دنیای شخصی و حرفهای ما هرروز بیش از پیش به سمت «فضای ابری» حرکت میکند. اپهای تحت وب، اپهای تلفن همراه، اطلاعات شخصی، تصاویر، دادهها و دیگر مواردی از این دست در میان دریایی از سرورهایی قرار میگیرند که بهطورکلی آن را ابر مینامیم. پس تا زمانی که سازمانها درگیر این جابهجایی (تغییر رویه برای حرکت به سمت ابر) هستند یا وضعیت امنیتی فعلی خود را مجدداً مورد ارزیابی قرار میدهند، بررسی لایههای امنیتی ابری مهم خواهد بود. همین امر باعث شد در این مقاله به انواع معماری ابری و چگونگی کارکرد هر کدام از این مدلها و در نهایت چگونگیِ ارزیابیِ مدل بلوغ امنیت ابری (Cloud Security Maturity Model) بپردازیم.
انواع معماری امنیت ابری
تعریف معماری امنیت ابری، معمولاً به نوعِ مدلِ ابری که انتخاب کردهاید بستگی دارد. وقتی فضای ابری مناسب خود را انتخاب کنید میتوانید به معماریِ امنیت به چشم اصلی استراتژیک برای پیکربندی، پیادهسازی و مدیریت فضای ابری خود بپردازید. از آنجایی که هر یک از انوع فضای ابری، مسئولیتهای مشترک و غیر مشترکی بر عهده ارائهدهنده ابر و شما (گیرنده خدمات) میگذارد، بهتر است بدانید که کدام یک را پیادهسازی کردهاید تا از مسئولیتهای امنیتیِ خود آگاه باشید. به طور کلی سه نوع اصلیِ متداول در ابر عبارتاند از:
- نرمافزار بهعنوان سرویس (SaaS)
- زیرساخت بهعنوان سرویس (IaaS)
- پلتفرم بهعنوان سرویس (PaaS)
در هر کدام از این پیشنهادهای (offerings) ابری، یک معماری بومی ابری برای اجرای اپلیکیشنها و یا سرویس به صورت خارج از سازمان به مشتریان ارائه میشود. وقتی از مفهوم معماری ابر بومی (cloud-native) صحبت میکنیم که یک اپلیکیشن یا سرویس به طور خاص برای حضور و بودن در فضای ابری طراحی شده باشد. به عبارتی این مفهوم از ابتدای راهاندازی نرمافزار یا سرویس، برنامهریزی و حول زیرساخت ابری ساخته میشود.
معماری امنیت ابری بر اساس مدل سرویس چه تفاوتهایی دارد؟
SaaS
SaaS برنامه یا اپلیکیشنی است که میتوانید از یک ارائهدهنده ابر یا شرکتی که در فضای ابری میزبان (هاست) شده است خریداری کنید. در این مدل، مشتری فقط مسئولیت مدیریت برنامه را بر عهده دارد و ارائه دهنده معمولاً امنیت بکاِند را مدیریت میکند. نمونههایی از SaaS عبارتند از Salesforce، Microsoft 365 و Dropbox.
تهدید عمده برای سازمانهایی که راهکار SaaS را اتخاذ میکنند، بسیار شبیه به سایر برنامهها و اپها است. یعنی فیشینگ هنوز یک مشکل مهم در مورد این برنامهها است، چرا که مهاجمان سعی میکنند با وادار کردن شما به دادن اطلاعات ورود به آنها، به اطلاعاتتان دسترسی پیدا کنند. در مورد مزایا و معایب SaaS بیشتر بدانید.
در محیط SaaS برای جلوگیری از مخاطرات امنیتی بهتر است سرویسهای ابری را انتخاب کنیم که از طریق APIها، پروکسیها یا gatewayها امکانات امنیتی ارائه میدهند (Cloud Access Security Brokers).
IaaS
IaaS جایی است که سازمانها میتوانند زیرساختهای مورد نظرشان را از یک ارائهدهنده ابر خریداری کنند. شرکتها میتوانند فوراً سیستمها و شبکهها را ایجاد کنند و سیستمعاملها، اپلیکیشنها و میانافزارهای خود را نصب کنند. نمونههایی از IaaS عبارتاند از Azure و Rackspace.
تهدیدهای امنیتی برای IaaS، مثل تهدیدهای متداول درونسازمانی است که با آن سروکار دارید. در این حالت سازمانها خود مسئول نصب سیستمعاملها و برنامههای کاربردی و همچنین امنیت آن هستند. تهدیدهایی مثل آسیبپذیریها*، بدافزارها، تهدیدات داخلی و قرار گرفتن در معرض خطر افشای اعتبارنامه از جمله تهدیدهای این مدل است.
با وجود چنین تهدیدهایی مسلما به دنبال ابزارهای امنیتی استاندارد و ابزارهای مخصوص ابر خواهید بود. مواردی مثل محافظت از نقاط انتهایی(Endpoint Protection)، CASB و مدیریت آسیبپذیری خواهید بود. از دیگر موارد جهت پیادهسازی َامن میتوان به مواردی نظیر مدیریت دسترسی، رمزگذاری دادهها و رمزگذاری شبکه اشاره کرد. استفاده از این روشها در کنار هم، لایههای امنیتی و استراتژی امنیتی بهتری را ایجاد میکند.
