چالش‌ها در محاسبه ابری و بررسی موضوعات امنیتی

11 اسفند 1396 طاهره مصطفوی

محاسبه ابری برای ذخیره داده، اشتراک گذاری منبع‌ها و همچنین ارائه سرویس هایی همانند PaaS، IaaS و SaaS استفاده می شود. امنیت و حریم خصوصی در ابر، مسئله ای بسیار بزرگ می‌باشد هنگامی که داده‌های مهم برای ارائه دهندگان سرویس شخص ثالث واگذار می شود. بدلیل طبیعت توزیعی آن‌ها، محیط‌های محاسبه ابری، اهداف آسانی برای متجاوزانی که بدنبال کشف آسیب پذیری های ممکن هستند، می‌باشد. حل این مسائل امنیتی برای ارائه سرویس های ایمن و قابل اعتماد در محیط محاسبه ابری لازم می‌باشد. برای این طراحی، اپلیکیشن های گوناگونی برای کشف و اجتناب از چنین تهدید‌های امنیتی ای وجود دارند.

در باره رایانش ابری چه می دانید؟

"SaaS" یا "نرم‌افزار به عنوان سرویس" چیست؟

نقش نیروی کار IT در استفاده از محاسبات ابری

محاسبه ابری نوعی از محاسبه می‌باشد که در به اشتراک گذاشتن منبع‌های محاسبه بجای داشتن سرورهای محلی یا دستگاه‌های شخصی برای جابجایی یک اپلیکیشن تکیه می‌کند. در محاسبه ابری، عبارت ابر برای اینترنت استفاده می‌شود ازانجاکه عبارت محاسبه ابری به معنی نوعی از سرویس های محاسبه مبتنی بر اینترنت همانند ذخیره سازی، سرورها و اپلیکیشن هایی که برای کامپیوترهای سازمان و دستگاه‌ها از طریق اینترنت ارائه شده‌اند، می‌باشد.
«ابر» در محاسبه ابری می‌تواند به عنوان مجموعه ای از شبکه‌ها، سخت افزار، ذخیره سازی، سرویس ها و واسطه‌هایی که برای ارائه جنبه‌های محاسبه به عنوان یک سرویس ترکیب می‌شوند، تعریف شود. سرویس خدمات ابری شامل تحویل زیرساخت، نرم افزار و ذخیره سازی روی اینترنت خواه به عنوان مولفه های مجزا یا پلتفرمی کامل براساس مطالبه کاربر می‌شود.
بنابراین ما می‌توانیم بگوییم که محاسبه ابری به تحویل منبع‌های محاسبه روی اینترنت، نگهداری داده‌ها روی درایو سخت خود شما یا به‌روزرسانی اپلیکیشن ها وقتی که شما نیاز دارید اشاره می‌شود. شما از یک سرویس روی اینترنت از هر مکانی برای ذخیره اطلاعات خود یا استفاده از اپلیکیشن های آن استفاده می‌کنید. مطابق با تعریف NIST (موسسه ملی استانداردها و تکنولوژی)، محاسبه ابری، مدلی برای راحت ساختن دسترسی شبکه مطالبه به مخزن اشتراکی منبع‌های محاسبه قابل پیکربندی، می‌باشد (مثلا شبکه‌ها، سرورها، انبار، اپلیکیشن ها و سرویس ها)، که می‌تواند به سرعت تدارک دیده شود و با تلاش مدیریتی کمینه یا عمل ارائه کننده سرویس، آزاد شود.
محاسبه ابری ممکن است باعث کندی درحین تحویل سرویس های بیشتر در ابر شود که اکثرا می‌توانند فرصت‌هایی را ارائه دهند اگر توجه و مراقبت، حل شود. امنیت و حریم خصوصی، مهم‌ترین مسائل محاسبه ابری مرتبط با ذخیره سازی و امنیت داده و نظارت بر استفاده از ابر با ارائه دهندگان سرویس می‌باشند. این چالش‌ها می‌توانند با ذخیره سازی اطلاعات داخلی سازمان با مجاز ساختن به استفاده در ابر بوجود آیند. بدین منظور مکانیزم های امنیتی بین سازمان و ابر نیاز است تا برای ایمن سازی داده‌ها بهبود یابند.

انواع محاسبه ابری

سرویس های ابری می‌توانند در روش‌های متفاوتی وابسته به ساختار سازمان و جایگاه آرایش یابند. معمولا چهار مدل آرایش سرویس ابری عمومی، خصوصی، جامعه و هیبرید تشخیص داده شده‌اند.

