امنیت اطلاعات شماره اول

هشت ریسک در رايانش ابری

رايانش ابری
نوشته شده توسط rahimirad

تا سال 2015 انتظار می‌رود که رایانش ابری به یک صنعت فراتر از  150 میلیون دلار تبدیل شود. و به دلایل خوبی، کاربر چه از کامپیوترهای رومیزی استفاده کند و چه از دستگاه‌های سیار، هرکجا و در هرزمانی که باشد، کافی است تنها یک ارتباط اینترنتی داشته باشد تا به داده‌هایش دسترسی پیدا کند. برای کسب‌وکارها هم رایانش ابری مزایای بی‌شماری دارد که از میان آن‌ها می‌توان به ذخیره‌سازی مقیاس‌پذیری برای فایل‌ها، اپلیکیشن‌ها و دیگر انواع داده‌ها؛ تعامل بهتر میان اعضای گروه‌ها صرف‌نظر از مکان آن‌ها؛ و صرفه‌جویی در زمان و هزینه برای ایجاد دیتاسنترهای پرهزینه و استخدام کردن گروه‌های IT برای مدیریت آن‌ها اشاره کرد. بااین‌وجود بیشتر کسب‌وکارها دارای این نگرانی هستند که: رایانش ابری دقیقاً چقدر امن است؟ باوجوداینکه بسیاری از ارائه‌دهندگان معتبر رایانش ابری دارای امنیتی در بهترین سطح ممکن هستند، ولی کارشناسان بر این باورند که چیزی به نام امنیت کامل سیستم ابری وجود ندارد.

از حفره‌های امنیتی گرفته تا مسائل مربوط به پشتیبانی، این‌ها ریسک‌های عمده‌ای هستند که کاربران هنگام روی آوردن به رایانش ابری متحمل می‌شوند.

در رایانش ابری فرد دیگری از داده‌های شما مراقبت می‌کند

برخلاف دیتاسنتر که توسط یک گروه IT داخلی مدیریت می‌شود، رایانش ابری یک سیستم خارج از سازمان است که در آن کاربران داده‌های خود و نیازهای مربوط به آن را برون‌سپاری می‌کنند.

ارائه‌کننده‌ی خدمات رایانش ابری همه‌ی کارها را از انجام بروزرسانی‌ها گرفته تا تعمیر و نگهداری تا مدیریت امنیت انجام می‌دهد. به گفته‌ی استیو سانتورلی، از کارآگاه‌های اسبق اسکاتلندیارد و از مدیران گروه تحقیقاتی امنیت اینترنت Cymru: «اگر از بالا نگاه کنیم، می‌بینیم که کاربران دارند به فرد دیگری اعتماد می‌کنند تا از داده‌هایشان محافظت کند.

نقطه‌ی تاریک قضیه این است که شما مسئولیت خود در قبال داده‌ها را فسخ می‌کنید. فرد دیگری به آن دسترسی دارد و فردی دیگر مسئول امن نگه‌داشتن آن است. هیچ کسب‌وکاری نمی‌تواند به‌اندازه‌ی خود شما در صیانت از داده‌هایتان سریع باشد. درنهایت کسب‌وکار آن‌ها این است که از شما درآمدی به جیب بزنند. گاهی اوقات حفاظت از داده‌های شما به یک شعار بازاریابی تبدیل می‌شود تا یک سبک‌کاری.»

حملات سایبری

هر بار که داده‌های خود را روی اینترنت ذخیره می‌کنید، خطر حملات سایبری وجود دارد. و این به‌ویژه زمانی مشکل‌ساز است که شما داده‌های خود را روی ابر ذخیره می‌کنید، جایی که تمام داده‌های شما با انواع کاربرها، روی یک سیستم ابری واحد ذخیره‌شده‌اند.

سانتورلی می‌گوید «قسمت ترسناک ماجرا آسیب‌پذیری در مقابل حملات انکار سرویس گسترده  و تمرکز این حجم از داده است. تنها نقطه‌ی ضعف در این حالت همان ابر است. اگر همه‌چیز درست پیش نرود تأثیر آن بسیار وسیع خواهد بود. در این حالت ایجاد اختلال در سطح وسیع و گسترده‌ای راحت‌تر خواهد بود.»

باوجوداینکه بیشتر ارائه‌کنندگان خدمات رایانش ابری از امنیت بالایی برخوردار هستند، ولی با پیشرفته‌تر شدن فناوری، حملات سایبری هم پیشرفته‌تر می‌شوند.

