امنیت محاسبات ابری
امنیت محاسبات ابری (گاهی به امنیت ابری تعبیر میشود) که زیر مجموعهای از امنیت کامپیوتری، امنیت شبکه و در حالت کلی تر امنیت اطلاعات به حساب میآید. این مفهوم شامل مجموعهای از سیاستها، تکنولوژیها و کنترلها جهت محافظت از دادهها، برنامهها و زیرساختهای امنیتی در محاسبات ابری است.
مسائل امنیتی مرتبط با محاسبات ابری
[ویرایش]سازمانها از محاسبات ابری در بسیاری از مدلهای سرویس دهی از قبیل (نرمافزار به عنوان سرویس، زیر ساخت به عنوان سرویس و پلاتفرم به عنوان سرویس) و مدلهای گسترش یافته نظیر (خصوصی، عمومی و ترکیبی) استفاده میکنند. مسائل و نگرانیهای امنیتی در ارتباط با محاسبات ابری وجود دارد اما تمام این نگرانیها به ۲ دسته کلی تقسیم میشوند: اول، مسائل امنیتی مربوط به فراهم کنندگان محاسبات ابری و دوم، مسائل امنیتی مربوط به مشتریان. در اغلب موارد، فراهمکننده باید از ایمن بودن زیرساختش مطمئن باشد و از دادههای مشتریانش و برنامههای کاربردی محافظت کند درحالیکه، مشتری باید از عملکرد فراهمکننده خدمات محاسبات ابری در راستای ایجاد معیارهای امنیتی مناسب برای محافظت از دادههایش مطمئن شود. کابرد گسترده مجازی سازی در پیادهسازی زیرساخت محاسبات ابری نگرانیهای امنیتی یکسانی برای مشتریان و خدمات عمومی محاسبات ابری ایجاد کردهاست. مجازی سازی، جایگزین ارتباط بین سیستم عامل و سختافزار در محاسبات، ذخیرهسازیها و حتی شبکه میشود. این امر باعث معرفی لایه جدیدی به نام لایه مجازی میشود که خودش نیاز به تنظیم، مدیریت و امنیت صحیح دارد. نگرانی اصلی در این راستا شامل سازگاری نرمافزارهای مجازی یا "hypervisor" است. اگرچه که این نگرانیها بیشتر به صورت تئوری مطرح میشوند اما میتوانند در واقعیت وجود داشته باشند؛ مثلاً، یک شکاف در ایستگاه کاری مدیریت که از نرمافزارهای مدیریتی مجازی استفاده میکند میتواند باعث از کار افتادن یک پایگاه داده یا تنظیم مجدد آن به صورتی مطلوب برای مهاجم شود.
کنترلهای امنیتی در محاسبات ابری
[ویرایش]معماری امنیت ابری فقط در صورتی کاراست که پیادهسازیهای دفاعی صحیح وجود داشته باشد. یک معماری امنیت ابری کارا باید مسائل امنیتی در سطح مدیریتی را شناسایی کند. مدیریت امنیت مسائل کنترلهای امنیتی را نشان میدهد. این کنترلها برای محافظت از هر نوع ضعفی در سیستم و کاهش اثر یک حمله قرار داده شدهاند. اگرچه که بسیاری از انواع کنترل، پشت معماری امنیتی محاسبات ابری وجود دارد، آنها میتوانند در دستههای زیر قرار گیرند:
کنترلهای بازدارنده
[ویرایش]این کنترلها به منظور جلوگیری از هر نوع حمله عمدی در یک سیستم محاسبات ابری تنظیم شدهاست. این کنترلها، باعث کاهش آسیبپذیری واقعی یک سیستم نمیشوند.
کنترلهای پیش گیرنده
[ویرایش]این کنترلها به کمک مدیریت آسیبپذیریها سبب افزایش قدرت سیستم میشوند. کنترل پیش گیرنده، از آسیبپذیریهای سیستم محافظت خواهد کرد، اگر یک حمله اتفاق بیفتد، بعد از آن این نوع از کنترلها سعی در پوشش حمله و کاهش خرابی امنیت سیستم میکند.
کنترلهای تصحیحکننده
[ویرایش]این کنترل سعی در کاهش اثر حمله دارد. برخلاف کنترل پیش گیرنده، کنترل تصحیحکننده در حین وقوع حمله، عکسالعمل نشان میدهد.
