الفبای امنیت ابری

الفبای امنیت ابری

تصمیم ندارید از ابر استفاده کنید؟ کمی بیشتر فکر کنید.
شرکت‌ها و افراد به‌طور مشابه بدون اینکه درکی از ابر داشته باشند، از خدمات آن استفاده می‌کنند و این سرویس‌ها همیشه در سطح تجاری از امنیت مورد انتظار برخوردار نیستند. باور ندارید؟ به این لیست نگاهی بیندازید:
دراپ‌باکس (www.dropbox.com/) دارای نسخه‌های مصرفی و تجاری سرویس فضای ذخیره‌ای ابری است و سرویس باکس (www.box.com/home/) نیز همین‌طور عمل می‌کند. تعداد زیادی از مردم و شرکت‌ها مایل هستند از نسخه‌های رایگان این خدمات بهره ببرند؛ اما از امنیتی که نسخه‌های سازمانی برای حفاظت از اطلاعات برخوردار هستند، بهره‌مند نمی‌شوند. این سرویس‌های رایگان قابل مدیریت نیستند و نمی‌توان آنها را رمزنگاری کرد و به‌این ترتیب آسیب‌پذیر شده و ممکن است در دست افراد نامناسب بیفتند.

شرکت Evernote (https://evernote.com/)، فراهم‌کننده فضاهای کاری که تقریباً در میان همه پلتفرم‌ها قابل استفاده هستند، خدمات خود را به سه شکل عرضه می‌کند: سرویس رایگان، سرویس برتر، و سرویس تجاری. تنها کاری که باید بکنید، این است که حدس بزنید کدام‌یک از این گزینه‌ها برای شما مناسب هستند.

سرویس OneDrive (https://onedrive.live.com/about/en-ca/)، سرویس فضای ذخیره‌ای ابری مایکروسافت است که با Office 365، Windows 8.x، Windows 10، Windows Phone و تقریباً هر چیزی دیگری که مایکروسافت این روزها ارائه می‌دهد، پیوند دارد. در حال حاضر، OneDrive دو گزینه دارد: یکی سرویس رایگان برای مصرف‌کنندگان، و دیگری نسخة پولی. البته از آنجا که کاربران هم استفادة شخصی و هم استفادة تجاری می‌کنند، نسخة رایگان بیشتر از آنچه که باید، مورد استفاده قرار می‌گیرد.

سرویس Google Drive (www.google.com/drive/)، سرویس فضای ذخیره‌ای رایگان گوگل است و می‌توانید فایل‌های خود را در میان همة وسایل خود، همزمان (sync) کنید. این سرویس به شما اجازه می‌دهد تا اسناد کاغذی‌تان را اسکن کنید، آنها را در فضای ابر قرار دهید و با دیگران هم‌خوانی (share) کنید. اما از آنجا که این یک سرویس مصرفی است، قابل مدیریت نیست. البته با پرداخت حق اشتراک، می‌توانید از سرویس Google Drive for Work استفاده کنید و از ویژگی‌های مناسب آن در حوزة کاربردهای تجاری خود بهره‌مند شوید.

کاربران اپل نیز دارای حساب‌های کاربری iTunes هستند و از گوشی‌های خود فایل پشتیبان تهیه کرده و به سرویس اپل ارسال می‌کنند. حدس می‌زنید این فایل‌های پشتیبان در کجا نگهداری می‌شوند؟ بله درست است! در ابر؛ به‌ویژه در ابری با نام خاص iCloud.
سرویس Google Apps for Work (www.google.com/work/apps/business/)، که شامل Gmail نیز هست، توسط بسیاری از کسب‌وکارهای کوچک و بعضاً بسیار بزرگ مورد استفاده قرار می‌گیرد. ویرایش‌های پولی و تجاری این سرویس، خدمات امنیتی تا سطح FISMA-Moderate هم عرضه می‌کنند که برای ایمیل دولت فدرال در ایالات متحده، سرویسی استاندارد به‌شمار می‌رود. البته ویرایش‌های رایگانی هم وجود دارند همراه با اجزاء متنوع اما با امنیت کمتر.
همچنین، سرویس‌هایی همچون SnapChat، Instragram و Pinterest را هم درنظر بگیرید و البته حتماً Facebook و Twitter را هم که می‌شناسید که دیگر لازم نیست نامی از آنها ببریم. همگی آنها برای ذخیرة مقادیر زیادی از داده‌های جمع‌آوری شده، از فضای ابر استفاده می‌کنند.