سانتورلی می‌گوید «زمانی که شرکت‌های ارائه‌کننده‌ی خدمات ابری امنیت را به‌خوبی اجرا می‌کنند – و واقعاً شرکت‌های زیادی به این مهم رسیده‌اند – آنگاه تبهکاران سایبری مجبورند برای دسترسی به داده‌ها خلاقیت بیشتری نشان دهند. برای مثال، آن‌ها به‌جای هک کردن ابر، تلاش می‌کنند حساب کاربری شما را هک کنند.

گذرواژه‌ها و پرسش‌های مخفی به نقطه‌ضعف امنیت شما تبدیل می‌شوند. درست مثل زمانی که بانک‌ها هک شدن حساب‌های آنلاین را سخت‌تر کردند، هکرها به حملات فیشینگ روی‌آورند تا گذرواژه‌های شما را سرقت کنند.»

 تهدیدات داخلی

همان‌طور که حملات سایبری در حال افزایش هستند، تهدیدات داخلی هم در حال اوج‌گیری‌اند.

اریک چیو، مدیر و مؤسس شرکت کنترل زیرساخت‌های رایانش ابری «های‌تراست» می‌گوید که «نشت اطلاعات مربوط به دو میلیون کاربر وودافون و اقدامات ادوارد اسنودن در NSA همگی زنگ خطرهایی هستند که جدی‌ترین نشت داده‌ها از طریق تهدیدات داخلی و دسترسی کاربران صورت می‌گیرند.»

زمانی که یک کارمند به ابر دسترسی پیدا می‌کند یا امکان دسترسی را به فردی دیگر اعطا می‌کند، هر چیزی، از اطلاعات محرمانه گرفته تا دارایی‌های فکری درخطر هستند.

به گفته‌ی چیو «رایانش ابری این مشکل را ده برابر می‌سازد زیرا دسترسی به مدیریت پلتفرم ابری، چه توسط یک کارمند و چه توسط فردی که خود را کارمند جا زده است، فرد را قادر می‌سازد تا بدون اینکه شناسایی شود هر ماشین مجازی را کپی کرده و آن را به سرقت ببرد، و یا در عرض چند دقیقه تمام محیط ابری را نابود کند.»

 نفوذ دولت

پس از افشاگری‌های اخیر در مورد NSA و برنامه‌های جاسوسی آن‌ها، مشخص شد که رقبا تنها کسانی نیستند که می‌خواهند به داده‌های شما سرک بکشند.

اسکات‌هازدرا، مشاور امنیتی در نئوهاپسیس، یک شرکت مشاوره مدیریت امنیت و ریسک درزمینه‌ی امنیت موبایل و امنیت رایانش ابری می‌گوید که: «اخیراً در اخبار می‌بینیم که نهادهای دولتی و شرکت‌های فناوری محور در ایالات‌متحده و دیگر کشورهای دنیا ممکن است در حال جاسوسی روی داده‌های شما باشند، چه زمانی که داده‌ها منتقل می‌شوند یا زمانی که در قسمتی از اینترنت سکنی گزیده‌اند.»

بااین‌وجود، حریم خصوصی همیشه از نگرانی‌های شایع در مورد رایانش ابری بوده است. ولی به‌جای نگرانی در مورد رقبا، مشتریان یا کارمندان عصبانی که به سیستم امنیتی نفوذ می‌کنند، اکنون کسب‌وکارها نیاز دارند تا در مورد نفوذ نهادهای دولتی هم نگران باشند.

هازدرا می‌گوید «نقض حرم خصوصی و محرمانگی داده‌ها ریسک جدیدی نیست، ولی منبع این تهدیدات ممکن است همان‌هایی نباشد که سازمان‌ها نگرانش بودند. برای مثلاً ممکن است یک سازمان از ترس رقبا ارسال و ذخیره‌سازی داده‌های خود را رمزنگاری کند. اکنون‌که نهاد دیگری غیر از رقیب به داده‌های سازمان علاقه نشان می‌دهد، اساساً خود ریسک را تغییر نمی‌دهد.»

مسئولیت قانونی

ریسک‌های مربوط به رایانش ابری به نفوذهای امنیتی محدود نمی‌شود. این ریسک‌ها همچنین شامل پیامدها، مانند پرونده‌های حقوقی توسط شما یا علیه شما می‌شوند. به گفته‌ی رابرت جی. اسکات مدیر شرکت Scott & Scott LLP، یک شرکت حقوقی با تخصص در دارایی‌های فکری و فناوری، جدیدترین ریسک برای شرکت‌ها در استفاده از رایانش ابری تطابق با قوانین، مسئولیت‌های قانونی و تداوم کسب‌وکار است. رویدادهای مربوط به نشت داده‌ها در حال اوج‌گیری هستند و درنتیجه پرونده‌های قانونی هم افزایش‌یافته‌اند.» اسکات می‌گوید درحالی‌که رایانش ابری سهولت دسترسی، تعامل و تسریع کارها را نتیجه می‌دهد، ولی مزایای آن باید با میزان اقدامات امنیتی سنجیده شود.

