امروزه محیط دورکاری متداول‌تر شده است و ۹۴ درصد سازما‌ن‌ها بر روی امنیت سایبری در سطوح مختلف سرمایه‌گذاری کرده‌اند. از این‌رو امنیت سایبری سامانه ابری برای کارمندان و سازمان‌ها از اهمیت ویژه‌ای برخوردار است.

مقدمه

تغییرات سریع و گذر به سامانه ابری، فرصت‌ها و حملات امنیتی جدیدی برای مجرمان سایبری ایجاد کرده است که منجر به دسترسی به اطلاعات حساس و نابودی سازمان هدف می‌شود. طبق نظر نهاد امنیت سایبری Cloud Security Alliance نزدیک به هشتاد درصد از سازمان‌ها از طریق نشت اطلاعات سامانه ابری آسیب دیده‌اند. شرکت International Data Corporation (IDC) برای سال ۲۰۲۰ افزایش ۹۰ درصدی استفاده شرکت‌ها از سامانه های ابری را پیش‌بینی کرده بودند که بخش بزرگی از افزایش ناگهانی به دلیل شیوع کووید-۱۹ و افزایش دورکاری است. محیط دورکاری دلیل افزایش محاسبات ابری شده است و ۹۴ درصد شرکت‌ها از سطح متوسط تا پیشرفته به سمت استفاده از سامانه‌های ابری حرکت کرده‌اند.

امنیت سایبری سامانه‌های ابری یک مسئولیت مشارکتی است و ارزیابی آسیب‌پذیری‌های امنیت سایبری سامانه ابری اولین قدم برای امن‌سازی این سامانه است. بیش از ۹۰ درصد از سازمان‌ها از سامانه ابری آمازون یا AWS، Microsoft Azure و پلتفرم ابری گوگل استفاده می‌کنند. ۴۹ درصد از سازمان‌ها بیش از یک سامانه ابری استفاده می‌کنند که به دلیل تداخل تصمیم گیری بخش‌های تجاری و امنیتی و یا ایجاد سرویس موازی استفاده می‌شوند.

اصطلاح اطمینان صفر(Zero Trust) اولین بار در سال ۲۰۱۰ توسط جان کیندرواگ(John Kindervag) آنالیزور ارشد Forrester Research مطرح شد. اساس مفهوم اطمینان صفر در امنیت سایبری سامانه ابری به معنی عدم اطمینان به خودی خود و تمام منابع خارج از شبکه است و هرچیزی باید تایید شود.

در فرایند اطمینان صفر، قوانین کاربر را محدود به منابع مورد نیاز می‌کند. مشابه فرایندی که توسعه دهندگان در نرم‌افزارهای تحت وب برای تنظیم امنیت انجام می‌دهند. برای مثال، اگر توسعه دهنده احیانا پورت اشتباهی را باز بگذارد و نیازی به فرایند تایید نداشته باشد، مهاجم می‌تواند با دسترسی از طریق همین پورت نرم‌افزار را با سطح دسترسی بالا در اختیار بگیرد و دیتای سرور را در پایگاه داده تغییر دهد. علاوه بر این، اطمینان صفر شبکه را برای سطح امنیت بالاتر به میکروسگمنت دسته‌بندی می‌کند. میکروسگمنت منطقه امن در مرکز داده‌ها ایجاد می‌کند که به شکل دسته‌های متفاوت همکاری می‌کنند.

خطای پیکربندی اشتباه سرور خسارت‌های جبران ناپذیری به شرکت می‌زند و برای جبران نیازمند زمان زیادی است. شرکت‌های امنیت سایبری سامانه ابری در جدید‌ترین گزارش خود ‌(Top Threats to Cloud Computing: Egregious Eleven Deep Dive) با چالش‌های امنیتی جدی مواجه شده‌اند. این گزارش به مدیران، معماران امنیت سایبری سامانه ابری و مهندسان این سامانه دید کلی محدودیت‌های امنیتی سامانه ابری می‌دهد. بعضی از رویداد‌های سامانه‌های امنیتی که منجر به نشت اطلاعات کاربران شده است در زیر آمده است:

  • عدم پیکربندی مناسب Elastic مربوط به شرکت Exactis و نشت اطلاعات در حدود ۲۳۰ میلیون کاربر
  • آسیب‌پذیری در ماژول S3 و عدم به روز رسانی سریع آن و افشای اطلاعات کاربری ۱۲۳ میلیون
  • هک اکانت AWS شرکت Uber و افشای اطلاعات نزدیک به ۵۷ میلیون کاربر
  • یک باگ XSS در خدمات Amazon و سرقت نشست کاربران و ایجاد بات نت Zeus
  • دسترسی اکانت GitHub یکی از ارایه دهندگان خدمات ابری و سواستفاده از آن برای Minning
  • افشا داده‌های شرکت Honda و مربوط به ذخیره سازی آنها در ماژول هاردن نشده و عمومی S3
  • دسترسی یک دانش آموز آلمانی تعداد بالایی از مشتریان ابری پلتفرم را با استفاده از رمز عبور پیش فرض

