امنیت ابر (Cloud Security) چیست؟
امنیت ابر (Cloud Security) مجموعهای از استراتژیها و روشها برای محافظت از دادهها و برنامههایی است که در ابر میزبانی میشوند. مانند امنیت سایبری، امنیت ابری حوزه بسیار گستردهای است و هرگز نمیتوان از انواع حملهها جلوگیری کرد. با این حال، یک استراتژی امنیتی ابری که به خوبی طراحی شده است، خطر حملات سایبری را بسیار کاهش میدهد. حتی با وجود این خطرات، رایانش ابری اغلب ایمنتر از محاسبات داخلی است. اکثر ارائه دهندگان ابر منابع بیشتری برای امنیت دادهها نسبت به کسب و کارهای شخصی دارند که به آنها امکان میدهد زیرساختها را به روز نگه داشته و آسیب پذیری ها را در اسرع وقت اصلاح کنند. از طرف دیگر، یک تجارت ممکن است منابع کافی برای انجام مداوم این وظایف را نداشته باشد.
توجه: امنیت Cloud همان Security-as-a-Service (SECaaS یا SaaS) نیست، و به محصولات امنیتی میزبانی شده در cloud اشاره دارد.
خطرات اصلی امنیت ابر (Cloud Security) چیست؟
بیشتر خطرات امنیتی ابر در یکی از این دسته بندیهای کلی گنجانده شده است:
- دادهها در معرض دید یا لو رفتن قرار میگیرند.
- یک کاربر غیر مجاز از خارج از سازمان به دادههای داخلی دسترسی دارد.
- کاربر داخلی مجاز بیش از حد به دادههای داخلی دسترسی دارد.
- یک حمله مخرب، مانند حمله DDoS یا آلودگی به بدافزار، زیرساختهای ابر را فلج کرده یا از بین میبرد.
هدف از یک استراتژی امنیت ابری این است که با محافظت از دادهها، مدیریت احراز هویت و دسترسی کاربر و مقاومت در مقابل حمله، تا حد ممکن تهدیدات ناشی از این خطرات را کاهش دهد.
برخی از فناوری های کلیدی برای امنیت ابر (Cloud Security) چیست؟
یک استراتژی امنیت ابر (Cloud Security) باید شامل همه فن آوری های زیر باشد:
رمزگذاری: رمزگذاری روشی برای در هم کردن دادهها است به طوری که فقط اشخاص مجاز میتوانند اطلاعات را درک کنند. اگر مهاجمی ابر شرکتی را هک کند و دادههای رمزگذاری نشده را پیدا کند، قادر به انجام هر تعداد اقدامات مخرب با دادهها است: فاش کردن آنها، فروش آنها، استفاده از آنها برای انجام حملات بعدی و غیره. با این حال، اگر دادههای شرکت رمزگذاری شده باشد، مهاجم فقط دادههای در هم شده را پیدا میکند که نمیتواند مورد استفاده قرار گیرد مگر اینکه به طریقی کلید رمزگشایی را کشف کند (که تقریباً غیرممکن است). به این ترتیب، رمزگذاری به جلوگیری از نشت دادهها و قرار گرفتن آنها در معرض دید، حتی در صورت عدم موفقیت سایر اقدامات امنیتی، کمک میکند.
بیشتر بخوانید: multicloud چیست؟
دادهها میتوانند هم در حالت استراحت (هنگام ذخیره شدن) و هم در حین انتقال (در حالی که از یک مکان به مکان دیگر ارسال میشوند) رمزگذاری شوند. دادههای ابر باید هم در حالت استراحت و هم در حالت گذر رمزگذاری شوند تا مهاجمان نتوانند آن را رهگیری کرده و بخوانند. رمزگذاری دادهها در حین انتقال باید هم به دادههای بین ابر و کاربر بپردازد و هم به دادههایی که از یک ابر به ابر دیگر منتقل میشوند، مانند یک فضای ابر multi-cloud یا هیبریدی. علاوه بر این، دادهها باید رمزگذاری شوند وقتی که در یک پایگاه داده یا از طریق سرویس ذخیره سازی ابری ذخیره میشوند.
اگر ابرها در یک فضای ابری multi-cloud یا هیبریدی در لایه شبکه متصل شده باشند، VPN میتواند ترافیک بین آنها را رمزگذاری کند. اگر آنها در لایه اپلیکیشن متصل شده باشند، باید از رمزگذاری SSL / TLS استفاده شود. SSL / TLS همچنین باید ترافیک بین کاربر و cloud را رمزگذاری کند.
مدیریت هویت و دسترسی (IAM): محصولات مدیریت هویت و دسترسی (IAM) کاربر را ردیابی میکند و متوجه میشود که اجازهی انجام چه فعالیتهایی را دارد و آنها به کاربران اجازه میدهند و در صورت لزوم دسترسی کاربران غیر مجاز را رد میکنند. IAM در محاسبات ابری بسیار مهم است زیرا هویت و امتیازات دسترسی کاربر تعیین میکند که آیا آنها میتوانند به دادهها دسترسی پیدا کنند یا نه؟ IAM کمک میکند تا تهدیدهای دسترسی کاربران غیرمجاز به داراییهای داخلی و استفاده بیش از حد کاربران مجاز، کاهش یابد. راه حل مناسب IAM به شما کمک میکند تا انواع مختلفی از حملات، از جمله تصاحب حساب و حملات خودی (در صورت سو استفاده کاربر یا کارمند برای دسترسی به دادهها) کاهش دهید.
