معماری امنیت ابری در SaaS، IaaS و PaaS چگونه است؟

فهرست مطالب

دقیقه زمان تقریبی مطالعه

دنیای شخصی و حرفه‌ای ما هرروز بیش از پیش به سمت «فضای ابری» حرکت می‌کند. اپ‌های تحت وب، اپ‌های تلفن همراه، اطلاعات شخصی، تصاویر، داده‌ها و دیگر مواردی از این‌ دست در میان دریایی از سرورهایی قرار می‌گیرند که به‌طورکلی آن را ابر می‌نامیم. پس تا زمانی که سازمان‌ها درگیر این جابه‌جایی (تغییر رویه برای حرکت به سمت ابر) هستند یا وضعیت امنیتی فعلی خود را مجدداً مورد ارزیابی قرار می‌دهند، بررسی لایه‌های امنیتی ابری مهم خواهد بود. همین امر باعث شد در این مقاله به انواع معماری ابری و چگونگی کارکرد هر کدام از این مدل‌ها و در نهایت چگونگیِ ارزیابیِ مدل بلوغ امنیت ابری (Cloud Security Maturity Model) بپردازیم.

انواع معماری امنیت ابری

تعریف معماری امنیت ابری، معمولاً به نوعِ مدلِ ابری که انتخاب کرده‌اید بستگی دارد. وقتی فضای ابری مناسب خود را انتخاب کنید می‌توانید به معماریِ امنیت به‌ چشم اصلی استراتژیک برای پیکربندی، پیاده‌سازی و مدیریت فضای ابری خود بپردازید. از آنجایی که هر یک از انوع فضای ابری، مسئولیت‌های مشترک و غیر مشترکی بر عهده ارائه‌دهنده ابر و شما (گیرنده خدمات) می‌گذارد، بهتر است بدانید که کدام یک را پیاده‌سازی کرده‌اید تا از مسئولیت‌های امنیتیِ خود آگاه باشید. به طور کلی سه نوع اصلیِ متداول در ابر عبارت‌اند از:

  • نرم‌افزار به‌عنوان سرویس (SaaS)
  • زیرساخت به‌عنوان سرویس (IaaS)
  • پلت‌فرم به‌عنوان سرویس (PaaS)

در هر کدام از این پیشنهادهای (offerings) ابری، یک معماری بومی ابری برای اجرای اپلیکیشن‌ها و یا سرویس به صورت خارج از سازمان به مشتریان ارائه می‌شود. وقتی از مفهوم معماری ابر بومی (cloud-native) صحبت می‌کنیم که یک اپلیکیشن یا سرویس به طور خاص برای حضور و بودن در فضای ابری طراحی شده باشد. به عبارتی این مفهوم از ابتدای راه‌اندازی نرم‌افزار یا سرویس، برنامه‌ریزی و حول زیرساخت ابری ساخته می‌شود.

سه نوع اصلیِ در فضای ابری

معماری امنیت ابری بر اساس مدل سرویس چه تفاوت‌هایی دارد؟

SaaS

SaaS برنامه‌ یا اپلیکیشنی است که می‌توانید از یک ارائه‌دهنده ابر یا شرکتی که در فضای ابری میزبان (هاست) شده است خریداری کنید. در این مدل، مشتری فقط مسئولیت مدیریت برنامه را بر عهده دارد و ارائه دهنده معمولاً امنیت بک‌اِند را مدیریت می‌کند. نمونه‌هایی از SaaS عبارتند از Salesforce، Microsoft 365 و Dropbox. 

تهدید عمده برای سازمان‌هایی که راهکار SaaS را اتخاذ می‌کنند، بسیار شبیه به سایر برنامه‌ها و اپ‌ها است. یعنی فیشینگ هنوز یک مشکل مهم در مورد این برنامه‌ها است، چرا که مهاجمان سعی می‌کنند با وادار کردن شما به دادن اطلاعات ورود به آن‌ها، به اطلاعاتتان دسترسی پیدا کنند. در مورد مزایا و معایب SaaS بیشتر بدانید.

