این روز ها استفاده کردن از فضای ابری مانند گوگل درایو به شدت رایج شده است. علاوه بر این هزینه ی درایو هایی مانند هارد درایو زیاد شده است ، نگهداری از آن ها هم کار مناسبی نیست!. به این دلیل که هارد ها می توانند گم بشوندو همه اطلاعات شما از بین برود. یا این که ضربه بخورند و اطلاعات شما نابود شود. اما در مورد ذخیره ابری می توانید آرامش و امنیت بیشتری را حس کنید. هر چند برای استفاده از این فضا هم باید امنیت ابری را بدانید. در این مقاله همه چیز را در مورد امنیت ابری به شما خواهیم گفت.
آنچه در این مقاله خواهید خواند :
امنیت ابری مجموعهای از فناوریها و استراتژیهایی است که میتواند به سازمان شما کمک کند از دادهها، برنامهها و زیرساختهای مبتنی بر ابر محافظت کند و از استانداردها و مقررات پیروی کند.
مدیریت هویت، حریم خصوصی و کنترل دسترسی به ویژه برای امنیت ابر مهم هستند زیرا سیستم های ابری معمولاً منابع مشترک و رو به اینترنت هستند. از آنجایی که سازمان های بیشتری از رایانش ابری و ارائه دهندگان ابر عمومی برای عملیات روزانه خود استفاده می کنند، باید اقدامات امنیتی مناسب را برای رسیدگی به مناطق آسیب پذیر در اولویت قرار دهند.
فرآیندهای امنیتی رایانش ابری باید کنترلهای امنیتی ارائهشده توسط ارائهدهندگان ابر را در نظر بگیرند و سازمانها باید تقسیم مسئولیت بین ارائهدهنده ابر و کاربر ابر را درک کنند. برای آماده شدن برای رخداد نقض امنیت ابری، باید فرآیندهای استاندارد شده برای تداوم کسب و کار و پشتیبان گیری از داده های سیستم های ابری وجود داشته باشد.
امنیت ابری وسیع به شرکت ها کمک می کند از هک ها در امان بمانند
امنیت ابری مجموعه کاملی از فناوری، پروتکلها و بهترین روشها است که از محیطهای رایانش ابری، برنامههای کاربردی در حال اجرا در ابر و دادههای نگهداری شده در ابر محافظت میکند. ایمن سازی خدمات ابری با درک اینکه دقیقاً چه چیزی ایمن می شود و همچنین جنبه های سیستمی که باید مدیریت شوند آغاز می شود.
به عنوان یک نمای کلی، توسعه Backend در برابر آسیب پذیری های امنیتی تا حد زیادی در دست ارائه دهندگان خدمات ابری است. به غیر از انتخاب یک ارائه دهنده آگاه به امنیت، مشتریان باید بیشتر بر پیکربندی خدمات مناسب و عادات استفاده ایمن تمرکز کنند. علاوه بر این، مشتریان باید مطمئن باشند که هر سخت افزار و شبکه کاربر نهایی به درستی ایمن شده است.
شبکه های فیزیکی – روترها، برق، کابل کشی، کنترل آب و هوا و غیره.
ذخیره سازی داده ها – هارد دیسک و غیره
سرورهای داده – سخت افزار و نرم افزار محاسباتی شبکه اصلی
چارچوب های مجازی سازی کامپیوتر – نرم افزار ماشین مجازی، ماشین های میزبان و ماشین های مهمان
سیستم عامل (OS) – نرم افزاری که در خود جای می دهد
میان افزار – مدیریت رابط برنامه نویسی برنامه (API)،
محیط های زمان اجرا – اجرا و نگهداری از یک برنامه در حال اجرا
داده – تمام اطلاعات ذخیره شده، اصلاح شده و قابل دسترسی
برنامه های کاربردی – خدمات نرم افزاری سنتی (ایمیل، نرم افزار مالیاتی، مجموعه های بهره وری و غیره)
سخت افزار کاربر نهایی – رایانه، دستگاه های تلفن همراه، دستگاه های اینترنت اشیا (IoT) و غیره.
با رایانش ابری، مالکیت بر این مؤلفهها میتواند بسیار متفاوت باشد. این می تواند دامنه مسئولیت های امنیتی مشتری را نامشخص کند. از آنجایی که ایمن سازی ابر می تواند بر اساس اینکه چه کسی بر هر مؤلفه اختیار دارد متفاوت به نظر برسد، مهم است که بدانیم این موارد معمولاً چگونه گروه بندی می شوند.
