на взаимодействие с поставщиком могут быть предоставлены, расширены, сужены, как правило, в автоматическом режиме. Для потребителя такие возможности провайдера по предоставлению услуг кажутся неограниченными и могут быть предоставлены в любом количестве и в любое время;
• учет потребления (англ. measured service), когда сервис облака автоматически управляет и оптимизирует использование ресурсов пользователями за счет измерений на некотором уровне абстракции (например, объем сохраненных данных, пропускная способность, количество пользователей, количество транзакций). Контроль над использованием ресурсов, возможность управления ресурсами и возможность управления ресурсами и формирование отчета о потреблении обеспечивают прозрачность как для поставщика, так и для потребителя услуг.
В [1] также определенны такие модели обслуживания с помощью облака:
1. Программное обеспечение как услуга (SaaS) - модель, когда потребителю предоставляется возможность использования дополнений поставщика, которые работают на облачной инфраструктуре. Программы являются доступными посредством разных клиентских устройств или через интерфейс тонкого клиента (например, веб-браузер, (например, веб-почта) или интерфейса программы. Потребитель не контролирует и не руководит базовой инфраструктурой облака, в том числе сетью, серверами, операционной системой, хранением или даже индивидуальными возможностями дополнения, за исключением ограниченных пользовательских параметров конфигурации дополнения. Примерами такой модели являются сервисы Gmail и Google docs.
2. Платформа как услуга (PaaS) - модель, при которой потребителю предоставляется возможность разворачивания на базе облачной инфраструктуры собственных или приобретенных дополнений, созданных с помощью языков программирования, библиотек, служб и средств, поддерживаемых поставщиком. Потребитель не контролирует и не управляет базовой инфраструктурой облака, в том числе сетью, серверами, операционной системой или хранением, но имеет контроль над развернутыми дополнениями и, возможно, параметрами конфигурации среды, в которой работают дополнения. Например, Google Apps предоставляет дополнения для бизнеса в режиме онлайн, доступ к которым происходит с помощью Интернет-браузера, тогда как программное обеспечение и данные хранятся на серверах Google.
3. Инфраструктура как услуга (IaaS) - модель, при которой потребителю предоставляется возможность обработки, хранения, доступа к сети и другим основным вычислительным ресурсам, где потребитель имеет возможность развертывания и запуска произвольного программного обеспечения, которое может включать у себя операционные системы и программы [2]. Потребитель не контролирует и не руководит базовой инфраструктурой облака, но имеет контроль над операционными системами, хранением и развернутыми дополнениями и, возможно, ограниченный контроль выбора сетевых компонентов (например, сетевых экранов). Крупнейшими игроками на рынке инфраструктуры как услуги являются Amazon, Microsoft, VMWare, Rackspace и RedHat. Хотя некоторые из них предлагают больше, чем просто инфраструктуру, их объединяет цель продаж базовых вычислительных ресурсов.
Вычислительное облако может быть развернуто как: частная, публичная, общественная или гибридная [1].
Частное облако (англ. private cloud) - это облачная инфраструктура, предназначенная для использования исключительно одной организацией, которая включает нескольких пользователей (например, подразделений). Частное облако может находиться в собственности, управлении и эксплуатации как самой организации, так и третьей стороны (или некоторой их комбинации). Такое облако может физически находиться как внутри, так и вне юрисдикции владельца.
Общественное облако (англ. community cloud) - это облачная инфраструктура, предназначенная для использования конкретным сообществом потребителей из организаций, имеющих общие цели (например, миссию, требования относительно безопасности, политику и соответствие разнообразным требованиям). Общественное облако может находиться в общей собственности, управлении и эксплуатации одной или больше организаций из сообщества или третьей стороны (или некоторой их комбинации). Такое облако может физически находиться как внутри, так и вне юрисдикции владельца.
Публичное облако (англ. public cloud) - это облачная инфраструктура, предназначенная для свободного использование всеми пользователями. Публичное облако может находиться в собственности, управлении и эксплуатации коммерческих, академических (образовательных и научных) или государственных организаций (или некоторой их комбинации). Публичное облако находится в юрисдикции поставщика облачных услуг.
