دانلود رایگان ترجمه مقاله امنیت ابر در مقابل فناوری های سنتی (آی تریپل ای 2014)

مبتدی (مناسب برای درک مفهوم کلی مطلب) 

سیستم ابر هنوز مدل سیستم IT نسبتا جدیدی است که راه زیادی پیش رو دارد و بسیاری از کارشناسان معتقدند که یکی از بزرگترین خطرات عوامل ناشناخته است، زیرا اجزای نرم‌افزار و مدل خارج از اندازه‌گیری خطرات آماری عمل نمی‌کند. در حدود سه سال گذشته، ابرها از یک الگوی نسبتا ناشناخته به IT با محبوبیت شدید انتقال یافتند، 60٪ از مشتریان شرکت در تلاش برای حرکت به فناوری ابر برای رسیدن به بازده بیشتر بودند [15، 16]. فن‌اوری ابر معمولا ترکیبی از سخت‌افزار مشخص با برداشت جدید نرم‌افزار از مفاهیم قدیمی مانند hypervisor است. بااین‌حال، مدل کسب‌وکار (1) پرداخت فقط برای مقدار استفاده شده است؛ (2) سرویس‌های وب مرتبط با SOA است (معماری سرویس‌گرا)، و (3) اتوماسیون جدید فن‌آوری ها، ترکیبی بسیار مفیدی برای محاسبات ابری ایجاد می‌کند. این پدیده موجب ایجاد بسیاری از برنامه‌های جدید مانند سرویس مس‌شود، و در حال حاضر میلیون‌ها نفر از کاربران در حال مصرف ابرهای با نرم‌افزار هنوز کامل نشده هستند. قابل درک است که به‌طور مداوم در مورد امنیت مسائل و خطرات مرتبط با ابر بحث کنیم.

چند مستاجره
عامل خطر در چند مستاجره مربوط به مسائل و چالش‌هایی مرتبط با به اشتراک‌گذاری فیزیکی منابع IT مانند CPU، حافظه، سوئیچ شبکه، فایروال‌ها، سخت‌افزار و نرم‌افزار و سایر اجزاء است. چند مستاجره به‎طور بالقوه می‌تواند منجر به اشتراک‌گذاری منابع با رقبای شرکت در بهره‌برداری متقابل برای اخذ اطلاعات شود. علاوه‌براین، اگر مشتری توسط دادگاه برای رسیدگی به پرونده داده‌ها ولاگ‌ها در چند مستاجره احضار شود ممکن است داده‌هایی از اتصال به ماشین‌های مجازی در یک سرور فیزیکی به دست آید. علاوه‌براین، چند مستاجری همراه با مجازی‌سازی باعث می‌شود تا پیاده‌سازی ابزار ردیابی برای اعمال سایبری پزشکی قانونی در محیط ابر دشوار شود که ممکن است منجر به عدم تطابق با مقررات گردد.
پذیرش این فن‌آوری در 10 سال اخیر بسیار مهم بوده و افزایش قابل توجهی داشته است و منجر به چالش‌های مهمی در زیرساخت‍‌های IT شده است. بااین‌حال، ابرها به طور قابل توجهی بنا به پتانسیل موجود در آنها به چالش کشیده می‌شوند. علاوه‌بر‌این، ماهیت چالش مصرف ابر با احترام به حریم خصوصی و قابلیت بازبینی قابل تصحیح است. قوانین نظارتی جدیدی که نیاز به حفظ اسناد برای مدت طولانی دارند، فشار زیادی برای ذخیره‌سازی بیشتر و مقرون به صرفه مطابق با مقررات ابر ایجاد می‌کند؛ اما اگر کنترلی بر منابع ذخیره‌سازی صورت نگیرد خطرات دیگری افزایش می‌یابند.

