امنیت ابری چیست؟
امنیت ابری (Cloud Security)، مجموعهای از سیاستها، فناوریها و اقداماتی است که برای محافظت از دادهها، برنامهها و زیرساختهای موجود در محیطهای ابری طراحی میشود. با انتقال بخش قابل توجهی از عملیات تجاری به ابر، اهمیت امنیت این دادهها بیش از پیش احساس میشود. به طور کلی، امنیت ابری شامل اقداماتی مانند رمزگذاری دادهها، مدیریت دسترسی، تشخیص و مقابله با تهدیدات، پشتیبانگیری و بازیابی اطلاعات است. هدف، اطمینان از محرمانگی، یکپارچگی و دسترسپذیری اطلاعات در محیطهای ابری است، به گونهای که سازمانها بتوانند با خیالی آسوده از خدمات ابری استفاده کنند. سازمانها همگام با پیشرفت در زمینه برنامههای راهبردی تحول دیجیتال و یکپارچهسازی ابزارها و خدمات ابرمحور به عنوان بخشی از زیرساخت خود، نیازمند مکانیزمهای امنیتی قدرتمندی برای محافظت از ابرهای خصوصی و ترکیبی هستند.
تحول دیجیتال و مهاجرت به ابر از اصطلاحات مهمی هستند که در سالهای اخیر مورد توجه سازمانها قرار گرفتهاند و به تدریج شرکتهای بیشتری برنامههای راهبردی خود را همگام با این اصطلاحات تدوین میکنند. در حالی که اصطلاحات مذکور برای سازمانها معانی و تعاریف مختلفی دارند، با اینحال، هر دو یک مخرج مشترک دارند: نیاز به تغییر. هنگامی که سازمانها این مفاهیم را میپذیرند و به سمت بهینهسازی رویکردهای عملیاتی خود میروند با چالشهای جدیدی در ارتباط با حفظ تعادل بین بهرهوری و امنیت روبرو میشوند. در حالی که فناوریهای مدرن به سازمانها کمک میکنند به قابلیتهایی فراتر از محدودیتهای زیرساختهای داخلی دست پیدا کنند، اما مهاجرت به محیطهای ابر-محور بدون در نظر گرفتن ملاحظات امنیتی، پیامدهای جدی به همراه دارد. از اینرو، حفظ تعادل میان الزامات تجاری و امنیت نیازمند درک این موضوع است که چگونه سازمانهای پیشرو میتوانند از مزایای فناوریهای ابری بهرهمند شوند و در عین حال بهترین شیوههای امنیت ابری را پیادهسازی کنند.
محاسبات ابری چیست؟
محاسبات ابری (Cloud Computing) به فرایند دسترسی به منابع، نرمافزارها و پایگاههای داده از طریق اینترنت، بدون محدودیتهای رایج سختافزارهای محلی اشاره دارد. این فناوری، به سازمانها، انعطافپذیری بالایی در مقیاسبندی عملیات از طریق انتقال بخشی یا بیشتر بارهای کاری از زیرساخت درون سازمانی به سمت ارائهدهندگان خدمات میزبانی شخص ثالث میدهد. امروزه، خدمات محاسبات ابری مختلفی در دنیای تجارت مورد استفاده قرار میگیرند که از مهمترین و پرکاربردترین آنها به موارد زیر باید اشاره کرد:
زیرساخت به عنوان سرویس IaaS سرنام (Infrastructure-as-a-Service): یک معماری ترکیبی پیشنهاد میدهد و به سازمانها اجازه میدهد برخی از دادهها و برنامههای خود را بهصورت داخلی مدیریت کنند. در الگواره مذکور، سازمانها به ارائهدهندگان خدمات ابری برای مدیریت سرورها، سختافزار، شبکه، مجازیسازی و نیازهای ذخیرهسازی متکی است.
پلتفرم به عنوان سرویس PaaS سرنام (Platform-as-a-Service): به سازمانها در سادهسازی روند توسعه و تحویل برنامههای کاربردی کمک میکند. این مدل بر مبنای ارائه یک چارچوب سفارشی برای توسعه برنامهها کار میکند که بهطور خودکار سیستم عاملها، بهروزرسانیهای نرمافزاری، ذخیرهسازی و زیرساختهای پشتیبانی را در ابر مدیریت میکند.