1. انواع سرویس های ابری توسط ارائه دهندگان شخص ثالث به عنوان ماژول های مورد استفاده برای ایجاد محیط ابری ارائه می شوند. بسته به نوع سرویس، ممکن است درجه متفاوتی از اجزای موجود در سرویس را مدیریت کنید:
هسته هر سرویس ابری شخص ثالث شامل ارائه دهنده ای است که شبکه فیزیکی، ذخیره سازی داده ها، سرورهای داده و چارچوب های مجازی سازی رایانه را مدیریت می کند. این سرویس در سرورهای ارائه دهنده ذخیره می شود و از طریق شبکه مدیریت داخلی آنها مجازی سازی می شود تا به مشتریان تحویل داده شود تا از راه دور به آنها دسترسی داشته باشند. این هزینههای سختافزاری و سایر زیرساختها را کاهش میدهد تا مشتریان بتوانند از هر کجا از طریق اتصال به اینترنت به نیازهای محاسباتی خود دسترسی داشته باشند.
خدمات ابری Software-as-a-Service (SaaS) به مشتریان امکان دسترسی به برنامه هایی را می دهد که صرفاً میزبانی شده و بر روی سرورهای ارائه دهنده اجرا می شوند. ارائه دهندگان برنامه ها، داده ها، زمان اجرا، میان افزار و سیستم عامل را مدیریت می کنند. مشتریان فقط وظیفه دریافت برنامه های خود را دارند. نمونههای SaaS عبارتند از: Google Drive، Slack، Salesforce، Microsoft 365، Cisco WebEx، Evernote.
سرویسهای ابری پلتفرم بهعنوان سرویس، میزبانی را برای توسعه برنامههای کاربردی خود، که در فضای «جعبه ایمنی» خود مشتری در سرورهای ارائهدهنده اجرا میشوند، به مشتریان ارائه میدهند. ارائه دهندگان زمان اجرا، میان افزار، سیستم عامل را مدیریت می کنند. مشتریان وظیفه دارند برنامه های کاربردی، داده ها، دسترسی کاربر، دستگاه های کاربر نهایی و شبکه های کاربر نهایی را مدیریت کنند. نمونههای PaaS عبارتند از Google App Engine، Windows Azure.
خدمات ابری زیرساخت بهعنوان سرویس (IaaS) سختافزار و چارچوبهای اتصال از راه دور را به مشتریان ارائه میدهند تا بخش عمدهای از محاسباتشان را تا سیستم عامل در خود جای دهند. ارائه دهندگان فقط خدمات ابری اصلی را مدیریت می کنند. کلاینت ها وظیفه دارند همه چیزهایی را که در بالای یک سیستم عامل انباشته می شود، از جمله برنامه ها، داده ها، زمان اجرا، میان افزار و خود سیستم عامل، ایمن کنند. علاوه بر این، مشتریان باید دسترسی کاربر، دستگاههای کاربر نهایی و شبکههای کاربر نهایی را مدیریت کنند. نمونه های IaaS عبارتند از Microsoft Azure، Google Compute Engine (GCE)، خدمات وب آمازون (AWS).
2. محیط های ابری مدل های استقراری هستند که در آن یک یا چند سرویس ابری سیستمی را برای کاربران نهایی و سازمان ها ایجاد می کنند. این بخش مسئولیت های مدیریتی – از جمله امنیت – را بین مشتریان و ارائه دهندگان تقسیم می کند.
محیطهای ابری عمومی از خدمات ابری چند مستاجر تشکیل شدهاند که در آن مشتری سرورهای ارائهدهنده را با سایر مشتریان به اشتراک میگذارد، مانند یک ساختمان اداری یا فضای کار مشترک. اینها خدمات شخص ثالثی هستند که توسط ارائه دهنده برای دسترسی مشتریان از طریق وب اجرا می شوند.
محیط های ابری شخص ثالث خصوصی مبتنی بر استفاده از یک سرویس ابری است که استفاده انحصاری از ابر خود را به مشتری ارائه می دهد. این محیطهای تک مستاجر معمولاً تحت مالکیت، مدیریت و اداره خارج از محل توسط یک ارائهدهنده خارجی هستند.