برای گزینش یک عرضه‌کننده خدمات ابری، برخی اصول اساسی وجود دارند ولی البته شما هم باید به وظایف خود آگاه باشید. برای مثال، اگر به‌اندازه کافی هشیار نباشید و اطلاعات درز پیدا کنند، ممکن است شرکت‌های بیمه‌ پولی به‌عنوان خسارت به شما پرداخت نکنند.
شاید بسیاری از سازمان‌های تجاری علاقه‌مند باشند به فضای ابر مهاجرت کنند، اما این مسئله پیچیدگی‌های خاص خودش را هم به‌همراه دارد. مطمئناً فضای ابر، ظرفیتی تقریباً بی‌پایان در دسترس قرار می‌دهد و نیاز برای ظرفیت درون‌سازمانی را کاهش می‌دهد؛ ولی باز هم این کار نیازمند آن است که به جزئیات دور از انتظاری هم توجه داشته باشیم.

یک نکته مهم این است که ایمن‌سازی مرکز داده‌های شما به‌اندازه کافی چالش‌برانگیز هست؛ اما دست‌کم در صورت مهاجرت به فضای ابر، خواه ناخواه، روی آنها کنترل مطلق خواهید داشت. البته وقتی که به ابر وارد می‌شوید، مسئله کنترل دیگر چندان برای شما چندان جدی نخواهد بود.
الکساندر راو (راهبر امنیت اطلاعات ملی در مؤسسة امنیتی Symantec در کانادا) می‌گوید: «باید خیلی مراقب باشید تا اطلاعات حیاتی شرکت شما، به خارج از سازمان نشت پیدا نکند.»

حتماً می‌پرسید چرا؟ چون محافظت از اطلاعات یک سازمان، به افراد، فرایندها و برنامه‌ها بستگی دارد. وقتی هم که اطلاعات را در اختیار یک طرف واسط قرار دهید، کنترل هر سه این عوامل حتی دشوارتر هم می‌شود. در چنین حالتی، بهتر است به‌جای تکیه به فرایندهای داخلی شناخته‌شده، به اسناد و توضیحات آنها در مورد نحوه کنترل‌شان اعتماد داشته باشید. اگر این کنترل‌ها چندان راضی‌کننده نباشند، کار حتی بدتر خواهد شد. اما در صورتی که از منابع داخلی به‌اندازة کافی مناسب برخوردار باشید، یک فراهم‌کننده مناسب خدمات ابر می‌تواند خیال شما را راحت کند.

البته چندین نوع ابر وجود دارند و بنابراین انواع مختلفی از فراهم‌کنندگان خدمات ابر در بازار حضور دارند و خدمات متنوعی ارائه می‌کنند؛ از تأمین زیرساخت محض گرفته تا فراهم کردن هر چیزی که برای اجرای یک برنامه احتیاج دارید. البته هر گزینه، مسائل امنیتی خاص خود را به‌همراه دارد.
مات آنتونی (قائم‌مقام گروه ارائه‌دهندة خدمات امنیتی Herjavec) خاطرنشان می‌کند با این‌که فراهم‌کنندگان خدمات ابر در حوزه امنیت دارای سابقة یکسان نیستند، اما مشتریان باید تا درجه‌ای اطمینان‌خاطر داشته باشند که مقیاس‌پذیری، فرایندهای بالغ و نیز بهترین پشتیبانی را دریافت می‌کنند. اما آنها هنوز هم باید دقیقاً بدانند که فراهم‌کننده چه چیزی عرضه می‌کند و اینکه چگونه با نیازهای سازمانی آنها جور در می‌آید.
در این راستا، الزامات بسیار مهم هستند. جان وایگلت (مدیر فناوری ملی در شعبة مایکروسافت واقع در کانادا) می‌گوید نخستین چیزی که هر شرکت علاقه‌مند به مهاجرت به فضای ابر باید در نظر داشته باشد، نگاه به دارایی‌های اطلاعاتی است و پی بردن به اینکه هر جزء از آن داده‌ها، تا چه حد حساس است.

او می‌گوید: «باید روی خود داده‌ها تمرکز داشته باشید؛ فارغ از اینکه در چه جایی قرار دارند.» اگر این اطلاعات نشت پیدا کنند، آیا روی کسب‌وکار شما هیچ تأثیری خواهند داشت؟ آیا تنها یک زحمت اضافی برای شما درست خواهند کرد یا اینکه موجب خواهند شد کسب‌وکار شما نابود شود؟ حتی رسیدن به این حد هم می‌تواند برای بسیاری از سازمان‌ها چالش‌برانگیز باشد، چرا که در تصمیم‌گیری مبنی بر اینکه آیا باید آن داده‌ها را در ابر قرار داد یا نه، عاملی بحرانی و تعیین‌کننده به‌شمار می‌روند. بنابراین، برای محافظت از اطلاعات سازمانی باید تدابیری اندیشید.
سَندی برد (مدیر ارشد فناوری بخش سیستم‌های امنیتی در IBM) هم با این عقیده موافق است. او اظهار می‌دارد: «هنوز مشتریان به فضای ابر، بهای زیادی نمی‌دهند.» او ادامه می‌دهد: «برخی از مردم نمی‌دانند چه چیزهای گران‌بهایی دارند.» آنها باید قدر آن را بدانند. در غیر این صورت، باید ریسک از دست دادن آنها را به جان بخرند.

