امنیت رایانش ابری: 6 گام برای امن نگاه‌داشتن داده‌های‌تان

همانند تمساح‌ها در فاضلاب‌های نیویورک، نگرانی‌های امنیت ابر تبدیل به افسانه‌ شهر شده است که فقط هنوز فراموش نشده است.

اگرچه نگرانی‌ها راجع‌به حملات هکرها تا اندازه‌ای تحفیف یافته است (طبق نظرسنجی IDG Enterprise (2014)، 74% از پاسخ‌دهنده‌ها کاملا یا تقریبا به امنیت خدمات شبکه ارائه‌دهندگان خدمات ابر خود اطمینان دارند)،
ولی نگرانی‌ها در ارتباط با حریم خصوصی و از دست رفتن داده‌ها همچنان ادامه دارند. بر اساس نظرسنجی KPMG در سال 2014، 53% پاسخ‌دهنده‌ها اذعان نمودند که از دست رفتن داده‌ها بزرگترین چالش در انجام کسب و کار بر پایه ابر بوده است.

ریشه نگرانی‌های امنیتی در واقع ماهیت اشتراک خدمات ابر و عدم کنترل فیزیکی است. این موضوع بر پایه این تفکر بنا گردیده است که اگر تجهیزات و داده‌ها در مالکیت کسب و کار قرار داشته باشند، آنگاه احتمال خطر کمتر خواهد بود.
به گفته تیم مک‌کلیپس مدیر خدمات فنی شرکت Softchoice، «طبیعتا اعتقاد بر این است که مسائل خارج از کنترل ما ذاتا از امنیت کمتری برخوردار هستند.»

البته واقعیت این است که در عصر BYOD و ارتباطات راه‌دور امنیت فیزیکی دیگر چندان هم اهمیت نخواهد داشت. براساس آمار سرقت‌های پررنگ‌تر سوابق مشتریان در سال 2014، یک مورد نفوذ و سوء استفاده از داده‌ها زمانی رخ داده است
که سارقین مسیریاب Wi-Fi داخلی را هک کرده‌اند؛ و مورد دیگری زمانی انجام گرفته است که هکرها سروری را هک کردند که برای برگزاری یک رویداد خیریه راه‌اندازی شده بود.

ارائه‌دهندگان خدمات رایانش ابری به جز ارائه امنیت با استاندارد کلاس جهانی انتخاب چندانی نخواهند داشت. در واقع این سطح امنیت میکروتیک برای رقابت در راستای جذب مشتریان بزرگ در صنایعی مانند خدمات مالی و بهداشت و درمان الزامی است.
به گفته راب اندرل موسس شرکت تحلیل‌گر Enderle Group، «این خدمات عموما بر پایه مدلی طراحی شده‌اند که لزوم پرداختن به موارد کاربرد بسیار گسترده و متفاوت را در پی خواهد داشت.»

به‌علاوه، شرکت‌ها ارائه‌کننده خدمات رایانش ابری از مزیت صرفه‌جویی‌های مقیاس انبوه برخوردار هستند. از آنجایی‌که سرمایه‌گذاری‌های امنیتی این شرکت‌ها به کلیه مشتریان ایشان سود خواهد رساند، لذا استهلاک هزینه‌های‌شان کارامدتر
خواهد بود. پچ‌ها و به‌روزرسانی‌ها نیز برای کلیه مشتریان قابل استفاده خواهند بود که امنیت هر حساب انفرادی را افزایش خواهد داد.

مجازی‌سازی همان سطح امنیت را به‌صورت سرورهای فیزیکی عرضه خواهد کرد؛ و لذا تقریبا غیر ممکن خواهد بود که هکر از ماشین مجازی به سخت‌افزار زیرین (یعنی، محلی که احتمال دریافت بیشترین خسارت را دارد) دست یابد.

در واقع، کسب و کارها در مقابل تهدیدهای داخلی به مراتب بیش از تهدیدهای بیرونی آسیب‌پذیر هستند. براساس گزارش Forrester Research، 25% از موارد نقض امنیتی از داخل انجام گرفته‌اند و 36% بخاطر اشتباهات کارکنان بوده‌اند.
سیاست‌های سهل‌انگارانه در انتخاب کلمات عبور، فیشینگ و مهندسی اجتماعی هر سیستم فناوری اطلاعات را بدون توجه به محل قرارگیری نصب شبکه به خطر اندازند. به گفته اندرل، «همانطورکه در ارتباط با پرونده‌های نقض امنیتی Sony و Snowden
دیدید، حتی امن‌ترین راه‌حل‌های On-Premises نیز در برابر رویه‌های امنیتی و رفتارهای نامناسب آسیب‌پذیر خواهد بود.» «تاثیر منفی چنین رویه‌هایی بر سیستم‌های ابر و داخلی به یک اندازه خواهد بود.»