اتوماسیون و استانداردسازی
محاسبات ابری ویژگی‌های خود را با خودکارسازی بسیاری از فرآیندهای IT مانند تأمین و استقرار ماشین‌های مجازی جدید، مدیریت، پشتیبان‌گیری، تعادل بار، نظارت بر امنیت و فرآیندهای دیگر انجام می‌دهند. مدیران محیط ابر، هزاران سرور از طریق داشبورد ابر و استقرار فرآیندها با “push of a button”(به‌عنوان مثال، به راحتی) انجام می‌دهند. اما اگر یک اشتباه در اسکریپت اتوماسیون ساخته شده رخ دهد، مانند یک خطا، می‌تواند بسیار به سرعت تکرار شود. استانداردسازی دربردارنده‌ی خطر مرتبط با به حداقل رساندن تعداد انواع ماشین‌های مجازی موجود در ابر است. استانداردسازی کمک می‌کند تا محیط همگن ایجاد شود، اما در زمان یکسانی، می‌تواند موجب کاهش گسترش ویروس‌ها و یا نرم‌افزارهای مخرب در ابرها گردد.
یک سرمایه‌گذاری عظیم در اتوماسیون منجر به یکی از مزایای ابر می‌شود و ارائه‌دهندگان ابر از اتوماسیون برای به‌دست آوردن مقیاس اقتصادی، مدیریت تعداد زیادی از ماشین‌ها استفاده می‌کنند. اتوماسیون هزینه پایینی را به ارمغان می‌آورد زیرا توانایی به کارگیری تعداد زیادی از سرورها را به‌صورت همزمان دارد – بیشتر کارشناسان ادعا می‌کنند که 10000 سرور برای هر مدیر در محیط‌های IT از جمله گوگل و آمازون وجود دارد. در ابرهای خصوصی با ظرفیت کمتر، تعداد در محدوده‌ای بین 60 تا 100 سرور برای هر مدیر است. همانطور که گفته شد، اتوماسیون موجب افزایش انعطاف‌پذیری با حداقل تلاش ممکن می‌شود. علاوه‌براین، تقسیم کار موثر در روند ایجاد و حفظ فرآیندهای اتوماسیون نقش بسزایی دارد، چرا که دانش نیاز به اشتراک‌گذاری بین مدیران ندارد.
این مزایا بسیار قانع‌کننده هستند، اما این قدرت نیز یک ضعف به حساب می‌آید. همانطور که گفته شد، اتوماسیون می‌تواند بازده زیادی ارائه کند، اما یک اشتباه در یک اسکریپت می‌تواند به سرعت گسترش یابد و با عواقب فاجعه‌باری همراه گردد. حوادث ناخواسته، مانند طوفان معکوس آمازون، توسط اتوماسیون تشدید می‌یابد، بنابراین منطقی است که انتظار طوفان‌های ابر بیشتری را در آینده داشته باشیم. از آنجا که بخش بزرگی از اتوماسیون ابر، کنترل کاربر ابر است، استراتژی خاصی برای این مورد وجود ندارد. به‌طورکلی، اتوماسیون یک بردار خطرناک‌تر از hypervisor و چندمستاجری است.
استانداردسازی جنبه دیگری نیز دارد که می‌تواند نقاط ضعف و مزایایی داشته باشد. مثلا، اگر یک سرور بدون استانداردسازی مجازی شود، نتیجه آن پیچیدگی بیشتر خواهد بود که در حال حاضر وجود دارد. فرایند استانداردسازی وجود دارد که موجب کاهش تنظیمات و ایجاد یک تعداد محدودی از تنظیمات IT قابل استفاده‌ی مجدد می‌شود و می‌تواند تنها با چند کلیک ماوس خودکار شود [18-20]. این همکاری بین استانداردسازی و اتوماسیون توسط Bittman به هنگام بحث در مورد طراحی برای مجازی‌سازی بهتر اعلام شد [20]، و افراد دیگری مانند Oberle و Fisher [18] به عدم وجود استانداردسازی به‌عنوان یکی از موانع اصلی برای تصویب ابر اذعان کردند. بااین‌حال، این مورد درکار Ring و همکارانش بود [19]. در چارچوب مورد آزمایش انها برای محیط‌های ابر قدرت استانداردسازی برای ایجاد تنظیمات ساده‌تر که بسیار آسان خودکار می‌شوند به وضوح نشان داده شده است. ازسوی دیگر، استاندارد تنوع محیط IT را به حداقل می‌رساند، در نتیجه موجب گسترش ویروس‌ها و نرم‌افزارهای مخرب در سراسر محیط ابر می‌شود. مشابه جهان زیستی، تنوع می‌تواند در برابر ویروس محافظت شود زیرا چالش‌های بیشماری وجود دارد که نیاز به پیچیدگی و کدهای بیشتری برای حمله کردن به از آن تنظیمات به جای فقط چند استاندارد VMS دارند. این یکی از دلایلی است که چرا هوشیاری و دقت در تعمیر و نگهداری نرم‌افزار با استفاده از آخرین نرم‌افزارها به ویژه در محیط‌های ابری مهم است.

