ابرهای امن

۲۳ اردیبهشت ۱۳۹۰ - ۲۱:۱۲

امروزه، مفهوم پردازش ابري براي تمام جوامع IT به يک رؤيا تبديل شده است. زيرا نسبت به روش‌هاي سنتي توزيع و به‌كارگيري نرم‌افزارها  مزاياي فراواني دارد. با وجود اين، پردازش ابري پيش از تسخير بازار بايد راهي طولاني را طي كند. البته، اين مسئله به دلايل فني و تكنيكي نيست، بلكه به‌دليل نگرش  کاربران بالقوه محاسبات ابري به آن است.

واقعيت آن است که براي اغلب کاربران پردازش ابري يك مفهوم بسيار جالب، اما ناامن به‌شمار مي‌آيد. اگر بخواهيد سير تحولات مفهوم پردازش ابري را (كه برخلاف تصور عموم سابقه‌اي طولاني دارد) بررسي كنيد، متوجه مي‌شويد كه اين مفهوم، با امنيت اطلاعات ارتباط نزديكي دارد.  روون كهن بنيان‌گذار مؤسسه Enomaly و كارشناس‌ارشد فناوري به درستي در اين‌باره مي‌گويد: «مفهوم پردازش ابري در ابتدا توسط مجرمان اينترنتي تجربه‌شد. اين مجرمان حدود ده سال قبل براي رسيدن به اهداف خود شبكه‌هاي غيرمُجازي را ايجاد مي‌كردند.» اما به‌تازگي كاربران قابليت‌هاي پردازش ابري را براي رسيدن به اهداف قانوني خود به‌كار بسته‌اند و اين قابليت امروزه به يك فناوري مستقل تبديل شده است.

ماهيت «ابر»
پيش از پرداختن به جنبه‌هاي نوين امنيت و پردازش ابري اجازه دهيد به تعريف قديمي اين مفهوم نگاهي بياندازيم. در صنعت IT هنوزهم يك تعريف همه‌گير و متداول از مفهوم پردازش ابري وجود ندارد و اغلب متخصصان، تحليلگران و كاربران بسته به درك خود از اين مفهوم تعاريفي را به دست مي‌دهند. براي به‌دست آوردن يك تعريف دقيق‌تر بايد از ويژگي‌هاي عمومي اين فناوري خارج شده و به جنبه‌هاي اختصاصي آن بپردازيم. به‌طوركلي، پردازش ابري مفهومي است كه براساس آن تعدادي از منابع پردازشي (برنامه‌ها، پلتفرم‌ها يا زيرساخت‌ها) از طريق اينترنت در اختيار كاربر قرار مي‌گيرند. با وجود اين‌كه اين تعريف، ماهيت پردازش ابري را بيان مي‌كند، در عمل يك تعريف انتزاعي و گسترده است، زيرا مي‌توان هرچيزي را كه به‌گونه‌اي (حتي غيرمجاز) به اينترنت متصل است، در اين مفهوم جاي داد. پس اين تعريف بايد خاص‌تر باشد؛ براي رسيدن به چنين تعريفي ابتدا بايد نقش جوامع علمي و متخصصان را در مفهوم پردازش ابري مشخص كنيم.
پروژه‌اي كه با نام Above the Cloud توسط آزمايشگاه RAD در دانشگاه بركلي كاليفرنيا منتشر شد، سه ويژگي اصلي پردازش ابري را به شرح زير بيان مي‌كرد:
– تجسمي از  دسترسي به منابع نامحدود پردازشي که نياز كاربران را براي پيش‌بيني نيازهاي آتي و كسب آمادگي لازم را براي تأمين آن‌ها از بين مي‌برد.
– حذف محدوديت‌هاي كاربران پردازش ابري که امكان راه‌اندازي شركت‌هاي كوچك را فراهم مي‌كند و با افزايش نياز اين شركت‌ها كافي است كاربران تجهيزات سخت‌افزاري خود را افزايش دهند تا از منابع پردازشي بيشتري بهره برداري كنند.
– قابليت پرداخت هزينه در ازاي استفاده از منابع پردازشي ابري در بازه‌هاي زماني كوتاه (به‌فرض استفاده ساعتي از پردازنده‌ها و استفاده روزانه از هاردديسك‌ها) و عدم اشغال منابع در ساير مواقع، مزيتي است كه امكان استفاده از اين خدمات را براي سايرين نيز فراهم مي‌كند.
مشخصات لازم براي ساخت يك پلتفرم ابري مانند مجازي‌سازي، توزيع جهاني يا مقياس در واقع منطبق بر ويژگي‌هاي لازم براي پردازش ابري نيستند، اما در پياده‌سازي عملي آن تأثير به‌سزايي دارند. به‌ويژه استفاده از فناوري‌هاي مجازي‌سازي در ايجاد تصور «دسترسي به منابع نامحدود پردازشي» بسيار مؤثر است. ويژگي اصلي مورد نياز هر سرويس ابري، در واقع نوع منابعي است كه از طريق اينترنت در اختيار كاربران مي‌گذارد. مي‌توان تمام  سرويس‌هاي ابري را براساس اين منابع طبقه‌بندي كرد (شكل 1). هريك از اين طبقات عبارت «به‌عنوان خدمات» يا aaS *(سرنام as  a  Service) را به‌دنبال خود دارد كه در آن كاراكتر ستاره با يكي از حروف S، P،  I يا D جايگزين مي‌شود.

