ایتنا - شرکتها و افراد بهطور مشابه بدون اینکه درکی از ابر داشته باشند، از خدمات آن استفاده میکنند و این سرویسها همیشه در سطح تجاری از امنیت مورد انتظار برخوردار نیستند.
تصمیم ندارید از ابر استفاده کنید؟ کمی بیشتر فکر کنید.
شرکتها و افراد بهطور مشابه بدون اینکه درکی از ابر داشته باشند، از خدمات آن استفاده میکنند و این سرویسها همیشه در سطح تجاری از امنیت مورد انتظار برخوردار نیستند. باور ندارید؟ به این لیست نگاهی بیندازید:
دراپباکس (www.dropbox.com/) دارای نسخههای مصرفی و تجاری سرویس فضای ذخیرهای ابری است و سرویس باکس (www.box.com/home/) نیز همینطور عمل میکند. تعداد زیادی از مردم و شرکتها مایل هستند از نسخههای رایگان این خدمات بهره ببرند؛ اما از امنیتی که نسخههای سازمانی برای حفاظت از اطلاعات برخوردار هستند، بهرهمند نمیشوند. این سرویسهای رایگان قابل مدیریت نیستند و نمیتوان آنها را رمزنگاری کرد و بهاین ترتیب آسیبپذیر شده و ممکن است در دست افراد نامناسب بیفتند.
شرکت Evernote (https://evernote.com/)، فراهمکننده فضاهای کاری که تقریباً در میان همه پلتفرمها قابل استفاده هستند، خدمات خود را به سه شکل عرضه میکند: سرویس رایگان، سرویس برتر، و سرویس تجاری. تنها کاری که باید بکنید، این است که حدس بزنید کدامیک از این گزینهها برای شما مناسب هستند.
سرویس OneDrive (https://onedrive.live.com/about/en-ca/)، سرویس فضای ذخیرهای ابری مایکروسافت است که با Office 365، Windows 8.x، Windows 10، Windows Phone و تقریباً هر چیزی دیگری که مایکروسافت این روزها ارائه میدهد، پیوند دارد. در حال حاضر، OneDrive دو گزینه دارد: یکی سرویس رایگان برای مصرفکنندگان، و دیگری نسخة پولی. البته از آنجا که کاربران هم استفادة شخصی و هم استفادة تجاری میکنند، نسخة رایگان بیشتر از آنچه که باید، مورد استفاده قرار میگیرد.
سرویس Google Drive (www.google.com/drive/)، سرویس فضای ذخیرهای رایگان گوگل است و میتوانید فایلهای خود را در میان همة وسایل خود، همزمان (sync) کنید. این سرویس به شما اجازه میدهد تا اسناد کاغذیتان را اسکن کنید، آنها را در فضای ابر قرار دهید و با دیگران همخوانی (share) کنید. اما از آنجا که این یک سرویس مصرفی است، قابل مدیریت نیست. البته با پرداخت حق اشتراک، میتوانید از سرویس Google Drive for Work استفاده کنید و از ویژگیهای مناسب آن در حوزة کاربردهای تجاری خود بهرهمند شوید.
کاربران اپل نیز دارای حسابهای کاربری iTunes هستند و از گوشیهای خود فایل پشتیبان تهیه کرده و به سرویس اپل ارسال میکنند. حدس میزنید این فایلهای پشتیبان در کجا نگهداری میشوند؟ بله درست است! در ابر؛ بهویژه در ابری با نام خاص iCloud.
سرویس Google Apps for Work (www.google.com/work/apps/business/)، که شامل Gmail نیز هست، توسط بسیاری از کسبوکارهای کوچک و بعضاً بسیار بزرگ مورد استفاده قرار میگیرد. ویرایشهای پولی و تجاری این سرویس، خدمات امنیتی تا سطح FISMA-Moderate هم عرضه میکنند که برای ایمیل دولت فدرال در ایالات متحده، سرویسی استاندارد بهشمار میرود. البته ویرایشهای رایگانی هم وجود دارند همراه با اجزاء متنوع اما با امنیت کمتر.
همچنین، سرویسهایی همچون SnapChat، Instragram و Pinterest را هم درنظر بگیرید و البته حتماً Facebook و Twitter را هم که میشناسید که دیگر لازم نیست نامی از آنها ببریم. همگی آنها برای ذخیرة مقادیر زیادی از دادههای جمعآوری شده، از فضای ابر استفاده میکنند.