احراز هویت و اعتبارسنجی
عامل خطر احراز هویت و اعتبارسنجی در ارتباط با چالش رو در رو با تعداد زیادی از کاربران و اشیاء داده است. احراز هویت سنتی و مدیریت دسترسی (IAM) فن‌آوری است که شناسه‌ها و ACL ها (لیست کنترل دسترسی) را برای 10،000 کاربر و همچنین به خوبی حفاظت از چند میلیون اشیاء مدیریت می‌کند که به سادگی در ابری با مقیاس 200 میلیون کاربر و 100 میلیارد فایل کار نمی‌کند. IAM بر روی یک مدل متمرکز که در محیط توزیع‌شده نیست مانند ابر پیش‌بینی می‌کند. سرعت دسترسی بنا به درخواستهای ابر بسیار سریع‌تر تغییر می‌کند و باعث ایجاد چالش‌های جدید و خطرات می‌شود. چندین سیستم مدیریت هویت و کنترل خدمات احراز هویت از راه دور ایجاد شده است، اما هنوز هیچ شرکتی درجه استانداردی تعریف نکرده است. احراز هویت هنوز مسئله‌ای بسیار مهم است چرا که احراز هویت کاربران نیاز به عبور امن از لایه‌های ابر دارد. از سوی دیگر، فن‌آوری‌های جدید مانند OAuth تأیید (استاندارد باز برای احراز هویت) قادر به کاهش برخی از این خطرات هستند. استانداردهای باز جدید مانند OAuth اجازه می‌دهند تا کاربران توکن‌ها را به جای اعتبار به لایه‌هایی از سرویس‌های ابری برسانند و خطر سرقت هویت و یا جعل هویت به حداقل برسد. با این حال، این فن‌آوری‌ها هنوز هم در مراحل اولیه هستند و همه ارائه‌دهندگان و خدمات ابر به صورت همزمان ار آنها پشتیبانی نمی‌کنند. مثلا، برنامه گوگل موتور ** از OAuth پشتیبانی می‌کند [21]، اما احراز هویت تنها با توجه به حساب‌های خدمات گوگل انجام می‌گیرد، ایجاد خطر تکثیر هویت بین محیط LDAP (دسترسی به دایرکتوری سبک پروتکل) و خدمات گوگل انجام می‌گیرد. علاوه براین، برای پیکربندی یک نرم‌افزار وب گوگل یکی از نیازها ایجاد چند XML (زبان نشانه‌گذاری) فایل‌های web.xml یا YAML (زبان نشانه‌گذاری app.yaml) برای تعریف نرم‌افزار و دسترسی به امتیازات آن می‌باشد. این نوع متدولوژی بسیار درشت دانه است و از سایر موارد مورد نیاز کسب وکار مانند مجوز پشتیبانی نمی‌کند. مثال دیگر ارائه شده توسط کارشناسان مایکروسافت Azure ** است که از SAML (زبان نشانه‌گذاری امن) و STS (سرویس توکن امنیت) برای حمایت از راه‌حل مدیریت توزیع هویت پشتیبانی می‌کند. پروتکل SAML از روش‌های احراز هویت SSO و به‌حداقل رساندن تقلید هویت بین مشتری و ارائه دهنده ابر پشتیبانی می‌کند [22]. عدم وجود استانداردسازی ابر با توجه به روش‌های تأیید هویت و مجوز موجب گسترش غیرسازگار راه‌حل‌های اختصاصی شده است که خطرات امنیتی قابل توجهی تولید می‌کنند.

نقطه‌ی پایانی
ظهور دستگاه‌های تلفن‌همراه فشار قابل توجهی بر کسب‌وکار و پشتیبانی از رابط گرافیکی با دستگاه جدید ایجاد کرده‌اند. دستگاه‌های جدید موبایل مانند تلفن‌های همراه و تبلت‌ها بخشی از ابر تلفن‌همراه هستند و چابکی عظیمی برای کارکنان ارائه کرده‌اند. در زمان یکسانی، این فن‌آوری آسیب‌پذیری زیادی به راه‌حل‌های ابر وارد کرد. به‌عنوان مثال، ارائه‌دهندگان خدمات بهداشتی تحت فشار زیادی برای حمایت از برنامه‌های کاربردی اپل برای بررسی سوابق پزشکی در هر زمان و هر مکانی هستند. این مسئله یک چالش بزرگ است چرا که بسیاری از دستگاه‌های تلفن‌همراه مطابق با حداقل استانداردهای امنیتی نیستند و نرم‌افزارهایی که آنها استفاده می‌کنند در چرخه حیات قرار دارند [23].

