سازمانها دیگر مثل گذشته دست روی دست نمیگذارند و معمولا برنامهها و دادههای خود را به کلاد منتقل میکنند، بنابراین باید مسئله امنیت را در نظر گرفت. اولین اقدام برای کاهش ریسک در کلاد، شناسایی تهدیدهای امنیتی است. اتحادیه امنیت سامانههای رایانش ابری (CSA)، ۱۲ تهدید امنیتی مهم کلاد که سازمانها در ۲۰۱۶ با آنها رو به رو خواهند بود را در کنفرانس RSA برشمرد.
ماهیت اشتراکی رایانش ابری، نفوذهای امنیتی را ممکن میسازد که خود میتواند هر گونه پیشرفت حاصل از طریق تغییر به فناوری کلاد را از بین ببرد. سرویسهای کلاد ذاتا به کاربر اجازه میدهند تا از خط مشیهای امنیتی سازمان گام فراتر بگذارند.
تهدید شماره ۱: نفوذ و سرقت اطلاعات
محیطهای کلاد با همان تهدیدهایی رو به رو هستند که شبکههای مرسوم شرکتی رو به رو هستند، اما به خاطر حجم وسیع دادههای ذخیره شده بر روی سرورهای کلاد، ارائهدهندگان مورد هدف قرار میگیرند. شدت آسیب معمولا به حساسیت دادههای سرقت شده بستگی دارد. معمولا دادههای مالی بیشتر مورد سرقت قرار میگیرند اما نفوذ به اطلاعات بهداشت، اسرار تجاری شرکت و مالکیت معنوی میتواند مخربتر باشد. زمانی که سرقت داده رخ میدهد، این امکان وجود دارد که شرکت جریمه شود و یا حتی با طرح دعوی یا اتهامات قضایی رو به رو شود. بررسی سرقت و اقدامات مربوطه هزینههای چشمگیری را به بار میآورد. اثرات غیر مستقیم سرقت داده از قبیل از دست دادن اعتبار کسب و کار، سالهای متوالی شرکت را تحت تاثیر قرار میدهند. ارائهدهندگان کلاد به منظور حفاظت از محیطهای خود اغلب اقدامات امنیتی بسیاری به کار میبرند، اما نهایتا این خود سازمانها هستند که باید حفاظت از دادههای خود را در کلاد بر عهده داشته باشند. توصیه اتحادیه امنیت سامانههای رایانش ابری در این خصوص این است که سازمانها به منظور حفاظت در مقابل سرقت داده از اقداماتی چون احراز هویت چند عاملی (multifactor authentication) و رمزنگاری (encryption) استفاده کنند.
تهدید شماره ۲: سرقت اطلاعات امنیتی و نقض احراز هویت
سرقت داده و سایر حملات اغلب به خاطر احراز هویت ضعیف، کلمه عبور ضعیف و مدیریت بد کلید و گواهیها رخ میدهد. سازمانها اغلب با مدیریت هویت دست و پنجه نرم میکنند چرا که میکوشند تا به نقش کاری کاربر مجوزهای مناسب اختصاص دهند. مهمتر از همه اینکه، گاهی سازمانها فراموش میکنند که در هنگام تغییر نقش و یا در هنگامی که کاربر سازمان را ترک میکند، دسترسی کاربر را حذف کنند. سامانههای احراز هویت چند عاملی از قبیل رمزهای یک بار مصرف (one time passwords)، احراز هویت مبتنی بر تلفن و کارتهای هوشمند میتوانند از خدمات کلاد محافظت کنند. چون که در این صورت متجاوزان نمیتوانند با کلمههای عبور سرقت شده به آسانی وارد سیستم شوند. نفوذ به Anthem که باعث سرقت اطلاعات حساس بیش از ۸۰ میلیون نفر شد، نتیجه سرقت اطلاعات امنیتی کاربر بود. چون که Anthem از احراز هویت چند عاملی استفاده نکرده بود، متجاوزان توانسته بودند به اطلاعات امنیتی کاربر دسترسی پیدا کنند. خیلی از سازمانها اطلاعات امنیتی و کلیدهای رمزنگاری را وارد سورس کد میکنند و آنها را در مخازنی چون GitHub رها میسازند. این اقدام اشتباه بزرگی است. از کلیدها باید به خوبی حفاظت به عمل آید و بدین منظور زیر ساختی مورد نیاز است. همچنین کلیدها باید به صورت دوراهی تغییر کنند تا متجاوزان نتوانند بدون مجوز از کلیدهایی که سرقت کردهاند استفاده کنند. سازمانهایی که درصدد هستند هویت را با ارائهدهنده کلاد متحد سازند (federate)، باید در خصوص اقدامات امنیتی که به منظور حفاظت از پلتفرم هویت استفاده میکند، درک واحدی کسب کنند. متمرکز کردن هویت در یک مخزن با ریسک همراه است. سازمانها باید عواقب این اقدام را سبک و سنگین کنند.