آنتونی می‌گوید از بسیاری جنبه‌ها، روش‌های امنیت ابر با روش‌هایی که برای محافظت از مراکز داده‌ها به‌کار برده می‌شوند، تفاوت چندانی ندارند. او خاطرنشان می‌کند: «امنیت اطلاعات، به مناطق جغرافیایی وابسته نیست. بنابراین، فرایندها تغییر نمی‌کنند؛ چون در فضای ابر هستید، اما کارهایی را که در مورد ارزیابی مرکز داده‌های خود انجام می‌دهید، در فضای ابر هم باید انجام دهید.» این کارها شامل حصول اطمینان از کنترل دسترسی‌ها و اجرای وارسی‌های امنیتی و نیز حصول اطمینان از امنیت کافی برنامه‌های کاربردی است. گزارشی که در ماه ژانویه (دی) سال جاری میلادی توسط متخصصان امنیت ابر در شرکت NetSkope منتشر شد، نشان می‌داد ۸۸ درصد از برنامه‌های کاربردی مورد استفاده در آن سازمان از امنیت کافی برخوردار نیستند.
اما با روی آوردن به فضای ابر، یا دقیق‌تر بگوییم، فضای ابر عمومی (هرچند که می‌توانید در مرکز داده‌های خود یک ابر خصوصی هم داشته باشید)، امنیت فیزیکی مسئله چندان مهمی برای مشتریان سازمانی نخواهد بود. در واقع، این فراهم‌کننده خدمات است که باید امنیت را برای مراکز داده‌های خود فراهم کند و برقراری امنیت فیزیکی بر عهدة مشتری سازمانی نیست.

پاول لوئیس (مدیر ارشد فناوری در شرکت Hitachi Data Systems Canada) می‌گوید: «عملاً همه در یک محیط ترکیبی و هیبریدی زندگی می‌کنند.» ممکن است رهایی از برخی از برنامه‌های کاربردی قدیمی، دلیل مناسبی برای مهاجرت به فضای ابر نباشد، در حالی که توانایی داشتن در رسیدگی به حجم بالای کاری می‌تواند علت خوبی برای این کار باشد و با این وجود، ممکن است هنوز هم برنامه‌های مفید دیگری در مرکز داده‌های سازمانی اجرا شوند، اما لازم باشد به داده‌های مبتنی بر ابر دسترسی فراهم باشد. لازم به گفتن نیست که هریک از این برنامه‌ها و حالات، نیازمند الزامات امنیتی خاص خودش است.

برای مثال، برخی از کسب‌وکارها برنامه‌هایی کاربردی دارند که باید با مقرراتی همچون PCI، یا PIPEDA مطابقت داشته باشند، یا ممکن است محدودیت‌هایی در مورد انحصار داده‌ها داشته باشند. با اینکه مزیت اساسی ابر عمومی این است که اصلاً لازم نیست نگران باشید که داده‌های شما در چه مکانی سکونت دارند، اما اعمال هرگونه محدودیت برای مکان نگهداری، ممکن است حتی یافتن یک فراهم‌کننده خدمات ابر برای نگهداری اطلاعات را نیز با دشواری روبرو سازد. پیامد این مسئله این است که حتی تهیه فایل‌های پشتیبان و بازگردانی از حالت فاجعه نیز می‌تواند به همان دشواری باشد.

همچنین ممکن است عواقب امنیتی دامنگیر برنامه‌نویسان «خانگی» نیز نیز بشوند. به‌منظور اعمال ملاحظات امنیتی، در فضای ابر، برنامه‌های کاربردی باید مورد معماری دوباره قرار بگیرند. لوئیس می‌گوید: «برنامه‌نویسان قدیمی در جهانی زندگی می‌کنند که دیگر لازم نیست در مورد امنیت هیچ نگرانی به خود راه بدهند.» در واقع، او اشاره می‌کند که برخی اوقات این برنامه‌نویسان باید در مورد امنیت برنامه‌هایشان هم فکر کنند تا به‌خوبی کار کنند. اما این مسئله در یک محیط ابری غیرقابل‌قبول است.

آقای راو می‌گوید برای گزینش یک عرضه‌کننده خدمات ابری، برخی اصول اساسی وجود دارند ولی البته شما هم باید به وظایف خود آگاه باشید. برای مثال، اگر به‌اندازه کافی هشیار نباشید و اطلاعات شما درز پیدا کنند، ممکن است شرکت‌های بیمه‌ای پولی به‌عنوان خسارت به شما پرداخت نکنند.