تمرکز بر مقادیر
با ظهور مراکز داده mega IT ایجاد شده توسط IBM، گوگل، مایکروسافت، آمازون، یاهو، و بسیاری دیگر، این انبار عظیم شامل ده‌ها هزار سرور است که خطرات و چالش‌های جدید بسیاری ایجاد می‌کند. مقدار زیاد و تراکم سخت‌افزار می‌تواند به‌صورت آماری ذخیره‌سازی و یا خرابی روزمره سرور در ابر را تضمین کند [24، 25]. همچنین، مراکز داده بزرگ تهدیدی جدی برای این مسئله به شمار می‌آیند. تمرکز بر مقادیر موجب تغییر در هر زمان نمی‌شود، زیرا تغییر در مراکز بزرگ داده‌ها با کاهش بودجه و بازده انرژی همراه است. بیشترین مقادیر در ابر متمرکز است و اهداف خدماتی ابر بزرگتر خواهد شد. علاوه‌براین، انتظار و تقاضا برای دردسترس بودن داده‌ها در همه جا یک چالش بزرگ ایجاد کرده است که گاهی برخلاف انسجام داده‌ها است. پایگاه‌های داده‌های توزیع‌شده جدید، نه ب اساس SQL (زبان پرس‌وجو ساختارمند)، در هزینه پایین دسترسی در ابر محبوب هستند. پایگاه داده‌های سنتی رابطه‌ای SQL با دقت و مطابق با ACID قوانین (اتمیک بودن، ثبات، انزوا، دوام) تنظیم شده‌اند، اما آنها دسترس پایین‌تری در داده به‌دلیل مکانیسم commit دو مرحله‌ای دارند. با حجم انبوه از داده‌ها، به‌طورخاص بالاتر از 10 پتابایت، هزینه مرتبط با حمل و پشتیبان‌گیری از داده‌ها به‌صورت نمایی رشد می‌کند. فن‌آوری‌های جدید مانند هادوپ **، NoSQL، Cassandra **، و IBM سیستم فایل موازی عمومی (GPFS *) برای کمک به رسیدگی این نوع داده در ابرها ایجاد شده‌اند. بااین‌حال، این نوع از ابزار گاهی اوقات دسترسی را به جای دقت بهینه‌سازی می‌کند بنابراین این مورد می‌تواند یکپارچگی و امنیت در مسائل را ایجاد کند. علاوه‌براین، تراکم عظیم داده‌ها در ابرها موجب ایجاد تراک مقادیر می‌شود. حجم انبوهی از داده با چالش تقاضای سیری‌ناپذیر برای دردسترس بودن بدون دقت و صحت داده روبهه‌رو هستند. دردسترس بودن و دقت داده‌ها از الزامات است. به‌عنوان یک پارتیشن از داده‌ها برای افزایش دردسترس بودن، ثبات کاهش می‌یابد و زمانی که پارتیشن‌های داده برای افزایش ثبات کاهش می‌یابد وارونگی اتفاق می‌افتد، اما دردسترس بودن کاهش می‌یابد [26].

عوامل انسانی
متاسفانه، همه کارشناسان معتقدند که مهم‌ترین خطر امنیتی موثر بر ابرها عوامل انسانی است، زیرا بیشتر رفتارهای متقابلانه به دلیل تهدید دورنی است. در برخی موارد خطر دورنی در ابرها از IT سنتی بالاتر است زیرا ویژگی تراکم مقادیر ابرها زیاد است. کارشناسان ما توضیح داده‌اند که چگونه ارائه‌دهندگان ابر تلاش گسترده‌ای برای نصب ابزار نظارت پیچیده در پایانه‌های کنسول و داشبورد مدیر انجام داده‌اند. این ابزار نظارتی ساخته شده توسط مدیران سیستم، برای نظارت بر کارکنان مخرب و یا ناراضی ساخته شده‌اند که ممکن است با سرقت اطلاعات و یا خرابکاری در سیستم در ارتباط باشند. با این حال، این عامل خطر، انتظار ادامه یک مشکل برای آینده قابل پیش‌بینی را به همراه دارد، همانطور که هکر معروف جهان کوین میتنیک می‌گوید [27] ، شکستن فایروال انسانی آسان است. علاوه براین، بیش از 70 درصد مصاحبه‌ی کارشناسان برای این مقاله در مورد خطر حملات مهندسی اجتماعی هشدار می‌دهد.

امنیت ابر و انطباق با چارچوب خطرات
در این بخش، بر خطرهای موثر در امنیت ابرها تمرکز خواهیم داشت. تقاضای پذیرش می‌تواند شامل قوانین و مقررات دولتی، فرآیندهای صنعتی و الزامات کسب و کار خاص باشد. انطباق نظارتی دولت شامل قانون Sarbanes-Oxley در سال 2002 (SOX) است، که به ایجاد استانداردهای جدید حسابرسی برای افزایش شفافیت کسب‌وکار و رفتار اخلاقی کمک می‌کند.