Гибридное облако (англ. hybrid cloud) - это облачная инфраструктура, состоящая из двух или больше разных облачных инфраструктур (частных, общественных или публичных), которые остаются уникальными сущностями, но соединены между собой стандартизированными или частными технологиями, позволяющими переносить данные и прикладные программы (например, использование ресурсов общественного облака для балансирования нагрузки между облаками).
В настоящее время ведущими организациями, занимающимися вопросами безопасности в облаке, являются Альянс безопасности в облаке (Cloud Security Alliance, CSA), состоящий из представителей IT-индустрии, а также две государственных орга-
низации Европы и США: Европейское агентство сетевой и информационной безопасности (ENISA) и Национальный институт стандартов и технологий (NIST).
Каждая из организаций создала соответствующий документ с классификацией всех существующих проблем информационной безопасности (ИБ) в облаке. Рассмотрим их и проведем сравнение.
CSA является некоммерческой организацией, созданной в конце 2008 года, основателями которой выступили крупные IT-компании, заинтересованные во внедрении облачных технологий: Google, Microsoft, IBM, Salesforce.com, VMware и другие.
Основным документом, посвященным проблемам безопасности в облаке, является «Руководство по безопасности критических областей для облачных вычислений», первая версия которого опубликована в 2009 году. Согласно ему основные составляющие требований ИБ в облаках, которые рекомендуются к рассмотрению и анализу, следующие [3]:
1. Организационные и правовые вопросы ИБ;
2. Технические вопросы ИБ.
Кроме вопросов ИБ указанный документ рассматривает также архитектуру построения облака и предоставляет рекомендации и пути решения этих проблем. В целом вопросы ИБ в облаке разделяются на две большие группы: вопрос управления ИБ в облаке (организационные вопросы ИБ) и ИБ в облаке во время ее использования (технические вопросы ИБ). Каждая из групп дробится на более мелкие, называемые доменами. Домены, относящиеся к организационным, в первую очередь рассматриваются с целью выработки решений правовых вопросов, вопросов политики ИБ, управления рисками и стандартизации. В рамках технических вопросов рассматриваются вопросы реализации и внедрения защиты в облаке.
Европейское агентство сетевой и информационной безопасности (ENISA) является организацией, деятельность которой направлена на «повышение способности Европейского Союза, государств-членов ЕС и бизнес-сообщества на предупреждение, ликвидацию и реагирование на проблемы сетевой информационной безопасности» [4].
Организацией ENISA был подготовлен и опубликован документ «Безопасность облачных вычислений и оценка рисков» [5], в котором рассмотрены вопросы информационной безопасности в облаке, их преимущества и недостатки, существующие риски, анализ и пути их уменьшения, существующие угрозы в среде облачных вычислений. Согласно этому документу выделяют такие риски ИБ, существующие в облаке:
1. Организационные вопросы ИБ;
2. Правовые вопросы ИБ;
3. Технические вопросы ИБ.
С целью внедрения облачных вычислений правительством США в организации NIST была заказана разработка стандарта по обеспечению безопасности и конфиденциальности в общественных облаках. Поэтому, начиная с 2011 года, NIST опубликовал ряд документов, которые давали определение облачным вычисления, рассматривали вопрос ИБ в облаке, предлагали архитектуру безопасности в облаке, давали рекомендации по оценке и устранению существующих рисков ИБ в облаке.
Классификация вопроса ИБ в облаке рассматривается в таких документах NIST: «Пособие по безопасности и конфиденциальности в общественных облачных вычислениях» [6] и «Краткий обзор облачных вычислений и рекомендации» [7]. В отличие от рассмотренных таксономий вопросов ИБ в облаке CSA и ENISA, в таксономии NIST вопросы ИБ четко не разделяют на такие уровни как организационные вопросы, правовые вопросы и технические вопросы ИБ. В общем они сводятся к следующему перечню:
1. Управление;
2. Соблюдение законов, правил, стандартов и спецификаций;
3. Доверие к поставщику услуг;
4. Архитектура программного и аппаратного обеспечения;
5. Идентификация и управление доступом;
6. Изоляция программного обеспечения;
7. Защита данных;
8. Доступность ресурсов и данных;
9. Реагирование и инциденты.
Наиболее полная и структурированная классификация была предоставлена организацией CSA, но ее недочетом является объединение правовых и организационных проблем ИБ. Главным преимуществом классификации ENISA есть оценка вероятности возникновения рисков, связанных с ИБ, причинами их возникновения, взаимосвязи с другими рисками, и их влияние на систему и ее элементы. К недостаткам классификации NIST можно отнести отсутствие разделения проблем ИБ на три основных группы, как это было сделано в классификации ENISA.