برای گزینش یک عرضهکننده خدمات ابری، برخی اصول اساسی وجود دارند ولی البته شما هم باید به وظایف خود آگاه باشید. برای مثال، اگر بهاندازه کافی هشیار نباشید و اطلاعات درز پیدا کنند، ممکن است شرکتهای بیمه پولی بهعنوان خسارت به شما پرداخت نکنند.
شاید بسیاری از سازمانهای تجاری علاقهمند باشند به فضای ابر مهاجرت کنند، اما این مسئله پیچیدگیهای خاص خودش را هم بههمراه دارد. مطمئناً فضای ابر، ظرفیتی تقریباً بیپایان در دسترس قرار میدهد و نیاز برای ظرفیت درونسازمانی را کاهش میدهد؛ ولی باز هم این کار نیازمند آن است که به جزئیات دور از انتظاری هم توجه داشته باشیم.
یک نکته مهم این است که ایمنسازی مرکز دادههای شما بهاندازه کافی چالشبرانگیز هست؛ اما دستکم در صورت مهاجرت به فضای ابر، خواه ناخواه، روی آنها کنترل مطلق خواهید داشت. البته وقتی که به ابر وارد میشوید، مسئله کنترل دیگر چندان برای شما چندان جدی نخواهد بود.
الکساندر راو (راهبر امنیت اطلاعات ملی در مؤسسة امنیتی Symantec در کانادا) میگوید: «باید خیلی مراقب باشید تا اطلاعات حیاتی شرکت شما، به خارج از سازمان نشت پیدا نکند.»
حتماً میپرسید چرا؟ چون محافظت از اطلاعات یک سازمان، به افراد، فرایندها و برنامهها بستگی دارد. وقتی هم که اطلاعات را در اختیار یک طرف واسط قرار دهید، کنترل هر سه این عوامل حتی دشوارتر هم میشود. در چنین حالتی، بهتر است بهجای تکیه به فرایندهای داخلی شناختهشده، به اسناد و توضیحات آنها در مورد نحوه کنترلشان اعتماد داشته باشید. اگر این کنترلها چندان راضیکننده نباشند، کار حتی بدتر خواهد شد. اما در صورتی که از منابع داخلی بهاندازة کافی مناسب برخوردار باشید، یک فراهمکننده مناسب خدمات ابر میتواند خیال شما را راحت کند.
البته چندین نوع ابر وجود دارند و بنابراین انواع مختلفی از فراهمکنندگان خدمات ابر در بازار حضور دارند و خدمات متنوعی ارائه میکنند؛ از تأمین زیرساخت محض گرفته تا فراهم کردن هر چیزی که برای اجرای یک برنامه احتیاج دارید. البته هر گزینه، مسائل امنیتی خاص خود را بههمراه دارد.
مات آنتونی (قائممقام گروه ارائهدهندة خدمات امنیتی Herjavec) خاطرنشان میکند با اینکه فراهمکنندگان خدمات ابر در حوزه امنیت دارای سابقة یکسان نیستند، اما مشتریان باید تا درجهای اطمینانخاطر داشته باشند که مقیاسپذیری، فرایندهای بالغ و نیز بهترین پشتیبانی را دریافت میکنند. اما آنها هنوز هم باید دقیقاً بدانند که فراهمکننده چه چیزی عرضه میکند و اینکه چگونه با نیازهای سازمانی آنها جور در میآید.
در این راستا، الزامات بسیار مهم هستند. جان وایگلت (مدیر فناوری ملی در شعبة مایکروسافت واقع در کانادا) میگوید نخستین چیزی که هر شرکت علاقهمند به مهاجرت به فضای ابر باید در نظر داشته باشد، نگاه به داراییهای اطلاعاتی است و پی بردن به اینکه هر جزء از آن دادهها، تا چه حد حساس است.
او میگوید: «باید روی خود دادهها تمرکز داشته باشید؛ فارغ از اینکه در چه جایی قرار دارند.» اگر این اطلاعات نشت پیدا کنند، آیا روی کسبوکار شما هیچ تأثیری خواهند داشت؟ آیا تنها یک زحمت اضافی برای شما درست خواهند کرد یا اینکه موجب خواهند شد کسبوکار شما نابود شود؟ حتی رسیدن به این حد هم میتواند برای بسیاری از سازمانها چالشبرانگیز باشد، چرا که در تصمیمگیری مبنی بر اینکه آیا باید آن دادهها را در ابر قرار داد یا نه، عاملی بحرانی و تعیینکننده بهشمار میروند. بنابراین، برای محافظت از اطلاعات سازمانی باید تدابیری اندیشید.