(*) : ضعف در طراحی، راهاندازی و عملکرد مدیریت یک سامانه که باعث نقض خطِ مشی امنیتی آن سامانه شود.
PaaS
PaaS جایی است که سازمانها میتوانند یک پلتفرم را از یک ارائهدهنده ابر خریداری کنند. این به شرکت اجازه میدهد تا برنامهها را بدون پرداختن به زیرساختهای اساسی که معمولاً برای اجرای اپلیکیشنها مورد نیاز است، توسعه داده اجرا کرده و مدیریت کنند. نمونههایی از ارائهدهندگان PaaS عبارتاند از AWS، اوراکل و گوگل برای پلتفرمهای مختص خودشان.
جالب است بدانید زمانی که نوبت به تهدیدات در PaaS میرسد، اولین چیزهایی که با آن مواجه میشویم، عمدتاً خود آسیب (self-inflicted) هستند. به این معنی که، کمکاری و غفلت در پیکربندی درست برنامه باعث به خطر افتادن خود برنامه میشود. مسئله بعدی مربوط به قرار ندادن مجوز در دادههای ابری هستند و آنها را در معرض دسترسی غیرمجاز قرار میدهند. آخرین چیزی که باید به خاطر بسپارید استفاده از SSL است، زیرا اجرای نادرست آن میتواند منجر به نشت اطلاعات شود.
برای امن سازی محیط PaaS شما باید از امنیتهای معمول در سبک ابری و برخی اپلیکیشنهای امنیتی واسط استفاده کنید. بهعنوانمثال شما میتوانید برای اجرای سیاستهای امنیتی و داشتن دسترسی مناسب، CASB در اختیار داشته باشید. همچنین میتوانید یک پلتفرم محافظت از بار کاری ابری (Cloud Workload Protection Platform) را هم پیادهسازی کنید. این کارها به شما دید واضحتری میدهد و این امکان را فراهم میکند تا بتوانید در محیطهای متفاوت و میان فروشندگان مختلف عملکرد بهتری داشته باشید.
چگونگیِ ارزیابیِ مدل بلوغ امنیت ابری (CSMM)
مدل بلوغ امنیت ابری، شامل دستورالعملهایی است که ممکن است برای برخی سازمانها مناسب باشد و برای برخی نباشد. این مدل نقطۀ آغازینِ خوبی است تا شرکتها تصمیم بگیرند در چه مناطقی از محیط ابری سرمایهگذاری کنند.
در کل مدلهای بلوغ متفاوتی از سازمانهای مختلف وجود دارد. بهترین کار این است که دنبال مدلی باشید تا برای سازمان شما منطقیتر باشد. با توجه به تلاشهای زیادی برای ورود به سیستم و دسترسی به هویت کاربر کاربران قرار میگیرد، احراز هویت باید اولویت اصلی شما باشد. مهمترین مواردی که باید در مورد آنها جستجو کنید یا از ارائه دهنده خدمات ابری خود بپرسید عبارتاند از:
- آیا روشهای احراز هویت چند عاملی (multi-factor) دارید؟
- آیا احراز هویت یکپارچه (Single Sign On) را برای سیستم لحاظ کردهاند؟
- میتوانید با سیستم احراز هویت سازمانی و دایرکتوریها یکپارچه شوید؟
هنگام ارزیابی و نحوه برخورد با سایر حوادث امنیتی و کم و کیف آنها، باید مسائل امنیتی گذشته را هم در نظر بگیرید. بهعنوانمثال:
- بهعنوان یک شرکت ارائه دهنده ابر تاحالا چه تعداد تخلف را تجربه کردهاند؟
- آیا آنها تابهحال شاهد بدافزاری در فضای ابری خود بودهاند؟
- آیا آنها به طور منظم تستهای نفوذ را روی محیط نرمافزاری خود انجام میدهند؟
سیاستها، اطلاعات تطابق و اسناد نیز جزو فلسفههای مهمی هستند که باید مدنظر قرار گیرند. بهطور مثال اگر بدانید چگونه ارائهدهنده سرویس ابری شما امنیت خود را مدیریت میکند، کمک میکند بدانید چگونه امنیت شما را مدیریت میکند. آیا زمانی که تخلفی رخ دهد به شما اطلاعرسانی میکند و اطلاعات را برای شما فاش میکند؟ تمامیِ اینها، سؤالات بسیار معتبر و مهمی هستند که در هنگام ارزیابی ارائهدهندهها باید مورد بررسی قرار دهید.
خلاصه مقاله در کمتر از 60 ثانیه:
هنگام ارزیابی ارائهدهنده امنیت ابری خود، بهتر است از هیچ اقدامی فرونگذارید. امنیت سازمان شما چیزی نیست که بتوان آن را ساده تلقی کرد. شما باید تا جایی که ممکن است هنگام تصمیمگیریها مطلع باشید. این موضوع را بدانید که تمامیِ مدلهای امنیت ابری به طور یکسان ایجاد نمیشوند. ممکن است در یک مدل شما مسئول امنیت همه موارد در دسترس باشید، درحالیکه در مدل دیگر فقط موارد خاصی را کنترل کنید. پس قبل از هر چیز مدل ابری خود را بشناسید تا بتوانید معماری امنیت ابر خود را تعریف کنید.