محیطهای ابری داخلی خصوصی نیز از سرورهای خدمات ابری تک مستاجر تشکیل شدهاند، اما از مرکز داده خصوصی خودشان کار میکنند. در این حالت، این محیط ابری توسط خود کسبوکار اداره میشود تا پیکربندی و راهاندازی کامل هر محیط های چند ابری شامل استفاده از دو یا چند سرویس ابری از ارائه دهندگان جداگانه است. اینها می توانند هر ترکیبی از خدمات ابری عمومی و/یا خصوصی باشند. محیط های ابری ترکیبی شامل استفاده از ترکیبی از ابر شخص ثالث خصوصی و/یا مرکز داده ابر خصوصی در محل با یک یا چند ابر عمومی است.
امنیت ابری طبقه بندی شده می تواند از بخش های مختلف اطلاعات شما به سبک های متفاوت محافظت کند
نیروی محرکه در پس اتخاذ شیوه های ابر ایمن، تهدید فزاینده از جانب مجرمان سایبری است که ابر را هدف قرار می دهند. گزارش ISC(2) Cloud Security نشان داد که 28 درصد از شرکت ها حوادث امنیتی ابری را تجربه کرده اند. دولت بریتانیا همچنین گزارش می دهد که 32 درصد از شرکت های بریتانیا حملاتی را به سیستم های ابری تجربه کرده اند.
گزارش امنیتی Cloud Check Point 2020 یافته های بیشتری را ارائه می دهد:
بزرگترین تهدیدی که پاسخ دهندگان به آن اشاره کردند، خطای پیکربندی پلتفرم ابری (68%)، پس از آن دسترسی غیرمجاز ابری (58%)، رابط های ناامن (52%) و سرقت حساب (50%) است.
55 درصد از پاسخ دهندگان گفتند فقدان استعدادهای واجد شرایط، از جمله استعدادهای امنیتی، بزرگترین مانع برای پذیرش ابر است.
82٪ گفتند که راه حل های امنیتی موجود اصلاً کار نمی کنند یا عملکرد محدودی را در یک محیط ابری ارائه می دهند
برای درک چگونگی رخ دادن رخنه های امنیتی، دیدن نمونه های واقعی از نقض آموزنده است. در اینجا سه نمونه اخیر از نقض امنیتی که از سرویسهای ابری منشأ میگیرد، وجود دارد که میزان و شدت آسیبپذیریهای سیستم ابری را نشان میدهد.
کپیتال وان دهمین بانک بزرگ ایالات متحده از نظر دارایی است. زیرساخت ابری آن مبتنی بر خدمات وب آمازون (AWS) بود.
رویدادهای زیر منجر به نقض عمومی در Capital One شد. ابتدا، یک فایروال برنامه وب (WAF) به درستی پیکربندی نشده است. مهاجم از WAF پیکربندی نادرست برای تولید یک نشانه دسترسی استفاده کرد و از نشانه دسترسی برای واکشی داده ها از فضای ذخیره سازی AWS استفاده کرد. 700 پوشه و بسته داده حاوی اطلاعات مشتری در یک مکان خارجی کپی شد.
مهاجمان از دستورات ویژه AWS آگاه بودند و پس از دسترسی از آنها برای انجام حرکات جانبی استفاده می کردند. نکته نگرانکنندهتر اینکه این رخنه هیچ هشداری ایجاد نکرد و حتی انتقال دادهها به خارج از شبکه سازمان تحت پوشش ترافیک عادی شبکه انجام شد.
Docker Hub، یک مخزن محبوب تصاویر کانتینر، در معرض خطر قرار گرفت و 190000 حساب در معرض دید قرار گرفت و به پذیرندگان فناوری کانتینر آسیب رساند. در بیانیه ای که در وب سایت داکر منتشر شد، این شرکت فاش کرد که دسترسی غیرمجاز به یک پایگاه داده مرکزی واحد را که داده های غیرمالی کاربران را ذخیره می کند، کشف کرده است.
اگرچه این آسیبپذیری تنها 5 درصد از مشتریان Docker Hub را تحت تأثیر قرار داد، اما دادههای افشا شده شامل نشانهها و کلیدهای دسترسی مورد استفاده در ویژگیهای ساخت خودکار مخازن کد بود. این به مهاجمان اجازه می دهد تا احراز هویت را دور بزنند و کدهای مخرب را به خطوط لوله تولید بسیاری از شرکت ها تزریق کنند و کپی هایی از کد اختصاصی را دریافت کنند.
Autoclerk، یک سیستم مدیریت رزرو هتل جهانی، دارای یک پایگاه داده Elasticsearch میزبان AWS بود که ایمن نبود و صدها هزار رزرو را در معرض دید قرار داد. این سیستم بهشدت توسط پرسنل نظامی استفاده میشد، و این نقض اطلاعات حساسی را در مورد سفرهای نظامی، از جمله مقامات ارشد و نیروهای مستقر نشان داد.
