امنیت در رایانش ابری: تفاوت میان نسخهها
(←مقدمه) |
|||
خط ۱۲: | خط ۱۲: | ||
رايانش ابري راهي براي افزايش ظرفيت ذخيرهسازي يا امکانات، بدون هزينه کردن براي زيرساخت جديد، آموزش پرسنل جديد، يا خريد مجوز نرمافزار جديد ميباشد؛ در واقع شرکتها يا افراد تنها براي آنچه مصرف ميکنند پول خواهند داد. بنابراين راهي موثر براي استفاده از منابع، مديريت سرمايه و هزينههاي پشتيباني فناوري است. | رايانش ابري راهي براي افزايش ظرفيت ذخيرهسازي يا امکانات، بدون هزينه کردن براي زيرساخت جديد، آموزش پرسنل جديد، يا خريد مجوز نرمافزار جديد ميباشد؛ در واقع شرکتها يا افراد تنها براي آنچه مصرف ميکنند پول خواهند داد. بنابراين راهي موثر براي استفاده از منابع، مديريت سرمايه و هزينههاي پشتيباني فناوري است. | ||
ساختار كاملاً باز و توزيع شده در رايانش ابري و سرويسهاي آن موجب ميشود تا هدفي جذاب براي مهاجمان باشد. اين ساختار شامل پارادايمهاي سرويسگرا و توزيع شده mesh چندگانه، اجاره چندگانه، دامنههاي چندگانه و ساختارهاي مديريتي خودمختار چند كاربره ميباشد كه مستعد تهديدات امنيتي و آسيبپذيري بيشتري هستند. معماري سرويس در رايانش ابري از تركيب سه لايه وابسته به هم به نامهاي زيرساخت ، سكو يا بستر و برنامه تشكيل شده است كه با خطاهاي پيكربندي متفاوتي كه توسط كاربر يا فراهم كننده سرويس ايجاد ميشود، معرفي ميگردد. يك سيستم رايانش ابري ميتواند با چندين تهديد متفاوت رو به رو شود كه شامل تهديدات يكپارچگي (صحت)، محرمانگي و دسترسپذيري منابع، داده و زيرساختهاي مجازي سازي شده كه به عنوان بستري براي حملات جديد ميباشد. یکی از روشهای شناسایی حملات استفاده از سیستمهای تشخیص نفوذ میباشد و هدف از این پژوهش بررسی راهکارهای مختلف ارائه شده در مورد سیستمهای تشخیص نفوذ در محیط رایانش ابری میباشد. | ساختار كاملاً باز و توزيع شده در رايانش ابري و سرويسهاي آن موجب ميشود تا هدفي جذاب براي مهاجمان باشد. اين ساختار شامل پارادايمهاي سرويسگرا و توزيع شده mesh چندگانه، اجاره چندگانه، دامنههاي چندگانه و ساختارهاي مديريتي خودمختار چند كاربره ميباشد كه مستعد تهديدات امنيتي و آسيبپذيري بيشتري هستند. معماري سرويس در رايانش ابري از تركيب سه لايه وابسته به هم به نامهاي زيرساخت ، سكو يا بستر و برنامه تشكيل شده است كه با خطاهاي پيكربندي متفاوتي كه توسط كاربر يا فراهم كننده سرويس ايجاد ميشود، معرفي ميگردد. يك سيستم رايانش ابري ميتواند با چندين تهديد متفاوت رو به رو شود كه شامل تهديدات يكپارچگي (صحت)، محرمانگي و دسترسپذيري منابع، داده و زيرساختهاي مجازي سازي شده كه به عنوان بستري براي حملات جديد ميباشد. یکی از روشهای شناسایی حملات استفاده از سیستمهای تشخیص نفوذ میباشد و هدف از این پژوهش بررسی راهکارهای مختلف ارائه شده در مورد سیستمهای تشخیص نفوذ در محیط رایانش ابری میباشد. | ||
امتيازات بارز ابرها توجه بسياري از سازمان¬ها را به خود جلب كرده است، اما جنبهاي كه هنوز باعث عقب نشيني بسياري از سازمان¬ها در برابر اين فناوري ميگردد، نحوه امن سازي دادهها در ابر و اطمينان از امنيت محيط است. | |||
