ابرهای امن

امروزه، مفهوم پردازش ابری برای تمام جوامع IT به یک رؤیا تبدیل شده است. زیرا نسبت به روش‌های سنتی توزیع و به‌کارگیری نرم‌افزارها  مزایای فراوانی دارد. با وجود این، پردازش ابری پیش از تسخیر بازار باید راهی طولانی را طی کند. البته، این مسئله به دلایل فنی و تکنیکی نیست، بلکه به‌دلیل نگرش  کاربران بالقوه محاسبات ابری به آن است.

واقعیت آن است که برای اغلب کاربران پردازش ابری یک مفهوم بسیار جالب، اما ناامن به‌شمار می‌آید. اگر بخواهید سیر تحولات مفهوم پردازش ابری را (که برخلاف تصور عموم سابقه‌ای طولانی دارد) بررسی کنید، متوجه می‌شوید که این مفهوم، با امنیت اطلاعات ارتباط نزدیکی دارد.  روون کهن بنیان‌گذار مؤسسه Enomaly و کارشناس‌ارشد فناوری به درستی در این‌باره می‌گوید: «مفهوم پردازش ابری در ابتدا توسط مجرمان اینترنتی تجربه‌شد. این مجرمان حدود ده سال قبل برای رسیدن به اهداف خود شبکه‌های غیرمُجازی را ایجاد می‌کردند.» اما به‌تازگی کاربران قابلیت‌های پردازش ابری را برای رسیدن به اهداف قانونی خود به‌کار بسته‌اند و این قابلیت امروزه به یک فناوری مستقل تبدیل شده است.

ماهیت «ابر»
پیش از پرداختن به جنبه‌های نوین امنیت و پردازش ابری اجازه دهید به تعریف قدیمی این مفهوم نگاهی بیاندازیم. در صنعت IT هنوزهم یک تعریف همه‌گیر و متداول از مفهوم پردازش ابری وجود ندارد و اغلب متخصصان، تحلیلگران و کاربران بسته به درک خود از این مفهوم تعاریفی را به دست می‌دهند. برای به‌دست آوردن یک تعریف دقیق‌تر باید از ویژگی‌های عمومی این فناوری خارج شده و به جنبه‌های اختصاصی آن بپردازیم. به‌طورکلی، پردازش ابری مفهومی است که براساس آن تعدادی از منابع پردازشی (برنامه‌ها، پلتفرم‌ها یا زیرساخت‌ها) از طریق اینترنت در اختیار کاربر قرار می‌گیرند. با وجود این‌که این تعریف، ماهیت پردازش ابری را بیان می‌کند، در عمل یک تعریف انتزاعی و گسترده است، زیرا می‌توان هرچیزی را که به‌گونه‌ای (حتی غیرمجاز) به اینترنت متصل است، در این مفهوم جای داد. پس این تعریف باید خاص‌تر باشد؛ برای رسیدن به چنین تعریفی ابتدا باید نقش جوامع علمی و متخصصان را در مفهوم پردازش ابری مشخص کنیم.
پروژه‌ای که با نام Above the Cloud توسط آزمایشگاه RAD در دانشگاه برکلی کالیفرنیا منتشر شد، سه ویژگی اصلی پردازش ابری را به شرح زیر بیان می‌کرد:
– تجسمی از  دسترسی به منابع نامحدود پردازشی که نیاز کاربران را برای پیش‌بینی نیازهای آتی و کسب آمادگی لازم را برای تأمین آن‌ها از بین می‌برد.
– حذف محدودیت‌های کاربران پردازش ابری که امکان راه‌اندازی شرکت‌های کوچک را فراهم می‌کند و با افزایش نیاز این شرکت‌ها کافی است کاربران تجهیزات سخت‌افزاری خود را افزایش دهند تا از منابع پردازشی بیشتری بهره برداری کنند.
– قابلیت پرداخت هزینه در ازای استفاده از منابع پردازشی ابری در بازه‌های زمانی کوتاه (به‌فرض استفاده ساعتی از پردازنده‌ها و استفاده روزانه از هارددیسک‌ها) و عدم اشغال منابع در سایر مواقع، مزیتی است که امکان استفاده از این خدمات را برای سایرین نیز فراهم می‌کند.
مشخصات لازم برای ساخت یک پلتفرم ابری مانند مجازی‌سازی، توزیع جهانی یا مقیاس در واقع منطبق بر ویژگی‌های لازم برای پردازش ابری نیستند، اما در پیاده‌سازی عملی آن تأثیر به‌سزایی دارند. به‌ویژه استفاده از فناوری‌های مجازی‌سازی در ایجاد تصور «دسترسی به منابع نامحدود پردازشی» بسیار مؤثر است. ویژگی اصلی مورد نیاز هر سرویس ابری، در واقع نوع منابعی است که از طریق اینترنت در اختیار کاربران می‌گذارد. می‌توان تمام  سرویس‌های ابری را براساس این منابع طبقه‌بندی کرد (شکل ۱). هریک از این طبقات عبارت «به‌عنوان خدمات» یا aaS *(سرنام as  a  Service) را به‌دنبال خود دارد که در آن کاراکتر ستاره با یکی از حروف S، P،  I یا D جایگزین می‌شود.

