Niewidzialna infrastruktura Internetu – usługi chmurowe jako krytyczny element środowiska bezpieczeństwa. Przypadek Amazona

Maciej Gurtowski,

Jan Waszewski

Abstrakt

The invisible Internet infrastructure – cloud services as a critical element of the security environment. The Amazon case

The disruptions in cloud computing are an important aspect in the global security environment. An instrumental case study method has been used to analyse this problem. Two relevant examples are discussed which are typical of literature in the field. Firstly, the problem of the growing complexity of the cloud is described. One of the service outages of a global cloud provider is used as an example. It indicates that even relatively small failures might trigger a cascade effect and far-reaching breakdowns. Secondly, the suspension and – as the result of this suspension – the standstill of the social media company Parler is analysed. It is used as the example of the so-called vendor lock-in problem in cloud computing, which renders undisrupted migration to other vendors particularly hard – and at times even impossible. Aforementioned issues have been so far studied mostly from the perspective of the continuity of enterprises, cybersecurity, or privacy. The key phenomenon crucial for the global security environment is usually omitted, namely that the cloud computing has become “the Internet’s invisible infrastructure”.

Keywords: cloud computing, critical infrastructure, cybersecurity

 

Abstrakt: Zakłócenia w działaniu chmury obliczeniowej są bardzo ważnym zjawiskiem z perspektywy globalnego środowiska bezpieczeństwa. W artykule przedstawiono analizę tego problemu, wykorzystując w tym celu metodę studium przypadków. Opisano dwa incydenty o daleko idących konsekwencjach, które jednocześnie są dość typowe dla prezentowanych w literaturze przedmiotu. Po pierwsze, na przykładzie jednej z awarii globalnego dostawcy usług chmurowych omówiono problem rosnącej złożoności usług tego typu. Sprawia ona, że nawet drobna awaria jednego z elementów chmury może wywołać efekty kaskadowe i zakłócenia pracy wielu podmiotów. Po drugie, na przykładzie zablokowania działania sieci społecznościowej Parler przeanalizowano problem uzależnienia się klientów od usług danego dostawcy chmury. To powiązanie powoduje, że niezakłócona migracja do innego dostawcy jest utrudniona, jeśli w ogóle możliwa. Oba wskazane problemy były dotychczas analizowane głównie z perspektywy zagrożeń przedsiębiorstw, np. pod kątem kontynuacji działalności, cyberbezpieczeństwa lub naruszeń prywatności. Pomijany był natomiast fakt, że usługi chmurowe stają się stopniowo niewidzialną infrastrukturą Internetu, co ma niebagatelne znaczenie dla środowiska bezpieczeństwa.

Słowa kluczowe: chmura obliczeniowa, infrastruktura krytyczna, cyberbezpieczeństwo
References

Almorsy M., Grundy J., Müller I., An analysis of the cloud computing security problem, w: Proceedings of the APSEC 2010 Cloud Workshop, Sydney 2010.

Delamore B., Ko Ryan K.L., Security as a service (SECaaS) – An overview, w: The Cloud Security Ecosystem. Technical, Legal, Business and Management Issues, Ryan Ko, Kim-Kwang Raymond Choo (red.), Waltham 2015, Syngress, s. 187–202.

Gunawi H.S. i in., Why Does the Cloud Stop Computing? Lessons from Hundreds of Service Outages, w: Proceedings of the Seventh ACM Symposium on Cloud Computing (SoCC ‘16), New York 2016, Association for Computing Machinery, s. 1–16.

Gurtowski M., Waszewski J., Wpływ działalności gigantów technologicznych na globalne środowisko bezpieczeństwa. Studium przypadku spółki Amazon, „Kwartalnik Bellona” 2020, nr 3, s. 37–56.

Kandukuri B.R., Paturi R.V., Rakshit A., Cloud Security Issues, w: Procedings of the 2009 IEEE International Conference on Services Computing, Washington 2009, IEEE Computer Society, s. 517–520, https://ieeexplore.ieee.org/document/5283911 [dostęp: 23 VII 2021].

Kemmericha T., Agrawala V., Momsen C., Secure migration to the cloud – In and out, w: The Cloud Security Ecosystem. Technical, Legal, Business and Management Issues, Ryan Ko, Kim-Kwang Raymond Choo (red.), Waltham 2015, Syngress, s. 205–230.

Ko Ryan, Choo Kim-Kwang Raymond, Cloud Security Ecosystem, w: The Cloud Security Ecosystem. Technical, Legal, Business and Management Issues, Ryan Ko, Kim-Kwang Raymond Choo (red.), Waltham 2015, Syngress, s. 1–14.

Ramgovind S., Eloff M.M., Smith E., The Management of Security in Cloud Computing, w: 2010 Information Security for South Africa (ISSA 2010), 2010 r., Institute of Electrical and Electronics Engineers.