سَندی برد (مدیر ارشد فناوری بخش سیستمهای امنیتی در IBM) هم با این عقیده موافق است. او اظهار میدارد: «هنوز مشتریان به فضای ابر، بهای زیادی نمیدهند.» او ادامه میدهد: «برخی از مردم نمیدانند چه چیزهای گرانبهایی دارند.» آنها باید قدر آن را بدانند. در غیر این صورت، باید ریسک از دست دادن آنها را به جان بخرند.
آنتونی میگوید از بسیاری جنبهها، روشهای امنیت ابر با روشهایی که برای محافظت از مراکز دادهها بهکار برده میشوند، تفاوت چندانی ندارند. او خاطرنشان میکند: «امنیت اطلاعات، به مناطق جغرافیایی وابسته نیست. بنابراین، فرایندها تغییر نمیکنند؛ چون در فضای ابر هستید، اما کارهایی را که در مورد ارزیابی مرکز دادههای خود انجام میدهید، در فضای ابر هم باید انجام دهید.» این کارها شامل حصول اطمینان از کنترل دسترسیها و اجرای وارسیهای امنیتی و نیز حصول اطمینان از امنیت کافی برنامههای کاربردی است. گزارشی که در ماه ژانویه (دی) سال جاری میلادی توسط متخصصان امنیت ابر در شرکت NetSkope منتشر شد، نشان میداد ۸۸ درصد از برنامههای کاربردی مورد استفاده در آن سازمان از امنیت کافی برخوردار نیستند.
اما با روی آوردن به فضای ابر، یا دقیقتر بگوییم، فضای ابر عمومی (هرچند که میتوانید در مرکز دادههای خود یک ابر خصوصی هم داشته باشید)، امنیت فیزیکی مسئله چندان مهمی برای مشتریان سازمانی نخواهد بود. در واقع، این فراهمکننده خدمات است که باید امنیت را برای مراکز دادههای خود فراهم کند و برقراری امنیت فیزیکی بر عهدة مشتری سازمانی نیست.
پاول لوئیس (مدیر ارشد فناوری در شرکت Hitachi Data Systems Canada) میگوید: «عملاً همه در یک محیط ترکیبی و هیبریدی زندگی میکنند.» ممکن است رهایی از برخی از برنامههای کاربردی قدیمی، دلیل مناسبی برای مهاجرت به فضای ابر نباشد، در حالی که توانایی داشتن در رسیدگی به حجم بالای کاری میتواند علت خوبی برای این کار باشد و با این وجود، ممکن است هنوز هم برنامههای مفید دیگری در مرکز دادههای سازمانی اجرا شوند، اما لازم باشد به دادههای مبتنی بر ابر دسترسی فراهم باشد. لازم به گفتن نیست که هریک از این برنامهها و حالات، نیازمند الزامات امنیتی خاص خودش است.
برای مثال، برخی از کسبوکارها برنامههایی کاربردی دارند که باید با مقرراتی همچون PCI، یا PIPEDA مطابقت داشته باشند، یا ممکن است محدودیتهایی در مورد انحصار دادهها داشته باشند. با اینکه مزیت اساسی ابر عمومی این است که اصلاً لازم نیست نگران باشید که دادههای شما در چه مکانی سکونت دارند، اما اعمال هرگونه محدودیت برای مکان نگهداری، ممکن است حتی یافتن یک فراهمکننده خدمات ابر برای نگهداری اطلاعات را نیز با دشواری روبرو سازد. پیامد این مسئله این است که حتی تهیه فایلهای پشتیبان و بازگردانی از حالت فاجعه نیز میتواند به همان دشواری باشد.
همچنین ممکن است عواقب امنیتی دامنگیر برنامهنویسان «خانگی» نیز نیز بشوند. بهمنظور اعمال ملاحظات امنیتی، در فضای ابر، برنامههای کاربردی باید مورد معماری دوباره قرار بگیرند. لوئیس میگوید: «برنامهنویسان قدیمی در جهانی زندگی میکنند که دیگر لازم نیست در مورد امنیت هیچ نگرانی به خود راه بدهند.» در واقع، او اشاره میکند که برخی اوقات این برنامهنویسان باید در مورد امنیت برنامههایشان هم فکر کنند تا بهخوبی کار کنند. اما این مسئله در یک محیط ابری غیرقابلقبول است.
آقای راو میگوید برای گزینش یک عرضهکننده خدمات ابری، برخی اصول اساسی وجود دارند ولی البته شما هم باید به وظایف خود آگاه باشید. برای مثال، اگر بهاندازه کافی هشیار نباشید و اطلاعات شما درز پیدا کنند، ممکن است شرکتهای بیمهای پولی بهعنوان خسارت به شما پرداخت نکنند.