شکل ۱
اصولاً پردازش ابری، منابع را از طریق اینترنت در اختیار کاربران می‌گذارد و چنان‌که پیش از این گفته شد، سه ویژگی اصلی دارد.نوع منابعی که در اختیار کاربران قرار می‌گیرد نرم‌افزار (SaaS)، پلتفرم (PaaS)، زیرساخت (IaaS) یا تجهیزات ذخیره‌سازی (DaaS) است.

مشکلات امنیتی در سرویس‌های ابری
تقریباً تمام متخصصان این صنعت، مفهوم پردازش ابری را براساس دیدگاه خود تفسیر می‌کنند. در نتیجه، پس از بررسی تعداد زیادی تحقیق و پروژه به انجام رسیده در این‌باره، به‌احتمال به این نتیجه می‌رسید که در حوزه پردازش ابری هیچ استانداردی وجود ندارد. پرسش‌های مربوط به امنیت Skype (به‌عنوان یک سرویس ابری متداول) موجب تشویش خاطر صاحبان مشاغل درمورد نصب سرویس‌های SaaS شده است، در حالی که سرویس Microsoft Live Mesh برای شرکت‌هایی که برنامه‌ای برای استفاده از آن نداشتند، در حال تبدیل شدن به یک کابوس است.
به همین دلیل تجزیه و تحلیل کردن مشکل امنیت پردازش ابری به اجزای کوچک‌تر سطح بالا اقدامی منطقی است. در نهایت هریک از جنبه‌های امنیتی سرویس‌های ابری را  در یکی از گروه‌های زیر دسته‌بندی می‌کنند:
– مشکلات امنیتی مربوط به سرویس‌های ابری و Web 2.0؛ به‌عنوان یک اصل می‌توان گفت این مشکلات بیش از امنیت سرویس‌های ابری به حریم خصوصی و حفاظت از اطلاعات شخصی کاربران مرتبط می‌شوند. در سرویس‌های عرضه‌شده توسط اغلب سرویس‌دهندگان اصلی اینترنت نیز مشکلات مشابهی به چشم می‌خورند. به‌عنوان مثال، می‌توان به شکایت‌های متعددی اشاره کرد که در رابطه با ردیابی اطلاعات کاربران، علیه شرکت‌های گوگل و مایکروسافت مطرح می‌شود.
– مشکلات امنیتی سازمانی که از محبوبیت سرویس‌های ابری ناشی می‌شوند. معمولاً گپ‌زنی کارمندان شرکت‌ها درباره موضوعات محرمانه سازمانی که در شبکه‌های اجتماعی مجزایی انجام می‌شود، برای سازمان‌های متبوع آن‌ها مشکل‌ساز می‌شود.
– مشکلات امنیتی پردازش ابری که به استفاده سازمانی از این سرویس‌ها، به ویژه SaaS، مربوط می‌شود.
– مشکلاتی که به استفاده از مفهوم پردازش ابری به راهکار‌های ایمن‌سازی اطلاعات مربوط می‌شود.
به‌منظور اجتناب از سردرگمی و تناقض‌گویی تنها گروه سوم از مشکلات فوق را مورد بررسی قرار می‌دهیم؛ زیرا این گروه از مشکلات در حقیقت، جدی‌ترین مشکلات امنیتی هستند که سیستم اطلاعاتی سازمان‌ها با آن مواجه است. سرویس‌های ابری توانسته‌اند کاربران اینترنت را جذب کنند و هیچ تهدید امنیتی وجود ندارد که بتواند این روند را تغییر دهد. موضوع جنجال‌برانگیز این است که پردازش ابری چگونه می‌تواند به یک سکوی سازمانی برای شرکت‌های کوچک، متوسط و حتی سازمان‌های بزرگ چندملیتی تبدیل شود.