Stake R.E., Jakościowe studium przypadku, w: Metody badań jakościowych, N.K. Denzim, Y.S. Lincoln (red.), Warszawa 2009, t. 1, s. 623–654.

Tang S., A systemic theory of the security environment, „Journal of Strategic Studies” 2004, nr 1, s. 1–34.

The Cloud Security Ecosystem. Technical, Legal, Business and Management Issues, Ryan Ko, Kim-Kwang Raymond Choo (red.), Waltham 2015, Syngress.

Turbiville G.H., Mendel W.W., Kipp J.W., The Changing security environment, „Military Review” 1997, nr 77, s. 5–10.

Źródła internetowe

About JEDI Cloud, https://www.cloud.mil/JEDI-Cloud/ [dostęp: 12 III 2021].

Allyn B., Judge Refuses To Reinstate Parler After Amazon Shut It Down, NPR, 21 I 2021 r., https://www.npr.org/2021/01/21/956486352/judge-refuses-to-reinstate-parler-after-amazonshut-it-down [dostęp: 23 I 2021].

AWS: Amazon web outage breaks vacuums and doorbells, BBC, 26 XI 2020 r., https://www.bbc.com/news/technology-55087054 [dostęp: 7 XII 2020].

Branscombe M., Why Parler Can’t Rebuild a Scalable Cloud Service from Scratch, The New Stack, 19 I 2021 r., https://thenewstack.io/why-parler-cant-rebuild-a-scalable-cloud-servicefrom-scratch/ [dostęp: 24 III 2021].

Brodkin J., Parler says it’s back without ‘Big Tech’ after being kicked off Amazon, Ars Technica, 15 II 2021 r., https://arstechnica.com/tech-policy/2021/02/parler-says-its-back-withoutbig-tech-after-being-kicked-off-amazon/ [dostęp: 3 III 2021].

Cameron D., Every Deleted Parler Post, Many With Users’ Location Data, Has Been Archived, Gizmodo, 11 I 2021 r., https://gizmodo.com/every-deleted-parler-post-many-with-userslocation-dat-1846032466 [dostęp: 12 I 2021].

Centrum Doktryn i Szkolenia Sił Zbrojnych, Analiza środowiska bezpieczeństwa w perspektywie 2035 r., Bydgoszcz 2020, https://cdissz.wp.mil.pl/pl/articlespublikacje_cdissz/analiza-srodowiska-bezpieczenstwa-w-perspektywie-2035-roku-pl/ [dostęp: 24 III 2021].

Cimpanu C., AWS outage impacts thousands of online services, Zdnet, 25 XI 2020 r., https://www.zdnet.com/article/aws-outage-impacts-thousands-ofonline-services/ [dostęp: 7 XII 2020].

Co to jest kontener?, https://azure.microsoft.com/pl-pl/overview/what-is-a-container/ [dostęp: 24 III 2021].

Cox K., Parler sues Amazon (again), claims AWS ban sank a billion-dollar valuation, Ars Technica, 3 III 2021 r., https://arstechnica.com/tech-policy/2021/03/parler-sues-amazon-againclaims-aws-ban-sank-a-billion-dollar-valuation/ [dostęp: 4 III 2021].

Day M., Amazon Cloud Outage Hits Customers Including Roku, Adobe, Bloomberg, 25 XI 2020 r., https://www.bloomberg.com/news/articles/2020-11-25/amazon-web-services-outage-hits-cloud-customers [dostęp: 7 XII 2020].

Del Rey J., Amazon’s massive AWS outage was caused by human error, Recode, 2 III 2017 r., https://www.vox.com/2017/3/2/14792636/amazon-aws-internetoutage-cause-human-error-incorrect-command [dostęp: 11 XII 2020].

Duszczyk M., Pentagon ma problem z Jedi. Amazon bije się z Microsoftem, cyfrowa.rp.pl, 7 VII 2021 r., https://cyfrowa.rp.pl/globalne-interesy/65535-pentagon-ma-problem-z-jedi-amazon-bije-sie-z-microsoftem [dostęp: 30 VII 2021].

Dlaczego admin Rzecznika Finansowego powinien dostać podwyżkę?, Problemy Polskiej Branży IT, 12 III 2021 r., https://ppbit.pl/news/dlaczego-admin-rzecznika-finansowego-powinien-dostac-podwyzke/ [dostęp: 12 III 2021].

Edelman G., The Parler Bans Open a New Front in the ‘Free Speech’ Wars, Wired, 13 I 2021 r., https://www.wired.com/story/parler-bans-new-chapter-free-speech-wars/ [dostęp: 13 I 2021].