مدل آرایش ابری

1. ابر عمومی: این مدل، محیط ابری را به صورت باز یا عمومی دردسترس قرار می‌دهد که در آن شرکت‌های گوناگون می‌توانند برای ارائه سرویس ها به کاربران با اتخاذ آن از شخص ثالث استفاده شوند.
2. ابر خصوصی: این مدل به ابر خصوصی اشاره می‌کند که با یک سازمان مدیریت می‌شود یا برای ارائه کنترل سطح بالا روی سرویس های ابری مالکیت شده است. به عبارت دیگر، ابر خصوصی به طور مشخص برای ارائه سرویس ها درون یک موسسه برای حفظ حریم خصوصی و امنیت می‌باشد.
3. مدل ابر هیبرید: این مدل ترکیبی از هردوی مدل های ابر عمومی و خصوصی می‌باشد که در آن محیط محاسبه ابری با شخص ثالث میزبانی و مدیریت می‌شود اما برخی منبع‌های اهدایی به طور خصوصی تنها با موسسه استفاده می‌شوند.

مسائل امنیتی

در محاسبه ابری، امنیت می‌تواند از طریق کنترل‌های شخص ثالث و مطمئن سازی مانند آرایش‌های برون منبع سنتی بدست بیاید. اما ازانجاکه هیچ استاندارد امنیتی محاسبه ابری مشترکی وجود ندارد، بسیاری از فروشندگان ابری، تکنولوژی های امنیتی و استانداردهای شخصی خودشان را و مدل های امنیتی متفاوت را اجرا می‌کنند که نیاز دارد تا روی شایستگی‌های شخصی آن‌ها ارزیابی شوند. در یک مدل ابری فروشنده، آن سرانجام به اتخاذ سازمان‌های مشتری برای مطمئن ساختن آنکه امنیت در ابر، سیاست‌های امنیتی آن‌ها را از طریق نیازهای جمع آوری کننده ارزیابی‌های خطر ارائه دهنده از طریق پشتکار و فعالیت‌های مطمئن براورده می‌سازد، می‌رسد. بدین ترتیب، چالش‌های امنیتی اساسا با میل سازمان‌ها به استفاده از سرویس های ابری، از موارد وابسته به موسسه‌های مدیریت شده در خانه آن‌ها متفاوت نمی‌باشد. تهدیدهای داخلی و خارجی یکسانی معرفی می‌شوند و خطر می‌پذیرند. موارد زیر برخی از مسائل هستند.(سیارک)

یک مهاجم داخلی، خصوصیات زیر را دارد

• با ارائه دهنده سرویس ابری، مشتری یا سازمان ارائه دهنده شخص ثالث دیگری که از عملکرد یک سرویس ابری حمایت می‌کند؛ بکار رفته است.
• ممکن است دسترسی مجاز به سرویس های ابری، داده‌های مشتری یا زیرساخت پشتیبانی و اپلیکیشن ها را وابسته به نقش سازمانی آن‌ها داشته باشد
• از امتیازات ویژه موجود برای دست یافتن به دسترسی بیشتر یا حمایت شخص های ثالث در اجرای حملات علیه قابلیت استفاده و یکپارچگی اطمینان اطلاعات درون سرویس ابری استفاده کند.

یک مهاجم بیرونی خصوصیات زیر را دارد

• با ارائه دهنده سرویس ابری، مشتری یا سازمان ارائه دهنده شخص ثالث دیگر حمایت کننده از عملکرد یک سرویس ابری بکار نگرفته شده است.
• هیچ دسترسی مجازی به سرویس های ابری، داده‌های مشتری یا زیرساخت پشتیبانی و اپلیکیشنها ندارد.
• آسیب پذیری های مهندسی اجتماعی، پردازشی، عملیاتی و فنی را برای حمله به یک ارائه دهنده سرویس ابری، مشتری یا سازمان حمایتی شخص ثالث برای بدست آوردن دسترسی بیشتر برای انتشار حملات علیه اطمینان، یکپارچگی و دردسترس بودن اطلاعات در سرویس ابری بکار می‌گیرد.
• اگرچه مهاجمان داخلی و بیرونی می‌توانند به طور آشکار مورد تمایز قرار گیرند، قابلیت آن‌ها برای اجرای حملات موفق چیزی است که آن‌ها را به عنوان تهدیدی برای مشتری‌ها و فروشنده‌های مشابه متمایز می‌سازد.

ابر عمومی

در ابر عمومی، تعداد زیادی مشتری روی یک پلتفرم اشتراکی و امنیتی زیرساخت با ارائه دهنده سرویس ارائه می‌شود. چند تا از موضوعات امنیتی کلیدی در یک ابر عمومی شامل موارد زیر می‌شوند:
1) سه نیاز اساسی امنیت: قابلیت اعتماد، بی نقصی و قابلیت استفاده برای حمایت از داده‌ها درسراسر طول عمر آن، مورد نیاز می‌باشد. داده‌ها باید درطی مرحله‌های گوناگون از خلق، به اشتراک گذاری، بایگانی، پردازش و غیره پشتیبانی شوند. هرچند، موقعیت‌ها درمورد یک ابر عمومی پیچیده ترمی شوند که در آن ما هیچ کنترلی روی سرویس نداریم.
(شیوه‌های امنیتی ارائه دهنده.)
2) در مورد ابر عمومی، زیرساخت مشابهی بین اجاره کنندگان متعدد به اشتراک گذاشته شده است و شانس‌های بسته داده بین این اجاره کنندگان بسیار بالا می‌باشد. هرچند اکثر ارائه دهندگان سرویس، یک زیرساخت چنداجاره ای را اجرا می‌کنند. بررسی‌های درست در زمان انتخاب ارائه دهنده سرویس باید برای اجتناب از چنین ریسکی انجام شود
3) چنانچه یک ارائه دهنده سرویس ابری از یک فروشنده شخص ثالث برای ارائه سرویس های ابری آن استفاده می‌کند، باید مطمئن ساخته شود چه توافقات سطح سرویسی وجود دارد و همچنین طرح‌های احتمالی در مورد جدایی سیستم شخص ثالث چه هستند.