تجزیه و تحلیل سرویس‌های ابری سازمانی
یکی از تحلیل‌گران مؤسسه IDC که در ماه فوریه ۲۰۰۹ در انجمن پردازش ابری IDC سخنرانی کرد، می‌گوید: «مهم‌ترین نگرانی سازمان‌هایی که تمایل دارند از سرویس‌های ابری استفاده‌کنند، امنیت اطلاعات است. براساس اظهارات IDC، حدود ۷۵ درصد از مدیران IT نگران امنیت سرویس‌های پردازش ابری هستند.»
به‌منظور درک علت باید مشکلات امنیتی را به بخش‌های کوچک‌تر تجزیه‌کنیم. در سازمان‌هایی که از سرویس‌های پردازش ابری استفاده می‌کنند، تمام مشکلات امنیتی در سه گروه اصلی جای می‌گیرند:
– امنیت پلتفرمی که در اقامتگاه سرویس‌دهنده ابری قرار دارد.
– امنیت ایستگاه‌های کاری (نقاط انتهایی) که در اقامتگاه کلاینت‌ها قرار دارد.
– امنیت داده‌هایی که از نقاط انتهایی به پلتفرم ارسال می‌شود.
آخرین نگرانی امنیتی یادشده که همان امنیت داده‌ای انتقالی است، عملاً با استفاده از تکنیک‌های کدگذاری، اتصالات ایمن و VPN حل شده است. تقریباً تمام سرویس‌های جدید ابری از این سازوکارها پشتیبانی می‌کنند و امروزه انتقال اطلاعات از نقاط نهایی به پلتفرم‌ها در یک فرآیند کاملاً ایمن انجام می‌گیرد.

