9120910278 call

امنیت ابری

محمدحسین فرشاد
در تاریخ: ۲۶ تیر، ۱۳۹۸

استفاده روز افزون از منابع و سرویس‌های مختلف باعث ایجاد نیاز در بهره‌برداری از سرویس‌های ابری مختلف گردیده است. این سرویس‌ها با ایجاد زمینه‌های لازم برای کاربران اقدام به ارائه برنامه‌ها و سرویس‌های مختلف بر روی بستر ابر کرده‌اند. از این رو تامین امنیت در این سرویس‌ها به عنوان اصلی‌ترین موضوع در زیرساخت‌های ابری مطرح گردیده است.

امنیت ابری چیست؟

امنیت ابری به مجموعه‌ای از افراد، نرم‌افزارها، سیاست‌ها، فناوری‌ها و فرآیند‌ها اطلاق می‌شود که برای محافظت از داده‌ها، شبکه و ارتباط بین ابر و کاربر مورد استفاده قرار می‌گیرند. به صورت ساده‌تر امنیت ابری به معنی ایجاد یک لایه محافظتی برای داده‌ها، برنامه‌ها و زیرساخت‌هایی است که در فضای ابری مورد استفاده قرار می‌گیرند. داده‌ها می‌توانند بر روی ابر ذخیره شده باشند و یا تنها از طریق بستر ابری منتقل شوند.

برای درک بهتر این موضوع ابتدا لازم است بدانیم فضای ابری و یا اصطلاحا زیرساخت ابری چیست و چگونه کار می‌کند؟

زیرساخت ابری چیست؟

به صورت ساده و ابتدایی زیرساخت ابری به مجموعه‌ای از منابع اطلاق می‌شود که از طریق یک سری نرم‌افزار در اختیار کاربران قرار می‌گیرد. مزیت اصلی استفاده از سرویس‌های ابری انجام کارها و محاسبات مقیاس‌پذیر و بزرگ با حل مشکل امنیت است. در این حالت کاربران و مدیران کسب‌و‌کارها بدون نیاز به رفع دغدغه‌های امنیتی برای ذخیره‌سازی و نگه‌داری از داده‌ها تنها به بزرگ کردن تجارت خود می‌پردازند.

با این تعریف هرگونه بهره‌برداری از فضای ابری نیازمند استفاده از سرویس‌ها و نرم‌افزارهایی است که به‌وسیله ارائه‌دهنده فضای ابری در اختیار کاربران قرار گرفته است. تامین امنیت این نرم‌افزارها و داده‌های ذخیره‌شده در آن‌ها اصلی‌ترین دغدغه در سرویس ابری است. این امنیت شامل جلوگیری از دسترسی غیرمجاز به داده‌ها، خروج و انتشار آن‌ها و یا حذف غیرمجاز این داده‌هاست.

در این مدل داده‌ها بر روی مراکزداده ابری ذخیره‌سازی شده، چندین و چند پشتیبان از آن‌ها گرفته‌شده و درصد خطا در از بین رفتن داده‌ها تا حد زیادی کاهش پیدا کرده است.

مجموعه این موارد و خطرات مرتبط با آن‌ باعث ایجاد لایه امنیتی توسط ابر بر روی سرویس‌های کاربران می‌گردد.

مقابله با خطا

در این مقاله به صورت مختصر نحوه عملکرد ابر برای جلوگیری از هر کدام از این خطرها را بررسی می‌کنیم:

۱. خرابی، تغییر و از بین‌رفتن داده‌ها

ساختار سرورهای ابری به گونه‌ایست که همواره چندین پشتیبان از یک داده بر روی سرورهای مختلف موجود است و با به‌روز شدن داده‌ها تمامی کپی‌های موجود از این داده نیز به روز می‌شوند. این داده‌ها انواع مختلفی می‌توانند داشته باشند اعم از فایل، داده‌های مرتبط با پایگاه‌های داده‌ها و … .