تهدید شماره ۳: هک رابط و API
به صورت عملی تمام سرویسها و برنامههای کلاد در حال حاضر APIهایی عرضه میکنند. تیم IT از رابط و API به منظور مدیریت و تعامل با سرویسهای کلاد استفاده میکنند. امنیت و در دسترس بودن سرویسهای کلاد از احراز هویت و کنترل دسترسی گرفته تا رمز نگاری و نظارت بر فعالیت به امنیت API بستگی دارد. وابستگی شخص ثالث (third party) به API و این رابطها، باعث افزایش ریسک میشود چرا که شاید نیاز باشد که سازمان سرویسها و اطلاعات امنیتی بیشتری را فاش نماید. رابطها و APIهای ضعیف، سازمان را در معرض مسائل امنیتی مرتبط با محرمانگی، صداقت، در دسترس بودن و پاسخگویی قرار میدهند. رابطها و APIها از جمله نفوذپذیرترین بخش سیستم هستند، چرا که از اینترنت باز قابل دسترسی میباشند. اتحادیه امنیت سامانههای رایانش ابری، کنترل را به عنوان اولین خط دفاعی توصیه میکند. برنامهها و سیستمهای مدلسازی تهدید از قبیل معماری/ طراحی گردش داده به بخشهای مهم چرخه حیات توسعه تبدیل شدهاند.
تهدید شماره ۴: استفاده از حفرههای امنیتی سیستم
حفرههای امنیتی سیستم، یا باگهای نفوذپذیر موضوعی جدید نیستند و با پیدایش چندگانگی در رایانش ابری به موضوعی مهمتر تبدیل شدهاند. سازمانها حافظه، پایگاه داده و سایر منابع را به اشتراک میگذارند که خود این امر زمینه را برای حمله هموار میسازد. خوشبختانه میتوان از طریق فرایندهای اصلی IT حمله به حفرههای امنیتی سیستم را تا حدی کاهش داد. بهروشها شامل بررسی حفرههای امنیتی، مدیریت و پیگیری سریع میشوند. به نقل اتحادیه امنیت سامانههای رایانش ابری، هزینه کاهش حفرههای امنیتی سیستم در مقایسه با سایر هزینههای IT کم هستند. هزینه راهاندازی فرایندهای IT به منظور کشف و تعمیر حفرههای امنیتی در مقایسه با آسیبهای احتمالی بسیار کمتر است.
تهدید شماره ۵: سرقت حساب
سرقت، کلاهبرداری و سوءاستفاده نرمافزار هنوز هم رایج هستند. سرویسهای کلاد بعد جدیدی را به این نوع تهدید اضافه میکنند چون که مهاجمان میتوانند فعالیتها را استراق سمع کنند، به تراکنشها دست ببرند و دادهها را تغییر دهند. همچنین این امکان وجود دارد که مهاجمان از برنامههای کلاد جهت دیگر حملات خود استفاده کنند. میتوان با استراتژیهای حفاظتی رایج از آسیبهای ناشی از نفوذ جلوگیری کرد. سازمانها باید اشتراک اطلاعات امنیتی حساب بین کاربر و سرویسها را قدغن کنند و همچنین طرحهای احزار هویت چند عامل را به کار ببرند. حسابها باید نظارت شوند تا تمام تراکنشها به یک مالک انسانی قابل رهگیری باشند.