Анализ проблемных вопросов защиты информации в облаке
Большинство проблем защиты информации пользователя в облаке может быть решено на основе использования существующих методов криптографической защиты информации, административных мер со стороны как поставщика облачных услуг, так и пользователя, заключение договоров на предоставление услуг, учитывающих индивидуальные потребности клиентов, принятие международных стандартов в отрасли, введение контроля со стороны государства и создания независимых экспертов в этой отрасли.
Например, для обеспечения конфиденциальности и целостности данных, хранящихся в облаке, необходимо использовать алгоритмы цифровой подписи и шифровки, которые основаны на международных стандартах. Для предотвращения несанкционированного использования профиля пользователя можно использовать существующие методы двухфакторной аутентификации пользователя.
В настоящее время большинство поставщиков имеют свой собственный, иногда даже хорошо документируемый интерфейс для программирования, но это приводит к невозможности перехода пользователей от одного поставщика услуг к другому. Практика в таких вопросах показывает, что лишь разработка открытого единственного международного стандарта может решить этот вопрос.
Главными проблемами, которые нуждаются в дальнейшем детальном анализе и решении, следующие:
а) проблема привилегированных пользователей, имеющих привилегированный доступ к функциям системы или администраторы облачных сервисов. Они представляют наибольшую угрозу для безопасности информации в облаке, а потому для уменьшения риска возможных деструктивных действий с их стороны целесообразно вести независимый надзор и контроль над их действиями в облаке. Как показывает статистика, именно на внутренних пользователей приходится наибольшее количество нарушений безопасности;
б) несоответствие законов в сфере обработки, передачи, хранении и защите информации разных государств, являющееся одной из главных проблем, тормозящей распространение облачных вычислений. Решение этой проблемы является ключевым фактором для возможности физического размещения серверов поставщика облачных сервисов в разных странах и регионах, а также использование пользователями из разных стран одного поставщика услуг. Эта проблема наиболее существенно будет касаться транснациональных корпораций;
в) вопросы доверия к поставщику услуг, которые могут быть решены лишь за счет проведения аудита безопасности поставщика облачных услуг и проверки соответствия его системы безопасности международным требованиям к защите информации, сформулированным в международных стандартах. Формулирование и обоснование
требований является одним из важных вопросов;
г) вопросы общих уязвимостей в облаке практически ничем не отличаются от аналогичных в традиционных системах, за исключением того, что найденная одна уязвимость может быть использована для всего облака, но в то же время ее можно более легко исправить с помощью централизованного обновления, в отличие от традиционных систем. В это время ее критичность намного больше, потому что она может с легкостью поразить всех пользователей данного поставщика услуг, а потому требует превентивных мер и способов защиты;
д) проблемы доступности к сервисам и данным пользователями, возобновление их работы после сбоя или потери данных должны решаться на административном и правовом уровнях. При составлении договоров с пользователем должны быть четко определены обязанности сторон и мера их ответственности в зависимости от обстоятельств события, которые привели к этим последствиям, а расследование должна проводить третья независимая сторона. Аналогичная проблема существует и в традиционных системах, но пользователь имеет возможность непосредственно влиять на уровень резервирования в системе, которая дает возможность более гибко ее настраивать под конкретные требования пользователя и его финансовые возможности;
е) проблема предоставления доступа, общего доступа и блокирование доступа к ресурсам и данным в облаке пользователям;
ж) проблема защиты интеллектуальной собственности в облаке, в частности программного обеспечения и данных.
Преимущества и недостатки использования облаков
Главным преимуществом использования облачных вычислений, которое положено в основу технологии, является балансирование рабочей нагрузки, за счет которого достигается более эффективное использование ресурсов вычислительной системы. К основным преимуществам технологии можно отнести:
• возможность доступа к ресурсам в облаке на основе использования Интернет-соединения, обычного браузера и нетребовательного к ресурсам терминала конечного пользователя;
• быстрое развертывание собственных сервисов и/или увеличение рабочей нагрузки на существующие у поставщика облачные услуги;
• поддержка резервирования, самовосстановления и масштабирования, позволяющего повышать надежность системы и уменьшать риски при отказах программного и аппаратного обеспечения;
• управление рабочими нагрузками в реальном времени, в том числе пакетными операциями и фоновыми программами, которые взаимодействуют с пользователями;
• мониторинг в реальном времени загрузки и баланса системы, а также выделения ресурсов.
Кроме перечисленных преимуществ существуют недостатки и проблемные вопросы, которые тормозят внедрение облачных вычислений, а именно:
• невозможность работы с сервисами облака без постоянного подключения к Интернет;
• сложный или невозможный процесс перехода от одного поставщика облачных услуг к другому;
• отсутствие единственного международного правового регулирования в сфере облачных вычислений и обработки информации в облаке;
• доверие к поставщику услуг пользователей;
• вопрос защиты информации пользователя, обрабатываемой и хранящейся в облаке.
Для обеспечения безопасности информации облачные вычисления предоставляют
такие преимущества:
• специализированный персонал: провайдер облака, как большая организация, для обеспечения безопасности в облаке нанимает специалистов в отрасли безопасности информации, позволяя сотрудникам сосредоточиться исключительно на вопросе безопасности, достичь высокого уровня безопасности, который невозможно достигнуть в небольшой организации;
• централизованное управление, конфигурация системы безопасности и ее аудит;
• стойкость платформы: аппаратный и программный состав платформы, на которой развернуто облако более равномерно, чем в большинстве традиционных вычислительных центров, что позволяет лучше автоматизировать деятельность относительно обеспечения безопасности, тестирования и исправления ошибок в компонентах платформы;
• наличие ресурсов: возможность динамического масштабирования ресурсов системы, а также резервирования и аварийного возобновления, что может быть использовано для повышения стойкости системы против атак типа «отказ в обслуживании», а также быстрого возобновления потом серьезных инцидентов;
• резервное копирование и возобновление: провайдер облачных услуг может позволить предоставление более высокого уровня резервного копирования и возобновления, чем тот, что обеспечивают традиционные центры обработки данных, а также обеспечить хранение резервных копий по географическому требованию;
• мобильность конечных клиентов: благодаря архитектуре облака клиенты могут использовать разнообразные портативные устройства с небольшой вычислительной мощностью, выходом в сеть Интернет, браузером и/или несколькими установленными дополнениями, для получения доступа к основным вычислительным ресурсам;
• концентрация данных: использование облака как единственного места для хранения и обработки данных в некоторых случаях позволяет повысить безопасность, чем хранение данных, которые рассредоточены по портативным компьютерам, встроенным устройствам или хранятся на съемном носителе.
К недостаткам использования облачных вычислений с точки зрения безопасности информации относят:
• сложность системы - общее облако обычно сложно устроено в сравнении с традиционным центром обработки данных. Большое количество компонентов, из которых состоит облако, позволяет проводить атаки на разных уровнях абстракции. Кроме компонентов для общих вычислений, таких, как развертывание дополнений, виртуальных мониторов машины, гостевых виртуальных машин, в хранении данных есть также компоненты, которые включают в себя элементы управления: самообслуживание, ресурс учета, управления квотами, репликация данных и возобновление, мониторинг уровня сервиса, управления рабочей нагрузкой;
• общая многопользовательская среда: основной недостаток публичных облаков, проявляющийся в том, что ресурсы и компоненты пользователи разделяют с пользователями, которые им не известны на логическом уровне, что позволяет злоумышленнику, используя уязвимости внутри облака, преодолеть механизм распределения ресурсов между пользователями и получить несанкционированный доступ к ресурсам. Однородность программного и аппаратного состава платформы означает, что единственный недостаток будет проявляться во всем облаке и потенциально будет влиять на всех пользователей услуг;
• использование Интернета: сервисы облака, а также администрирование и управление настройками облачных сервисов и дополнений использует незащищенную сеть Интернет. При переходе организации на использование облачных вычислений для внутренних защищенных сетей и ресурсов возникают новые информационные опасности, которые следует решать. Также возникает необходимость отдаленного администрирования с использованием незащищенного канала передачи информации;
• потеря контроля: при использовании сервисов облака пользователь передает контроль над информацией провайдеру облака, что несет в себе дополнительные риски для безопасности информации. Пользователь становится зависимым от провайдера тучи и может потерять не только логический контроль над информацией, но и физический.