امن ماندن
خیلی‌ها بر این باور هستند که امنیت باید به دستان ارائه‌دهنده خدمات ابر جاری گردد. ولی کارشناسان تاکید می‌نمایند که امنیت مسئولیت مشترک ارائه‌دهنده خدمات ابر و مشتری است؛ درحالی‌که مشتری بخش اعظم این مسئولیت
را بر عهده خواهد داشت. با پیاده‌سازی و اجرا 6 رویه امنیتی اصلی، کاربران می‌توانند جلوی بیش از 90% از تهدیدات رایج را بگیرند، بدون توجه به این‌که مشتریان شخصا داده‌های خود را میزبانی می‌کنند یا این وظیفه را دیگری برای آنها انجام می‌دهد.

کنترل دسترسی مطلوب:
به گفته مارک بورنت مشاور امنیت فعال در ایالت یوتا که اخیرا الگوهای 10 میلیون نام کاربری و کلمه عبور را تحلیل کرده است، به‌رغم این‌که کلیه عناوین خبری در ارتباط با موارد نقض امنیتی جنجالی هستند، ولی 100 کلمه عبوری که
افراد بر حفاظت از داده‌های خود معمولا استفاده کرده در طول سال‌های اخیر تغییر چندانی نکرده‌اند. لذا تعداد فایروالی که استفاده خواهید کرد تاثیری چندان در افزایش امنیت شما نخواهد داشت، اگر کاربران بدون تامل کلمات عبور خود را به
تماس گیرنده ناشناس که خود را از پرسنل شرکت معرفی کرده ارائه نمایند. به گفته دان کوزنتسکی تحلیل‌گر باسابقه صنعت و موسس Kusnetzky Group، «مشتری هنوز مسئول اتخاذ کلمه عبور منطقی و سایر کنترل‌های دسترسی مناسب بدون درنظر گرفتن ارائه‌دهنده خدمات و مکان قرارگیری مرکز داده خواهد بود.»

استفاده از کلمات عبور قوی و تغییر مکرر آنها:
کاربران باید کلمات عبور متفاوتی را برای هر وب سایت یا خدمات اتخاذ نمایند. خدمات مدیریت کلمات عبور مانند LastPass، Dashlane، KeePass و 1Password اتخاذ کلمات عبور قوی‌تر و نگهداری سوابق تعداد بیشمار کلمات عبور احتمالی
را نسبتا ساده می‌سازند. بیشتر ارائه‌دهندگان خدمات ابر نیز رمزنگاری دو مرحله‌ای را ارائه می‌کنند که در آن، کلمه عبور با کد اعتبارسنجی قابل ارسال به تلفن پشتیبانی شبکه کاربر تکمیل می‌گردد. ثبت حساب کاربری (Sign-On) در Microsoft Exchange
یا محصول‌های شرکت‌های ثالث مانند Okta و Centrify نیز مدیریت اطلاعات هویتی را ساده‌تر می‌سازد و امنیت ابر و فیزیکی داخل سازمان (On-Premises) را تقویت می‌کند. ارائه‌دهنده خدمات ابر شما ممکن این ثبت‌نام حساب کاربری (Sign-On) را به‌عنوان بخشی از خدماتش ارائه نماید.

اطمینان حاصل‌ نمایید که داده‌های درحال جابجایی بین شرکت و خدمات ابر رمزنگاری شده‌اند:
دیوید استورم محقق فناوری با ارائه مقالات متعدد با عناوین امنیت ابر و شبکه‌سازی استفاده از شبکه مجازی خصوصی (...) را توصیه می‌نماید که سطح امنیتی عالی را ارائه و تضمین می‌کند که سطح پایه رمزنگاری برای کلیه کاربران مجاز تامین گردد.

دسترسی به منابع سطح سیستم :
افراد اندکی باید مجاز به ایجاد ماشین‌های مجازی جدید یا دسترسی فراگیر به داده‌ها باشند. سازمان فناوری اطلاعات باید از هر ماشین مجازی که شرکت استفاده کرده اطلاع داشته باشد.

اطمینان حاصل نمایید که ارائه‌دهنده خدمات ابر امکان تهیه نسخه‌های پشتیبانی پسیو شبکه محلی از داده‌ها را فراهم ساخته است. و نباید آن را جز خدمات پایه ارائه‌دهنده خدمات ابر تلقی کرد و لذا، این موضوع باید با ارائه‌دهنده خدمات پیش از توافق مطرح گردد.

کنترل مطلوب نقاط پایانی:
داده‌ها احتمال در ابر از امنیتی بیشتری در مقایسه با داده‌های مرکز داده خود شرکت برخوردار هستند؛ ولی این موضوع تفاوتی چندانی نخواهد داشت اگر دستگاه‌هایی که پرسنل شرکت برای دسترسی به داده‌ها استفاده کرده در معرض خطر باشند.
داده‌های حساس باید در زمان نقل و انتقال و مجددا ذخیره‌سازی بر روی رایانه شخصی یا دستگاه موبایل رمزنگاری شوند. رویه‌های مناسب در اتخاذ کلمات عبور در ارتباط با تلفن‌های هوشمند و تبلت‌ها به همان اندازه رایانه‌های شرکت اهمیت دارند.
مسئله امنیت فراتر از فناوری است؛ و اهمیت ندارد که داده‌ها کجا واقع می‌شوند