او توصیه میکند که بهتر است در پی گرفتن گواهینامه PCI 3.0 باشیم که تأکید بیشتری روی طرفهای واسط و امنیت ابر دارد. او همچنین، گرفتن دیگر گواهینامهها مانند ISO 27001، EU 95/46 EC، PCI-DSS، ISO 27002، BS7799، ASIO-4، FIPS Moderate، BS10012، SSAE-16/SOC2 را نیز توصیه میکند. بنا به توصیه وی، کارکنان نیز بهتر است دارای مدرک رسمی همچون گواهینامة دانش امنیت ابر (CCSK) از سوی اتحادیة امنیت ابر (https://ccsk.cloudsecurityalliance.org) باشند.
میدانید شبکه امروزی شبیه به چه چیزی است؟ تصور کنید یک کنترلگر ترافیک هوایی دارید و آن را در تمام هواپیماها قرار دادهاید و همة این هواپیماها با یکدیگر به برقراری ارتباط میپردازند. این همان شبکة امروزی است.
در دنیای ابرها، سه مدل عمده برای بهکارگیری آنها وجود دارند: ابرهای خصوصی، عمومی و ترکیبی. ابر خصوصی تنها برای یک سازمان درنظر گرفته و استفاده میشود و ممکن است در مرکز دادههای خود شرکت، یا یک مکان دیگر استقرار داشته باشد و همچنین ممکن است توسط کارمندان سازمان یا یک شرکت واسط مدیریت شود. اما در هر صورت، سازمان مسئولیت همه چیز را برعهده دارد؛ از جمله امنیت ابر.
ابر عمومی، یک فضای مشترک است؛ مانند Amazon AWS که توسط فراهمکننده در مرکز دادههای خودش پیادهسازی میشود، از آن برای چندین مشتری بهره میگیرد و دسترسی به آن از طریق اینترنت امکانپذیر است. مشتری هیچ کنترلی بر زیرساخت ابر عمومی ندارد.
ابر ترکیبی متشکل است از ترکیبی از هر دو ابر عمومی و خصوصی که به هم اتصال پیدا میکنند و بنابراین اطلاعات میان آنها قابل تبادل است. تمام خدمات ابر یکسان نیستند و سه نوع اصلی از این خدمات وجود دارند که انتخاب نوع مناسب برای کسبوکار شما، اهمیت ویژه دارد.
زیرساخت بهعنوان یک سرویس (IaaS)، ابتداییترین سطح ممکن از این خدمات است و همه آنچه که در اختیار قرار میدهد، زیربنای مرکز دادهها و سختافزار مورد نیاز میباشد: سرورها (واقعی و مجازی)، فضای ذخیرهای، و شبکه. شما سیستمعامل و نرمافزارهای لازم را فراهم میسازید و بعد سکان را در دست میگیرید. بنابراین، مسئله بعدی شما، امنیت است که البته با امنیت مورد نیاز برای مکان فیزیکی مرکز دادهها تفاوت دارد. مثالی که میتوان از آن یاد کرد، EC2 از آمازون است.
پلتفرم بهعنوان یک سرویس (PaaS)، حالت بعدی از خدمات است و در قسمت میانی قرار میگیرد و مانند IaaS، محیط فیزیکی را فراهم میسازد؛ اما لایههای سیستمعامل و نرمافزارهایی همچون محیطهای برنامهنویسی، پایگاه دادهها و وبسرورها را نیز در اختیار قرار میدهد، بهطوریکه کاربران بتوانند راهکارهای خودشان را توسعه بدهند.
در هنگام استفاده از این سرویس، کاری که شما باید انجام بدهید، این است که برنامهها و دادههای خود را ایمنسازی کنید. خدمات Microsoft Azure و نیز Force.com، هر دو در این دسته قرار میگیرند و PaaS تأمین میکنند.
گزینة نرمافزار بهعنوان یک سرویس (SaaS) از همهچیز مراقبت میکند: سختافزار، نرمافزار، شبکه، و همه چیزهای دیگر. همه آنچه که شما باید انجام دهید، این است که (معمولاً از طریق یک مرورگر وب) وارد شوید و از نرمافزار استفاده نمایید. در این حالت، کنترل چندانی در مورد تجهیزات ندارید. خدمات Salesforce.com، Cisco WebEx، و Citrix GoToMeeting سه نمونه از سرویسهای SaaS پولی هستند.