Со всей совокупностью преимуществ, которые предоставляет использование облачных вычислений, есть много вопросов безопасности, которые пока недостаточно хорошо проанализированы и находятся еще на стадии обсуждения.
Как было показано в статье, главной проблемой, которая не решена в отрасли облачных вычислений на сегодня, есть доверие пользователей к поставщику услуг. Эта проблема остро стоит не только для компаний и предприятий, которые используют посторонних поставщиков, но и обычных пользователей, персональные данные которых также нуждаются защиты и гарантий безопасности. Если в случае большого предприятия оно может защитить себя от угроз проведением аудита безопасности провайдера облачных услуг и анализом рисков и угроз информационной безопасности, а также застраховать их или создать свою собственное частное облако, то небольшие компании или обычные пользователи не имеют такой возможности. Поэтому необходимо внедрять механизмы контроля поставщиков облачных услуг на международном уровне или на уровне государства с целью проведения аудита безопасности и проверки их соответствия международным или государственным стандартам и выдвинутым к ним условиям.
Примечания:
1. The NIST Definition of Cloud Computing. NIST Special Publication. 2011. P. 800-145.
2. Довгаль В.А. Особенности реализации безопасного подключения к облачным сервисам // Вестник Адыгейского государственного университета. Сер. Естественно-математические и технические науки. 2015. Вып. 1 (154). С. 128135. URL: http://vestnik.adygnet.ru
3. Security Guidance for Critical Areas of Focus in Cloud Computing, Version 3.0. Technical report, Cloud Security Alliance, 2011. URL: http://www.cloudsecurityalliance.org/guidance/csa guide.v3.0.pdf
4. Catteddu D., Hogben G. Cloud Computing Information Assurance Framework. Technical report, European Network and Information Security Agency. 2009. November. URL: http://www.enisa.europa.eu/activities/risk-management/files/deliverables/сloud-сomputing-information-assurance-framework
5. Catteddu D., Hogben G. Cloud Computing Security Risk Assessment. Technical report, European Network and Information Security Agency. 2009. November. URL: http://www.enisa.europa.eu/activities/risk-management/files/deliverables/cloudcomputing-risk-assessment
6. Wayne Jansen, Timothy Grance. Guidelines on Security and Privacy in Public Cloud Computing, NIST Special Publication. 2011. 800-144. URL: http://csrc.nist.gov/publications/nistpubs/800-144/SP800-144.pdf
7. Lee Badger Cloud Computing Synopsis and Recommendations NIST Special Publication 800-146 / L. Badger, T. Grance, R. Patt-Corner, J. Voas. 2012. URL: http://csrc.nist.gov/publications/nistpubs/800-146/sp800-146.pdf
References:
1. The NIST Definition of Cloud Computing. NIST Special Publication. 2011. P. 800-145.
2. Dovgal V.A. Features of realization of safe connection to cloudy services // The Bulletin of the Adyghe State University. Ser. Natural-Mathematical and Technical Sciences. 2015. Iss. 1 (154). P. 128-135. URL: http://vestnik.adygnet.ru
3. Security Guidance for Critical Areas of Focus in Cloud Computing, Version 3.0. Technical report, Cloud Security Alliance, 2011. URL: http://www.cloudsecurityalliance.org/guidance/csa guide.v3.0.pdf
4. Catteddu D., Hogben G. Cloud Computing Information Assurance Framework. Technical report, European Network and Information Security Agency. 2009. November. URL: http://www.enisa.europa.eu/activities/risk-management/files/deliverables/сloud-сomputing-information-assurance-framework
5. Catteddu D., Hogben G. Cloud Computing Security Risk Assessment. Technical report, European Network and Information Security Agency. 2009. November. URL: http://www.enisa.europa.eu/activities/risk-management/files/deliverables/cloudcomputing-risk-assessment
6. Wayne Jansen, Timothy Grance. Guidelines on Security and Privacy in Public Cloud Computing, NIST Special Publication. 2011. 800-144. URL: http://csrc.nist.gov/publications/nistpubs/800-144/SP800-144.pdf
7. Lee Badger Cloud Computing Synopsis and Recommendations NIST Special Publication 800-146 / L. Badger, T. Grance, R. Patt-Corner, J. Voas. 2012. URL: http://csrc.nist.gov/publications/nistpubs/800-146/sp800-146.pdf