امنیت محاسبات ابری

امنیت محاسبات ابری (گاهی به امنیت ابری تعبیر می‌شود) که زیر مجموعه‌ای از امنیت کامپیوتری، امنیت شبکه و در حالت کلی تر امنیت اطلاعات به حساب می‌آید. این مفهوم شامل مجموعه‌ای از سیاست‌ها، تکنولوژی‌ها و کنترل‌ها جهت محافظت از داده‌ها، برنامه‌ها و زیرساخت‌های امنیتی در محاسبات ابری است.

مسائل امنیتی مرتبط با محاسبات ابری

سازمانها از محاسبات ابری در بسیاری از مدل‌های سرویس دهی از قبیل (نرم‌افزار به عنوان سرویس، زیر ساخت به عنوان سرویس و پلاتفرم به عنوان سرویس) و مدل‌های گسترش یافته نظیر (خصوصی، عمومی و ترکیبی) استفاده می‌کنند. مسائل و نگرانی‌های امنیتی در ارتباط با محاسبات ابری وجود دارد اما تمام این نگرانی‌ها به ۲ دسته کلی تقسیم می‌شوند: اول، مسائل امنیتی مربوط به فراهم کنندگان محاسبات ابری و دوم، مسائل امنیتی مربوط به مشتریان. در اغلب موارد، فراهم‌کننده باید از ایمن بودن زیرساختش مطمئن باشد و از داده‌های مشتریانش و برنامه‌های کاربردی محافظت کند درحالی‌که، مشتری باید از عملکرد فراهم‌کننده خدمات محاسبات ابری در راستای ایجاد معیارهای امنیتی مناسب برای محافظت از داده‌هایش مطمئن شود. کابرد گسترده مجازی سازی در پیاده‌سازی زیرساخت محاسبات ابری نگرانی‌های امنیتی یکسانی برای مشتریان و خدمات عمومی محاسبات ابری ایجاد کرده‌است. مجازی سازی، جایگزین ارتباط بین سیستم عامل و سخت‌افزار در محاسبات، ذخیره‌سازی‌ها و حتی شبکه می‌شود. این امر باعث معرفی لایه جدیدی به نام لایه مجازی می‌شود که خودش نیاز به تنظیم، مدیریت و امنیت صحیح دارد. نگرانی اصلی در این راستا شامل سازگاری نرم‌افزارهای مجازی یا "hypervisor" است. اگرچه که این نگرانی‌ها بیشتر به صورت تئوری مطرح می‌شوند اما می‌توانند در واقعیت وجود داشته باشند؛ مثلاً، یک شکاف در ایستگاه کاری مدیریت که از نرم‌افزارهای مدیریتی مجازی استفاده می‌کند می‌تواند باعث از کار افتادن یک پایگاه داده یا تنظیم مجدد آن به صورتی مطلوب برای مهاجم شود.

کنترل‌های امنیتی در محاسبات ابری

معماری امنیت ابری فقط در صورتی کاراست که پیاده‌سازی‌های دفاعی صحیح وجود داشته باشد. یک معماری امنیت ابری کارا باید مسائل امنیتی در سطح مدیریتی را شناسایی کند. مدیریت امنیت مسائل کنترل‌های امنیتی را نشان می‌دهد. این کنترل‌ها برای محافظت از هر نوع ضعفی در سیستم و کاهش اثر یک حمله قرار داده شده‌اند. اگرچه که بسیاری از انواع کنترل، پشت معماری امنیتی محاسبات ابری وجود دارد، آن‌ها می‌توانند در دسته‌های زیر قرار گیرند:

کنترل‌های بازدارنده

این کنترل‌ها به منظور جلوگیری از هر نوع حمله عمدی در یک سیستم محاسبات ابری تنظیم شده‌است. این کنترل‌ها، باعث کاهش آسیب‌پذیری واقعی یک سیستم نمی‌شوند.

کنترل‌های پیش گیرنده

این کنترل‌ها به کمک مدیریت آسیب‌پذیری‌ها سبب افزایش قدرت سیستم می‌شوند. کنترل پیش گیرنده، از آسیب‌پذیری‌های سیستم محافظت خواهد کرد، اگر یک حمله اتفاق بیفتد، بعد از آن این نوع از کنترل‌ها سعی در پوشش حمله و کاهش خرابی امنیت سیستم می‌کند.

کنترل‌های تصحیح‌کننده

این کنترل سعی در کاهش اثر حمله دارد. برخلاف کنترل پیش گیرنده، کنترل تصحیح‌کننده در حین وقوع حمله، عکس‌العمل نشان می‌دهد.