3-1 ريسكهاي بالقوه امنيت ابر و گامهاي احتمالي كاهش اين ريسكها | |||
1. داده ها كجا قرار گرفته اند؟ | |||
در هنگام استفاده از فناوري ابر، اين موضوع كه يك نفر از موقعيت دادهها، محل ميزباني آنها يا حتي كشوري را كه دادههاي وي در آن واقع شدهاند مطلع نباشد، بسيار محتمل است. يك گام براي امن كردن دادهها اين است كه با ارائه دهنده سرويس ابر به اين توافق رسيد كه دادهها را در يك محدوده جغرافيايي خاص نگهداري كرده و پردازش نمايد. همچنين ميتوان با استفاده از الزامات قانوني آنها را ملزم به رعايت صحت و تماميت دادهها نمود. به اين منظور بايد اين قوانين را شناخته و از نحوه اعمال آنها آگاهي داشت. | |||
2. آيا داده ها جدا سازي ميگردد؟ | |||
فناوري ابر قادر است دادههاي بسياري از سازمانها را در يك محيط اشتراكي ذخيره نمايد و در نتيجه هزينهها را كاهش دهد. بنابراين دادههاي مشتريان در يك ابر در كنار هم قرار دارند. ارائه دهنده سرويس ابر بايد اطمينان حاصل كند كه اين دادهها جدا سازي شدهاند و ريسكهاي امنيتي كاهش يافته است. يك راه براي انجام اين كار استفاده از روشهاي رمزنگاري براي رمز كردن دادهها و اعطاي مجوز دسترسي به كليدها، به افراد خاص است. اين روشهاي رمزنگاري بايد كاملا در محيط تست گردند تا از تاثيرگذاري آنها اطمينان حاصل گردد. | |||
3. آيا حق دسترسي كاربر قابل اعمال است؟ | |||
دادههاي حساس كه در خارج از سازمان نگهداري ميشوند داراي يك ويژگي خطرناك امنيتي هستند، چرا كه سرويسهاي برون سپاري شده از قبول مسئوليت زير معيارهاي امنيتي كه دپارتمانهاي فناوري اطلاعات به صورت داخلي اجبار مينمايند، شانه خالي ميكنند. در اينجا اعتماد ما به افراد خارج از سازمان است و در نتيجه آنها به درون سازمان ميآيند. براي كاهش خطر، ميتوان حداكثر اطلاعات مربوط به افرادي كه در تماس با دادهها هستند و نيز اطلاعاتي در مورد چگونگي كنترل دسترسي دادهها را جمع آوري نمود. | |||
4. آيا ارائه دهنده سرويس ابري از مقررات لازم پيروي مينمايد؟ | |||
در نهايت اين سازمان است كه در برابر امنيت و قابليت اعتماد دادههاي خود مسئول است، حتي اگر اين دادهها بيرون از شركت و درون ابر نگهداري گردند. براي اطمينان از رعايت مقررات لازم، ارائه دهنده سرويس ابر بايد با شفافيت در تمامي فعاليتهاي ابري مرتبط با دادههاي هر سازمان، به ناظران خارجي اثبات نمايد كه دادههاي اين سازمانها امن است. | |||
5. گزينههاي خروج از بحران | |||
يك سازمان بايد با ابزارهاي مناسب، آماده مقابله با بحران و خروج از آن باشد. ارائه دهنده سرويس ابر بايد قادر باشد در زمان بحران در مورد مسائل لازم به مشتري اطلاع رساني نمايد. بايد چندين سايت وجود داشته باشد كه چند نسخه كپي از دادهها و زيرساختهاي برنامهاي در آنها به طور مكرر نگهداري گردد. | |||
6. چگونه درباره فعاليت نامناسب يا غيرقانوني در ابر تحقيق كنيم؟ | |||