مدل SaaS چیست؟
مدیریت تمام بخش‌ها در SaaS به عهده ارائه دهنده سرویس است.

در محیط SaaS برای جلوگیری از مخاطرات امنیتی بهتر است سرویس‌های ابری را انتخاب کنیم که از طریق API‌ها، پروکسی‌ها یا gateway‌ها امکانات امنیتی ارائه می‌دهند (Cloud Access Security Brokers).

IaaS

IaaS جایی است که سازمان‌ها می‌توانند زیرساخت‌های مورد نظرشان را از یک ارائه‌دهنده ابر خریداری کنند. شرکت‌ها می‌توانند فوراً سیستم‌ها و شبکه‌ها را ایجاد کنند و سیستم‌عامل‌ها، اپلیکیشن‌ها و میان‌افزارهای خود را نصب کنند. نمونه‌هایی از IaaS عبارت‌اند از Azure و Rackspace. 

تهدید‌های امنیتی برای IaaS، مثل تهدید‌های متداول درون‌سازمانی است که با آن سروکار دارید. در این حالت سازمان‌ها خود مسئول نصب سیستم‌عامل‌ها و برنامه‌های کاربردی و همچنین امنیت آن هستند. تهدید‌هایی مثل آسیب‌پذیری‌ها*، بدافزارها، تهدیدات داخلی و قرار گرفتن در معرض خطر افشای اعتبارنامه از جمله تهدیدهای این مدل است.

مدل Iaas چیست؟
مدیریت بخش‌های نارنجی در IaaS به عهده ارائه دهنده سرویس است.

با وجود چنین تهدیدهایی مسلما به دنبال ابزارهای امنیتی استاندارد و ابزارهای مخصوص ابر خواهید بود. مواردی مثل محافظت از نقاط انتهایی(Endpoint Protection)، CASB و مدیریت آسیب‌پذیری خواهید بود. از دیگر موارد جهت پیاده‌سازی َامن می‌توان به مواردی نظیر مدیریت دسترسی، رمزگذاری داده‌ها و رمزگذاری شبکه اشاره کرد. استفاده از این روش‌ها در کنار هم، لایه‌های امنیتی و استراتژی امنیتی بهتری را ایجاد می‌کند.

(*) : ضعف در طراحی، راه‌‏اندازی و عملکرد مدیریت یک سامانه که باعث نقض خطِ مشی امنیتی آن سامانه شود.

PaaS

PaaS جایی است که سازمان‌ها می‌توانند یک پلتفرم را از یک ارائه‌دهنده ابر خریداری کنند. این به شرکت اجازه می‌دهد تا برنامه‌ها را بدون پرداختن به زیرساخت‌های اساسی که معمولاً برای اجرای اپلیکیشن‌ها مورد نیاز است، توسعه داده اجرا کرده و مدیریت کنند. نمونه‌هایی از ارائه‌دهندگان PaaS عبارت‌اند از AWS، اوراکل و گوگل برای پلتفرم‌های مختص خودشان.

جالب است بدانید زمانی که نوبت به تهدیدات در PaaS می‌رسد، اولین چیزهایی که با آن مواجه می‌شویم، عمدتاً خود آسیب (self-inflicted) هستند. به این معنی که، کم‌کاری و غفلت در پیکربندی‌ درست برنامه باعث به خطر افتادن خود برنامه می‌شود. مسئله بعدی مربوط به قرار ندادن مجوز در داده‌های ابری هستند و آنها را در معرض دسترسی غیرمجاز قرار می‌دهند. آخرین چیزی که باید به خاطر بسپارید استفاده از SSL است، زیرا اجرای نادرست آن می‌تواند منجر به نشت اطلاعات شود.

مدل PaaS چیست؟
مدیریت بخش‌های نارنجی در PaaS به عهده ارائه دهنده سرویس است.