شكل 1
اصولاً پردازش ابري، منابع را از طريق اينترنت در اختيار كاربران مي‌گذارد و چنان‌كه پيش از اين گفته شد، سه ويژگي اصلي دارد.نوع منابعي كه در اختيار كاربران قرار مي‌گيرد نرم‌افزار (SaaS)، پلتفرم (PaaS)، زيرساخت (IaaS) يا تجهيزات ذخيره‌سازي (DaaS) است.

مشكلات امنيتي در سرويس‌هاي ابري
تقريباً تمام متخصصان اين صنعت، مفهوم پردازش ابري را براساس ديدگاه خود تفسير مي‌كنند. در نتيجه، پس از بررسي تعداد زيادي تحقيق و پروژه به انجام رسيده در اين‌باره، به‌احتمال به اين نتيجه مي‌رسيد كه در حوزه پردازش ابري هيچ استانداردي وجود ندارد. پرسش‌هاي مربوط به امنيت Skype (به‌عنوان يك سرويس ابري متداول) موجب تشويش خاطر صاحبان مشاغل درمورد نصب سرويس‌هاي SaaS شده است، در حالي كه سرويس Microsoft Live Mesh براي شركت‌هايي كه برنامه‌اي براي استفاده از آن نداشتند، در حال تبديل شدن به يك كابوس است.
به همين دليل تجزيه و تحليل كردن مشكل امنيت پردازش ابري به اجزاي كوچك‌تر سطح بالا اقدامي منطقي است. در نهايت هريك از جنبه‌هاي امنيتي سرويس‌هاي ابري را  در يكي از گروه‌هاي زير دسته‌بندي مي‌کنند:
– مشكلات امنيتي مربوط به سرويس‌هاي ابري و Web 2.0؛ به‌عنوان يك اصل مي‌توان گفت اين مشكلات بيش از امنيت سرويس‌هاي ابري به حريم خصوصي و حفاظت از اطلاعات شخصي كاربران مرتبط مي‌شوند. در سرويس‌هاي عرضه‌شده توسط اغلب سرويس‌دهندگان اصلي اينترنت نيز مشكلات مشابهي به چشم مي‌خورند. به‌عنوان مثال، مي‌توان به شکايت‌هاي متعددي اشاره کرد كه در رابطه با رديابي اطلاعات كاربران، عليه شركت‌هاي گوگل و مايكروسافت مطرح مي‌شود.
– مشكلات امنيتي سازماني كه از محبوبيت سرويس‌هاي ابري ناشي مي‌شوند. معمولاً گپ‌زني كارمندان شركت‌ها درباره موضوعات محرمانه سازماني كه در شبكه‌هاي اجتماعي مجزايي انجام مي‌شود، براي سازمان‌هاي متبوع آن‌ها مشكل‌ساز مي‌شود.
– مشكلات امنيتي پردازش ابري كه به استفاده سازماني از اين سرويس‌ها، به ويژه SaaS، مربوط مي‌شود.
– مشكلاتي كه به استفاده از مفهوم پردازش ابري به راهکار‌هاي ايمن‌سازي اطلاعات مربوط مي‌شود.
به‌منظور اجتناب از سردرگمي و تناقض‌گويي تنها گروه سوم از مشكلات فوق را مورد بررسي قرار مي‌دهيم؛ زيرا اين گروه از مشكلات در حقيقت، جدي‌ترين مشكلات امنيتي هستند كه سيستم اطلاعاتي سازمان‌ها با آن مواجه است. سرويس‌هاي ابري توانسته‌اند كاربران اينترنت را جذب كنند و هيچ تهديد امنيتي وجود ندارد كه بتواند اين روند را تغيير دهد. موضوع جنجال‌برانگيز اين است كه پردازش ابري چگونه مي‌تواند به يك سكوي سازماني براي شركت‌هاي كوچك، متوسط و حتي سازمان‌هاي بزرگ چندمليتي تبديل شود.