نرمافزار به عنوان سرویس SaaS سرنام (Software-as-a-Service): الگواره فوق به این صورت کار میکند که زیرساختهای ابری، فرآیند میزبانی نرمافزارهای کاربردی را مدیریت میکنند. در معماری مذکور، دسترسی به خدمات معمولا بر اساس پرداخت حق اشتراک است. ارائهدهندگان شخص ثالث تمام مشکلات فنی بالقوه در ارتباط با دادهها، میانافزارها، سرورها و ذخیرهسازی را مدیریت میکنند. این معماری نقش مهمی در کاهش هزینههای منابع فناوری اطلاعات و سادهسازی عملیات نگهداری و پشتیبانی دارد.
چرا امنیت ابری مهم است؟
در سازمانهای پیشرو و مدرن، مهاجرت به محیطهای مبتنی بر ابر و مدلهای محاسباتی IaaS، Paas یا SaaS در حال افزایش است. ماهیت پویای مدیریت زیرساخت، به ویژه در ارتباط با مقیاسبندی برنامهها و خدمات، چالشهای زیادی برای سازمانها هنگام تخصیص منابع به وجود میآورد. با اینحال، مدلهای فوق به سازمانها اجازه میدهند بسیاری از کارهای زمانبر مرتبط با فناوری اطلاعات را برونسپاری کنند. با ادامه مهاجرت شرکتها به ابر، درک الزامات امنیتی برای حفظ امنیت دادهها حیاتی شده است. در حالی که ارائهدهندگان خدمات ابری شخص ثالث ممکن است مدیریت زیرساخت را بر عهده بگیرند، اما مسئولیت تامین امنیت و محافظت از داراییهای دیجیتال (دادهها) لزوما تغییر نمیکند و بر عهده سازمانها است. بهطور پیشفرض، اکثر ارائهدهندگان خدمات ابری، بهترین شیوههای امنیتی را ملاک عمل قرار میدهند و اقدامات جدی برای محافظت از یکپارچگی سرورهای خود انجام میدهند. با این حال، سازمانها باید هنگام محافظت از دادهها، برنامهها و بارهای کاری در حال اجرا در ابر، ملاحظات خود را اعمال کنند.
سازمانها به شکل جدی مفاهیمی همچون تحول دیجیتال و اقتصاد دیجیتال را دنبال میکنند، از اینرو، جای تعجب نیست که شاهد افزایش تهدیدات سایبری باشیم. این تهدیدات بهطور خاص ارائهدهندگان خدمات ابری را هدف قرار میدهند، زیرا دید کاملی در ارتباط با نحوه دسترسی سازمانها به زیرساختها و انتقال دادهها در اختیار ندارند. متاسفانه، برخی سازمانها در زمینه بهبود امنیت ابری سهلانگاری میکنند و فرآیند مدیریت اطلاعات را به شکل درستی انجام نمیدهند. به بیان دقیقتر، در ارتباط با این مسئله که دادهها کجا ذخیرهسازی میشوند کوتاهی میکنند که این موضوع باعث بروز مشکلات جدی در ارتباط با حاکمیت و انطباق دادهها میشود.
با توجه به اینکه زیرساختهای ابری از تمام جنبههای محاسبات مدرن در صنایع و بخشهای مختلف یک سازمان پشتیبانی میکنند، امنیت ابری باید به عنوان یک موضوع مهم مورد توجه قرار بگیرد، صرف نظر از اندازه سازمان. با این حال، موفقیت در پذیرش ابر به اتخاذ اقدامات پیشگیرانه مناسب برای دفاع در برابر حملات سایبری مدرن بستگی دارد. صرفنظر از اینکه سازمان شما بر مبنای یک محیط ابری عمومی، خصوصی یا ترکیبی فعالیت میکند، راهحلهای امنیتی ابری و اتخاذ بهترین شیوهها برای حفظ تداوم فعالیتهای تجاری ضروری هستند.
برخی از چالشهای امنیت ابری
هنگامی که صحبت از امنیت ابری به میان میآید، کارشناسان امنیتی با یکسری چالشها روبرو هستند که از مهمترین آنها به موارد زیر باید اشاره کرد.
عدم مشاهدهپذیری
از آنجایی که بسیاری از خدمات ابری در خارج شبکههای سازمانی قرار دارند و از طریق شخص ثالث قابل دسترسی هستند، ردیابی نحوه دسترسی به دادهها و اینکه چه کسی ممکن است به دادههای تجاری دسترسی داشته باشد، کار سادهای نیست.
چندمستاجری
محیطهای ابری عمومی، زیرساختهای چند مستاجری را زیر یک چتر اشتراکی در اختیار مشترکان قرار میدهند. از اینرو، دور از انتظار نیست که حمله سایبری به یک شرکت خاص، باعث شود خدمات شرکت دیگری تحت تاثیر قرار بگیرد که ضررهای مالی را به همراه دارد.
