پردازش ابری هنوز امن نیست +پاسخ
هر روز بر تعداد شرکت هایی که به استفاده از فناوری های پردازش ابری علاقه نشان داده و به سمت آن می روند، بیشتر می شود. اما آیا همه این شرکت ها نسبت به چگونگی حافظت از اطلاعات و داده های مهم و حساس خود در این فضا آگاهی دارند؟
طبق مطالعات جدید موسسه ponemon که به بررسی میزان استقبال شرکت ها از فناوری ابری و سطح امنیت آنها پرداخته است، در نهایت به این نتیجه رسیده است که دانش فنی امنیت فناوری ابری به بلوغ کاملی در تامین امنیت شرکت ها و سازمان هایی که از این فناوری استفاده می کنند، نرسیده است.
براساس مطالعات انجام شده، تاکنون 53 درصد سازمان ها و شرکت های متوسط، اطلاعات حساس خود را بر فضای ابری قرار داده اند. این در حالی است که بیش از 14 درصد آنها تنها طی یکسال اخیر به این فناوری اعتماد کرده و به آن روی آورده اند.
همچنین موسسه Ponemon در جای دیگری از گزارش خود اعلام کرده است که وقتی صحبت از تامین امنیت و حفاظت از اطلاعات در فضای ابری به میان می آید، تنها 30 درصد شرکت ها اذعان می کنند در مورد این موضوع به قدر کافی مطلع هستند. در حالیکه مابقی شرکت ها معتقدند حفظ و حراست از اطلاعات حساس آنها بر عهده شرکت ارائه دهنده این فناوری است.
×× نیازمند یک استاندارد
موسسه Ponemon که این نظرسنجی را برگزار کرده است در ادامه این گزارش، عدم وجود استاندارد جهانی در صنعت امنیت ابری را عامل مهم بی اطلاعی شرکت ها در خصوص حفظ امنیت اطلاعاتشان دانسته و وجود چنین استانداری را عامل ترغیب شرکت های در حال رشد با تعداد کارکنان محدود، برای انتقال داده ها و اطلاعات به محیط ابری می داند.
این موسسه همچنین به شرکت های امنیتی توصیه کرده است به دنبال یک راه حل موقتی در دنیای فناوری ابری نباشند چراکه شرکت های در حال رشد به دنبال افزایش بهره وری و صرفه جویی در هزینه های خود هستند و دیر یا زود به سمت استفاده از این فناوری خواهند آمد. از این رو در این مسیر مسئولیت سنگینی در حفاظت از اطلاعات شرکت ها و تامین امنیت آنها بر دوش شرکت های امنیتی است.
این موسسه در نهایت به این نتیجه رسیده است که شرکت های مختلف با هیجان زیادی به سمت استفاده از فناوری های ابری پیش می روند در حالیکه هنوز اطلاعات زیادی در مورد امنیت اطلاعات و داده های خود در این فضا ندارند. در نتیجه و در چنین شرایطی وظیفه شرکت های امنیتی سنگین تر شده و باید نسبت به استانداردهای امنیتی خود در این فضا هوشیار و پایبند باشند. چراکه شرکت های متوسط به دلیل منابع و نیروی انسانی محدود، امکان توجه به کلیه نکات امنیتی را نداشته و آن را به گردن شرکت های امنیتی می اندازند.
انجام این اقدامات توسط شرکت های امنیتی در نهایت می تواند منجر به افزایش بهره وری و استفاده مفید از این فناوری در شرکت ها و سازمان های در حال رشد شود.