تجزيه و تحليل سرويس‌هاي ابري سازماني
يكي از تحليل‌گران مؤسسه IDC كه در ماه فوريه 2009 در انجمن پردازش ابري IDC سخنراني كرد، مي‌گويد: «مهم‌ترين نگراني سازمان‌هايي كه تمايل دارند از سرويس‌هاي ابري استفاده‌کنند، امنيت اطلاعات است. براساس اظهارات IDC، حدود 75 درصد از مديران IT نگران امنيت سرويس‌هاي پردازش ابري هستند.»
به‌منظور درك علت بايد مشكلات امنيتي را به بخش‌هاي كوچك‌تر تجزيه‌كنيم. در سازمان‌هايي كه از سرويس‌هاي پردازش ابري استفاده مي‌كنند، تمام مشكلات امنيتي در سه گروه اصلي جاي مي‌گيرند:
– امنيت پلتفرمي كه در اقامتگاه سرويس‌دهنده ابري قرار دارد.
– امنيت ايستگاه‌هاي كاري (نقاط انتهايي) كه در اقامتگاه كلاينت‌ها قرار دارد.
– امنيت داده‌هايي كه از نقاط انتهايي به پلتفرم ارسال مي‌شود.
آخرين نگراني امنيتي يادشده كه همان امنيت داده‌اي انتقالي است، عملاً با استفاده از تكنيك‌هاي كدگذاري، اتصالات ايمن و VPN حل شده است. تقريباً تمام سرويس‌هاي جديد ابري از اين سازوكارها پشتيباني مي‌كنند و امروزه انتقال اطلاعات از نقاط نهايي به پلتفرم‌ها در يك فرآيند كاملاً ايمن انجام مي‌گيرد.

