|
|
خط ۱: |
خط ۱: |
| امروزه محاسبات ابری توجهات زیادی را به خود جلب کرده است. محاسبات ابری این پتانسیل را داراست که در چند سال آتی روش انجام محاسبات در سازمانها را تغییر دهد. مزایای محاسبات ابری به سادگی قابل شناسایی است، این روش حافظه بیشتر، انعطاف پذیری بیشتر و و از همه مهمتر کاهش هزینه ها را به دنبال خواهد داشت. تمامی این مزایا برای کمک به رشد یک تجارت موفق لازم هستند. امتیازات بارز ابرها توجه بسیاری از سازمان ها را به خود جلب کرده است، اما جنبه ای که هنوز باعث عقب نشینی بسیاری از سازمان ها در برابر این فن آوری می گردد، نحوه امن سازی داده ها در ابر و اطمینان از امنیت محیط است.
| | رايانش ابري به عنوان یک پارادايم جديد، با هدف ایجاد: |
| | پويایی |
| | قابلیت اتکا |
| | انعطاف پذيری |
| | QoS |
| | شبکه بزرگي از گره ها |
| | مجازي سازي |
| | راه حل های امنیت اطلاعات: |
| | تمرکز مدیریت استراتژیک امنیت بر تقاضای منابع و هزینۀ دستیابی به آن ها |
| | جنبه های اصلی امنیت (Papazoglou et al, 2007) |
| | تصديق هويت |
| | يکپارچگي داده ها |
| | قابل اطمينان بودن داده ها |
| | کنترل دسترسي |
| | عدم انکار سرويس |
| | کاستی های راه حل های امنیتی (Anderson & Choobineh, 2008) |
| | تمرکز بر مقایسۀ راه حل ها |
| | عدم برخورداری از رویکردی جامع |
| | دیدگاه جهانشمول نسبت به ریسک |
|
| |
|
| داده های شما کجا قرار گرفته اند؟
| | ریسک های امنیتی (Posthumus & Solms, 2004) |
| در هنگام استفاده از فن آوری ابر، این موضوع که یک نفر موقعیت داده ها، محل میزبانی آنها یا حتی کشوری را که داده های وی در آن واقع شده اند نداند، بسیار محتمل است. یک گام برای امن کردن داده ها این است که با ارائه دهنده سرویس ابر به این توافق برسید که داده های شما را در یک محدوده جغرافیایی خاص نگهداری کرده و پردازش نماید. شما همچنین می توانید با استفاده از الزامات قانونی آنها را ملزم به رعایت تمامیت داده های خود نمایید. به این منظور شما باید این قوانین را شناخته و نحوه اعمال آن را بدانید.
| | پدیده های طبیعی |
| | | نارسایی فنی |
| آیا داده های شما جدا سازی می گردد؟
| | ریسک های مرتبط با انسان |
| فن آوری ابر قادر است داده های بسیاری از سازمان ها را در یک محیط اشتراکی ذخیره نماید و در نتیجه هزینه ها را کاهش دهد. بنابراین داده های مشتریان در یک ابر در کنار هم قرار دارند. ارائه دهنده سرویس ابر باید اطمینان حاصل کند که این داده ها جدا سازی شده اند و ریسک های امنیتی کاهش یافته است. یک راه برای انجام این کار استفاده از روش های رمزنگاری برای رمز کردن داده ها و اعطای مجوز دسترسی به کلیدها به افراد خاص است. این روش های رمزنگاری باید کاملا در محیط تست گردند تا از تاثیرگذاری آنها اطمینان حاصل گردد.