European Network and Information Security Agency, Cloud Computing. Benefits, risks and recommendations for information security, rev. B z grudnia 2012 r., https://resilience.enisa.europa.eu/cloud-security-and-resilience/publications/cloud-computing-benefits-risks-and-recommendations-for-information-security/at_download/file [dostęp: 22 III 2021].

European Network and Information Security Agency, Critical Cloud Computing. A CIIP perspective on cloud computing services, wersja 1.0 z listopada 2012 r., opublikowana 14 II 2013 r., https://www.enisa.europa.eu/publications/critical-cloud-computing/at_download/fullReport [dostęp: 22 III 2021].

Franco-German Position on GAIA-X, 19 II 2020 r., https://www.bmwi.de/Redaktion/DE/Downloads/F/franco-german-position-on-gaia-x.pdf?__blob=publicationFile&v=10 [dostęp: 9 III 2020].

Fung B., Parler has now been booted by Amazon, Apple and Google, CNN, 11 I 2021 r., https://edition.cnn.com/2021/01/09/tech/parler-suspended-apple-app-store/index.html [dostęp: 11 I 2021].

Global cloud services market Q4 2020, Canalys, 2 II 2021 r., https://www.canalys.com/newsroom/global-cloud-market-q4-2020 [dostęp: 5 III 2021].

Gregg A., With a $10 billion cloud-computing deal snarled in court, the Pentagon may move forward without it, „Washington Post”, 10 II 2021 r., https://www.washingtonpost.com/business/2021/02/10/jedi-contract-pentagon-biden/ [dostęp: 12 III 2021].

Gürses S., Van Hoboken J., Privacy After the Agile Turn, w: Cambridge Handbook of Consumer Privacy, J. Polonetsky, O. Tene, E. Selinger (red.), Cambridge 2017, Cambridge University Press, https://osf.io/preprints/socarxiv/9gy73/ lub https://osf.io/ufdvb/ [dostęp: 22 III 2021].

Hill K., Goodbye Big Five, Gizmodo, 7 II 2019 r., https://gizmodo.com/c/goodbye-big-five [dostęp: 4 III 2021].

Hill K., I Tried to Block Amazon From My Life. It Was Impossible, Gizmodo, 22 I 2019 r., https://gizmodo.com/i-tried-to-block-amazon-from-my-life-it-was-impossible-1830565336 [dostęp: 24 III 2021].

Inside the Whale: An Interview with an Anonymous Amazonian, „Logic” 2020, nr 12, https://logicmag.io/commons/inside-the-whale-an-interview-with-an-anonymous-amazonian/[dostęp: 20 III 2021].

Judge P., Fire destroys OVHCloud’s SBG2 data center in Strasbourg, Data Center Dynamics, 10 III 2021 r., https://www.datacenterdynamics.com/en/news/fire-destroys-ovhcloudssbg2-data-center-strasbourg/ [dostęp: 24 III 2021].

Judge P., OVH fire: OVHcloud abandons efforts to restart SBG1 data center in Strasbourg, Data Center Dynamics, 21 III 2021 r., https://www.datacenterdynamics.com/en/news/ovh-fireovhcloud-abandons-efforts-restart-sbg1-strasbourg/ [dostęp: 24 III 2021].

Komunikat Urzędu Komisji Nadzoru Finansowego dotyczący przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej, 23 I 2020 r., https://www.knf.gov.pl/knf/pl/komponenty/img/Komunikat_UKNF_Chmura_Obliczeniowa_68669.pdf [dostęp: 22 III 2021].

L.S., What is the “splinternet”?, „The Economist”, 22 XI 2016 r., https://www.economist.com/the-economist-explains/2016/11/22/what-is-the-splinternet [dostęp: 29 III 2021].

Marczyński A., Na Podsłuchu, odcinek 33 – ten o Chmurze Krajowej i jej bezpieczeństwie, Niebezpiecznik, 24 III 2021 r., https://niebezpiecznik.pl/post/na-podsluchu-odcinek-33-ten--o-chmurze-krajowej-i-jej-bezpieczenstwie/ [dostęp: 29 III 2021].

Masnick M., Parler’s Laughably Bad Antitrust Lawsuit Against Amazon, Techdirt, 13 I 2021 r., https://www.techdirt.com/articles/20210113/11333746046/parlers-laughably-bad-antitrust-lawsuit-against-amazon.shtml [dostęp: 14 I 2021].

Maurer T., Hinck G., Cloud Security: A Primer for Policymakers, Carnegie Endowment for International Peace, sierpień 2020 r., https://carnegieendowment.org/files/Maurer_Hinck_Cloud_Security-V3.pdf [dostęp: 23 III 2021].

Mehorota K., Parler’s New Partner Has Ties to the Russian Government, Bloomberg, 22 I 2021 r., https://www.bloomberg.com/news/articles/2021-01-22/parler-s-new-partner-has-tiesto-the-russian-government [dostęp: 23 I 2021].