مدیریت دسترسی و فناوری اطلاعات سایه
در حالی که سازمانها ممکن است بتوانند نقاط دسترسی را در سیستمهای داخلی با موفقیت مدیریت و محدود کنند، اما اعمال همین سطح از نظارت و محدودیت در محیطهای ابری چالشبرانگیز است. این امر برای سازمانهایی که سیاستهای BYOD یا به عبارت دقیقتر، دستگاه خود را بیاورید را پیادهسازی میکنند و به دستگاهها و کاربران فارغ از مکانهای جغرافیایی و بدون فیلتر اجاره دسترسی به خدمات ابری را میدهند، خطرناک است.
انطباق
مدیریت انطباق با مقررات، اغلب باعث سردرگمی سازمانهایی است که از استقرارهای ابری عمومی یا ترکیبی استفاده میکنند. نکته بسیار مهمی که باید به آن توجه داشته باشید این است که مسئولیت کلی حفظ حریم خصوصی و امنیت دادهها همچنان بر عهده سازمان است و اتکا شدید به راهحلهای شخص ثالث برای مدیریت این موضوع میتواند منجر به بروز مسائلی همچون عدم انطباق شود.
تنظیمات نادرست
بخش قابل توجهی از رکوردهای افشا شده و معضل نشت دادهها را میتوان به پیکربندیهای اشتباه نسبت داد. به طور مثال، کارمندی ممکن است ناخواسته یک پیکربندی حیاتی را ویرایش کند، پورتی را روی سیستمی باز کند یا تنظیمات یک دستگاه زیرساختی را بدون توجه به اصول امنیتی تغییر دهد. همچنین، توجه داشته باشید که تنظیمات نادرست میتوانند مواردی مثل عدم تغییر رمزهای عبور پیشفرض اداری برای مدت زمان طولانی یا عدم توجه به تنظیمات حریم خصوصی را شامل شوند.
مدیریت هویت و دسترسی (IAM)
ابزارها و خدمات مدیریت هویت و دسترسی (IAM) به سازمانها امکان میدهند تا پروتکلهای اجرایی خطمشیمحور را برای همه کاربرانی که تلاش میکنند به خدمات داخلی و مبتنی بر ابر دسترسی پیدا کنند، پیادهسازی کنند. عملکرد اصلی IAM ایجاد هویت دیجیتال برای همه کاربران است تا بتوانند بدون مشکل به دادهها و منابع موردنیاز خود دسترسی داشته باشند و در عین حال به کارشناسان امنیتی، امکان نظارت فعال بر عملکردها کارمندان را میدهد تا بتوانند در صورت لزوم، اقدام به محدودسازی دسترسی آنها کنند.
پیشگیری از بروز مشکل از دست دادن دادهها (DLP)
سرویسهای پیشگیری از بروز مشکل از دست دادن دادهها (DLP) به مجموعهای از ابزارها و خدماتی اشاره دارند که برای اطمینان از امنیت دادههای ذخیرهسازی شده در ابر مورد استفاده قرار میگیرند. راهحلهای DLP ترکیبی از هشدارهای مرتبط با ویرایش تنظیمات، رمزگذاری دادهها و سایر اقدامات پیشگیرانه برای محافظت از تمام دادههای ذخیره شده و آنهایی که در حال سکون هستند یا در حال استفاده هستند را شامل میشوند.
مدیریت اطلاعات و رویدادهای امنیتی (SIEM)
مدیریت اطلاعات و رویدادهای امنیتی (SIEM) یک راهحل جامع و یکپارچه است که با هدف نظارت، تشخیص و پاسخ به تهدیدها در محیطهای مبتنی بر ابر پیادهسازی میشود و عمدتا مبتنی بر خودکارسازی وظایف هستند. SIEM از فناوریهای مبتنی بر هوش مصنوعی برای ارزیابی و نظارت بر دادههای ورودی به سیستم که ممکن است از پلتفرمهای مختلف دریافت شوند و همچنین داراییهای دیجیتال استفاده میکند. این ویژگی به تیمهای فناوری اطلاعات اجازه میدهد پروتکلهای امنیتی را با موفقیت پیادهسازی کنند و در صورت روبرو شدن با تهدیدات احتمالی در زمان کوتاهی به آنها واکنش نشان دهند.