IAM ممکن است شامل چندین سرویس مختلف باشد، یا ممکن است یک سرویس واحد باشد که تمام قابلیتهای زیر را با هم ترکیب کند:
- ارائه دهندگان هویت (IdP) هویت کاربر را تأیید می کنند
- خدمات انحصاری ورود به سیستم (SSO) به تأیید هویت کاربر برای چندین برنامه کمک می کند، بنابراین کاربران برای دسترسی به همه سرویس های ابری خود فقط یک بار باید وارد سیستم شوند
- خدمات احراز هویت چند عاملی (MFA) روند احراز هویت کاربر را تقویت می کنند
- سرویس های کنترل دسترسی، دسترسی کاربر را مجاز و محدود می کنند
فایروال: فایروال ابری با مسدود کردن ترافیک وب مخرب ، پوششی محافظ در اطراف دارایی های ابر را ایجاد می کند. بر خلاف فایروال های سنتی که در محل میزبانی می شوند و از محیط شبکه دفاع می کنند ، فایروال های ابری در ابر میزبانی می شوند و یک مانع امنیتی مجازی در اطراف زیرساخت های ابر ایجاد می کنند. اکثر فایروال های برنامه های وب در این گروه قرار می گیرند.
فایروال های Cloud حملات DDoS ، فعالیت مخرب ربات و سواستفاده از آسیب پذیری را مسدود می کنند. این باعث کاهش احتمال حمله سایبری می شود که زیرساخت های ابری یک سازمان را فلج می کند.
بیشتر بخوانید: فایروال ابری (cloud firewall) چیست؟
چه اقدامات دیگری برای ایمن نگه داشتن داده های ابری مهم است؟
پیاده سازی فن آوری های فوق (به علاوه هر محصول اضافی امنیتی ابر) به تنهایی برای محافظت از داده های ابری کافی نیست. علاوه بر بهترین روش های استاندارد امنیت سایبری ، سازمان هایی که از ابر استفاده می کنند باید این اقدامات امنیتی ابری را دنبال کنند:
پیکربندی مناسب تنظیمات امنیتی برای سرورهای ابری: وقتی شرکتی تنظیمات امنیتی خود را به درستی تنظیم نکند ، می تواند منجر به نقض داده شود. سرورهای ابری که با تنظیمات نادرست پیکربندی شده اند می توانند داده ها را مستقیماً در اینترنت به شکل گسترده تری نشان دهند.
پیکربندی صحیح تنظیمات امنیتی ابر به اعضای تیم متخصص در کار با هر نوع ابر احتیاج دارد و همچنین ممکن است به همکاری نزدیک با فروشنده ابر نیاز داشته باشد.
سیاست های امنیتی سازگار در کل ابرها و مراکز داده: اقدامات امنیتی باید در کل زیرساخت های یک شرکت شامل ابرهای عمومی ، ابرهای خصوصی و زیرساخت های داخلی اعمال شود. اگر یک جنبه از زیرساخت های ابری یک شرکت – مثلاً سرویس ابری عمومی آنها برای پردازش داده های بزرگ – با رمزگذاری و احراز هویت قوی کاربر محافظت نشود ، مهاجمان احتمالاً لینک ضعیف را پیدا نموده و مورد هدف قرار می دهند.
برنامه های بک آپ گیری: مانند هر نوع امنیت دیگر، باید برنامه ای برای زمان بروز اشتباه پیش بینی شود. برای جلوگیری از گم شدن یا دستکاری داده ها ، باید از داده ها در یک فضای ابری دیگر یا در محل بک آپ بگیرید. همچنین باید یک طرح شکست وجود داشته باشد تا در صورت خرابی سرویس ابری ، فرآیندهای کسب و کار قطع نشوند. یکی از مزایای استقرار ابرهای multi-cloud و هیبرید این است که می توان از ابرهای مختلف به عنوان پشتیبان استفاده کرد – به عنوان مثال ، ذخیره اطلاعات در ابر می تواند از یک پایگاه داده داخلی بک آپ تهیه کند.
آموزش کاربر و کارمند: درصد زیادی از نقض داده ها به این دلیل رخ می دهد که کاربر در اثر حمله فیشینگ قربانی شده است ، ناآگاهانه بدافزار نصب کرده ، از دستگاهی از رده خارج و آسیب پذیر استفاده کرده است یا از رمز عبور استفاده ی نامناسبی کرده است (استفاده مجدد از همان رمز عبور ، نوشتن رمز عبور خود در مکان قابل مشاهده و غیره). با آموزش کارمندان داخلی در مورد امنیت ، مشاغلی که در فضای ابری فعالیت می کنند می توانند خطر این وقایع را کاهش دهند.