| | '''راه حل های امنیت اطلاعات:''' |
| | | تمرکز مدیریت استراتژیک امنیت بر تقاضای منابع و هزینۀ دستیابی به آن ها |
| آیا حق دسترسی کاربر قابل اعمال است؟
| | جنبه های اصلی امنیت (Papazoglou et al, 2007) |
| داده های حساس که در خارج از سازمان نگهداری می شوند دارای یک ویژگی خطرناک امنیتی هستند، چراکه سرویس های برون سپاری شده از زیر معیارهای امنیتی که دپارتمان های فن آوری اطلاعات به صورت داخلی اجبار می نمایند، شانه خالی می کنند. در اینجا اعتماد ما به افراد خارج از سازمان است و در نتیجه آنها به درون سازمان می آیند. برای کاهش خطر، شما می توانید تا بیشترین حد امکان اطلاعات مربوط به افرادی که در تماس با داده های شما هستند و نیز اطلاعاتی در مورد چگونگی کنترل دسترسی داده ها را جمع آوری نمایید.
| | تصديق هويت |
| | | يکپارچگي داده ها |
| آیا ارائه دهنده سرویس ابری از مقررات لازم پیروی می نماید؟
| | قابل اطمينان بودن داده ها |
| در نهایت این سازمان شما است که در برابر امنیت و قابلیت اعتماد داده های خود مسئول است، حتی اگر این داده ها بیرون از شرکت و درون ابر نگهداری گردند. برای اطمینان از رعایت مقررات لازم، ارائه دهنده سرویس ابر باید با شفافیت در تمامی فعالیت های ابری مرتبط با داده های هر سازمان، به ناظران خارجی اثبات نماید که داده های این سازمان ها امن است.
| | کنترل دسترسي |
| | | عدم انکار سرويس |
| گزینه های خروج از بحران
| | نگرانی های امنیتی در انتخاب عرضه کنندۀ خدمات ابری (Brodkin, 2008) |
| یک سازمان باید با ابزارهای مناسب، آماده مقابله با بحران و خروج از آن باشد. ارائه دهنده سرویس ابر باید قادر باشد در زمان بحران در مورد مسائل لازم به شما اطلاع رسانی نماید. باید چندین سایت وجود داشته باشد که چند نسخه کپی از داده ها و زیرساخت های برنامه ای در آنها به طور مکرر نگهداری گردد.
| | قوانين مربوط به دسترسي کاربران |
| | | نظم و قانون پذيري |
| چگونه درباره فعالیت نامناسب یا غیرقانونی در ابر تحقیق کنیم؟
| | محل داده ها |
| تحقیق در سرویس های ابری مشکل بوده یا در مواردی تقریبا غیرممکن است. با توجه به طبیعت این سرویس ها، داده های ثبت شده بیش از یک مشتری ممکن است باهم پیدا شوند و احتمالا دسترسی به هریک به طور مجزا مشکل است، همچنین میزبان ها و مراکز داده نیز به طور مداوم در حال تغییر هستند. در نتیجه پروسه تحقیق تقریبا غیرممکن است، مگر اینکه ارائه دهنده سرویس ابری روشی امتحان شده داشته باشد که قابل اثبات و موثر باشد.
| | تفکيک کردن داده هاي مشتريان مختلف |
| | | قابليت بازيابي |
| انعطاف پذیری سرور
| | برقراري امکان تحقيق و رسيدگي |
| همانطور که قبلا اشاره شد، یکی از امتیازات فن آوری ابر این واقعیت است که این فن آوری، انعطاف پذیری بالایی را به همراه می آورد. این مساله می تواند مشکل زا باشد. برخی سرورها ممکن است اغلب بدون اطلاع قبلی شما مجددا پیکربندی گردند. این مساله می تواند برای برخی فن آوری های داخل ابر که سازمان شما بر آنها متکی است چالش ساز باشد، چراکه محیط، خود استاتیک نیست. این مساله در زمان امن سازی داده ها مشکل ساز می گردد، زیرا روش های سنتی امن سازی داده ها مبتنی بر درک زیرساخت شبکه است، به هر حال اگر این تغییرات به طور مداوم اعمال گردد، این معیارهای امنیتی سودمند نخواهند بود.