محققان امنیتی از vpnMentor این نقض را به اطلاع عموم رساندند و گفتند که سیاهههای مربوط به ژنرالهای آمریکایی که به مسکو، تلآویو و بسیاری از مقاصد دیگر سفر میکردند را مشاهده کردند. آنها همچنین آدرس ایمیل، شماره تلفن و سایر اطلاعات شخصی حساس متعلق به مسافران را پیدا کردند.
در زیر برخی از چالش های کلیدی وجود دارد که ایمن سازی سیستم های ابری را در مقایسه با محیط امنیتی سنتی دشوارتر می کند.
ابر دسترسی به دادههای شرکت را از هر نقطه ممکن میسازد، بنابراین شرکتها باید مطمئن شوند که اشخاص غیرمجاز نمیتوانند به آن دادهها دسترسی داشته باشند. این را می توان از طریق راهبردهای مختلف، از جمله راه حل های پیشگیری از دست دادن داده مبتنی بر ابر (DLP)، نظارت، و استفاده دقیق و نگهداری از سیستم های مدیریت هویت و دسترسی (IAM) به دست آورد.
امنیت ابری گوگل درایو به عنوان معتبر ترین سرویس به شدت بالا گزارش شده است
با سختتر شدن کنترلهای نظارتی در سراسر جهان، سازمانها باید از استانداردهای انطباق متعددی پیروی کنند. با مهاجرت به ابر، ممکن است از الزامات انطباق خود تخلف کنید
در اکثر مقررات و استانداردهای انطباق، کسبوکارها را ملزم میکنند که بدانند دادهها در کجا قرار دارند، چه کسی میتواند به آن دسترسی داشته باشد، و چگونه مدیریت و پردازش میشود، که همگی در یک محیط ابری چالش برانگیز هستند. سایر مقررات ایجاب می کنند که ارائه دهندگان ابری برای استاندارد انطباق مربوطه گواهی نامه داشته باشند.
حملات Distributed Denial of Service (DDoS) که یک حمله سایبری است برای انتقال حجم زیادی از ترافیک به یک وب سرور یا سایر سیستم های حیاتی طراحی شده اند و از پاسخگویی آن به درخواست های قانونی جلوگیری می کنند. رایانش ابری مبتنی بر منابع محاسباتی توزیعشده مشترک است و از انواع مختلفی از فناوریهای مجازیسازی استفاده میکند که تشخیص و جلوگیری از DDoS را پیچیدهتر و دشوار میکند.
به عنوان مثال، انواع جدیدی از حملات DDoS شامل مهاجمانی است که منابع مجازی سازی مانند هایپروایزر را تحت تأثیر قرار می دهند. ربودن سیستم های مدیریت مجازی سازی برای ایجاد ماشین های مجازی در معرض خطر جدید، و به خطر انداختن سیستم های مهاجرت و پشتیبان گیری برای ایجاد نسخه های غیر ضروری از سیستم های تولید.
رابط های کاربری برنامه های کاربردی (API) رایج ترین راه برای کار و یکپارچه سازی سیستم های ابری است.
API ها را می توان به صورت داخلی توسط کارکنان شرکت و به صورت خارجی توسط مشتریان، از طریق برنامه های موبایل یا وب استفاده کرد. API ها می توانند انواع مختلفی از داده ها را فراهم کنند، از جمله داده های حساسی که می توانند برای مهاجمان ارزشمند باشند. از آنجایی که APIها به صورت عمومی در دسترس هستند و عملکرد درونی آنها به خوبی مستند شده است، آنها یک هدف اصلی برای مهاجمان هستند.
این بهترین شیوهها را برای بهبود امنیت برای سیستمهای مبتنی بر ابر حیاتی کسبوکار دنبال کنید.
محیط های ابری با بسیاری از قطعات متحرک، از جمله نمونه ها و کانتینرهای ابری کوتاه مدت، حجم داده های الاستیک، دارایی های مبتنی بر خوشه (مانند انبارهای داده) و عملکردهای بدون سرور مشخص می شوند.
برای جلوگیری از رشد آشفته و کنترل سطح حمله خود، از یک روش خودکار برای جمعآوری فهرستی از تمام داراییهای ابری فعلی و تاریخی استفاده کنید. اگر دارایی ها نامرئی باشند، نمی توانید از آنها محافظت کنید. بنابراین، دیدن سریع و مطمئن داراییهای خود، حسابهای کاربری که در معرض آن هستند و رویدادهایی که در هر دارایی رخ میدهند، اولین گام برای ایجاد یک محیط امنیتی است.