۲. مدیریت دسترسی‌های غیرمجاز

در صورت استفاده کردن از ابر تمامی دسترسی‌ها توسط لایه امنیتی ابر چک می‌شوند. لایه‌های امنیتی برای کنترل دسترسی اعم از Firewall و IPS و IDS و … تمامی موارد را برای دسترسی کاربران چک می‌کنند.

در حالت‌های انسانی نیز فضای ابری با تعریف کردن مکانیزم‌هایی شبیه 2FA، صفحات چالشی و … کاربرهای حقیقی از غیرحقیقی و همچنین کابر حقیقی مجاز از غیرمجاز را تشخیص داده و امکان دسترسی از افراد و برنامه‌های غیر مجاز را مسدود می‌سازد.

۳. مدیریت ترافیک

در بسیاری از موارد حجم بالای درخواست کاربران و مصرف زیاد منابع سخت‌افزاری و نرم‌افزاری به‌وسیله آنان باعث از دسترس خارج شدن سرویس و یا کاهش سرعت سرویس‌دهی وب‌سایت می‌گردد. ویژگی استفاده از سرویس ابری در این حالت مدیریت منابع و درخواست‌ها، تشخیص حمله DDoS و عملیات جلوگیری از آن و سرویس‌دهی عادلانه به کاربران است.

۴. DMZ As A Service

Firewall، Sandbox، Advanced Threat Protection، URL Filters، SSL Inspection، نمونه‌ای از سرویس‌هایی هستند که همگی در قالب یک پکیج یکپارچه می‌تواند به‌وسیله ابر در اختیار کاربران قرار گیرد. یکپارچگی این سرویس‌ها می‌تواند علاوه بر افزایش سرعت کاربر نهائی، بهبود تجربه کاربری او را در پی داشته باشد.

SLA در امنیت ابری

نحوه تضمین امنیت در سرویس‌های امنیت ابری متفاوت است. برخی از سرویس‌ها به صورت کامل همه موارد مرتبط با داده‌ها، اعم از خرابی داده، حذف داده و نشت داده را تضمین می‌کنند و هزینه‌های مرتبط با آن و همچنین هزینه‌های مرتبط با از دست رفتن کاربر نهائی را به مشتری پرداخت می‌کنند. برخی دیگر از شرکت‌ها تنها قسمتی از موارد یاد شده را برعهده می‌گیرند. این تضمین بسته به نوع سرویس ابری ارائه‌شده متفاوت است.

1. APTs (یا Advanced Persistent Threats)

حتما اسم استاکس‌نت را شنیده‌اید. نمونه‌ی واضح از یک APT. نرم‌افزارها و بات‌های مخربی که آرام آرام، پنهان و به صورت گسترده در یک شبکه منتشر می‌شوند و بعد از گذشت مدت مشخصی در یک زمان شروع به تخریب شبکه می‌کنند. سواستفاده از یک آسیب‌پذیری در داخل سیستم‌های مختلف شبکه باعث گسترش این نرم‌افزار مخرب بر روی آن می‌گردد. این آسیب‌پذیری می‌تواند در نتیجه به‌روز نبودن ساختار پکیج‌ها و نرم‌افزارهای مورد استفاده در زیرساخت شبکه باشد و یا به دلیل عدم انجام صحیح تنظیمات. در هر حال به دلیل یکپارچه نبودن شبکه امکان تشخیص و جلوگیری از این تهدیدات بسیار مشکل و گاهی غیرممکن می‌گردد. فضای یکپارچه ابری باعث می‌شود عملکرد این بات‌ها از سطح هسته دور شده و امکان تشخیص و جلوگیری از آن‌ها با استفاده از سرویس‌های مانتیورینگ شبکه بسیار بسیار بیشتر گردد.