| | تداوم پذيري |
| | | '''نتیجه گیری:''' |
| مدت زمان از کار افتادن ارائه دهنده سرویس
| | مشکل بودن توافق کامل بر کنترل امنيت و پيشگيري |
| یک معیار اساسی امنیتی وجود دارد که اغلب نادیده گرفته می شود. مدت زمان از کار افتادن یک ارائه دهنده سرویس می تواند برای سازمان شما مضر باشد. قابلیت اعتماد با توجه به این مساله ضروری است.
| | نبود استانداردهای رایانش ابری |
| | | ابزار کنترل و مديريت تغيير |
| قابلیت حیات در طولانی مدت
| | سياست ها، فرآيندها، ارتباطات و آموزش |
| یک مساله در مورد یک ارائه دهنده سرویس ابری، قابلیت حیات در طولانی مدت است. اینکه شما با چه احتمالی دیگر قادر به استفاده از یک ارائه دهنده سرویس ابری خاص نخواهید بود، چه مسیرهایی برای انتقال امن داده های شما به یک ارائه دهنده سرویس ابری دیگر مورد استفاده قرار می گیرد و نیز اینکه شما چگونه قادر به تامین تمامیت داده های خود خواهید بود، باید در نظر گرفته شود.
| | پيچيدگی، عدم انعطاف پذيري و کاهش بازدهي |
| | |
| شرکتها نه تنها نیاز به یک ارتباط قابل اعتماد با ارائه دهنده سرویس ابر دارند، بلکه باید حداکثر اطلاعات ممکن را درباره شرکتهای دیگر مرتبط با آن ابر به دست آورند. یک شرکت همچنین باید شرکت میزبان مورد استفاده ارائه دهنده سرویس ابر را بشناسد. هرچه دید عمیقتری از ریسکهای بالقوه داشته باشید، جلوگیری، حداقل کردن و کنترل این ریسکها راحتتر خواهد بود.
| |
رايانش ابري به عنوان یک پارادايم جديد، با هدف ایجاد:
پويایی
قابلیت اتکا
انعطاف پذيری
QoS
شبکه بزرگي از گره ها
مجازي سازي
راه حل های امنیت اطلاعات:
تمرکز مدیریت استراتژیک امنیت بر تقاضای منابع و هزینۀ دستیابی به آن ها
جنبه های اصلی امنیت (Papazoglou et al, 2007)
تصديق هويت
يکپارچگي داده ها
قابل اطمينان بودن داده ها
کنترل دسترسي
عدم انکار سرويس
کاستی های راه حل های امنیتی (Anderson & Choobineh, 2008)
تمرکز بر مقایسۀ راه حل ها
عدم برخورداری از رویکردی جامع
دیدگاه جهانشمول نسبت به ریسک
ریسک های امنیتی (Posthumus & Solms, 2004)
پدیده های طبیعی
نارسایی فنی
ریسک های مرتبط با انسان
راه حل های امنیت اطلاعات:
تمرکز مدیریت استراتژیک امنیت بر تقاضای منابع و هزینۀ دستیابی به آن ها
جنبه های اصلی امنیت (Papazoglou et al, 2007)
تصديق هويت
يکپارچگي داده ها
قابل اطمينان بودن داده ها
کنترل دسترسي
عدم انکار سرويس
نگرانی های امنیتی در انتخاب عرضه کنندۀ خدمات ابری (Brodkin, 2008)
قوانين مربوط به دسترسي کاربران
نظم و قانون پذيري
محل داده ها
تفکيک کردن داده هاي مشتريان مختلف
قابليت بازيابي
برقراري امکان تحقيق و رسيدگي
تداوم پذيري
نتیجه گیری:
مشکل بودن توافق کامل بر کنترل امنيت و پيشگيري
نبود استانداردهای رایانش ابری
ابزار کنترل و مديريت تغيير
سياست ها، فرآيندها، ارتباطات و آموزش
پيچيدگی، عدم انعطاف پذيري و کاهش بازدهي