کنترل شناسایی‌کننده

این نوع از کنترل سعی در شناسایی حمله حین وقوع آن دارد. در زمان رخداد حمله، کنترل شناسایی‌کننده، سیگنالی برای کنترل‌های پیش گیرنده یا تصحیح‌کننده برای مشخص کردن مشکل ارسال می‌کند.

ابعاد امنیت ابری

کنترل‌های امنیتی درستی باید برای دارایی‌ها، تهدیدها و ریسک آسیب‌پذیری ماتریس‌های ارزیابی پیاده‌سازی شوند. اگرچه که نگرانی‌های امنیتی در محاسبات ابری می‌توانند به ابعاد مختلفی تقسیم‌بندی شوند(گارتنر ۷ تا از آن‌ها را نام برده و Cloud Security Alliance 14 تا از این نگرانی‌ها را شناسایی کرده) این ابعاد به ۳ دسته کلی تقسیم شده‌اند: مسائل امنیتی و خصوصی‌سازی، مسائل پذیرش و مسائل حقوقی و قراردادی.

مسائل امنیتی و خصوصی‌سازی

مدیریت هویت هر سازمانی به منظور کنترل دسترسی به اطلاعات و منابع محاسباتی نیاز به سیستم مدیریت هویت خودش دارد. فراهم کنندگان محاسبات ابری یا سیستم مدیریت هویت مشتریان به زیرساخت‌هایشان را با کمک تکنولوژی SSO یکپارچه می‌کنند یا یک راه حل اختصاصی در مدیریت هویت ارائه می‌دهند. امنیت پرسنلی و فیزیکی ارائه دهنده‌ها مطمئن هستند که ماشین‌های فیزیکی به اندازه کافی امن هستند و دسترسی به این ماشین‌ها و داده‌های مربوط به مشتریان تنها محدودیت نیست و تمام دسترسی‌ها مستند می‌شوند. دسترس پذیری ارائه دهنده‌ها مطمئن هستند که آهنا دسترسی مرتب و قابل پیش‌بینی به داده‌ها و برنامه‌هایشان دارند. امنیت برنامه‌ها ارائه دهنده‌ها مطمئن هستند که برنامه‌ها به عنوان یک سرویس روی محاسبات ابری که امنیت آن‌ها با پیاده‌سازی رویه‌های تست و پذیرش برای به خارج فرستادن یا کد برنامه‌های پکیج شده در دسترس هستند. همچنین این مکانیزم، نیاز به معیارهایی برای امنیت برنامه‌ها در محیط کارفرما دارند. خصوصی‌سازی نهایتاً، فراهم کنندگان محاسبات ابری مطمئن هستند که تمام داده‌های حساس (برای مثال، شماره کارت‌های اعتباری) ماسک می‌شوند و تنها کاربران دارای مجوز، اجازه دسترسی به داده‌ها را دارند. به علاوه، شناسه‌های دیجیتالی و گواهی نامه‌ها باید از هر نوع داده ای که ارائه دهنده، دربارهٔ فعالیت‌های مشتری جمع می‌کند یا تولید می‌کند حفظ شود. مسائل قانونی به علاوه، ارائه دهنده‌ها و مشتریان باید مسائل قانونی از قبیل قراردادها و E-Discovery و قوانین مرتبط که ممکن است در کشورهای مختلف متفاوت باشد را در نظر بگیرند.

توافق‌ها

تعداد زیادی از مقررات مربوط به ذخیره‌سازی و استفاده از داده‌ها از قبیل: استاندارد امنیت داده‌ها در صنعت کارت‌های پرداخت ((Payment Card Industry Data Security Standard (PCI DSS)، بیمه سلامت قابل حمل و حسابرسی ((Health Insurance Portability and Accountability Act (HIPAA), Sarbanes-Oxley Act. بسیاری از این مقررات، نیاز به گزارش‌ها و حسابرسی‌های منظم دارند. ارائه دهندگان محاسبات ابری باید قادر باشند مشتریانشان را مجبور کنند تا این قوانین را رعایت کنند. تداوم کسب و کار و بازیابی اطلاعات ارائه دهندگان محاسبات ابری برنامه‌هایی برای تداوم کسب و کار و بازیابی داده‌ها برای اطمینان از اینکه این سرویس می‌تواند خطرات و ضرورت‌های از بین رفتن داده‌ها را دارند. این برنامه‌ها توسط مشتریان دیده و به اشتراک گذاشته می‌شوند. گزارش‌ها و بازرسی‌ها علاوه بر گزارش‌ها و بازرسی‌ها، ارائه کنندگان محاسبات ابری با مشتریان کار می‌کنند تا مطمئن شوند که این گزارش‌ها و بازرسی‌ها به‌طور درستی امن شده‌اند، تا زمانی‌که مشتریان نیاز دارند نگهداری می‌شوند و برای سرمایه‌گذاری‌های قانونی در دسترس هستند. رعایت نیازمندی‌های منحصربه‌فرد استفاده از یک فراهم‌کننده سرویس محاسبات ابری می‌تواند منجر به نگرانی‌های امنیتی اضافی دربارهٔ صلاحیت داده‌ها شود چون که مشتریان داده‌ها روی سیستم یکسان یا مرکز داده مشابه یا درون یک ارائه دهنده محاسبات ابری یکسانی باقی نمی‌مانند.

مسائل حقوقی و قراردادی

گذشته از امنیت و رعایت مسائل برشمرده شده در بالا، ارائه دهندگان محاسبات ابری و مشتریان آن‌ها دربارهٔ مسئولیت‌هایی مذاکره خواهند کرد از قبیل مشخصه‌های معنوی و زمان پایان خدمات (زمانیکه داده و برنامه‌های کاربردی در نهایت به مشتری بازگردانده می‌شود).

پرونده‌های عمومی

مسائل حقوقی نیز ممکن است شامل نیازهایی برای نگهداری سوابق در بخش دولتی، که در آن بسیاری از سازمان‌ها توسط قانون برای حفظ و ایجاد پرونده‌های الکترونیکی موجود در یک مد خاص است می‌باشد. این امر توسط قانونگذاری ممکن است به منظور نیاز سازمان به مطابقت با قوانین و شیوه‌های تعیین شده توسط آژانس‌های حفظ سوابق مشخص شود. سازمان‌های دولتی با استفاده از محاسبات ابری و ذخیره‌سازی باید این نگرانی‌ها را به مورد توجه قرار دهند.

منابع

• Swamp Computing a.k.a. Cloud Computing". Web Security Journal. 2009-12-28. Retrieved 2010-01-25.
• Winkler, Vic. "Cloud Computing: Virtual Cloud Security Concerns". Technet Magazine, Microsoft. Retrieved 12 February 2012.
• Hickey, Kathleen. "Dark Cloud: Study finds security risks in virtualization". Government Security News. Retrieved 12 February 2012.
• Winkler, Vic (2011). Securing the Cloud: Cloud Computer Security Techniques and Tactics. Waltham, MA USA: Elsevier. p. 59. ISBN 978-1-59749-592-9.
• Krutz, Ronald L. , and Russell Dean Vines. "Cloud Computing Security Architecture." Cloud Security: A Comprehensive Guide to Secure Cloud Computing. Indianapolis, IN: Wiley, 2010. 179-80. Print.
• Krutz, Ronald L. , and Russell Dean Vines. "Cloud Computing Security Architecture." Cloud Security: A Comprehensive Guide to Secure Cloud Computing. Indianapolis, IN: Wiley, 2010. 179-80. Print.
• Krutz, Ronald L. , and Russell Dean Vines. "Cloud Computing Security Architecture." Cloud Security: A Comprehensive Guide to Secure Cloud Computing. Indianapolis, IN: Wiley, 2010. 179-80. Print
• "4 Cloud Computing Security Policies You Must Know". CloudComputingSec. 2011. Retrieved ۲۰۱۱-۱۲-۱۳.
• "Gartner: Seven cloud-computing security risks". InfoWorld. 2008-07-02. Retrieved 2010-01-25.
• "Security Guidance for Critical Areas of Focus in Cloud Computing". Cloud Security Alliance. 2011. Retrieved 2011-05-04.
• "Cloud Security Front and Center". Forrester Research. 2009-11-18. Retrieved 2010-01-25.
• https://web.archive.org/web/20140714155756/https://cloudsecurityalliance.org/guidance/csaguide.v3.0.pdf
• "It’s Time to Explore the Benefits of Cloud-Based Disaster Recovery". Dell.com. Retrieved 2012-03-26.
• Winkler, Vic (2011). Securing the Cloud: Cloud Computer Security Techniques and Tactics. Waltham, MA USA: Elsevier. pp. 65, 68, 72, 81, 218–219, 231, 240. شابک ‎۹۷۸-۱-۵۹۷۴۹-۵۹۲-۹.

پیوند به بیرون

• Cloud Security Alliance

مطالعات بیشتر

• Mowbray, Miranda (2009). "The Fog over the Grimpen Mire: Cloud Computing and the Law". SCRIPTed. 6 (1): 129. doi:10.2966/scrip.060109.132. Archived from the original on 21 December 2015. Retrieved 13 November 2013.
• Mather, Tim; Kumaraswamy, Subra; Latif, Shahed (2009). Cloud Security and Privacy: An Enterprise Perspective on Risks and Compliance. O'Reilly Media, Inc. ISBN 978-0-596-80276-9.