تحقيق در سرويسهاي ابري مشكل بوده يا در مواردي تقريبا غيرممكن است. با توجه به طبيعت اين سرويسها، دادههاي ثبت شده بيش از يك مشتري ممكن است باهم پيدا شوند و احتمالا دسترسي به هريك به طور مجزا مشكل است، همچنين ميزبانها و مراكز داده نيز به طور مداوم در حال تغيير هستند. در نتيجه پروسه تحقيق تقريبا غيرممكن است، مگر اينكه ارائه دهنده سرويس ابري روشي امتحان شده داشته باشد كه قابل اثبات و موثر باشد. | |||
7. انعطاف پذيري سرور | |||
همانطور كه قبلا اشاره شد، يكي از امتيازات فناوري ابر اين واقعيت است كه از انعطاف پذيري بالايي برخوردار است. اين مساله ميتواند مشكل زا باشد. برخي سرورها ممكن است اغلب بدون اطلاع قبلي مشتري مجددا پيكربندي گردند. اين مساله ميتواند براي برخي فناوريهاي داخل ابر كه سازمان بر آنها متكي است چالش ساز باشد، چراكه محيط، خود استاتيك نيست. اين مساله در زمان امن سازي دادهها مشكل ساز ميگردد، زيرا روشهاي سنتي امن سازي دادهها مبتني بر درك زيرساخت شبكه است، به هر حال اگر اين تغييرات به طور مداوم اعمال گردد، اين معيارهاي امنيتي سودمند نخواهند بود. | |||
8. مدت زمان از كار افتادن ارائه دهنده سرويس | |||
يك معيار اساسي امنيتي وجود دارد كه اغلب ناديده گرفته ميشود. مدت زمان از كار افتادن يك ارائه دهنده سرويس ميتواند براي سازمان شما مضر باشد. قابليت اعتماد با توجه به اين مساله ضروري است. | |||
9. قابليت حيات در طولاني مدت | |||
يك مساله در مورد يك ارائه دهنده سرويس ابري، قابليت حيات در طولاني مدت است. اينكه مشتري با چه احتمالي ديگر قادر به استفاده از يك ارائه دهنده سرويس ابري خاص نخواهد بود، چه مسيرهايي براي انتقال امن دادهها به يك ارائه دهنده سرويس ابري ديگر مورد استفاده قرار ميگيرد و نيز اينكه مشتري چگونه قادر به تامين صحت و تماميت دادههاي خود خواهد بود، بايد در نظر گرفته شود. | |||
== بررسی ادبیات موضوع == | == بررسی ادبیات موضوع == |
نسخهٔ ۳۰ نوامبر ۲۰۱۴، ساعت ۰۲:۱۴
چکیده
مقدمه
دنياي فناوري اطلاعات و اينترنت که امروزه تبديل به جزئي حياتي از زندگي بشر شده، روز به روز در حال گسترش است. همسو با آن، نيازهاي اعضاي جوامع مانند امنيت اطلاعات، پردازش سريع، دسترسي پويا و آني، قدرت تمرکز روي پروژههاي سازماني به جاي اتلاف وقت براي نگهداري سرورها و از همه مهمتر، صرفهجويي در هزينهها اهميت زيادي يافته است. راه حلي که امروزه در عرصه فناوري براي چنين مشکلاتي پيشنهاد ميشود فناوري است که اين روزها با نام رايانش ابري (محاسبات ابري، پردازش ابري) پرداخته ميشود. رايانش ابري مدلي است براي داشتن دسترسي فراگير، آسان و بنابه سفارشِ شبکه به مجموعهاي از منابع پردازشي پيکربنديپذير (مثل: شبکهها، سرورها، فضاي ذخيرهسازي، برنامههاي کاربردي و سرويسها) که بتوانند با کمترين کار و زحمت يا نياز به دخالت فراهمکننده سرويس به سرعت فراهم شده يا آزاد (رها) گردند. به طور خلاصه به وسيلهي رايانش ابري شرکتها، کاربران سرويسهاي فناوري اطلاعات، ميتوانند سرويسهاي مرتبط با فناوري اطلاعات خود به عنوان سرويس بخرند؛ به جاي خريد سرورها براي سرويسهاي دروني يا بروني، يا خريد مجوز نرمافزارها شرکتها ميتوانند آنها را به عنوان سرويس بخرند. رايانش ابري راهي براي افزايش ظرفيت ذخيرهسازي يا امکانات، بدون