مخاطرات امنیتی محاسبات ابری

محاسبات ابری و مخاطرات امنیتی

یکی از فاکتورهای مهم در اتخاذ تصمیم مهاجرت به فضای ابر، مساله امنیت است. سازمان باید در کنار شناخت فرصت های بی بدیل استفاده از فضای ابر درک مناسبی نیز از تهدیدهای امنیتی و مخاطرات جدید ناشی از آن داشته باشد. به طور طبیعی امنیت را در سه وجه حفظ محرمانگی، صخت و دسترس پذیری داده ها تعریف می کنیم و از این منظر تفاوتی میان محاسبات ابری با مدل های دیگر محاسبات وجود ندارد.

شرکت های هاستینگ و فعال در زمینه فروش هاست ابری میتوانند آگهی خدمات خود را در سایت آگهی و تبلیغات نیازمندی آگهی شهر من بنشانی MyCityAd.ir درج نمایند و در صورتیکه درگاه پرداخت بانکی تمایل به داشتنش دارند میتوانند در سایت درگاه پرداخت ePayBank.ir ثبت نام نمایید.

آنچه فضای ابر را برای سازمان مشتری از لحاظ امنیتی نسبت به مدل های سنتی متمایز می کند، از دست دادن کنترل مستقیم دارایی ها و احتمال عدم مدیریت مناسب آنها توسط سرویس دهنده ابر است، که آن را میتوان مهم ترین تهدید موجود در این مدل محاسبات نامید. این مساله در مدل های هیبرید و عمومی خدمات ابر، همچنین در مدل خدمات خصوصی در صورت ارائه توسط شرکت ثالث، مهمترین مخاطره امنیتی موجود است. در این حالت ها، استفاده از خدمات ابر مستلزم انتقال مسئولیت و البته کنترل بخشی از اطلاعات و سیستم های سازمان به سرویس دهنده ای خارج سازمان – به طور فیزیکی یا منطقی – است. بدیهی است که انتقال مسئولیت عملیات به ارائه دهنده خدمات ابر، نافی مسئولیت سازمان در قبال حریم خصوصی مشتریان، محرمانگی اطلاعات کسب و کار، تداوم خدمات و غیره نیست. برای رفع این نگرانی، استفاده از توافق نامه سطح خدمات SLA به شکل مناسب بسیار ضروری است. در واقع سازمان باید کلیه ملاحظات امنیتی و نیازمندیهای قانونی مربوطه را به طور شفاف در این توافق نامه با ارائه دهنده خدمات ابر تنظیم نماید. به عنوان مثال اگر یک بانک بخواهد از خدمات رایانش ابری استفاده نماید و این خدمات مستلزم هرگونه پردازش اطلاعات کارت مشتری باشد، ارائه دهنده خدمات ابر باید با الزامات استانداردهایی چون PCIDSS تطابق داشته باشد. باید توجه داشت که بسیاری از جزئیات مربوط به مدیریت دارایی های سازمان در داخل خدمات دهنده از دید سازمان مشتری پنهان است. مثلا خدمات دهنده ممکن است بخشی از خدمات خود را به شرکت ثالث برون سپاری کند، یا داده های مشتریان را از مرکز داده ای به مرکز داده دیگر، حتی در کشوری دیگر، منتقل کند و سازمان را با مخاطرات جدی روبرو سازد. این گونه موارد باید در تنظیم SLA به دقت لحاظ شود.

علاوه بر این، سازمان ممکن است وابستگی بیش از حد به یک خدمات دهنده پیدا کند و به خصوص در زمینه انتقال داده ها و خدمات به داخل سازمان یا به سرویس دهنده دیگر با چالش موجه شود. در واقع استفاده از مزایای محاسبات ابری ممککن است منجر به ایجاد لختی در تغییرات یا ایجاد خدمات جدید شود و در زمان بروز حوادث ایمنی، چابکی لازم را از سازمان سلب کند.

اگر چه اشتراک منابع یکی از فواید اساسی رایانش ابری است، همین موضوع میتواند زمینه ساز یک مخاطره امنیتی بزرگ برای سازمان شود. زیرا فعالیت های غیرقانونی که ممکن است توسط دیگران با استفاده از منابع مشترک انجام شود، مستقیما به شهرت و اعتبار سازمان آسیب وارد می کند. مخاطره شدیدتر آن است که یکی از سازمانهای مشتری خدمات ابر، به دلیل رخداد یک حمله یا در دیگر شرایط غیرعادی، به دارایی های دیگر مشتریان دسترسی پیدا کند.

ارائه خدمات در فضای ابر الزاما نیاز به استفاده از راه حل های مجازی ندارد، اما مجازی سازی، فناوری غالب در این گونه خدمات است. راه حلهای مجازی، یک ماشین مجازی را که Hypervisor نام دارد، به بستر محاسبات اضافه می کنند. اضافه شدن هر لایه، به معنای ورود ملاحظات جدید امنیتی و تهدیدهای خاص آن لایه است. بخش عمده حملاتی که امروزه برای دور زدن حفاظ های امنیتی در محیط مجازی متداول است، بر آسیب پذیری های Hypervisor استوار هستند. اگر چه تنوع این حملات نسبت به حملات متداول سیستم های عامل شناخته شده بسیار کمتر است، سازمان باید در مدیریت مخاطرات امنیتی فضای ابر، مخاطرات مربوط به مجازی سازی را نیز در نظر بگیرد.

برخی دیگر از مشکلات امنیتی که در فضای ابر متوجه سازمان مشتری می باشد عبارتند از:

  • عدم اطمینان از مدیریت امن داده ها در داخل شبکه سرویس دهنده
  • قابل اتکا نبودن بستر شبکه ارتباطی سازمان و سرویس دهنده
  • مدیریت راه دور ناامن منابع فضای ابر توسط سازمان مشتری
  • تهدید ناشی از پرسنل داخلی ارائه دهنده خدمات(Insider threat)

باید توجه داشت که مدیریت مخاطرات امنیت در این فضا را باید با توجه به مدل خدمات (PaaS,IaaS,SaaS) مورد استفاده انجام داد. زیرا احتمال رخداد یک تهدید امنیتی در سه مدل فوق لزوما یکسان نیست. علاوه بر این، لازم است مسئولیت برقراری امنیت فیزیکی، داده، زیرساخت، سیستم و برنامه در هر مدل به صورت شفاف بین خدمات دهنده و مشتری تقسیم شود. همچنین نحوه تعامل دو طرف در زمان رخداد حادثه امنیتی باید دقیقا مشخص شود. به عنوان مثال، آیا خدمات دهنده در پاسخ به یک حادثه امنیتی، اطلاعات و دسترسی های مورد نیاز را برای جمع آوری شواهد و پیگیری حادثه در اختیار مشتری قرار خواهد داد؟

با توجه به مطالب فوق، ممیزی امنیت ارائه دهندگان خدمات ابر یکی از نیازهای حیاتی مشتریان در راستای مدیریت امنیت محاسبات ابر است. به همین دلیل تلاشهای فراوانی برای تطبیق استانداردهای امنیتی موجود یا تدوین استانداردهای جدید امنیت در محاسبات ابری در حال انجام است. اطلاعات بیشتری در این زمینه را میتوان در سایت www.cloudsecurityalliance.org مشاهده کرد.

در صورتیکه در زمینه هاستینگ فعال هستید میتوانید در MyCityAd.ir آگهی خدمات خود را درج کنید

درگاه پرداخت بانکی ePayBank.ir امن ترین درگاه بانکی کشور براساس پروتکل سوآپ می باشد.