Mell P., Grance T., The NIST Definition of Cloud Computing, wrzesień 2011 r., https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-145.pdf [dostęp: 4 III 2021].

Metz C., Amazon’s Invasion of the CIA Is a Seismic Shift in Cloud Computing, Wired, 18 VI 2013 r., https://www.wired.com/2013/06/amazon-cia [dostęp: 6 XI 2020].

Miles T., U.N. investigators cite Facebook role in Myanmar crisis, Reuters, 12 III 2018 r., https://www.reuters.com/article/us-myanmar-rohingya-facebook-idUSKCN1GO2PN [dostęp: 14 I 2021].

Mitigating Cloud Vulnerabilities, National Security Agency, styczeń 2020 r., https://media.defense.gov/2020/Jan/22/2002237484/-1/-1/0/CSI-MITIGATING-CLOUD-VULNERABILITIES_20200121.PDF [dostęp: 3 III 2021].

Narodowe Standardy Cyberbezpieczeństwa. Standardy Cyberbezpieczeństwa Chmur Obliczeniowych (SCCO) v. 1.00 – luty 2020, https://chmura.gov.pl/zuch/static/media/SCCO_v_1.00.pdf [dostęp: 7 VI 2021].

Newman J., Here’s why Parler is still struggling to come back online, Fast Company, 21 I 2021 r., https://www.fastcompany.com/90596427/parler-coming-back-after-aws-ban [dostęp: 23 I 2021].

Odpowiedź Amazona z 12 I 2021 r. na pozew Parlera, https://beta.documentcloud.org/documents/20449127-amazon_response [dostęp: 13 I 2021].

Paczkowski J., Mac R., Amazon Is Booting Parler Off Of Its Web Hosting Service, BuzzFeed, 9 I 2021 r., https://www.buzzfeednews.com/article/johnpaczkowski/amazon-parler-aws [dostęp: 11 I 2021].

Pozew Parlera przeciwko AWS złożony 11 I 2021 r., https://cdn.arstechnica.net/wp-content/uploads/2021/01/gov.uscourts.wawd_.294664.1.0_1.pdf [dostęp: 12 I 2021].

Pozew Parlera przeciwko AWS złożony 2 III 2021 r., https://cdn.arstechnica.net/wp-content/uploads/2021/03/parler-llc-v-amazon.pdf [dostęp: 4 III 2021].

Sajduk B., Chiński krok w stronę bałkanizacji Internetu, Nowa Konfederacja, 14 IX 2020 r., https://nowakonfederacja.pl/chinski-krok-w-strone-balkanizacji-internetu/ [dostęp: 29 III 2021].

Schieber J., Parler jumps to No. 1 on App Store after Facebook and Twitter ban Trump, Tech Crunch, 9 I 2021 r., https://techcrunch.com/2021/01/09/parler-jumps-to-no-1-on-appstore-after-facebook-and-twitter-bans/ [dostęp: 11 I 2021].

Schneier B., Cloud Computing, Schneier on Security, 4 VI 2009 r., https://www.schneier.com/blog/archives/2009/06/cloud_computing.html [dostęp: 17 III 2021].

Sonnemaker T., Amazon hits back at Parler’s antitrust lawsuit with extensive examples of its violent content, including death threats against politicians, tech CEOs, and BLM supporters, Business Insider, 13 I 2021 r., https://www.businessinsider.com/amazon-responds-toparler-lawsuit-cites-violent-content-section-230-2021-1?IR=T [dostęp: 13 I 2021].

Stolton S., Microsoft ‘in discussions’ with Germans on Gaia-X participation, 25 II 2020 r., https://www.euractiv.com/section/digital/news/microsoft-in-discussions-with-germans-ongaia-x-participation/ [dostęp: 9 III 2020].

Subcommittee on Antitrust, Commercial and Administrative Law of the Committee on the Judiciary, Investigation of competition in digital markets, 2020 r., https://int.nyt.com/data/documenttools/house-antitrust-report-on-big-tech/b2ec22cf340e1af1/full.pdf [dostęp: 12 III 2020].

Taylor L., Public Actors Without Public Values: Legitimacy, Domination and the Regulation of the Technology Sector, „Philosophy & Technology”, 20 I 2021 r., https://link.springer.com/article/10.1007/s13347-020-00441-4 [dostęp: 22 III 2021].

Turton W., Gurman M., Parler Blocked on Apple’s App Store After Capitol Riot Review, Bloomberg, 10 III 2021 r., https://www.bloomberg.com/news/articles/2021-03-10/parler-cuts-iosteam-after-apple-blocks-return-to-app-store [dostęp: 11 III 2021].