مسئولیت مشارکتی سامانه‌های ابری:

Cloud Security Alliance Cloud Controls Matrix (CSA CCM) برای ارائه اصول اساسی امنیتی جهت راهنمایی وندورهای ابری و پشتیبانی مشتریان احتمالی ابری در ارزیابی امنیتی خطرات ارائه دهنده سامانه ابری طراحی شده است. CSA CCM فریم‌ورک کنترل‌ها است که درک مفصلی از مفاهیم و اصول امنیتی هم راستا با Cloud Security Alliance است، ارائه می‌دهد. اساس Cloud Security Alliance Controls Matrix به رابطه سفارش سازی شده با سایر استانداردهای مورد قبول صنعت، رگلاتوری‌ها و کنترل‌های فریم‌ورک مانند ISO 27001/27002, ISACA COBIT, PCI, NIST, Jericho Forum and NERC CIP بستگی دارد و گزارش‌های کنترل مورد تایید ارائه دهنده سرویس ابری به ایجاد کنترل مستقیم داخلی برای سرویس‌های سازمان ایجاد می‌کند.

به‌دلیل افزایش و رواج دورکاری، آگاهی از چالش‌ها و فرایندهای محاسبات ابری الزامی است. برای یادگیری بیشتر در زمینه روش‌های تست نفوذ از راه دور می‌توانید به Cloud Security Delivered مراجعه کنید. مدل‌های ساده نیازمند پشتیبانی امنیت سایبری سامانه‌های ابری است.

مسئولیت ابری بین مشتری و ارائه دهنده این سرویس تقسیم می‌شود. در مدل سامانه ابری سه دسته‌بندی در تقسیم وظایف مشارکتی وجود دارد:

  • مسئولیت سمت شرکت ارائه دهنده سامانه ابری.
  • مشتری‌های سامانه ابری.
  • مسئولیتی که براساس مدل سرویس است: Infrastructure as a Service (IaaS), Platform as a Service (PaaS), or Software as a Service (SaaS), such as cloud email.

مسئولیت شرکت ارائه دهنده سرویس، محافظت از زیرساخت‌ها مانند دسترسی به پچ‌های به‌روز رسانی، تنظیم فیزیکی هاست و شبکه در محل استقرار این سامانه که عملیات محاسباتی و ذخیره اطلاعات انجام می‌گیرد.

مسئولیت مشتری‌های سامانه ابری مدیریت کاربران و تعیین سطح دسترسی آن‌ها، محافظ از حساب‌های کاربری و مسدود کردن دسترسی‌های غیرمجاز، رمزنگاری و محافظت از اطلاعات سامانه ابری و روش مدیریت امنیتی است.

چالش‌های امنیت سامانه‌های ابری:

به دلیل اینکه چارچوب سامانه ابری کاملا مشخص نشده، اساس چالش‌های امنیتی این حوزه با انواع دیگر چالش‌های امنیتی متفاوت است. طبق گزارش موسسه SANS، هشتاد درصد سازمان‌های از نشت اطلاعات سامانه‌های امنیت ابری آسیب دیده‌اند. بر اساس بررسی و تحلیل CSA CMM مهمترین چالش‌های امنیتی ایجاد شده در خصوص رخدادهای امنیتی سامانه های ابری دلیل آسیب پذیری در یکی از موارد زیر بوده است که می‌بایست توسط مشتری و ارایه دهنده سامانه ابری تحت مدل مسوولیت مشترک پرداخته شود:

۱. نشت اطلاعات

۲. پیکربندی نامناسب و مدیریت تغییرات

۳. کمبود استراتژی و معماری امنیت

۴. مدیریت نامناسب شناسه‌ها، کلیدها و دسترسی‌ها

۵. دسترسی به اکانت‌ها

۶. کارکنان داخلی سازمان

۷. رابط کاربری نامناسب API

۸. پنل کنترل مدیریت ناامن

۹. شکست در ساختار خدمات اپلیکیشن

۱۰. شفافیت کم در لاگ فعالیت‌های کاربران

۱۱. سواستفاده و یا استفاده نامناسب از خدمات ابری

منبع

  1. Check Point Software Technologies LTD