پلتفرم: مشكلات امنيتي مربوط به اعتبارسنجي و كاركرد سيستم
امروزه، بزرگ‌ترين كابوس مديران IT وجود مشكلات امنيتي مربوط به عملكرد پلتفرم‌هاي سرويس‌دهنده است. براي اغلب اين افراد، يافتن شيوه مناسبي براي تأمين امنيت سيستمي كه امكان كنترل مستقيم آن وجود ندارد، فرآيند ساده‌اي نيست. پلتفرم سرويس‌هاي ابري به‌شكل يك سيستم متمركز در اقامتگاه يك سازمان متفرقه‌اي‌است، بلكه اغلب در يك ديتاسنتر ناشناخته در كشوري نامعلوم قرار گرفته است. به عبارت ديگر، اصلي‌ترين مشكل امنيتي پردازش ابري از وجود اشكال در اعتبار (و اعتبارسنجي) سرويس‌دهندگان ناشي مي‌شود و در واقع دنباله همان مشكلاتي است كه در جريان محول كردن بخشي از امور سازمان‌ها به تأمين‌كنندگان خارجي بروز مي‌كند؛ متخصصان و مديران سازمان‌ها با محول كردن امور حياتي مانند تأمين امنيت اطلاعات كاري خود به تأمين‌كنندگان خارجي نامأنوس هستند.  به هر حال مي‌توان مطمئن بود كه اين مشكل نيز مانند مشكلات قبلي مربوط به تفويض اختيار انجام امور داخلي سازمان‌ها به تأمين‌كنندگان متفرقه رفع شده و تمام نگراني‌هاي موجود درباره امنيت منابع از بين مي‌رود.
حال اين اظهارات برچه اساسي است؟ پيش از هرچيز، تأمين امنيت مرکز داده‌اي كه دربرگيرنده منابع پردازشي هستند، براي سرويس‌دهندگان بسيار ساده‌تر است. علت اين امر ويژگي توزيع‌شدگي (مقياس) پردازش ابري است. از آنجا كه سرويس‌دهندگان، خدمات خود را به تعداد زيادي از كاربران عرضه مي‌كنند، امكان تأمين امنيت تمام كاربران را به‌طور همزمان دارند و در نتيجه مي‌توانند از رويكردهاي امنيتي مؤثرتر و پيچيده‌تر بهره بگيرند. البته، شركت‌هاي گوگل و مايكروسافت نسبت به شركت‌هاي كوچك و حتي مؤسسات بزرگي كه از مراکزداده اختصاصي استفاده مي‌كنند، منابع و امكانات بيشتري را براي تأمين امنيت اطلاعات در اختيار دارند.
دوم اين كه استفاده از سرويس‌هاي ابري بين سازمان‌هاي مشتري و سرويس‌دهنده همواره براساس كيفيت مورد توافق طرفين در قراردادهايي انجام مي‌شود كه تمام مسئوليت‌هاي سرويس‌دهنده را در رابطه با مشكلات امنيتي پيش‌بيني كرده‌اند. سوم اين كه ادامه كار سرويس‌دهندگان به‌طورمستقيم به سوابق كاري آنان مربوط است و به همين دليل، همواره سعي مي‌كنند امنيت اطلاعات را در بالاترين سطح ممكن تأمين كنند.
مشتري‌هاي پلتفرم‌هاي ابري علاوه بر مشكلات اعتباري و ارزيابي اعتبار، در مورد مشكلات امنيتي مربوط به نحوه عملكرد سيستم‌هاي ابري نيز نگراني‌هايي دارند. با وجود اين كه بسياري از سيستم‌هاي خانگي (در نتيجه تكامل درازمدت) از اين ويژگي برخوردارند، هنگام استفاده از سرويس‌هاي ابري، اوضاع بسيار پيچيده‌تر مي‌شود.
مؤسسه تحقيقاتي گارتنر در يك مقاله كوتاه با عنوان «ارزيابي خطرات امنيتي پردازش ابري» به بررسي هفت مورد از مهم‌ترين مشكلات امنيتي سرويس‌هاي ابري مي‌پردازد. اغلب اين مشكلات به نحوه عملكرد سيستم‌هاي ابري مربوط مي‌شوند. مؤسسه گارتنر به‌ويژه بررسي سيستم‌هاي ابري را از جنبه‌هاي توزيع حق دسترسي به اطلاعات، قابليت‌هاي بازيابي اطلاعات، پشتيباني‌هاي تحقيقي و بازبيني‌هاي دوره‌اي توصيه مي‌كند.
آيا محدوديتي وجود دارد كه پياده‌سازي عملي اين ويژگي‌ها را غيرممكن كند؟ پاسخ قطعاً منفي است. هر اقدامي كه امكان انجام آن در يك سازمان وجود دارد، انجام آن توسط يك سيستم ابري نيز امكان‌پذير است. اصولاً مشكلات امنيتي به نحوه طراحي محصولات و سرويس‌هاي ابري بستگي دارند. پيش از ورود به بحث امنيت پلتفرم‌هاي پردازش ابري بايد مشكلات قانوني و مميزي مهمي را برطرف كنيد. مشكل زماني بروز مي‌كند كه تفكيك اطلاعات بين كلاينت يک سرويس‌دهنده در يک محيط ابري انجام مي‌شود و اين تفكيك معمولاً فرآيند اطمينان از رعايت قوانين مدون و استانداردها را پيچيده‌تر مي‌كند. با وجود اين كه مشكل مذكور بسيار بااهميت است، شكي وجود ندارد كه اين مشكل نيز دير يا زود حل مي‌شود. از يك طرف با توسعه پردازش ابري، فناوري‌هاي مورد استفاده براي نظارت بر اجراي قوانين نيز بهبود مي‌يابد. از طرف ديگر قانون‌گذاران پيچيدگي‌هاي فني محيط پردازش ابري را در قوانين جدي درنظر مي‌گيرند.
به‌طور خلاصه، نگراني‌هاي موجود در رابطه با امنيت اطلاعات تا جايي كه به بخش پلتفرم از محيط پردازش ابري مربوط مي‌شود، ما را به اين نتيجه مي‌رساند كه بالاخره تمام مشكلات شناسايي‌شده توسط‌كاربران امروزي سيستم‌هاي ابري، به طور موفقيت‌آميز برطرف خواهد شد. در پردازش ابري هيچ نوع محدوديت انتزاعي وجود ندارد.

نقاط انتهايي: ادامه مشكلات و وخيم‌تر شدن اوضاع
در يک «دنياي ابري» ايده‌آل از آنجا كه اطلاعات درون تجهيزات ذخيره نمي‌شود، امنيت پردازش ابري در سطح پلتفرم و از طريق ارتباط با تجهيزات جانبي تأمين مي‌شود. اين مدل هنوز براي استفاده عملي مناسب نيست و اطلاعاتي كه به پلتفرم مي‌رسد، در حقيقت، در نقاط انتهايي سيستم ساخته، پردازش و ذخيره مي‌شود.
به‌اين ترتيب به نظر مي‌رسد، تجهيزات جانبي محيط‌هاي ابري همواره درگير مشكلات امنيتي خواهند بود. در حقيقت، براساس يك تئوري قوي‌تر اين مشكلات به مرورزمان وخيم‌ترهم مي‌شوند. براي درك بهتر علت ماجرا اجازه دهيد بعضي از مدل‌هاي پردازش خانگي اطلاعات را در قالب نمودار با شرايط محيط‌ابري مقايسه‌كنيم (شكل‌هاي‌ 2 و 3).