هزينه کردن براي زيرساخت جديد، آموزش پرسنل جديد، يا خريد مجوز نرمافزار جديد ميباشد؛ در واقع شرکتها يا افراد تنها براي آنچه مصرف ميکنند پول خواهند داد. بنابراين راهي موثر براي استفاده از منابع، مديريت سرمايه و هزينههاي پشتيباني فناوري است. ساختار كاملاً باز و توزيع شده در رايانش ابري و سرويسهاي آن موجب ميشود تا هدفي جذاب براي مهاجمان باشد. اين ساختار شامل پارادايمهاي سرويسگرا و توزيع شده mesh چندگانه، اجاره چندگانه، دامنههاي چندگانه و ساختارهاي مديريتي خودمختار چند كاربره ميباشد كه مستعد تهديدات امنيتي و آسيبپذيري بيشتري هستند. معماري سرويس در رايانش ابري از تركيب سه لايه وابسته به هم به نامهاي زيرساخت ، سكو يا بستر و برنامه تشكيل شده است كه با خطاهاي پيكربندي متفاوتي كه توسط كاربر يا فراهم كننده سرويس ايجاد ميشود، معرفي ميگردد. يك سيستم رايانش ابري ميتواند با چندين تهديد متفاوت رو به رو شود كه شامل تهديدات يكپارچگي (صحت)، محرمانگي و دسترسپذيري منابع، داده و زيرساختهاي مجازي سازي شده كه به عنوان بستري براي حملات جديد ميباشد. یکی از روشهای شناسایی حملات استفاده از سیستمهای تشخیص نفوذ میباشد و هدف از این پژوهش بررسی راهکارهای مختلف ارائه شده در مورد سیستمهای تشخیص نفوذ در محیط رایانش ابری میباشد.
امتيازات بارز ابرها توجه بسياري از سازمان¬ها را به خود جلب كرده است، اما جنبهاي كه هنوز باعث عقب نشيني بسياري از سازمان¬ها در برابر اين فناوري ميگردد، نحوه امن سازي دادهها در ابر و اطمينان از امنيت محيط است. 3-1 ريسكهاي بالقوه امنيت ابر و گامهاي احتمالي كاهش اين ريسكها 1. داده ها كجا قرار گرفته اند؟ در هنگام استفاده از فناوري ابر، اين موضوع كه يك نفر از موقعيت دادهها، محل ميزباني آنها يا حتي كشوري را كه دادههاي وي در آن واقع شدهاند مطلع نباشد، بسيار محتمل است. يك گام براي امن كردن دادهها اين است كه با ارائه دهنده سرويس ابر به اين توافق رسيد كه دادهها را در يك محدوده جغرافيايي خاص نگهداري كرده و پردازش نمايد. همچنين ميتوان با استفاده از الزامات قانوني آنها را ملزم به رعايت صحت و تماميت دادهها نمود. به اين منظور بايد اين قوانين را شناخته و از نحوه اعمال آنها آگاهي داشت. 2. آيا داده ها جدا سازي ميگردد؟ فناوري ابر قادر است دادههاي بسياري از سازمانها را در يك محيط اشتراكي ذخيره نمايد و در نتيجه هزينهها را كاهش دهد. بنابراين دادههاي مشتريان در يك ابر در كنار هم قرار دارند. ارائه دهنده سرويس ابر بايد اطمينان حاصل كند كه اين دادهها جدا سازي شدهاند و ريسكهاي امنيتي كاهش يافته است. يك راه براي انجام اين كار استفاده از روشهاي رمزنگاري براي رمز كردن دادهها و اعطاي مجوز دسترسي به كليدها، به افراد خاص است. اين روشهاي رمزنگاري بايد كاملا در محيط تست گردند تا از تاثيرگذاري آنها اطمينان حاصل گردد. 3. آيا حق دسترسي كاربر قابل اعمال است؟ دادههاي حساس كه در خارج از سازمان نگهداري ميشوند داراي يك ويژگي خطرناك امنيتي هستند، چرا كه سرويسهاي برون سپاري شده از قبول مسئوليت زير معيارهاي امنيتي كه دپارتمانهاي فناوري اطلاعات به صورت داخلي اجبار مينمايند، شانه خالي ميكنند. در اينجا اعتماد ما به افراد خارج از سازمان است و در نتيجه آنها به درون سازمان ميآيند. براي كاهش خطر، ميتوان حداكثر اطلاعات مربوط به افرادي كه در تماس با دادهها هستند و نيز اطلاعاتي در مورد چگونگي كنترل دسترسي دادهها را جمع آوري نمود. 4. آيا ارائه دهنده سرويس ابري از مقررات لازم پيروي مينمايد؟ در نهايت اين سازمان است كه در برابر امنيت و قابليت اعتماد دادههاي خود مسئول است، حتي اگر اين دادهها بيرون از شركت و درون ابر نگهداري گردند. براي اطمينان از رعايت مقررات لازم، ارائه دهنده سرويس ابر بايد با شفافيت در تمامي فعاليتهاي ابري مرتبط با دادههاي هر سازمان، به ناظران خارجي اثبات نمايد كه دادههاي اين سازمانها امن است. 5. گزينههاي خروج از بحران يك سازمان بايد با ابزارهاي مناسب، آماده مقابله با بحران و خروج از آن باشد. ارائه دهنده سرويس ابر بايد قادر باشد در زمان بحران در مورد مسائل لازم به مشتري اطلاع رساني نمايد. بايد چندين سايت وجود داشته باشد كه چند نسخه كپي از دادهها و زيرساختهاي برنامهاي در آنها به طور مكرر نگهداري گردد. 6. چگونه درباره فعاليت نامناسب يا غيرقانوني در ابر تحقيق كنيم؟ تحقيق در سرويسهاي ابري مشكل بوده يا در مواردي تقريبا غيرممكن است. با توجه به طبيعت اين سرويسها، دادههاي ثبت شده بيش از يك مشتري ممكن است باهم پيدا شوند و احتمالا دسترسي به هريك به طور مجزا مشكل است، همچنين ميزبانها و مراكز داده نيز به طور مداوم در حال تغيير هستند. در نتيجه پروسه تحقيق تقريبا غيرممكن است، مگر اينكه ارائه دهنده سرويس ابري روشي امتحان شده داشته باشد كه قابل اثبات و موثر باشد. 7. انعطاف پذيري سرور همانطور كه قبلا اشاره شد، يكي از امتيازات فناوري ابر اين واقعيت است كه از انعطاف پذيري بالايي برخوردار است. اين مساله ميتواند مشكل زا باشد. برخي سرورها ممكن است اغلب بدون اطلاع قبلي مشتري مجددا پيكربندي گردند. اين مساله ميتواند براي برخي فناوريهاي داخل ابر كه سازمان بر آنها متكي است چالش ساز باشد، چراكه محيط، خود استاتيك نيست. اين مساله در زمان امن سازي دادهها مشكل ساز ميگردد، زيرا روشهاي سنتي امن سازي دادهها مبتني بر درك زيرساخت شبكه است، به هر حال اگر اين تغييرات به طور مداوم اعمال گردد، اين معيارهاي امنيتي سودمند نخواهند بود. 8. مدت زمان از كار افتادن ارائه دهنده سرويس يك معيار اساسي امنيتي وجود دارد كه اغلب ناديده گرفته ميشود. مدت زمان از كار افتادن يك ارائه دهنده سرويس ميتواند براي سازمان شما مضر باشد. قابليت اعتماد با توجه به اين مساله ضروري است. 9. قابليت حيات در طولاني مدت يك مساله در مورد يك ارائه دهنده سرويس ابري، قابليت حيات در طولاني مدت است. اينكه مشتري با چه احتمالي ديگر قادر به استفاده از يك ارائه دهنده سرويس ابري خاص نخواهد بود، چه مسيرهايي براي انتقال امن دادهها به يك ارائه دهنده سرويس ابري ديگر مورد استفاده قرار ميگيرد و نيز اينكه مشتري چگونه قادر به تامين صحت و تماميت دادههاي خود خواهد بود، بايد در نظر گرفته شود.