تداوم کسبوکار و بازیابی پس از فاجعه
صرفنظر از اقدامات پیشگیرانهای که سازمانها برای زیرساختهای داخلی و مبتنی بر ابر خود انجام دادهاند، نقض دادهها و قطع خدمات همچنان میتواند رخ دهد. سازمانها باید بتوانند به سرعت به آسیبپذیریهای جدید یا قطعیهای بحرانی واکنش نشان دهند. راهحلهای بازیابی پس از فاجعه یک عنصر اصلی در تامین امنیت ابری است و به سازمانها ابزارها، خدمات و پروتکلهای لازم برای تسریع فرآیند بازیابی دادههای از دست رفته و از سرگیری عملیات عادی کسبوکار را ارائه میدهند.
چگونه امنیت زیرساختهای ابری را تامین کنیم؟
سازمانها متناسب با حوزه فعالیت، میزان حساسیتپذیری دادهها و گستردگی فعالیتهای تجاری باید به مقوله امنیت ابری رسیدگی کنند. همچنین، نباید از این موضوع غافل شویم که این موضوع به چند متغیر بستگی دارد. خوشبختانه، چارچوبها و استانداردهای راهبردی تدوین شده و در اختیار سازمانها قرار دارند. به طور مثال، موسسه ملی استانداردها و فناوری (NIST) فهرستی از بهترین شیوهها را تهیه کرده است که میتوان برای پیادهسازی یک زیرساخت محاسبات ابری مطمئن و پایدار از آن استفاده کرد.
NIST مراحل ضروری که یک سازمان برای استقرار مطمئن و ایمن زیرساخت ابری باید بر مبنای آن گام بردارد را شرح داده و همچنین، به مجموعه اقدامات پیشگیرانه و بازیابی پس از فاجعه پرداخته است تا سازمانها بتوانند در صورت بروز مشکلات، شرایط را به حالت اولیه بازگردانند. این اصول مبتنی بر پنج معیار کلیدی شناسایی، محافظت، تشخیص، پاسخ و بازیابی هستند که از ارکان اصلی امنیت سایبری به شمار میروند.
یک فناوری نوظهور دیگر در دنیای امنیت ابری که از پیادهسازی چارچوب امنیت سایبری NIST پشتیبانی میکند، مدیریت وضعیت امنیتی ابر CSPM سرنام (cloud security posture management ) است. راهحلهای CSPM باهدف شناسایی و برطرف کردن نقصهای رایج در محیطهای ابری و شناسایی و اصلاح تنظیمات نادرست طراحی شدهاند.
آمارها نشان میدهند بخش عمدهای از حملات سایبری موفق به زیرساختهای ابری مورد استفاده توسط سازمانها یا حتی ارائهدهندگان خدمات ابری، مبتنی بر پیکربندی اشتباه تنظیمات هستند که میتوانند منجر به شکلگیری آسیبپذیریهایی شوند که سازمانها را با انواع مختلفی از تهدیدات سایبری روبرو میکنند. CSPM با کمک به سازماندهی و استقرار مولفههای اصلی امنیت ابری، این مسائل را برطرف میکند. از جمله چالشهایی که CSPM قادر به برطرف کردن آنها است باید به مدیریت هویت و دسترسی، انطباق خطمشیهای امنیتی با مقررات، ارزیابی و بررسی ترافیک شبکه، پاسخ به تهدیدات سایبری، کم کردن نرخ ریسکها و مدیریت داراییهای دیجیتال اشاره کرد.
خدمات مفتاح رایانه افزار در زمینه تامین امنیت ابری
مفتاح رایانه افزار تیمی مجرب از کارشناسان امنیتی و شبکه در اختیار دارد که قادر هستند به سازمانها و شرکتهای فعال در زمینه ارائه خدمات ابری، مشاورههای فنی و اجرایی در زمینه ایمنسازی زیرساختها ارائه دهد. کارشناسان و مشاوران مجرب ما در حوزههای مختلف به سازمانها در تامین امنیت زیرساختهایشان کمک میکنند. از خدمات مهم در این زمینه به موارد زیر باید اشاره کرد:
- ارائه راهحلهای تامین امنیت ابری.
- ارائه مشاورههای تخصصی در زمینه ایمنسازی محیطهای ابری ترکیبی و امنسازی سرویسهای ابری.
- ارائه راهحلهای اجرایی در زمینه مدیریت هویت و دسترسی ابری.
- ارائه راهکارهای فنی در زمینه پیادهسازی استراتژیهای امنیت اعتماد صفر.
- ارائه فایروالهای قدرتمند برای استقرار در زیرساختهای ابری.
نویسنده: حمیدرضا تائبی
شماره تماس: ۰۲۱۴۲۹۲۲
