06-08-2020, 02:54 PM
معرفی 7 روش امن کردن اطلاعات در فضای ابری
مشخص کردن یک مسیر خوب برای امنیت در فضای ابری، خود می تواند یک چالش بزرگ باشد. و این کار در موارد مختلف مانند استفاده از ابر عمومی ، ترکیبی و در هنگام طبقه بندی داده ها پیچیده تر میشود. به طور کلی، نمی توان یک راه حل جامع و سازگار برای امنیت فضای ابری ایجاد کرد، اما داشتن رویکرد های متنوع در جزئیات برای موارد مختلف تقریبا همیشه مورد نیاز است. اجازه دهید ابتدا چند اشتباه را برطرف کنیم.
ابر یک مکان بسیار امن برای داده ها است، ارائه دهندگان ابر بزرگ (CSP ها) این توانایی محار این کشتی را دارند، در غیر این صورت آنها مشتریان خودرا به سادگی از دست میدهند. با این حال، ما می توانیم فرض کنیم بین میلیون ها نفر از استفاده کنندگان تعداد کمی بدخواه هستند، چه هکر باشند یا جاسوس دولت و یا سارقان تجاری. به همین دلیل فرض رایج که ذخیره سازی CSP امن است را کنار میگذاریم. این کافی نیست که CSP ها با استفاده از رمزنگاری مبتنی بر درایو ،داده هارا امن کنند. محققان امنیتی در سال 2015 نقص در یک خط تولید هارد دیسک را کشف کردند که رندر رمزگذاری خودکار و بی فایده ای انجام میداد.
بنابر این این نوع رمزگذاری مطمعن نیست و مخصوص انسانهای تنبل است! اما سوال اینجاست که آیا این درست است که در سرور با مجموعه کلید ها و رمز نگاری های مختص خود رمزگذاری کنید؟ بخشی از داستان امنیت داده ها ، این است که داده ها باید یکپارچگی خود رادر هنگام حمله حفظ کنند و این کافی نیست که یک کپی از داده ها در جایی ذخیره شود؛ فقط به این فکر کنید که چه اتفاقی خواهد افتاد اگر تنها یک کپی از مجموعه ای از فایل ها در استخر ذخیره سازی خود داشته باشید و همه را توسط نرم افزارهای مخرب از دست بدهید. اگر شما یک مکانیسم حفاظت برای این کار فراهم نکنید، شما به احتمال زیاد محکوم به فنا هستید!
ما خیلی از انعطاف پذیری خدمات ذخیره سازی در دسترس خود خوشحالیم اما ملاحظات ما برای درک آنچه اتفاق خواهد افتاد ناکافی است، به عنوان مثال این سوال که زمانی که اطلاعات را در فضای ابری پاک میکنیم واقعا پاک میشود؟ یا فقط از دسترس خارج میگردد؟ و اگر اطلاعات پاک شده بر روی یک هارد SSD باشد، چگونه بلوک های پاک شده به استخر رایگان منتقل میشوند؟ آیا مهاجمین میتوانند با استفاده از ابزار و نرم افزار های مناسب ، این بلوک ها را بخوانند وامنیت CSP شما از بین ببرند؟ بیایید حفاری عمیق تری به چالش های امنیتی ذخیره سازی در فضای ابری داشته باشیم و به این پردازیم که: آیا روشهای شما می تواند از داده های ذخیره شده در ابر محافظت کند؟
۱.مسولیت امنیت را بپذیزیم
امروزه باور عمومی این است که ابرهای بزرگ مکان های امنی برای کار هستند و حملات توسط برخی تغییرات سخت افزاری و پردازندها و بهینه کردن کد ها ازبین میروند. با این حال، نصب هرگونه نرم افزار وایجاد تغییرات میتواند با عث آسیب پذیر شدن این فضا گردد، از جمله خطای انسانی و تخلفات، ویروس ها و نرم افزارهای مخرب و... میتوان حدس زد که فضا های ابری خصوصی و عمومی به طور معمول ،سطح حمله بسیار بزرگتری از یک سرور اختصاصی دارند و واگذاری امنیت به سرویس دهنده اشتباهی ساده است. به عنوان سیاست امنیتی باید در مرکز داده توجه عمیق به امنیت پرداختها و کوچک کردن سطح حملات داشته باشیم.