او توصیه می‌کند که بهتر است در پی گرفتن گواهینامه PCI 3.0 باشیم که تأکید بیشتری روی طرف‌های واسط و امنیت ابر دارد. او همچنین، گرفتن دیگر گواهینامه‌ها مانند ISO 27001، EU 95/46 EC، PCI-DSS، ISO 27002، BS7799، ASIO-4، FIPS Moderate، BS10012، SSAE-16/SOC2 را نیز توصیه می‌کند. بنا به توصیه وی، کارکنان نیز بهتر است دارای مدرک رسمی همچون گواهینامة دانش امنیت ابر (CCSK) از سوی اتحادیة امنیت ابر (https://ccsk.cloudsecurityalliance.org) باشند.

می‌دانید شبکه امروزی شبیه به چه چیزی است؟ تصور کنید یک کنترل‌گر ترافیک هوایی دارید و آن را در تمام هواپیماها قرار داده‌اید و همة این هواپیماها با یکدیگر به برقراری ارتباط می‌پردازند. این همان شبکة امروزی است.

در دنیای ابرها، سه مدل عمده برای به‌کارگیری آنها وجود دارند: ابرهای خصوصی، عمومی و ترکیبی. ابر خصوصی تنها برای یک سازمان درنظر گرفته و استفاده می‌شود و ممکن است در مرکز داده‌های خود شرکت، یا یک مکان دیگر استقرار داشته باشد و همچنین ممکن است توسط کارمندان سازمان یا یک شرکت واسط مدیریت شود. اما در هر صورت، سازمان مسئولیت همه چیز را برعهده دارد؛ از جمله امنیت ابر.
ابر عمومی، یک فضای مشترک است؛ مانند Amazon AWS که توسط فراهم‌کننده در مرکز داده‌های خودش پیاده‌سازی می‌شود، از آن برای چندین مشتری بهره می‌گیرد و دسترسی به آن از طریق اینترنت امکان‌پذیر است. مشتری هیچ کنترلی بر زیرساخت ابر عمومی ندارد.

ابر ترکیبی متشکل است از ترکیبی از هر دو ابر عمومی و خصوصی که به هم اتصال پیدا می‌کنند و بنابراین اطلاعات میان آنها قابل تبادل است. تمام خدمات ابر یکسان نیستند و سه نوع اصلی از این خدمات وجود دارند که انتخاب نوع مناسب برای کسب‌وکار شما، اهمیت ویژه دارد.

زیرساخت به‌عنوان یک سرویس (IaaS)، ابتدایی‌ترین سطح ممکن از این خدمات است و همه آنچه که در اختیار قرار می‌دهد، زیربنای مرکز داده‌ها و سخت‌افزار مورد نیاز می‌باشد: سرورها (واقعی و مجازی)، فضای ذخیره‌ای، و شبکه. شما سیستم‌عامل و نرم‌افزارهای لازم را فراهم می‌سازید و بعد سکان را در دست می‌گیرید. بنابراین، مسئله بعدی شما، امنیت است که البته با امنیت مورد نیاز برای مکان فیزیکی مرکز داده‌ها تفاوت دارد. مثالی که می‌توان از آن یاد کرد، EC2 از آمازون است.

پلتفرم به‌عنوان یک سرویس (PaaS)، حالت بعدی از خدمات است و در قسمت میانی قرار می‌گیرد و مانند IaaS، محیط فیزیکی را فراهم می‌سازد؛ اما لایه‌های سیستم‌عامل و نرم‌افزارهایی همچون محیط‌های برنامه‌نویسی، پایگاه داده‌ها و وب‌سرورها را نیز در اختیار قرار می‌دهد، به‌طوری‌که کاربران بتوانند راهکارهای خودشان را توسعه بدهند.

در هنگام استفاده از این سرویس، کاری که شما باید انجام بدهید، این است که برنامه‌ها و داده‌های خود را ایمن‌سازی کنید. خدمات Microsoft Azure و نیز Force.com، هر دو در این دسته قرار می‌گیرند و PaaS تأمین می‌کنند.
گزینة نرم‌افزار به‌عنوان یک سرویس (SaaS) از همه‌چیز مراقبت می‌کند: سخت‌افزار، نرم‌افزار، شبکه، و همه چیزهای دیگر. همه آنچه که شما باید انجام دهید، این است که (معمولاً از طریق یک مرورگر وب) وارد شوید و از نرم‌افزار استفاده نمایید. در این حالت، کنترل چندانی در مورد تجهیزات ندارید. خدمات Salesforce.com، Cisco WebEx، و Citrix GoToMeeting سه نمونه از سرویس‌های SaaS پولی هستند.

منبع:الفبای امنیت ابری

ارسال دیدگاه