استفاده روز افزون از منابع و سرویسهای مختلف باعث ایجاد نیاز در بهرهبرداری از سرویسهای ابری مختلف گردیده است. این سرویسها با ایجاد زمینههای لازم برای کاربران اقدام به ارائه برنامهها و سرویسهای مختلف بر روی بستر ابر کردهاند. از این رو تامین امنیت در این سرویسها به عنوان اصلیترین موضوع در زیرساختهای ابری مطرح گردیده است.
امنیت ابری چیست؟
امنیت ابری به مجموعهای از افراد، نرمافزارها، سیاستها، فناوریها و فرآیندها اطلاق میشود که برای محافظت از دادهها، شبکه و ارتباط بین ابر و کاربر مورد استفاده قرار میگیرند. به صورت سادهتر امنیت ابری به معنی ایجاد یک لایه محافظتی برای دادهها، برنامهها و زیرساختهایی است که در فضای ابری مورد استفاده قرار میگیرند. دادهها میتوانند بر روی ابر ذخیره شده باشند و یا تنها از طریق بستر ابری منتقل شوند.
برای درک بهتر این موضوع ابتدا لازم است بدانیم فضای ابری و یا اصطلاحا زیرساخت ابری چیست و چگونه کار میکند؟
زیرساخت ابری چیست؟
به صورت ساده و ابتدایی زیرساخت ابری به مجموعهای از منابع اطلاق میشود که از طریق یک سری نرمافزار در اختیار کاربران قرار میگیرد. مزیت اصلی استفاده از سرویسهای ابری انجام کارها و محاسبات مقیاسپذیر و بزرگ با حل مشکل امنیت است. در این حالت کاربران و مدیران کسبوکارها بدون نیاز به رفع دغدغههای امنیتی برای ذخیرهسازی و نگهداری از دادهها تنها به بزرگ کردن تجارت خود میپردازند.
با این تعریف هرگونه بهرهبرداری از فضای ابری نیازمند استفاده از سرویسها و نرمافزارهایی است که بهوسیله ارائهدهنده فضای ابری در اختیار کاربران قرار گرفته است. تامین امنیت این نرمافزارها و دادههای ذخیرهشده در آنها اصلیترین دغدغه در سرویس ابری است. این امنیت شامل جلوگیری از دسترسی غیرمجاز به دادهها، خروج و انتشار آنها و یا حذف غیرمجاز این دادههاست.
در این مدل دادهها بر روی مراکزداده ابری ذخیرهسازی شده، چندین و چند پشتیبان از آنها گرفتهشده و درصد خطا در از بین رفتن دادهها تا حد زیادی کاهش پیدا کرده است.
مجموعه این موارد و خطرات مرتبط با آن باعث ایجاد لایه امنیتی توسط ابر بر روی سرویسهای کاربران میگردد.
مقابله با خطا
در این مقاله به صورت مختصر نحوه عملکرد ابر برای جلوگیری از هر کدام از این خطرها را بررسی میکنیم:
۱. خرابی، تغییر و از بینرفتن دادهها
ساختار سرورهای ابری به گونهایست که همواره چندین پشتیبان از یک داده بر روی سرورهای مختلف موجود است و با بهروز شدن دادهها تمامی کپیهای موجود از این داده نیز به روز میشوند. این دادهها انواع مختلفی میتوانند داشته باشند اعم از فایل، دادههای مرتبط با پایگاههای دادهها و … .
۲. مدیریت دسترسیهای غیرمجاز
در صورت استفاده کردن از ابر تمامی دسترسیها توسط لایه امنیتی ابر چک میشوند. لایههای امنیتی برای کنترل دسترسی اعم از Firewall و IPS و IDS و … تمامی موارد را برای دسترسی کاربران چک میکنند.
در حالتهای انسانی نیز فضای ابری با تعریف کردن مکانیزمهایی شبیه 2FA، صفحات چالشی و … کاربرهای حقیقی از غیرحقیقی و همچنین کابر حقیقی مجاز از غیرمجاز را تشخیص داده و امکان دسترسی از افراد و برنامههای غیر مجاز را مسدود میسازد.
۳. مدیریت ترافیک
در بسیاری از موارد حجم بالای درخواست کاربران و مصرف زیاد منابع سختافزاری و نرمافزاری بهوسیله آنان باعث از دسترس خارج شدن سرویس و یا کاهش سرعت سرویسدهی وبسایت میگردد. ویژگی استفاده از سرویس ابری در این حالت مدیریت منابع و درخواستها، تشخیص حمله DDoS و عملیات جلوگیری از آن و سرویسدهی عادلانه به کاربران است.
۴. DMZ As A Service
Firewall، Sandbox، Advanced Threat Protection، URL Filters، SSL Inspection، نمونهای از سرویسهایی هستند که همگی در قالب یک پکیج یکپارچه میتواند بهوسیله ابر در اختیار کاربران قرار گیرد. یکپارچگی این سرویسها میتواند علاوه بر افزایش سرعت کاربر نهائی، بهبود تجربه کاربری او را در پی داشته باشد.
SLA در امنیت ابری
نحوه تضمین امنیت در سرویسهای امنیت ابری متفاوت است. برخی از سرویسها به صورت کامل همه موارد مرتبط با دادهها، اعم از خرابی داده، حذف داده و نشت داده را تضمین میکنند و هزینههای مرتبط با آن و همچنین هزینههای مرتبط با از دست رفتن کاربر نهائی را به مشتری پرداخت میکنند. برخی دیگر از شرکتها تنها قسمتی از موارد یاد شده را برعهده میگیرند. این تضمین بسته به نوع سرویس ابری ارائهشده متفاوت است.
1. APTs (یا Advanced Persistent Threats)
حتما اسم استاکسنت را شنیدهاید. نمونهی واضح از یک APT. نرمافزارها و باتهای مخربی که آرام آرام، پنهان و به صورت گسترده در یک شبکه منتشر میشوند و بعد از گذشت مدت مشخصی در یک زمان شروع به تخریب شبکه میکنند. سواستفاده از یک آسیبپذیری در داخل سیستمهای مختلف شبکه باعث گسترش این نرمافزار مخرب بر روی آن میگردد. این آسیبپذیری میتواند در نتیجه بهروز نبودن ساختار پکیجها و نرمافزارهای مورد استفاده در زیرساخت شبکه باشد و یا به دلیل عدم انجام صحیح تنظیمات. در هر حال به دلیل یکپارچه نبودن شبکه امکان تشخیص و جلوگیری از این تهدیدات بسیار مشکل و گاهی غیرممکن میگردد. فضای یکپارچه ابری باعث میشود عملکرد این باتها از سطح هسته دور شده و امکان تشخیص و جلوگیری از آنها با استفاده از سرویسهای مانتیورینگ شبکه بسیار بسیار بیشتر گردد.
2. رمزنگاری دادهها
بسیاری از سرویسها به دلیل محدودیتهای مختلف یا از سیستمهای رمزنگاری برای انتقال اطلاعات خود استفاده نمیکنند و یا در بهروزرسانی این سرویسها اهتمام لازم را ندارند. به دلیل اهمیت خاص این موضوع فضاهای امنیت ابری تمامی سرویسهای مرتبط با رمزنگاری خود اعم از SSL و TLS را به روز نگه میدارند و تمامی ارتباطات بین سرورها و نرمافزارهای خود را با استفاده از این مکانیزمها رمزنگاری شده برقرار میکنند.
3. File Integrity
اطمینان از صحت فایلهای موجود در سیستمعامل و همچنین فایلهای ذخیرهشده کاربران با استفاده از چک کردن امضای فایل، ویژگی دیگر سرویسهای امنیت ابری است که با نام FIM شناخته میشود.
تفاوت امنیت ابری با نمونههای قدیمی امنیت شبکه در چیست؟
بهروز کردن پکیجها و سیستمعامل برای جلوگیری از خطرات مرتبط، موضوعی است که میبایست ادمین هر سیستم و سرور نرمافزاری مداوما انجام دهد. در حالت قدیمی دارنده وبسایت میبایست شخصا اقدام به این به روزرسانیها کند و در جریان تمامی اخبار و اطلاعات مرتبط با بهروزرسانیهای باشد. با سرویس امنیت ابری این اتفاق به صورت خودکار بر روی تمامی سیستمها و سرورهای ابری میافتد و تمامی سرویسهایی که به صورت مستقیم یا غیرمستقیم از این پکیجها استفاده میکنند از آسیب و خطرات احتمالی در امان خواهند بود.
امنیت در سامانههای توزیع محتوا CDN
سامانههای توزیع محتوا اگرچه داده کاربران را ذخیره نکرده و تنها آنها cache میکنند ولیکن به دلیل عدم دسترسی مستقیم کاربران به سرورهای اصلی به خودی خود یک لایه محافظ امنیتی برای وبسایتها ایجاد میکنند. این لایه محافظ با پنهان کردن مسیرهای مستقیم دسترسی به سرور اصلی امکان نفوذ تحت حمله قرار دادن سرور اصلی را تا حد بسیار زیادی کاهش میدهند. در زیر مواردی از نحوه تامین امنیت در شبکههای توزیع محتوا را با یکدیگر بررسی میکنیم:
1. تشخیص کاربر (User) حقیقی از BOT
دغدغه اصلی بسیاری از وبسایت ایجاد تمایز و تفاوت رفتار به کاربر حقیقی و غیرحقیقی است. کاربران غیرحقیقی در بسیاری از موارد باعث هدررفت منابع برای سرویسها میگردند.
این سامانه به صورت خودکار میتواند کاربران حقیقی از غیرحقیقی را تشخیص داده و سدی برای استفاده زیاد کاربران غیرحقیقی از وبسایت تحت پوشش فراهم کند. نکته مهم در این سامانهها میبایست عدم ایجاد خستگی و یک تجربه بد برای کاربر حقیقی در استفاده از سیستم باشد.
2. Web Application Firewall
WAF، سامانهای برای جلوگیری از حملات و آسیبها در لایه اپلیکیشن (لایه ۷) شبکه است.
مهمترین خطراتی که سامانه WAF باعث جلوگیری از آنها میگردد، عبارتند از:
- SQL Injection (یا SQLi)
- Cross-Site Scripting (یا XSS)
- Remote File Inclusion (یا RFI)
- Local File Inclusion (یا LFI)
- PHP Object Injection
- Remote Code Execution (یا RCE)
پیشگیری و مقابله با این خطرات مستلزم استفاده از سامانههای پیچیده و گران فنی است که امکان بهکارگیری آن برای تمامی سرویسها و وبسایتها فراهم نمیباشد. از این رو این وبسایتها سعی در استفاده از سامانههای ابری توزیع محتوا برای جلوگیری از این مشکلات میکنند.
3. DDoS Protection
DDoS یا حملات توزیعشده عدم دسترسی، نمونهای از حملات هستند که این روزها به وفور در فضای اینترنت اتفاق میافتند. این حملات یا با هدف از دسترس خارج کردن سرویس مورد نظر هستند و یا به دلیل حجم بالای درخواست کاربران به وبسایت اتفاق میافتند. سرویسهای ابری توزیع محتوا میتوانند با تشخیص به موقع این حملات آنها را دفع کنند و از دسترس خارج شدن سرویس برای کاربران سالم جلوگیری نمایند.
امنیت DNS
سرویس Domain Name Service، سرویسی است که به صورت مداوم بهوسیله انواع سرویسها و وبسایتها مورد استفاده قرار میگیرد. سریع بودن و قابل اعتماد بودن IPها و نامهای بازگردانی شده توسط این سرویس، کیفیت سرویسدهی را برای وبسایت مبدا تعیین میکند.
1. Anycast
AnyCast یک سرویس مجزا برای تفسیر رکوردهای DNS در فضای اینترنت است. به صورت معمول زمانیکه یک کاربر یک درخواست DNS را به سرور DNS ارسال میکند، مسیریابها (Router) سعی در پیدا کردن سرور DNS براساس IP تعریف شده میکنند. این اتفاق باعث طولانی شدن زمان ارسال و دریافت پاسخ بسته به نقطه جغرافیایی برای کاربر نهایی میگردد و همچنین حجم درخواستها را برای سرور DNS زیاد مینماید. سرویس AnyCast با توزیع تعداد زیادی سرور در سراسر دنیا جواب درخواست DNS کاربران نهائی را از نزدیکترین سرور به آنها برمیگرداند. پیچیدگی فنی و شبکهای پیادهسازی سرویس Anycast در یکسان بودن IPهای تمامی سرورها و مدیریت آنها در بازههای مختلف جغرافیایی است.
2. DNSSec
رکوردهای DNS به صورت پیشفرض رمزنگاری شده نیستند. این موضوع در پارهای از اوقات باعث ایجاد مشکل در برگرداندن پاسخ صحیح این رکوردها برای کاربران میگردد. به این صورت که هیچ راهی برای اطمینان از پاسخ برگردانده شده توسط یک cache server وجود ندارد. در این حالت رکورد DNS با استفاده از یک کلید اختصاصی رمزنگاری شده و کاربر با استفاده از کلید عمومی میتواند از صحت آن اطمینان حاصل نماید. این فناوری نیز همچون Anycast از نظر فنی دارای پیچیدگیهای خاصی است. به همین دلیل تعداد شرکتهایی که از این فناوری در سطح دنیا استفاده میکنند همچنان انگشتشمار هستند.
احراز هویت براساس Token
این سرویس برای مدیریت دسترسی کاربران به محتوای تولید شده است. در این حالت تنها کاربران مجاز با استفاده از Token تاییدشده میتوانند به محتوای خاص بر روی سرور دسترسی داشته باشند.
امنیت ابری در دِراک
زیرساخت امنیت ابری دِراک تمامی سرویسهای گفته شده در این مقاله را به صورت کامل به کاربران ارائه میدهد.