شكل 2- تهديدات امنيتي مربوط به مدل سنتي اجراي نرم‌افزارها

 

شكل 3- تهديدات امنيتي در يك محيط ابري سازماني
در هر مورد، اغلب تهديدات امنيتي از جانب شبكه‌ جهاني و ورود به زيرساخت سازماني كلاينت ايجاد مي‌شوند. در سيستم خانگي مشكل اصلي هنگام تعامل با پلتفرم بروز مي‌كند، اما در محيط ابري نقاط انتهايي محافظت نشده دچار مشكلات امنيتي مي‌شوند. چنان‌كه پيش از اين گفته‌شد، سطح امنيتي پلتفرم‌هاي‌ابري‌جهاني مانند گوگل و مايكروسافت به دليل بهره‌مندي از امكانات و قابليت‌هاي بسيار زياد، متخصصان حرفه‌اي و منابع نامحدود بسيار بالاتر از سطح امنيتي است كه توسط سيستم‌هاي مستقل سازماني تأمين مي‌شود. به همين دليل، مهاجمان خارجي از بي‌نتيجه ماندن حمله‌هاي خود نسبت به سرويس‌دهندگان حفاظت شده اطمينان دارند.  در نتيجه، مجرمان دنياي مجازي حمله‌هاي خود را متوجه تجهيزات جانبي دنياي ابري مي‌كنند. مفهوم اصلي پردازش ابري كه شامل دسترسي هميشگي و بدون محدوديت مكاني به يك پلتفرم است، احتمال وقوع چنين وقايعي را افزايش مي‌دهد.
با بررسي تعداد حمله‌ها به كامپيوترهايي كه در نقاط انتهايي سيستم قرار دارند، سرويس‌هاي امنيتي اطلاعات سازماني بايد به گونه‌اي تغيير كنند كه بتوانند از تجهيزات جانبي محيط ابري محافظت كنند. انجام اين كار براي تأمين امنيت اطلاعات سازماني حياتي است.جوزف توبولسكي مدير بخش پردازش‌ابري در مؤسسه Accenture مي‌گويد: «تصور مي‌كنم بسياري از اعتراضاتي كه نسبت به پردازش ابري مطرح شده‌است، ريشه‌هاي احساسي دارد و در واقع نوعي عكس‌العمل افراد نسبت به اين فناوري است.»
داگ منافي مدير عامل Shumacher Group نيز با جنبه‌هاي احساسي موضوع آشنايي دارد. او مي‌گويد: «بخش IT شركت با فهرستي حاوي صد مورد از اقلام موردنياز امنيتي به سراغ من آمدند. با ديدن فهرست به خود گفتم، اغلب اين موارد حتي در ديتاسنتر اختصاصي ما نيز وجود ندارد.»
تصميم‌گيري درباره استفاده از پردازش ابري مانند رانندگي با يك اتومبيل براي نخستين‌بار است. از يك طرف احتمالاً بسياري از آشنايان شما اين مرحله را پشت‌سر گذاشته‌اند، اما از طرف ديگر وارد شدن به يك بزرگراه شلوغ براي اولين بار، مي‌تواند تجربه ترسناكي باشد. به‌ويژه اين‌كه هرروز در خبرها داستان‌هاي وحشتناكي درباره تصادفات اتومبيل به‌گوش مي‌رسد. با تمام اين اوصاف، رانندگي در بزرگراه خطرناك‌تر از نوشيدن قهوه در يك قطار درحال حركت يا ايستادن در ايستگاه اتوبوس نيست.
وضعيت پردازش ابري شباهت زيادي به وضعيت استفاده از نرم‌افزارها به شيوه سنتي دارد. محيط ابري نيازمند توجه به امنيت اطلاعات است، اما كاملاً مطمئن هستيم كه براي مشكلات فعلي، راه‌حل‌هاي مناسبي وجود دارد. در مورد امنيت محيط ابري، نكات مهمي وجود دارد كه اصولاً اولويت‌هاي متفاوتي (از حفاظت محيطي گرفته تا محافظت از تجهيزات جانبي) دارند. با وجود اين، اگر توسعه‌دهندگان ابزارهاي تأمين امنيت اطلاعات، شركت‌ها را در حل اين مشكلات ياري كنند، محيط ابري آينده‌اي روشن خواهد داشت.

منبع : شبکه

0
0

بیشتر بخوانید



نظرات

دیدگاهتان را بنویسید