کنترل شناساییکننده
[ویرایش]این نوع از کنترل سعی در شناسایی حمله حین وقوع آن دارد. در زمان رخداد حمله، کنترل شناساییکننده، سیگنالی برای کنترلهای پیش گیرنده یا تصحیحکننده برای مشخص کردن مشکل ارسال میکند.
ابعاد امنیت ابری
[ویرایش]کنترلهای امنیتی درستی باید برای داراییها، تهدیدها و ریسک آسیبپذیری ماتریسهای ارزیابی پیادهسازی شوند. اگرچه که نگرانیهای امنیتی در محاسبات ابری میتوانند به ابعاد مختلفی تقسیمبندی شوند(گارتنر ۷ تا از آنها را نام برده و Cloud Security Alliance 14 تا از این نگرانیها را شناسایی کرده) این ابعاد به ۳ دسته کلی تقسیم شدهاند: مسائل امنیتی و خصوصیسازی، مسائل پذیرش و مسائل حقوقی و قراردادی.
مسائل امنیتی و خصوصیسازی
[ویرایش]مدیریت هویت هر سازمانی به منظور کنترل دسترسی به اطلاعات و منابع محاسباتی نیاز به سیستم مدیریت هویت خودش دارد. فراهم کنندگان محاسبات ابری یا سیستم مدیریت هویت مشتریان به زیرساختهایشان را با کمک تکنولوژی SSO یکپارچه میکنند یا یک راه حل اختصاصی در مدیریت هویت ارائه میدهند. امنیت پرسنلی و فیزیکی ارائه دهندهها مطمئن هستند که ماشینهای فیزیکی به اندازه کافی امن هستند و دسترسی به این ماشینها و دادههای مربوط به مشتریان تنها محدودیت نیست و تمام دسترسیها مستند میشوند. دسترس پذیری ارائه دهندهها مطمئن هستند که آهنا دسترسی مرتب و قابل پیشبینی به دادهها و برنامههایشان دارند. امنیت برنامهها ارائه دهندهها مطمئن هستند که برنامهها به عنوان یک سرویس روی محاسبات ابری که امنیت آنها با پیادهسازی رویههای تست و پذیرش برای به خارج فرستادن یا کد برنامههای پکیج شده در دسترس هستند. همچنین این مکانیزم، نیاز به معیارهایی برای امنیت برنامهها در محیط کارفرما دارند. خصوصیسازی نهایتاً، فراهم کنندگان محاسبات ابری مطمئن هستند که تمام دادههای حساس (برای مثال، شماره کارتهای اعتباری) ماسک میشوند و تنها کاربران دارای مجوز، اجازه دسترسی به دادهها را دارند. به علاوه، شناسههای دیجیتالی و گواهی نامهها باید از هر نوع داده ای که ارائه دهنده، دربارهٔ فعالیتهای مشتری جمع میکند یا تولید میکند حفظ شود. مسائل قانونی به علاوه، ارائه دهندهها و مشتریان باید مسائل قانونی از قبیل قراردادها و E-Discovery و قوانین مرتبط که ممکن است در کشورهای مختلف متفاوت باشد را در نظر بگیرند.
توافقها
[ویرایش]تعداد زیادی از مقررات مربوط به ذخیرهسازی و استفاده از دادهها از قبیل: استاندارد امنیت دادهها در صنعت کارتهای پرداخت ((Payment Card Industry Data Security Standard (PCI DSS)، بیمه سلامت قابل حمل و حسابرسی ((Health Insurance Portability and Accountability Act (HIPAA), Sarbanes-Oxley Act. بسیاری از این مقررات، نیاز به گزارشها و حسابرسیهای منظم دارند. ارائه دهندگان محاسبات ابری باید قادر باشند مشتریانشان را مجبور کنند تا این قوانین را رعایت کنند. تداوم کسب و کار و بازیابی اطلاعات ارائه دهندگان محاسبات ابری برنامههایی برای تداوم کسب و کار و بازیابی دادهها برای اطمینان از اینکه این سرویس میتواند خطرات و ضرورتهای از بین رفتن دادهها را دارند. این برنامهها توسط مشتریان دیده و به اشتراک گذاشته میشوند. گزارشها و بازرسیها علاوه بر گزارشها و بازرسیها، ارائه کنندگان محاسبات ابری با مشتریان کار میکنند تا مطمئن شوند که این گزارشها و بازرسیها بهطور درستی امن شدهاند، تا زمانیکه مشتریان نیاز دارند نگهداری میشوند و برای سرمایهگذاریهای قانونی در دسترس هستند. رعایت نیازمندیهای منحصربهفرد استفاده از یک فراهمکننده سرویس محاسبات ابری میتواند منجر به نگرانیهای امنیتی اضافی دربارهٔ صلاحیت دادهها شود چون که مشتریان دادهها روی سیستم یکسان یا مرکز داده مشابه یا درون یک ارائه دهنده محاسبات ابری یکسانی باقی نمیمانند.
مسائل حقوقی و قراردادی
[ویرایش]گذشته از امنیت و رعایت مسائل برشمرده شده در بالا، ارائه دهندگان محاسبات ابری و مشتریان آنها دربارهٔ مسئولیتهایی مذاکره خواهند کرد از قبیل مشخصههای معنوی و زمان پایان خدمات (زمانیکه داده و برنامههای کاربردی در نهایت به مشتری بازگردانده میشود).
پروندههای عمومی
[ویرایش]مسائل حقوقی نیز ممکن است شامل نیازهایی برای نگهداری سوابق در بخش دولتی، که در آن بسیاری از سازمانها توسط قانون برای حفظ و ایجاد پروندههای الکترونیکی موجود در یک مد خاص است میباشد. این امر توسط قانونگذاری ممکن است به منظور نیاز سازمان به مطابقت با قوانین و شیوههای تعیین شده توسط آژانسهای حفظ سوابق مشخص شود. سازمانهای دولتی با استفاده از محاسبات ابری و ذخیرهسازی باید این نگرانیها را به مورد توجه قرار دهند.
منابع
[ویرایش]- Swamp Computing a.k.a. Cloud Computing". Web Security Journal. 2009-12-28. Retrieved 2010-01-25.
- Winkler, Vic. "Cloud Computing: Virtual Cloud Security Concerns". Technet Magazine, Microsoft. Retrieved 12 February 2012.
- Hickey, Kathleen. "Dark Cloud: Study finds security risks in virtualization". Government Security News. Retrieved 12 February 2012.
- Winkler, Vic (2011). Securing the Cloud: Cloud Computer Security Techniques and Tactics. Waltham, MA USA: Elsevier. p. 59. ISBN 978-1-59749-592-9.
- Krutz, Ronald L. , and Russell Dean Vines. "Cloud Computing Security Architecture." Cloud Security: A Comprehensive Guide to Secure Cloud Computing. Indianapolis, IN: Wiley, 2010. 179-80. Print.
- Krutz, Ronald L. , and Russell Dean Vines. "Cloud Computing Security Architecture." Cloud Security: A Comprehensive Guide to Secure Cloud Computing. Indianapolis, IN: Wiley, 2010. 179-80. Print.
- Krutz, Ronald L. , and Russell Dean Vines. "Cloud Computing Security Architecture." Cloud Security: A Comprehensive Guide to Secure Cloud Computing. Indianapolis, IN: Wiley, 2010. 179-80. Print
- "4 Cloud Computing Security Policies You Must Know". CloudComputingSec. 2011. Retrieved ۲۰۱۱-۱۲-۱۳.
- "Gartner: Seven cloud-computing security risks". InfoWorld. 2008-07-02. Retrieved 2010-01-25.
- "Security Guidance for Critical Areas of Focus in Cloud Computing". Cloud Security Alliance. 2011. Retrieved 2011-05-04.
- "Cloud Security Front and Center". Forrester Research. 2009-11-18. Retrieved 2010-01-25.
- https://web.archive.org/web/20140714155756/https://cloudsecurityalliance.org/guidance/csaguide.v3.0.pdf
- "It’s Time to Explore the Benefits of Cloud-Based Disaster Recovery". Dell.com. Retrieved 2012-03-26.
- Winkler, Vic (2011). Securing the Cloud: Cloud Computer Security Techniques and Tactics. Waltham, MA USA: Elsevier. pp. 65, 68, 72, 81, 218–219, 231, 240. شابک ۹۷۸-۱-۵۹۷۴۹-۵۹۲-۹.
پیوند به بیرون
[ویرایش]مطالعات بیشتر
[ویرایش]- Mowbray, Miranda (2009). "The Fog over the Grimpen Mire: Cloud Computing and the Law". SCRIPTed. 6 (1): 129. doi:10.2966/scrip.060109.132. Archived from the original on 21 December 2015. Retrieved 13 November 2013.
- Mather, Tim; Kumaraswamy, Subra; Latif, Shahed (2009). Cloud Security and Privacy: An Enterprise Perspective on Risks and Compliance. O'Reilly Media, Inc. ISBN 978-0-596-80276-9.