داده ها به سرعت در فضای ابری حرکت می کنند. از آنجایی که سیستم ها به شدت به هم متصل هستند، یک خطا یا فرمان مخرب می تواند حجم زیادی از داده ها را حذف کند یا کل حجم داده ها را از بین ببرد. یک حساب کاربری در معرض خطر، یا یک حساب کاربری که توسط یک خودی مخرب نگهداری می شود، می تواند به سرعت امتیازات را بالا ببرد و باعث آسیب فاجعه بار شود.
در مقایسه با سیستمهای محلی، در ابر باجافزار سریعتر پخش میشود و آسیب بیشتری وارد میکند، در حالی که سیستمهای محلی ایزولهتر هستند و مرزهای امنیتی واضحی دارند.
با پیکربندی راه حل های زیر می توانید از دست دادن داده ها جلوگیری کنید:
از سیستم های پشتیبان مبتنی بر ابر برای محافظت از نسخه های اضافی داده های خود در مکان های فیزیکی مختلف استفاده کنید.
آرشیو برای حجم زیادی از دادهها که نیازی به استفاده مکرر ندارند ایدهآل است و همچنین میتواند از حجم کاری تولید جدا شود.
بازیابی خودکار بلایای طبیعی را تنظیم کنید، با هماهنگی که امکان بازیابی سریع کل محیط ها را فراهم می کند تا به سرعت از نقض داده ها بازیابی شود. این هم امنیت ابری را تضمین می کند و هم امنیت سایبری .
اطمینان حاصل کنید که سیستمهای ابری در معرض آسیبپذیریهای ناشی از بهروزرسانیها یا وصلههای مورد نیاز نیستند. این امر به ویژه در صورتی مهم است که آسیب پذیری های شناخته شده ای وجود داشته باشد که برطرف نشده باشد. در این حالت، مهاجم دقیقاً می داند که چه آسیب پذیری هایی در سیستم شما وجود دارد و چگونه از آنها سوء استفاده کند.
در برخی از سیستم ها، ممکن است فقط نیاز به پذیرش به روز رسانی ها و وصله ها داشته باشید. در موارد دیگر، برای رفع یک آسیب پذیری خاص، باید پچ خود را ایجاد کنید. از ابزارهای خودکار برای تأیید مداوم اینکه همه سیستم های نرم افزاری آخرین نسخه را اجرا می کنند استفاده کنید.
علاوه بر این، از پلتفرمهای اطلاعاتی تهدید یا دادههای منبع باز مانند پایگاههای داده آسیبپذیری استفاده کنید تا اطمینان حاصل کنید که اعلامیههای آسیبپذیری را از دست نمیدهید. این به شما امکان می دهد به محض اعلام آسیب پذیری از خود محافظت کنید، حتی اگر یک پچ فوراً در دسترس نباشد.
هنگام پیکربندی برنامه و زیرساخت خود، هرگز تصور نکنید که آن را به درستی پیکربندی کرده اید. ممکن است خطاهای پیکربندی وجود داشته باشد، و حتی اگر وجود نداشته باشد، با بهروزرسانی برنامهها و منابع ابری، و با تغییر گردش کار یا کاربران، پیکربندی میتواند تغییر کند.
بررسی منظم پیکربندیهای امنیت ابری تضمین میکند که هیچ تغییر تصادفی رخ نداده و هر گونه تغییر ایمن است. همچنین به شناسایی تنظیمات کمتر ایمن، بهبود عملکرد و کاهش هزینه منابع ابری غیر ضروری کمک می کند.
شما می توانید این ممیزی ها را با استفاده از ابزارها و فرآیندهای مختلف از جمله اسکنرهای خودکار، تست نفوذ و ممیزی های دستی انجام دهید. همه سرویس های ابری اصلی نوعی از سرویس تجزیه و تحلیل پیکربندی را ارائه می دهند. دسته جدیدی از ابزارها به نام مدیریت وضعیت امنیت ابری (CSPM) آزمایش و تجزیه و تحلیل جامع آسیب پذیری های امنیتی را ارائه می دهند.
این پست برای شما مفید بود؟
این پست چندتا ستاره داره ؟
میانگین رتبه : 0 / 5. تعداد آرا : 0
اولین نفری باشید که به این پست امتیاز می دهید