** پاسخ به پردازش ابری هنوز امن نیست
امنیت ابری نابالغ است یا فرهنگ استفاده از فناوری ابر
شرکت ایمن رایانه پندار به عنوان نماینده رسمی و انحصاری شرکت پاندا سکیوریتی پیرو انتشار نتایج تحقیقات موسسه ponemone از وضعیت توجه به امنیت فناوری پردازش ابری در شرکت ها و سازمان ها و به چالش کشیدن استانداردهای موجود در این حوزه در قالب خبری تحت عنوان امنیت ابری هنوز نابالغ است توضیحات خود را در خصوص استانداردهای موجود در این حوزه ارائه کرده است که در ادامه می خوانید:
به گزارش روابط عمومی شرکت ایمن رایانه پندار، همانطور که موسسه تحقیقاتی Ponemone اعلام کرده است در حال حاضر بیش از نیمی از شرکت های بزرگ و متوسط به استفاده از فناوری ابری اقبال نشان داده و به سمت آن رفته اند این به این معنی است که آینده فناوری اطلاعات با این فناوری گره خورده است و گریزی از آن نیست.
** مزایای پردازش ابری
پردازش ابری در واقع استفاده از فناوری اطلاعات به صورت یک سرویس است که شامل:
زیرساخت (Infrastructure as a Service = IaaS،
پلتفرم (Platform as a Service = PaaS)،
سخت افزار (Hardware as a Service = HaaS)
نرم افزار (Software as a service = SaaS) میباشد.
این فناوری مزایای زیادی برای اینترنت بازها دارد. از جمله دسترسی به نرم افزار های متنوع، دسترسی به توان پردازشی بالا، فضای ذخیره سازی نامحدود و امکان پردازش و اشتراک آسان اطلاعات که همه اینها از طریق مرورگر شما و در هر زمان که به اینترنت متصل باشید در اختیارتان قرار خواهد گرفت.
در چنین شرایطی امنیت هر یک از این زیرساخت ها بر عهده سرویس دهنده گان پردازش ابری است و دیگر مشکلاتی از بابت تهیه سخت افزار و خطر مالی ناشی از خریداری یک زیر ساخت خیلی بزرگ یا خیلی کوچک برای شرکت ها وجود ندارد. چراکه پیش از این شرکت ها مجبور بودند هزینه های هنگفتی را بابت سرور های پر قدرت بپردازند بدون اینکه از قبل بدانند به چه میزان فضای ذخیره سازی یا توان پردازشی نیاز دارند. اما در حال حاضر با خرید فضای ابری از شرکت هایی مانند آمازون در هزینه های خود صرفه جویی کرده و به مقدار نیازشان فضا می خرند.
یکی دیگر از مزیت های ویژه پردازش ابری عدم نیاز به ارتقا سرور کاربران است. در واقع به جای آنکه کاربران سرور جدید بخرند، فضای ذخیره سازی خود را ارتقا می دهند و هزینه های جانبی آن را به عهده می گیرند. درحالیکه دسترسی به اینترنت روز به روز ارزان تر می شود، از این نظر نیز استفاده از این فناوری به مراتب مقرون به صرفه تر خواهد بود.
** استانداردهای پردازش ابری
با توجه به اشاره موسسه ponemone در تحقیقات خود مبنی بر لزوم وجود استاندارد در این حوزه، لازم است از استاندارد Open Cloud Initiative به عنوان یک نمونه از استانداردهای حوزه زیرساخت فناوری ابری یاد کنیم که در اختیار کاربران قرار گرفته تا انگیزه شرکتها و سازمانها برای استفاده از نرمافزارها و ابزارهای مبتنی بر فضای ابری
(Cloud Computing) بیشتر شود. استاندارد The Cloud Data Management Interface (CDMI) یکی دیگر از نمونه های استانداردهای حوزه مدیریت و کارایی سیستم های ذخیره سازی اطلاعات مبتنی بر فناوری ابر است.
همچنین موسسات و سازمان های مختلفی نظیر
,and The Open Group Cloud Work Group ,Open Stack the Standards Acceleration to Jumpstart Adoption of cloud computing، آژانس امنیت شبکه و اطلاعات اروپا (ENISA)، اتحادیه امنیت پردازش ابری (CSA)، موسسه ملی استاندارد و فناوری(NIST)، انجمن نظارت و کنترل سیستم های اطلاعاتی (ISACA) در حال بررسی و واکاوی استانداردهای موجود در آینده امنیت پردازش ابری هستند.