پلتفرم: مشکلات امنیتی مربوط به اعتبارسنجی و کارکرد سیستم
امروزه، بزرگ‌ترین کابوس مدیران IT وجود مشکلات امنیتی مربوط به عملکرد پلتفرم‌های سرویس‌دهنده است. برای اغلب این افراد، یافتن شیوه مناسبی برای تأمین امنیت سیستمی که امکان کنترل مستقیم آن وجود ندارد، فرآیند ساده‌ای نیست. پلتفرم سرویس‌های ابری به‌شکل یک سیستم متمرکز در اقامتگاه یک سازمان متفرقه‌ای‌است، بلکه اغلب در یک دیتاسنتر ناشناخته در کشوری نامعلوم قرار گرفته است. به عبارت دیگر، اصلی‌ترین مشکل امنیتی پردازش ابری از وجود اشکال در اعتبار (و اعتبارسنجی) سرویس‌دهندگان ناشی می‌شود و در واقع دنباله همان مشکلاتی است که در جریان محول کردن بخشی از امور سازمان‌ها به تأمین‌کنندگان خارجی بروز می‌کند؛ متخصصان و مدیران سازمان‌ها با محول کردن امور حیاتی مانند تأمین امنیت اطلاعات کاری خود به تأمین‌کنندگان خارجی نامأنوس هستند.  به هر حال می‌توان مطمئن بود که این مشکل نیز مانند مشکلات قبلی مربوط به تفویض اختیار انجام امور داخلی سازمان‌ها به تأمین‌کنندگان متفرقه رفع شده و تمام نگرانی‌های موجود درباره امنیت منابع از بین می‌رود.
حال این اظهارات برچه اساسی است؟ پیش از هرچیز، تأمین امنیت مرکز داده‌ای که دربرگیرنده منابع پردازشی هستند، برای سرویس‌دهندگان بسیار ساده‌تر است. علت این امر ویژگی توزیع‌شدگی (مقیاس) پردازش ابری است. از آنجا که سرویس‌دهندگان، خدمات خود را به تعداد زیادی از کاربران عرضه می‌کنند، امکان تأمین امنیت تمام کاربران را به‌طور همزمان دارند و در نتیجه می‌توانند از رویکردهای امنیتی مؤثرتر و پیچیده‌تر بهره بگیرند. البته، شرکت‌های گوگل و مایکروسافت نسبت به شرکت‌های کوچک و حتی مؤسسات بزرگی که از مراکزداده اختصاصی استفاده می‌کنند، منابع و امکانات بیشتری را برای تأمین امنیت اطلاعات در اختیار دارند.
دوم این که استفاده از سرویس‌های ابری بین سازمان‌های مشتری و سرویس‌دهنده همواره براساس کیفیت مورد توافق طرفین در قراردادهایی انجام می‌شود که تمام مسئولیت‌های سرویس‌دهنده را در رابطه با مشکلات امنیتی پیش‌بینی کرده‌اند. سوم این که ادامه کار سرویس‌دهندگان به‌طورمستقیم به سوابق کاری آنان مربوط است و به همین دلیل، همواره سعی می‌کنند امنیت اطلاعات را در بالاترین سطح ممکن تأمین کنند.
مشتری‌های پلتفرم‌های ابری علاوه بر مشکلات اعتباری و ارزیابی اعتبار، در مورد مشکلات امنیتی مربوط به نحوه عملکرد سیستم‌های ابری نیز نگرانی‌هایی دارند. با وجود این که بسیاری از سیستم‌های خانگی (در نتیجه تکامل درازمدت) از این ویژگی برخوردارند، هنگام استفاده از سرویس‌های ابری، اوضاع بسیار پیچیده‌تر می‌شود.
مؤسسه تحقیقاتی گارتنر در یک مقاله کوتاه با عنوان «ارزیابی خطرات امنیتی پردازش ابری» به بررسی هفت مورد از مهم‌ترین مشکلات امنیتی سرویس‌های ابری می‌پردازد. اغلب این مشکلات به نحوه عملکرد سیستم‌های ابری مربوط می‌شوند. مؤسسه گارتنر به‌ویژه بررسی سیستم‌های ابری را از جنبه‌های توزیع حق دسترسی به اطلاعات، قابلیت‌های بازیابی اطلاعات، پشتیبانی‌های تحقیقی و بازبینی‌های دوره‌ای توصیه می‌کند.
آیا محدودیتی وجود دارد که پیاده‌سازی عملی این ویژگی‌ها را غیرممکن کند؟ پاسخ قطعاً منفی است. هر اقدامی که امکان انجام آن در یک سازمان وجود دارد، انجام آن توسط یک سیستم ابری نیز امکان‌پذیر است. اصولاً مشکلات امنیتی به نحوه طراحی محصولات و سرویس‌های ابری بستگی دارند. پیش از ورود به بحث امنیت پلتفرم‌های پردازش ابری باید مشکلات قانونی و ممیزی مهمی را برطرف کنید. مشکل زمانی بروز می‌کند که تفکیک اطلاعات بین کلاینت یک سرویس‌دهنده در یک محیط ابری انجام می‌شود و این تفکیک معمولاً فرآیند اطمینان از رعایت قوانین مدون و استانداردها را پیچیده‌تر می‌کند. با وجود این که مشکل مذکور بسیار بااهمیت است، شکی وجود ندارد که این مشکل نیز دیر یا زود حل می‌شود. از یک طرف با توسعه پردازش ابری، فناوری‌های مورد استفاده برای نظارت بر اجرای قوانین نیز بهبود می‌یابد. از طرف دیگر قانون‌گذاران پیچیدگی‌های فنی محیط پردازش ابری را در قوانین جدی درنظر می‌گیرند.
به‌طور خلاصه، نگرانی‌های موجود در رابطه با امنیت اطلاعات تا جایی که به بخش پلتفرم از محیط پردازش ابری مربوط می‌شود، ما را به این نتیجه می‌رساند که بالاخره تمام مشکلات شناسایی‌شده توسط‌کاربران امروزی سیستم‌های ابری، به طور موفقیت‌آمیز برطرف خواهد شد. در پردازش ابری هیچ نوع محدودیت انتزاعی وجود ندارد.

نقاط انتهایی: ادامه مشکلات و وخیم‌تر شدن اوضاع
در یک «دنیای ابری» ایده‌آل از آنجا که اطلاعات درون تجهیزات ذخیره نمی‌شود، امنیت پردازش ابری در سطح پلتفرم و از طریق ارتباط با تجهیزات جانبی تأمین می‌شود. این مدل هنوز برای استفاده عملی مناسب نیست و اطلاعاتی که به پلتفرم می‌رسد، در حقیقت، در نقاط انتهایی سیستم ساخته، پردازش و ذخیره می‌شود.
به‌این ترتیب به نظر می‌رسد، تجهیزات جانبی محیط‌های ابری همواره درگیر مشکلات امنیتی خواهند بود. در حقیقت، براساس یک تئوری قوی‌تر این مشکلات به مرورزمان وخیم‌ترهم می‌شوند. برای درک بهتر علت ماجرا اجازه دهید بعضی از مدل‌های پردازش خانگی اطلاعات را در قالب نمودار با شرایط محیط‌ابری مقایسه‌کنیم (شکل‌های‌ ۲ و ۳).