ابر خصوصی

یک مدل ابر خصوصی، مشتری را قادر به داشتن کنترل کلی روی شبکه می‌سازد و انعطاف برای مشتری را برای اجرای هر عمل امنیتی محیط شبکه سنتی ارائه می‌دهد. اگرچه معماری امنیتی در ابر خصوصی بیشتر مورد اعتبار می‌باشد، هنوز ریسک‌ها\مسائلی وجود دارند که نیاز است مورد ملاحظه قرار گیرند:
1) تکنیک های مجازی سازی در ابرهای خصوصی کاملا عمومی می‌باشند. در چنین سناریویی، خطرها برای هایپروایز باید به دقت تحلیل شود. وقتی یک سیستم عملیاتی مهمان قادر به اجرای فرایندها روی دیگر VM های مهمان یا میزبان می‌باشد نمونه‌هایی برای آن وجود دارند. در یک محیط مجازی، ممکن است اتفاق بیافتد که ماشین‌های مجازی قادر به ارتباط با همه VM ها شامل کسانی که فرض نشده‌اند، نباشد. برای مطمئن ساختن آنکه آن‌ها تنها با کسانی که فرض شده‌اند ارتباط برقرار می‌کنند، تکنیک های رمزگذاری و سندیت درست همانند IPsec [امنیت سطح IP] و غیره، باید اجرا شوند. (سیارک)
2) سیستم عملیاتی میزبان باید آزاد از هر نوع تهدید مخرب و نظارت شده برای اجتناب از هر نوع ریسکی باشد. در مجموع، ماشین‌های مجازی مهمان نباید قادر به ارتباط با سیستم عملیاتی میزبان به طور مستقیم باشد. واسطه‌های فیزیکی برای ارتباط با میزبان باید اختصاص داده شوند.
3) در ابر خصوصی، کاربران با یک انتخاب برای قادر ساختن مدیریت بخش‌های ابری تسهیل شده‌اند و دسترسی به زیرساخت از طریق یک واسطه وب یا یک نقطه انتهایی HTTP ارائه شده است. دو روش اجرای یک واسطه وب، خواه با نوشتن اپلیکشن کل یا با استفاده از یک توده اجرایی استاندارد برای توسعه استفاده واسطه وب، وجود دارند.
زبان‌های معمول همانند جاوا، PHP، پیتون وغیره به عنوان بخشی از فرایند غربالگری، واسط وب اوکالیپتوس، فهمیده شده که خطایی با مجاز ساختن هر کاربری برای انجام شدن اسکن کردن بخش داخلی یا تقاضاهای HTTP از طریق گره مدیریتی که او نباید برای انجام مجاز شود، وجود دارد. مختصرا، واسطه‌ها نیاز است تا به طور مناسب توسعه یابند و تکنیک های امنیتی اپلیکیشن وب استاندارد نیاز است تا برای حمایت از تقاضاهای HTTP متنوع انجام شده، آرایش یابند.
4) درحالیکه ما درباره امنیت اینترنت استاندارد صحبت می‌کنیم، ما همچنین به یک رویه امنیتی بجای ایمن ساختن سیستم از حملات ناشی از درون سازمان نیاز داریم. این نقطه حیاتی در اکثر اتفاقات، از قلم می‌افتد استرس تاحد زیادی روی امنیت اینترنت می‌باشد. راهنماهای امنیتی مناسب در سراسر دپارتمان های متعدد باید وجود داشته باشند و کنترل باید به صورت «بر نیاز» اجرا شود. اگرچه ابرهای خصوصی در مقایسه با ابرهای عمومی، ایمن تر درنظر گرفته شده‌اند، هنوز آن‌ها مسائل متعددی دارند که اگر مورد توجه قرار نگیرند ممکن است به حفره‌های حلقه امنیتی اصلی، بیانجامند.

نتیجه گیری

در این مقاله، بیشتر روی انواع ابر و موضوعات امنیتی وابسته به محیط محاسبه ابری تمرکز دارد. مقایسه ای بین محاسبه ابری خصوصی و عمومی و بررسی ابرها و چالش‌های وابسته به آن را نشان می‌دهد.ترجمه itrans.ir

در سیارک بخوانیم: