امنیت ابر (Cloud Security) چیست؟
امنیت ابر (Cloud Security) چیست؟
رایانش ابری Cloud computing ارائه خدمات میزبانی شده از جمله نرم افزار، سخت افزار و فضای ذخیره سازی از طریق اینترنت است. مزایای استقرار سریع، انعطاف پذیری بالا، هزینه های پایین و مقیاس پذیری باعث شده است که رایانش ابری تقریباً به عنوان بخشی از معماری زیرساخت در بین سازمان ها در هر اندازه باشد.امنیت ابری (Cloud Security) به فناوری ها، سیاست ها، کنترل ها و سرویس هایی گفته می شود که از داده ها، برنامه ها و زیرساخت های ابر در برابر تهدیدات محافظت می کنند.
Cloud Security یک مسئولیت مشترک است
امنیت ابر مسئولیتی است که بین ارائه دهنده ابر cloud provider و مشتری مشترک است. اصولاً سه مدل مسئولیت در مدل مسئولیت مشترک وجود دارد: مسئولیت هایی که همیشه به عهده ارائه دهنده هستند، مسئولیت هایی که همیشه به عهده مشتری هستند و مسئولیت هایی که بسته به مدل خدمات متفاوت هستند:
انواع مدل های سرویس در خدمات ابر:
- Infrastructure as a Service زیرساخت به عنوان یک سرویس (IaaS)
- Platform as a Service بستر به عنوان یک سرویس ( PaaS)
- Software as a Service نرم افزار بصورت سرویس (SaaS)
مسئولیت های امنیتی که همیشه به عهده ارائه دهنده خدمات است، مربوط به حفاظت از زیرساخت ها و همچنین دسترسی، وصله و پیکربندی هاست های فیزیکی و شبکه فیزیکی است که کارهای محاسبات ابری در آن اجرا می شود و محل ذخیره سازی و سایر منابع در آن قرار دارد.
مسئولیت های امنیتی که همیشه به عهده مشتری است شامل مدیریت کاربران و امتیازات دسترسی آنها (مدیریت هویت و دسترسی)، حفاظت از حساب های ابری در مقابل دسترسی غیرمجاز ، رمزگذاری و محافظت از دارایی های داده مبتنی بر ابر و مدیریت وضعیت امنیتی آن (انطباق) است.
۷ چالش امنیتی سرویس های ابری
از آنجا که ابر عمومی public cloud مرز مشخصی ندارد، چالش های امنیتی کاملاً متفاوتی را نیز در بر دارد. این امر با اتخاذ رویکردهای ابری مدرن مانند روش های ادغام مداوم خودکار automated Continuous Integration و استقرار مداوم (CI / CD) Continuous Deployment ، معماری بدون سرور توزیع شده و دارایی های زودگذر مانند توابع به عنوان سرویس و container ها، چالش برانگیزتر می شود.
برخی از چالش های امنیتی محیط های ابر و چندین لایه خطراتی که سازمان های ابر محور امروز با آن روبرو هستند عبارتند از:
۱. افزایش سطح حمله Increased Attack Surface
فضای ابری عمومی برای هکرهایی که از اکسپلویت های ابر با ضعف ایمن برای دستیابی به داده های ابر استفاده می کنند، به یک سطح حمله بزرگ و بسیار جذاب تبدیل شده است. بدافزار ، Zero-Day ، Account Takeover و بسیاری دیگر از تهدیدات مخرب به یک واقعیت روزمره تبدیل شده اند.
۲.عدم وضوح و توانایی پیگیری Lack of Visibility and Tracking
در مدل IaaS ، ارائه دهندگان ابری کنترل کاملی بر لایه زیرساخت دارند و آن را در معرض دید مشتریان خود قرار نمی دهند. عدم دید و کنترل در مدل های ابری PaaS و SaaS بیشتر گسترش می یابد. مشتریان ابر اغلب نمی توانند دارایی های ابری خود را به طور موثر شناسایی کرده یا محیط ابر خود را تجسم کنند.
۳.Workloads های همیشه در حال تغییر
دارایی های ابر به صورت پویا تهیه می شوند و از رده خارج می شوند. ابزارهای امنیتی سنتی به راحتی قادر به اجرای سیاست های حفاظتی در چنین محیط انعطاف پذیر و پویا با Workloads همیشه در حال تغییر و زودگذر نیستند.
۴.DevOps ، DevSecOps و اتوماسیون
سازمانهایی که از فرهنگ کاملاً خودکار DevOps CI / CD استقبال کرده اند باید اطمینان حاصل کنند که کنترلهای امنیتی مناسب در اوایل چرخه شناسایی و در کد و الگوها جاسازی شده اند. تغییرات مربوط به امنیت که پس از استفاده از حجم کار در تولید اعمال می شود، می تواند وضعیت امنیتی سازمان را تضعیف کند و همچنین باعث طولانی شدن زمان عرضه به بازار شود.
۵.سطح دسترسی و مدیریت کلید
معمولاً نقشهای کاربر ابر بسیار آزادانه پیکربندی می شوند و از امتیازات گسترده ای فراتر از آنچه که در نظر گرفته شده یا مورد نیاز است، اعطا می شوند. یک مثال متداول ، دادن مجوز حذف یا نوشتن پایگاه داده به کاربران غیر آموزش دیده یا کاربرانی انجام می شود که نیازی به حذف یا افزودن دارایی های پایگاه داده ندارند. در سطح برنامه، کلیدها و امتیازات با تنظیمات نامناسب جلسات را در معرض خطرات امنیتی قرار می دهند.
۶.محیط های پیچیده
مدیریت امنیت به روشی ثابت در محیط های ترکیبی و چند ابر که این روزها مورد پسند شرکت ها است، به روش ها و ابزاری نیاز دارد که به طور یکپارچه در بین ارائه دهندگان ابر عمومی، ارائه دهندگان ابر خصوصی و استقرارهای پیش فرض کار کند – از جمله محافظت از دفتر شعبه برای سازمان های جغرافیایی توزیع شده.
۷.سازگاری و مدیریت ابر
همه ارائه دهندگان خدمات ابری شناخته شده خود را با اکثر برنامه های معتبر شناخته شده مانند PCI 3.2 ، NIST 800-53 ، HIPAA و GDPR هماهنگ کرده اند. با این حال، مشتریان مسئولیت اطمینان از انطباق حجم کار و فرآیندهای داده آنها را دارند. با توجه به دید ضعیف و همچنین پویایی محیط ابر ، روند ممیزی انطباق به ماموریت نزدیک می شود مگر اینکه از ابزارهایی برای دستیابی به بررسی انطباق مداوم و صدور هشدارهای بی درنگ در مورد تنظیمات نادرست استفاده شود.
Zero Trust و دلایل پذیرش آن
اصطلاح Zero Trust برای اولین بار در سال ۲۰۱۰ توسط جان کیندرواگ (John Kindervag) که در آن زمان تحلیلگر ارشد تحقیقات فارستر بود، مطرح شد. اصل اساسی اعتماد صفر در امنیت ابری این نیست که به طور خودکار به کسی یا هر چیزی در داخل یا خارج از شبکه اعتماد کنید – و همه موارد را تأیید کنید.
به عنوان مثال Zero Trust استراتژی حداقل سطح دسترسی را ترویج می کند که به موجب آن کاربران فقط به منابعی که برای انجام وظایف خود نیاز دارند دسترسی پیدا می کنند. به همین ترتیب، از توسعه دهندگان می خواهد اطمینان حاصل کنند که برنامه های با رابط کاربری وب ایمن هستند. به عنوان مثال اگر توسعه دهنده به طور مداوم پورت ها را مسدود نكرده باشد یا مجوزها را به صورت “در صورت لزوم” پیاده سازی نكرده باشد، هكری كه برنامه را تحویل می گیرد، امکان بازیابی و اصلاح داده ها از پایگاه داده را خواهد داشت.
علاوه بر این، شبکه های Zero Trust با استفاده از micro-segmentation، امنیت شبکه ابر را بسیار ریزتر می کنند. micro-segmentation، مناطق امن را در مراکز داده و استقرارهای ابری ایجاد می کند و بدین ترتیب بارهای کاری را از یکدیگر تقسیم می کند، همه چیز را در داخل منطقه امن می کند و سیاست هایی را برای ایمن سازی ترافیک بین مناطق اعمال می کند.
دیدگاهتان را بنویسید
برای نوشتن دیدگاه باید وارد بشوید.