2. رمزنگاری داده‌ها

بسیاری از سرویس‌ها به دلیل محدودیت‌های مختلف یا از سیستم‌های رمزنگاری برای انتقال اطلاعات خود استفاده نمی‌کنند و یا در به‌روزرسانی این سرویس‌ها اهتمام لازم را ندارند. به دلیل اهمیت خاص این موضوع فضاهای امنیت ابری تمامی سرویس‌های مرتبط با رمزنگاری خود اعم از SSL و TLS را به روز نگه می‌دارند و تمامی ارتباطات بین سرورها و نرم‌افزارهای خود را با استفاده از این مکانیزم‌ها رمزنگاری شده برقرار می‌کنند.

3. File Integrity

اطمینان از صحت فایل‌های موجود در سیستم‌عامل و همچنین فایل‌های ذخیره‌شده کاربران با استفاده از چک کردن امضای فایل، ویژگی دیگر سرویس‌های امنیت ابری است که با نام FIM شناخته می‌شود.

تفاوت امنیت ابری با نمونه‌های قدیمی امنیت شبکه در چیست؟

به‌روز کردن پکیج‌ها و سیستم‌عامل برای جلوگیری از خطرات مرتبط، موضوعی است که می‌بایست ادمین هر سیستم و سرور نرم‌افزاری مداوما انجام دهد. در حالت قدیمی دارنده وب‌سایت می‌بایست شخصا اقدام به این به روزرسانی‌ها کند و در جریان تمامی اخبار و اطلاعات مرتبط با به‌روزرسانی‌های باشد. با سرویس امنیت ابری این اتفاق به صورت خودکار بر روی تمامی سیستم‌ها و سرورهای ابری می‌افتد و تمامی سرویس‌هایی که به صورت مستقیم یا غیرمستقیم از این پکیج‌ها استفاده می‌کنند از آسیب و خطرات احتمالی در امان خواهند بود.

Cloud Security Chart

امنیت در سامانه‌های توزیع محتوا CDN

سامانه‌های توزیع محتوا اگرچه داده کاربران را ذخیره نکرده و تنها آن‌ها cache می‌کنند ولیکن به دلیل عدم دسترسی مستقیم کاربران به سرورهای اصلی به خودی خود یک لایه محافظ امنیتی برای وب‌سایت‌ها ایجاد می‌کنند. این لایه محافظ با پنهان کردن مسیرهای مستقیم دسترسی به سرور اصلی امکان نفوذ تحت حمله قرار دادن سرور اصلی را تا حد بسیار زیادی کاهش می‌دهند. در زیر مواردی از نحوه تامین امنیت در شبکه‌های توزیع محتوا را با یکدیگر بررسی می‌کنیم:

1. تشخیص کاربر (User) حقیقی از BOT

دغدغه اصلی بسیاری از وب‌سایت ایجاد تمایز و تفاوت رفتار به کاربر حقیقی و غیرحقیقی است. کاربران غیرحقیقی در بسیاری از موارد باعث هدررفت منابع برای سرویس‌ها می‌گردند.
این سامانه به صورت خودکار می‌تواند کاربران حقیقی از غیرحقیقی را تشخیص داده و سدی برای استفاده زیاد کاربران غیرحقیقی از وب‌سایت تحت پوشش فراهم کند. نکته مهم در این سامانه‌ها می‌بایست عدم ایجاد خستگی و یک تجربه بد برای کاربر حقیقی در استفاده از سیستم باشد.

2. Web Application Firewall

WAF، سامانه‌ای برای جلوگیری از حملات و آسیب‌ها در لایه اپلیکیشن (لایه ۷) شبکه است.
مهم‌ترین خطراتی که سامانه WAF باعث جلوگیری از آن‌ها می‌گردد، عبارتند از:

  1. SQL Injection (یا SQLi)
  2. Cross-Site Scripting (یا XSS)
  3. Remote File Inclusion (یا RFI)
  4. Local File Inclusion (یا LFI)
  5. PHP Object Injection
  6. Remote Code Execution (یا RCE)

پیشگیری و مقابله با این خطرات مستلزم استفاده از سامانه‌های پیچیده و گران فنی است که امکان به‌کارگیری آن برای تمامی سرویس‌ها و وب‌سایت‌ها فراهم نمی‌باشد. از این رو این وب‌سایت‌ها سعی در استفاده از سامانه‌های ابری توزیع محتوا برای جلوگیری از این مشکلات می‌کنند.