شکل ۲- تهدیدات امنیتی مربوط به مدل سنتی اجرای نرم‌افزارها

شکل ۳- تهدیدات امنیتی در یک محیط ابری سازمانی
در هر مورد، اغلب تهدیدات امنیتی از جانب شبکه‌ جهانی و ورود به زیرساخت سازمانی کلاینت ایجاد می‌شوند. در سیستم خانگی مشکل اصلی هنگام تعامل با پلتفرم بروز می‌کند، اما در محیط ابری نقاط انتهایی محافظت نشده دچار مشکلات امنیتی می‌شوند. چنان‌که پیش از این گفته‌شد، سطح امنیتی پلتفرم‌های‌ابری‌جهانی مانند گوگل و مایکروسافت به دلیل بهره‌مندی از امکانات و قابلیت‌های بسیار زیاد، متخصصان حرفه‌ای و منابع نامحدود بسیار بالاتر از سطح امنیتی است که توسط سیستم‌های مستقل سازمانی تأمین می‌شود. به همین دلیل، مهاجمان خارجی از بی‌نتیجه ماندن حمله‌های خود نسبت به سرویس‌دهندگان حفاظت شده اطمینان دارند.  در نتیجه، مجرمان دنیای مجازی حمله‌های خود را متوجه تجهیزات جانبی دنیای ابری می‌کنند. مفهوم اصلی پردازش ابری که شامل دسترسی همیشگی و بدون محدودیت مکانی به یک پلتفرم است، احتمال وقوع چنین وقایعی را افزایش می‌دهد.
با بررسی تعداد حمله‌ها به کامپیوترهایی که در نقاط انتهایی سیستم قرار دارند، سرویس‌های امنیتی اطلاعات سازمانی باید به گونه‌ای تغییر کنند که بتوانند از تجهیزات جانبی محیط ابری محافظت کنند. انجام این کار برای تأمین امنیت اطلاعات سازمانی حیاتی است.جوزف توبولسکی مدیر بخش پردازش‌ابری در مؤسسه Accenture می‌گوید: «تصور می‌کنم بسیاری از اعتراضاتی که نسبت به پردازش ابری مطرح شده‌است، ریشه‌های احساسی دارد و در واقع نوعی عکس‌العمل افراد نسبت به این فناوری است.»
داگ منافی مدیر عامل Shumacher Group نیز با جنبه‌های احساسی موضوع آشنایی دارد. او می‌گوید: «بخش IT شرکت با فهرستی حاوی صد مورد از اقلام موردنیاز امنیتی به سراغ من آمدند. با دیدن فهرست به خود گفتم، اغلب این موارد حتی در دیتاسنتر اختصاصی ما نیز وجود ندارد.»
تصمیم‌گیری درباره استفاده از پردازش ابری مانند رانندگی با یک اتومبیل برای نخستین‌بار است. از یک طرف احتمالاً بسیاری از آشنایان شما این مرحله را پشت‌سر گذاشته‌اند، اما از طرف دیگر وارد شدن به یک بزرگراه شلوغ برای اولین بار، می‌تواند تجربه ترسناکی باشد. به‌ویژه این‌که هرروز در خبرها داستان‌های وحشتناکی درباره تصادفات اتومبیل به‌گوش می‌رسد. با تمام این اوصاف، رانندگی در بزرگراه خطرناک‌تر از نوشیدن قهوه در یک قطار درحال حرکت یا ایستادن در ایستگاه اتوبوس نیست.
وضعیت پردازش ابری شباهت زیادی به وضعیت استفاده از نرم‌افزارها به شیوه سنتی دارد. محیط ابری نیازمند توجه به امنیت اطلاعات است، اما کاملاً مطمئن هستیم که برای مشکلات فعلی، راه‌حل‌های مناسبی وجود دارد. در مورد امنیت محیط ابری، نکات مهمی وجود دارد که اصولاً اولویت‌های متفاوتی (از حفاظت محیطی گرفته تا محافظت از تجهیزات جانبی) دارند. با وجود این، اگر توسعه‌دهندگان ابزارهای تأمین امنیت اطلاعات، شرکت‌ها را در حل این مشکلات یاری کنند، محیط ابری آینده‌ای روشن خواهد داشت.

منبع : شبکه