تهدید شماره ۶: خودیهای مخرب (malicious insiders)
این تهدید به افراد مختلف مرتبط میباشد: کارمندان سابق یا کنونی، مدیران سیستم، پیمانکاران و شریک کسب و کار. انگیزه این افراد میتواند سرقت داده و یا حتی انتقام باشد. چنین افرادی میتوانند تمام زیرساختها را تخریب کنند و یا حتی دادهها را دستکاری کنند. سیستمهایی که به منظور امنیت صرفا به ارائهدهندگان سرویسهای کلاد وابسته هستند، ریسک بالاتری در این خصوص دارند. توصیه اتحادیه امنیت سامانههای رایانش ابری در این خصوص این است که سازمانها فرایند رمزنگاری و کلیدها را کنترل کنند، وظایف را تفکیک کنند و دسترسی کاربران را به حداقل برسانند. نظارت و ممیزی فعالیتها نیز حائز اهمیت هستند. این امکان وجود دارد که فعالیتهای روزمره افراد به اشتباه آنها را به عنوان خودیهای مخرب جلوه دهد. مثلا مدیری را در نظر بگیرید که سهوا پایگاه داده حساس مشتری را به یک سرور عمومی کپی میکند. آموزش و مدیریت مناسب به منظور جلوگیری از چنین اشتباهاتی در کلاد بسیار اهمیت دارد.
تهدید شماره ۷: پارازیت APT
APT یا حملات پیشرفته پایدار به سیستم نفوذ میکنند تا از خود ردی برجای بگذارند و سپس به صورت پنهانی دادهها و داراییهای ناملموس را سرقت میکنند.APT معمولا به صورت جانبی در سرتاسر شبکه حرکت میکند و شناسایی آن دشوار است. تامینکنندگان کلاد به منظور جلوگیری از نفوذ APT به زیرساخت خود، از تکنیکهای پیشرفتهای استفاده میکنند. رایجترین روشهای ورودی APT شامل فیشینگ نوع Spear (spear phishing) ، حملات مستقیم، USBهای آلوده به بدافزار و شبکههای ثالث آلوده میشوند. توصیه اتحادیه امنیت سامانههای رایانش ابری در این خصوص آموزش کاربران برای تشخیص فنون فیشینگ است. برنامههای قوی معمولا کاربر را هشیار نگه میدارند و از ورود APT به شبکه جلوگیری میکنند. همچنین دپارتمان IT باید نسبت به حملات پیشرفته اخیر آگاه باشد. اقدامات امنیتی پیشرفته، مدیریت فرایند و آموزش پرسنل IT همگی باعث افزایش بودجه امنیتی میشوند. سازمانها باید این هزینهها را در مقابل خسارتهای اقتصادی وارده در اثر حملات APT بسنجند.
تهدید شماره ۸: حذف دائمی دادهها
بلوغ و تکامل کلاد باعث کاهش ریسک حذف دائمی دادهها در اثر خطای ارائهدهنده شده است. اما از دیرباز این امر پذیرفته شده است که هکرها میتوانند جهت آسیب به کسب و کار، دادهها را به صورت دائمی حذف کنند. باید بدانید که مرکز دادههای کلاد به اندازه سایر تسهیلات در معرض حملات قرار دارند.
توصیه ارائهدهندگان کلاد در این خصوص، توزیع دادهها و برنامهها در چندین بخش مختلف است. پشتیبانگیری (back-up) از دادها و استفاده از بهروشها ضروری هستند. پشتیبانگیری روزانه و انبارش off-site در محیطهای کلاد از اهمیت بالایی برخوردار هستند. مسئولیت جلوگیری از حذف داده بر دوش ارائهدهنده سرویس کلاد نیست. چنانچه مشتری قبل از آپلود دادهها بر روی کلاد، آنها را رمزنگاری کند، سپس باید از کلید رمزنگاری حفاظت کند. زمانیکه کلید فاش شود، دادها نیز فاش خواهند شد. خط مشیهای پذیرش اغلب قید میکنند که سازمانها باید تا چه مدت اسناد ممیزی و سایر اسناد را نگه دارند. حذف چنین دادههایی اغلب عواقبی دارد.
تهدید شماره ۹: دقت ناکافی
سازمانهایی که بدون درک کامل محیط و ریسکهای مرتبط با کلاد، از کلاد استفاده میکنند، با ریسکهای تجاری، مالی، فنی و قانونی بسیاری رو به رو هستند. چنانچه تیم توسعه شرکت با فناوریهای کلاد آشنایی نداشته باشد، مشکلات عملیاتی و معماری بسیاری به وجود میآید.
تهدید شماره ۱۰: سوء استفاده از سرویسهای کلاد
متجاوزان میتوانند از سرویسهای کلاد به منظور پشتیبانی فعالیتهای شرورانه استفاده کنند، مثلا از منابع رایانش ابری برای شکستن رمزنگاری استفاده کنند. سایر مثالها شامل حملات DDoS، فرستادن اسپم و ایمیلهای فیشینگ میشوند. تامینکنندگان کلاد باید این نوع سوء استفاده را شناسایی کنند و به مشتریها ابزاری ارائه دهند تا بتوانند سلامت محیط کلاد خود را نظارت کنند. اگر چه این امکان وجود دارد که مشتریها هدف مستقیم حملات نباشند، اما سوء استفاده از سرویسهای کلاد هنوز هم باعث مسائلی چون حذف داده و دردسترسبودن سرویس میشود.
تهدید شماره ۱۱: حملات DoS
حملات DoSاز مدتها پیش وجود داشتهاند اما محبوبیت و شهرت خود را به رایانش ابری مدیون هستند، چرا که اغلب بر در دسترس بودن اثر میگذارند. حمله منع سرویس یا DoS دقیقا به مانند گیر افتادن در ترافیکهای جادهای است یعنی اینکه برای رسیدن به مقصد هیچ کاری از دست شما بر نمیآید، جز اینکه منتظر بمانید. حملات DoS توان پردازش زیادی را مصرف میکنند و هزینههایی را بر دوش مشتری قرار میدهند. اگر چه حملات DoS بسیاری موجود هستند اما سازمانها باید در خصوص حملات DoS نامتقارن در سطح برنامه که حفرههای امنیتی وب سرور و پایگاه داده را هدف قرار میدهند، آگاهی پیدا کنند. تامینکنندگان کلاد به منظور کنترل حملات DoS بیشتر از مشتریان خود آماده هستند. تنها راه حل، برنامهریزی برای مقابله با حمله قبل از وقوع آن است.
تهدید شماره ۱۲: فناوری مشترک یعنی خطرات مشترک
حفرههای امنیتی فناوریهای مشترک باعث به وجود آمدن تهدیدهایی برای رایانش ابری میشوند. تامینکنندگان کلاد، زیرساخت، پلتفرم و برنامهها را به اشتراک میگذارند و چنانچه در هر یک از این لایهها حفره امنیتی به وجود بیاید، همه از آن اثر میپذیرند. چنانچه در یکی از مولفههای درونی، مثلا برنامه یا پلتفرم حفره امنیتی ایجاد شود، تمام محیط را در معرض نفوذ قرار میدهد. توصیه اتحادیه امنیت سامانههای رایانش ابری در این خصوص استفاده از استراتژیهای دفاعی مستحکم از قبیل احراز هویت چند عاملی بر روی تمام میزبانها، سیستمهای تشخیص نفوذ مبتنی بر میزبان و یا مبتنی بر شبکه، تقسیمبندی شبکه و منابع مشترک است.
منبع: InfoWorld