3. DDoS Protection

DDoS یا حملات توزیع‌شده عدم دسترسی، نمونه‌ای از حملات هستند که این روزها به وفور در فضای اینترنت اتفاق می‌افتند. این حملات یا با هدف از دسترس خارج کردن سرویس مورد نظر هستند و یا به دلیل حجم بالای درخواست کاربران به وب‌سایت اتفاق می‌افتند. سرویس‌های ابری توزیع محتوا می‌توانند با تشخیص به موقع این حملات آن‌ها را دفع کنند و از دسترس خارج شدن سرویس برای کاربران سالم جلوگیری نمایند.

امنیت DNS

سرویس Domain Name Service، سرویسی است که به صورت مداوم به‌وسیله انواع سرویس‌ها و وب‌سایت‌ها مورد استفاده قرار می‌گیرد. سریع بودن و قابل اعتماد بودن IPها و نام‌های بازگردانی شده توسط این سرویس، کیفیت سرویس‌دهی را برای وب‌سایت مبدا تعیین می‌کند.

1. Anycast

AnyCast یک سرویس مجزا برای تفسیر رکوردهای DNS در فضای اینترنت است. به صورت معمول زمانیکه یک کاربر یک درخواست DNS را به سرور DNS ارسال می‌کند، مسیریاب‌ها (Router) سعی در پیدا کردن سرور DNS براساس IP تعریف شده می‌کنند. این اتفاق باعث طولانی شدن زمان ارسال و دریافت پاسخ بسته به نقطه جغرافیایی برای کاربر نهایی می‌گردد و همچنین حجم درخواست‌ها را برای سرور DNS زیاد می‌نماید. سرویس AnyCast با توزیع تعداد زیادی سرور در سراسر دنیا جواب درخواست DNS کاربران نهائی را از نزدیکترین سرور به آن‌ها برمی‌گرداند. پیچیدگی فنی و شبکه‌ای پیاده‌سازی سرویس Anycast در یکسان بودن IPهای تمامی سرورها و مدیریت آن‌ها در بازه‌های مختلف جغرافیایی است.

2. DNSSec

رکوردهای DNS به صورت پیش‌فرض رمزنگاری شده نیستند. این موضوع در پاره‌ای از اوقات باعث ایجاد مشکل در برگرداندن پاسخ صحیح این رکوردها برای کاربران می‌گردد. به این صورت که هیچ راهی برای اطمینان از پاسخ برگردانده شده توسط یک cache server وجود ندارد. در این حالت رکورد DNS با استفاده از یک کلید اختصاصی رمزنگاری شده و کاربر با استفاده از کلید عمومی می‌تواند از صحت آن اطمینان حاصل نماید. این فناوری نیز همچون Anycast از نظر فنی دارای پیچیدگی‌های خاصی است. به همین دلیل تعداد شرکت‌هایی که از این فناوری در سطح دنیا استفاده می‌کنند همچنان انگشت‌شمار هستند.

احراز هویت براساس Token

این سرویس برای مدیریت دسترسی کاربران به محتوای تولید شده است. در این حالت تنها کاربران مجاز با استفاده از Token تاییدشده می‌توانند به محتوای خاص بر روی سرور دسترسی داشته باشند.

امنیت ابری در دِراک

زیرساخت امنیت ابری دِراک تمامی سرویس‌های گفته شده در این مقاله را به صورت کامل به کاربران ارائه می‌دهد.