وی می‌افزاید «امنیت اطلاعات همیشه در جست‌وجوی یک تعادل میان سهولت دسترسی و اشتراک‌گذاری اطلاعات، در مقابل امنیت مستحکم بوده است. هرچه بیشتر یکی را داشته باشید، کمتر دیگری را خواهید داشت.»

  فقدان استاندارد

چه چیزی یک ابر را «امن» می‌سازد؟ یک ارائه‌کننده‌ی خدمات ابری ممکن است آخرین امکانات امنیتی را داشته باشد، ولی درنتیجه‌ی فقدان استاندارد مربوط به رایانش ابری، هیچ راهنمای واحدی وجود ندارد تا ارائه‌دهندگان را متحد کند. باوجود سرویس‌های ابری متعدد در بخش‌های مختلف، برای کاربران کاملاً مشکل‌ساز است که تشخیص دهند ابر آن‌ها چقدر امن است.

اسکات می‌گوید «این سؤال که رایانش ابری چقدر امن است جنبه‌های متعددی دارد، و جواب آن به ارائه‌کننده‌ی خدمات ابری، نوع صنعت، و قانون‌های مرتبط با آن صنعت وابسته است.»

ازآنجایی‌که ارائه‌کنندگان مختلف مانند هم نیستند، ممکن است تعریف «امن» برای یک ارائه‌دهنده‌ی خدمات از تعریف دیگری متفاوت باشد.

فقدان پشتیبانی

تصور کنید نتوانید قبل از یک قرار کاری مهم به حساب ابری خود دسترسی پیدا کنید، یا بدتر از آن، وسط یک حمله‌ی سایبری باشید که سایت شما را پایین آورده باشد. و حالا تصور کنید که سعی دارید با ارائه‌دهنده‌ی خدمات خود تماس بگیرید و ببینید که خدمات مشتریان آن‌ها اصلاً وجود خارجی ندارد. درحالی‌که برخی از ارائه‌کنندگان خدمات مربوط به مشتریان خوبی دارند، برخی دیگر ممکن است شما را تنها رها کنند. آپریل سیج، از مدیران شرکت آنلاین تک، یک ارائه‌دهنده‌ی خدمات رایانش ابری می‌گوید که «ناامیدکننده‌ترین چیز هنگامی‌که مشکلی پیش می‌آید این است که نتوانید مستقیماً با یک مهندس صحبت کنید.

اگر سیستم‌های شما برای ادامه‌ی مأموریت‌هایتان حیاتی نیستند، نیازی نیست که نگران امنیت و دسترس‌پذیری آن‌ها باشید. ولی اگر سیستم‌های شما برای کسب‌وکار و مأموریت شما حیاتی‌اند، باید روی ابر و ارائه‌کننده‌ای سرمایه‌گذاری کنید که بتواند امنیت متناسب با نیازهای شما را فراهم کند.»

در رایانش ابری همیشه ریسک وجود دارد

بزرگ‌ترین ریسک در مورد رایانش ابری این است که هیچ‌وقت نمی‌دانید چه چیزی در انتظار شماست. هکرها از روز نخست حضورداشته‌اند و قرار نیست به این زودی‌ها جایی بروند. و با پیشرفت فناوری‌ها ریسک‌های استفاده از این فنّاوری‌ها هم افزایش می‌یابند.

باوجود خطرات کنونی و آتی، آیا مزایای استفاده از رایانش ابری بر ریسک‌های آن چربش دارد؟ نیل رراپ، مؤلف کتاب «خطر سایبری» و مؤسس شرکت سایبر سکیوریتی آرکیتکتس می‌گوید که این امر به کسب‌وکار شما بستگی دارد. او می‌افزاید «رایانش ابری برای هرکسی مناسب نیست. مانند تمام راهکارها، لازم است که سطح ریسک آن را ارزیابی کنید و ببینید که برای شما مناسب است یا خیر.»

برای کسب‌وکارهایی که در حال استفاده از رایانش ابری هستند یا در مورد آن فکر می‌کنند، تمام کاری که می‌توانید بکنید این است که تا جایی که می‌توانید آماده‌باشید. باید تا جایی که می‌توانید ارائه‌کنندگان را بشناسید، هم از دید یک سازمان و هم یک کاربر نقطه انتهایی.

منبع: بیزنس تودی

درباره نویسنده

rahimirad

دیدگاهتان را بنویسید