** قواعد امنیتی در فناوری ابر
این موسسات استاندارد، وظیفه دارند به بررسی خطرات امنیتی این فناوری و همچنین تدوین استانداردها و قواعد مشخص در این حوزه بپردازند و این اطمینان را به سازمان ها و شرکت های کاربر بدهند که اطلاعات حساس و مهم آنها در بالاترین لایه های امنیتی محافظت می شوند.
- تعریف پروفایل های امنیتی برای دسترسی به بخش ها و ماژول های مختلف خدمات ابری
- تعریف رمزهای عبور قدرتمند؛ این رمزهای عبور خود به صورت رمزگذاری شده در سرورهای سرویس دهنده گان فناوری ابر ذخیره می شوند.
- لزوم تغییر دوره ای رمزهای عبور در دورهای 30 ،60 و 90 روزه؛ علاوه بر این قابلیت، تمام مدیران در سطوح مختلف مدیریتی خود می توانند از رمزهای عبور مختلف استفاده کنند.
- تعریف آدرس های IP برای دسترسی به خدمات ابری؛ در این استاندارد، دسترسی کاربران به کنسول خدمات مبتنی بر ابر از طریق تعریف یک آدرس IP منحصر به فرد و یا یک محدوه خاص از IP های مختلف محدود می شود.
- تعریف یک مدت زمان خاص برای انقضای دسترسی مدیران اصلی و فرعی به خدمات ابری
- تصدیق هویت بر مبنای تکنولوژی TFA به این معنی که کلیه خدمات مبتنی بر ابر برای افزایش ضریب امنیت در هنگام تشخیص و تصدیق هویت کاربران و مدیران و نیز تشخیص سطح دسترسی آنها، با سرورهای دارای تکنولوژی امنیتی RAIDIUS یکپارچه هستند.
- ارتباط های مبتنی بر SSL /TSL 1.0، در این استاندارد ارتباط های کاربر با سرورهای سرویس دهندگان و هرگونه اطلاعات مبادله شده میان آن ها با استفاده از پروتکل های قدرتمند رمزگذاری مانند SSL/TSL 1.0 256 بیت رمزگذاری می شوند. این پروتکل ها بهترین استانداردهای امنیتی حال حاضر برای ارتباط های اینترنتی حتی در حوزه مالی و تجاری محسوب می شوند.
- فایروال های قدرتمند برای انسداد دسترسی های نامشخص و غیر مجاز به سرورهای ابری سرویس دهنده گان که طی آن تنها ارتباط های ورودی بر روی پورت 443 که تصدیق هویت و اعتبار شده باشند، اجازه دسترسی به این سرورها را خواهند داشت.
- از لحاظ فیزیکی و جغرافیایی، موقعیت سرورهای میزبانی کننده خدمات ابری غالبا محرمانه و نا مشخص هستند و امنیت دسترسی فیزیکی به این سرورها نیز با استفاده از انواع ابزارهای حفاظت فیزیکی و محیطی و حتی اسکورت انسانی، تامین می شود.
و در نهایت همه آنچه در مورد قواعد سفت و سخت فناوری اطلاعات گفته شد در فضای IT نیز به اثبات رسیده است چراکه در بحبوهه حملات سایبری سال های اخیر هیچ یک از سرویس دهندگان یا سرویس گیرندگان خدمات ابری با عنایت به استانداردها و قواعد محکم امنیتی این فناوری، تحت تاثیر این حملات دچار اختلال نشده اند. در حالیکه بسیاری از نرم افزارها و زیرساخت های فیزیکی بارها و بارها از گذشته تاکنون دچار اختلالات عدیده امنیتی شده و خسارات زیادی به بار آورده اند.
- ۹۲/۰۵/۰۵