برای امن سازی محیط PaaS شما باید از امنیت‌های معمول در سبک ابری و برخی اپلیکیشن‌های امنیتی واسط استفاده کنید. به‌عنوان‌مثال شما می‌توانید برای اجرای سیاست‌های امنیتی و داشتن دسترسی مناسب، CASB در اختیار داشته باشید. همچنین می‌توانید یک پلت‌فرم محافظت از بار کاری ابری (Cloud Workload Protection Platform) را هم پیاده‌سازی کنید. این کارها به شما دید واضح‌تری می‌دهد و این امکان را فراهم می‌کند تا بتوانید در محیط‌های متفاوت و میان فروشندگان مختلف عملکرد بهتری داشته باشید.

چگونگیِ ارزیابیِ مدل بلوغ امنیت ابری (CSMM)

مدل بلوغ امنیت ابری، شامل دستورالعمل‌هایی است که ممکن است برای برخی سازمان‌ها مناسب باشد و برای برخی نباشد. این مدل نقطۀ آغازینِ خوبی است تا شرکت‌ها تصمیم بگیرند در چه مناطقی از محیط ابری سرمایه‌گذاری کنند.

در کل مدل‌های بلوغ متفاوتی از سازمان‌های مختلف وجود دارد. بهترین کار این است که دنبال مدلی باشید تا برای سازمان شما منطقی‌تر باشد. با توجه به تلاش‌های زیادی برای ورود به سیستم و دسترسی به هویت کاربر کاربران قرار می‌گیرد، احراز هویت باید اولویت اصلی شما باشد. مهم‌ترین مواردی که باید در مورد آنها جستجو کنید یا از ارائه دهنده خدمات ابری خود بپرسید عبارت‌اند از:

  • آیا روش‌های احراز هویت چند عاملی (multi-factor) دارید؟
  • آیا احراز هویت یکپارچه (Single Sign On) را برای سیستم لحاظ کرده‌اند؟
  • می‌توانید با سیستم احراز هویت سازمانی و دایرکتوری‌ها یکپارچه شوید؟

هنگام ارزیابی و نحوه برخورد با سایر حوادث امنیتی و کم‌ و کیف آنها، باید مسائل امنیتی گذشته را هم در نظر بگیرید. به‌عنوان‌مثال:

  • به‌عنوان یک شرکت ارائه دهنده ابر تاحالا چه تعداد تخلف را تجربه کرده‌اند؟
  • آیا آنها تابه‌حال شاهد بدافزاری در فضای ابری خود بوده‌اند؟
  • آیا آنها به طور منظم تست‌های نفوذ را روی محیط نرم‌افزاری خود انجام می‌دهند؟

سیاست‌ها، اطلاعات تطابق و اسناد نیز جزو فلسفه‌های مهمی هستند که باید مدنظر قرار گیرند. به‌طور مثال اگر بدانید چگونه ارائه‌دهنده سرویس ابری شما امنیت خود را مدیریت می‌کند، کمک می‌کند بدانید چگونه امنیت شما را مدیریت می‌کند. آیا زمانی که تخلفی رخ دهد به شما اطلاع‌رسانی می‌کند و اطلاعات را برای شما فاش می‌کند؟ تمامیِ اینها، سؤالات بسیار معتبر و مهمی هستند که در هنگام ارزیابی ارائه‌دهنده‌ها باید مورد بررسی قرار دهید.

خلاصه مقاله در کمتر از 60 ثانیه:

هنگام ارزیابی ارائه‌دهنده امنیت ابری خود، بهتر است از هیچ اقدامی فرونگذارید. امنیت سازمان شما چیزی نیست که بتوان آن را ساده تلقی کرد. شما باید تا جایی که ممکن است هنگام تصمیم‌گیری‌ها مطلع باشید. این موضوع را بدانید که تمامیِ مدل‌های امنیت ابری به طور یکسان ایجاد نمی‌شوند. ممکن است در یک مدل شما مسئول امنیت همه موارد در دسترس باشید، درحالی‌که در مدل دیگر فقط موارد خاصی را کنترل کنید. پس قبل از هر چیز مدل ابری خود را بشناسید تا بتوانید معماری امنیت ابر خود را تعریف کنید.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *