امنیت ابری مجموعهای از استراتژیها و اقدامات برای محافظت از دادهها و برنامههایی است که در فضای ابری میزبانی میشوند. امنیت ابری حوزه بسیار گستردهای است و نمیتوان با اطمینان 100 درصدی بیان کرد که با اقدامات مشخصی میتوان از انواع حملات جلوگیری کرد. با این حال، یک استراتژی امنیتی ابری که به خوبی طراحی شده باشد، خطر حملات سایبری را به شدت کاهش میدهد.
آنچه در این مقاله میخوانید:
چه خطراتی امنیت ابری را تهدید میکند؟
برخی از فناوریهای کلیدی برای امنیت ابری کدامند؟
چه اقدامات دیگری برای ایمن نگه داشتن داده های ابری مهم است؟
حتی با وجود این خطرات، محاسبات ابری اغلب ایمنتر از محاسبات داخلی هستند. بیشتر ارائهدهندگان ابری نسبت به سرورهای داخلی منابع بیشتری را برای تامین ایمنی دادهها در اختیار دارند. این منابع به ارائهدهندگان ابری اجازه میدهند که زیرساختهای ابری را به روز نگه دارند و وجود آسیبپذیری در سیستم را در اسرع وقت هشدار دهند. از سوی دیگر ممکن است یک کسب و کار منابع کافی را برای انجام این وظایف در اختیار نداشته باشد.
توجه: امنیت ابری با Security-as-a-Service (SaaS یا SECaaS) که به محصولات امنیتی میزبانی شده در فضای ابری اشاره دارد، متفاوت است.
چه خطراتی امنیت ابری را تهدید میکند؟
بیشتر خطرات امنیت ابری در یکی از این دستهبندیهای کلی قرار میگیرند:
- دادهها افشا شده یا درز پیدا کردهاند.
- یک کاربر غیرمجاز از خارج از سازمان به دادههای داخلی دسترسی دارد.
- یک کاربر داخلی و مجاز بیش از حد به دادههای داخلی دسترسی دارد.
- یک حمله مخرب مانند یک حمله DDoS یا یک بدافزار، زیرساخت ابری را فلج یا از بین میبرد.
هدف استراتژی امنیت ابری کاهش این خطرات از طریق حفاظت از دادهها، مدیریت احراز هویت و دسترسی کاربر و عملیاتی ماندن در مواجهه با حمله است.
برخی از فناوریهای کلیدی برای امنیت ابری کدامند؟
یک استراتژی امنیت ابری مناسب باید شامل تمام فناوریهای زیر باشد:
رمزگذاری
رمزگذاری روشی برای پیچیدهسازی دادهها است به طوری که فقط اشخاص مجاز میتوانند اطلاعات را درک کنند. اگر مهاجمی بتواند فضای ابری شرکت را هک کند و دادههای رمزگذاری نشده را پیدا کند، میتواند با استفاده از این دادهها اقدامات مخربی را انجام دهد: اطلاعات را درز دهد، بفروشد، از آن برای انجام حملات بیشتر استفاده کند یا … . اگر دادههای شرکت رمزگذاری شده باشند مهاجم فقط میتواند پیامهای نامفهومی را ببیند که بدون کلید رمزگشایی قابل فهم نخواهند بود. بنابراین رمزگذاری دادهها حتی زمانی که سایر اقدامات امنیتی با شکست مواجه شوند، میتواند از نشت دادهها و در معرض خطر قرار گرفتن آنها جلوگیری کند.
دادهها میتوانند هم در زمان ذخیرهسازی و هم در حین انتقال از یک مکان به مکان دیگر رمزگذاری شوند تا مهاجمان نتوانند آنها را رهگیری کرده و بخوانند. رمزگذاری دادههای در حال انتقال باید هم در دادههایی که بین یک ابر و یک کاربر حرکت میکنند و هم دادههایی که از یک ابر به ابر دیگر منتقل میشوند، مانند یک محیط ابری چند ابری یا ترکیبی، مورد توجه قرار بگیرد. علاوه بر این، زمانی که دادهها در یک پایگاه داده یا از طریق یک سرویس ذخیرهسازی ابری ذخیره می شوند، باید رمزگذاری انجام شود.
اگر ابرها در یک محیط ابری ترکیبی در لایه شبکه متصل شوند، یک VPN می تواند ترافیک بین آنها را رمزگذاری کند. اگر آنها در لایه برنامه متصل هستند، باید از رمزگذاری SSL/TLS استفاده شود. SSL/TLS همچنین باید ترافیک بین کاربر و ابر را نیز رمزگذاری کند.
برای آشنایی بیشتر با SSL/TLS اینجا کلیک کنید.
مدیریت هویت و دسترسی (identify and access management- IAM)
محصولات مدیریت هویت و دسترسی (IAM) کاربران را ردیابی میکنند تا بدانند هر کاربر چه کسی است و مجاز است چه کاری را انجام دهد. این سیستم به کاربران دسترسیهای لازم را میدهد و در صورت لزوم از دسترسی کاربران غیرمجاز جلوگیری میکند. IAM در رایانش ابری بسیار مهم است؛ زیرا هویت و امتیازات دسترسی کاربر تعیین میکند که آنها میتوانند به دادهها دسترسی داشته باشند، نه دستگاه یا مکان کاربر.
IAM به کاهش تهدیدات در زمینه دسترسی کاربران غیرمجاز به داراییهای داخلی و همچنین دسترسی بیش از حد کاربران مجاز کمک میکند. راهحل مناسب IAM به کاهش چندین نوع حمله، از جمله حملات تصاحب حساب (account takeover attacks) و تهدیدات داخلی (زمانی که کاربر یا کارمند از دسترسی خود برای افشای دادهها سو استفاده میکند) کمک میکند.
IAM ممکن است شامل چندین سرویس مختلف شود یا یک سرویس واحد باشد که همه قابلیتهای زیر را ترکیب میکند:
ارائهدهندگان هویت (identity providers- IdP)، هویت کاربر را احراز میکنند.
خدمات Single Sign-on (SSO) به احراز هویت کاربر برای چندین برنامه کمک میکند، به طوری که کاربران فقط باید یک بار وارد سیستم شوند تا به همه سرویسهای ابری خود دسترسی داشته باشند.
خدمات احراز هویت چندعاملی (multi-factor authentication- MFA) فرآیند احراز هویت کاربر را تقویت میکند.
خدمات کنترل دسترسی (access control services) کاربر را مجاز و محدود میکند.
فایروال
یک فایروال ابری با مسدود کردن ترافیک وب مخرب، لایهای برای محافظت از داراییهای ابری را فراهم میکند. برخلاف فایروالهای سنتی که در محل میزبانی میشوند و از محیط شبکه دفاع میکنند، فایروالهای ابری در فضای ابری میزبانی میشوند و یک مانع امنیتی مجازی در اطراف زیرساخت ابری تشکیل میدهند.
فایروالهای ابری حملات DDoS، فعالیت رباتهای مخرب و راههای سوءاستفادههای آسیبپذیری را مسدود میکنند. این امر احتمال وقوع حملات سایبری که منجر به فلج شدن زیرساخت ابری میشود را کاهش می دهد.
چه اقدامات دیگری برای ایمن نگه داشتن داده های ابری مهم است؟
پیادهسازی فناوریهای فوق (به علاوه محصولات امنیتی ابری اضافی) به تنهایی برای محافظت از دادههای ابری کافی نیستند. علاوه بر بهترین شیوههای استاندارد امنیت سایبری، سازمانهایی که ازخدمات ابری استفاده میکنند باید شیوههای امنیتی ابری زیر را نیز رعایت کنند:
پیکرهبندی صحیح تنظیمات امنیتی برای سرورهای ابری
هنگامی که یک شرکت تنظیمات امنیتی خود را به درستی انجام ندهد، می تواند منجر به از دست دادن دادهها شود. سرورهای ابری با پیکرهبندی نادرست میتوانند دادهها را مستقیماً در معرض دسترسی گستردهتری قرار دهند. برای پیکرهبندی صحیح تنظیمات امنیت ابری به افرادی نیاز دارید که در کار با هر ابری متخصص باشند و ممکن است به همکاری نزدیک با ارائهدهنده سرور ابری نیز نیاز داشته باشید.
سیاستهای امنیتی منسجم در همه ابرها و مراکز داده
اقدامات امنیتی باید در کل زیرساخت یک شرکت، از جمله ابرهای عمومی، ابرهای خصوصی و زیرساختهای داخلی اعمال شود. اگر یکی از جنبههای زیرساخت ابری یک شرکت (مثلاً سرویس ابری عمومی آنها) برای پردازش کلان دادهها با رمزگذاری و احراز هویت قوی کاربر محافظت نشود، مهاجمان به احتمال زیاد پیوند ضعیف را پیدا کرده و هدف قرار میدهند.
برنامه های پشتیبان
مانند هر برنامه امنیتی دیگری، در امنیت ابری نیز باید برنامهای برای زمانی که همه چیز دچار مشکل میشود وجود داشته باشد. برای جلوگیری از گم شدن یا دستکاری دادهها، باید از دادهها در فضای ابری یا در محل دیگری پشتیبانگیری شود. همچنین باید یک برنامه Failover وجود داشته باشد تا در صورت شکست یک سرویس ابری، فرآیندهای تجاری قطع نشود. یکی از مزایای استقرار ابرهای چندگانه و ترکیبی این نکته است که میتوان از ابرهای مختلف به عنوان پشتیبان استفاده کرد.
آموزش کاربران
درصد زیادی از نقض اطلاعات به این دلیل رخ میدهد که یک کاربر قربانی یک حمله فیشینگ، نصب ناآگاهانه بدافزار، استفاده از دستگاه قدیمی و آسیبپذیر، یا رعایت نکردن مسائل امنیتی درباره رمز عبور (استفاده مجدد از همان رمز عبور، نوشتن رمز عبور خود در مکان قابل مشاهده و غیره) میشود. مشاغلی که در فضای ابری فعالیت می کنند با آموزش مسائل امنیتی به کارمندان داخلی خود، میتوانند احتمال بروز این اتفاقات را کاهش دهند.
سرویس امنیت ابری اَبر دِراک
سرویس امنیت ابری اَبر دِراک از وبسایتها و برنامههای شما در برابر حملات DDoS، تهدیدات سایبری، رباتها و کدهای مخرب محافظت میکند. در این سرویس وبسایت شما به صورت روزانه اسکن میشود و در صورت رصد تهدیدی در ترافیک ورودی وبسایت، بلافاصله به مدیر وبسایت هشدار داده میشود. اَبر دِراک، ترافیک مخرب را نیز قبل از رسیدن به وبسایت شما فیلتر میکند و از این طریق مانع آسیب رسیدن به وبسایت شما میشود.
سوالات متداول:
منظور از امنیت ابری چیست؟
امنیت ابری که به عنوان امنیت رایانش ابری نیز شناخته می شود، مجموعه ای از اقدامات امنیتی است که برای محافظت از زیرساختها، برنامهها و دادههای مبتنی بر ابر طراحی شده است. این اقدامات، احراز هویت کاربر و دستگاه، کنترل دسترسی به دادهها و منابع، و حفاظت از حریم خصوصی دادهها را تضمین میکند.
انواع امنیت ابری چیست؟
امنیت ابری در هسته خود از دستهبندیهای زیر تشکیل شده است:
- امنیت داده ها
- مدیریت هویت و دسترسی (IAM)
- حاکمیت (سیاستهای مربوط به پیشگیری، شناسایی و کاهش تهدید)
- الزامات قانونی
چرا به امنیت ابری نیاز داریم؟
امنیت ابری مجموعهای از سیاستها، استراتژیها، کنترلها، رویهها و شیوههایی است که برای حفاظت از دادهها، منابع و برنامههای میزبانی شده در فضای ابری طراحی شدهاند. امنیت ابری چندین سطح حفاظت در زیرساخت شبکه در برابر نقض دادهها، دسترسی غیرمجاز، حملات DDoS و غیره را فراهم میکند.
منابع:
https://www.cloudflare.com/learning/cloud/what-is-cloud-security/