۲.رمز گذاری
اولین چالش در حفاظت از داده های ذخیره شده در ابر این است که مانع از این بشویم که یک هکر به اطلاعات فایروال ما دسترسی پیداکند وبه ویرایش یا حذف فایل ها بپردازد. پاسخ واضح برای این کار رمزگذاری است، اما چه نوع ازآن مناسب است ؟ چند نوع رمزنگاری وجود دارد: در حالت استراحت، در حمل و نقل، در مبدا، و رمزگذاری درایو سی اس پی سوال این است که باید از کجا شروع کرد؟ امن ترین راه حل برای نگه داری از اطلاعات این است که آنهارا در سرور اصلی حفظ کنید و کد های رمزنگاری را خودتان مدیریت کنید. این کار نیاز به نظم و انضباط زیادی دارد، اما برای حفظ امنیت یک فضای ابری بسیار ضروری است . ممکن است استدلال شود که داده هایی که درحال جابجایی هستند آسیب پذیر نیستند، اما ما در حال ورود به عصر اس دی ان با شبکه مجازی سازی شده هستیم و باید امنیت اطلاعات درحال جابجایی اطلاعات را ایجاد کنید.
۳.حفاظت از اطلاعات
حتی داده های رمزگذاری شده هم احتمال حذف و یا آسیب پذیری دارند. سخت افزار های معیوب، اپراتورهای مخرب و یا نرم افزار بد و همه ی کابران میتوانند این خرابی را ایجاد کنند. در حالی که این موضوع تنها یک مسئله امنیتی نیست، وبرای آن یک راه حل مشترک وجود دارد. یک راه حل این است که داده ها را از دسترس حادثه ی ناگوار دور نگه داریم. پشتیبان گیری و یا ایمیج های فوری و مکرر یک راه خوب برای به حداقل رساندن آسیب داده هاست.اولین حالت این است که یک کپی "آنلاین" از تمام اطلاعات گرفته میشود ، و حالت دوم این که از داده ها ایمیج های فوری گرفته میشود به صورتی که در ایمیج های فوری تنها تغییرات به فایل اصلی اضافه میشوند.
ولی در هر دو مورد، مقدار بسیار کمی از داده در معرض خطر است. هم داده در حال کار وهم نسخه های پشتیبان ، نیاز به این دارند که توسط برنامه نویسی صحیح در سراسر قسمتهای ابر امن شونداما بهتر است تمامی تخم مرغ ها را در یک سبد قرار ندهید و به امنیت فیزیکی هم توجه کنید.امنیت فیزیکی برای سیستم های شبکه عدم قطع برق میباشد که در صورت بروز این مشکل در معرض خطر ازدست دادن اطلاعات هستند. از دست دادن طولانی مدت برق و عدم توانایی دسترسی به داده ها یک مسئله مهم امنیتی محسوب میشود.
۴.مدیریت اطلاعات
بسیاری از ابرها از مدیریت داده ها درهم و برهم رنج می برند. مجموعه ای از داده مازاد، قدیمی و یا جزئی در سراسر استخر ذخیره سازی به صورت پراکنده وجود دارد. جمع آوری داده های بیهوده یک کار بزرگ و دشواراست. ودر واقع جزیی از خطرات امنیتی محسوب میشوند. امکان ورود یک فایل مهم به یک منطقه با امنیت پایین را نمی توان نادیده گرفت. پاسخ این است که جهت جلوگیری از تکثیر داده های غیر ضروری و برای صرفه جویی در فضای ذخیره سازی و ایجاد امنیت یابد یک برنامه برای جلوگیری از تکثیر فایل های هم نام و از بین بردن نسخه های اضافی در نظر گرفته شود. حذف رکوردهای تکراری و جلو گیری از دریافت فایل ها در مکان اشتباه بسیار مهم است. این موضوع نیاز به یک رویکرد داده محور دارد که محل کپی و کنترل های دیگر در داده ها را در بر بگیرد. این ابزار ها باید در یک محیط ذخیره سازی قوی استفاده شوند.
۵.حفاظت API ها و تصاویر
هنگامی که سیستم عامل، ابزار ها وکد برنامه ها و ایمیج ها را بر روی گره های ابر همگام سازی میکند، می توانیم تا حدی خطاهای ایجاد شده را شناسایی کنیم ،از جمله فایل های نادیده گرفته شده ، ویرایش داده اشتباه ، یا در بدترین حالت، داده ها و کد های ناسازگار و خرابی دادها. این می تواند از طریق ارتقاء بی دقت کد ها صورت گیرد، که این موضوع زمانی اتفاق میوفتد که برخی از گره ها با استفاده از کد های قدیمی تر ،جریان عملیات را ترک کنند. این امکان وجود دارد که نرم افزارهای مخرب ، برای بهره برداری از سرویس عدم هماهنگی به وجودآورند. راه حل این است به هنگام استفاده از نرم افزار های موجود و در به روز رسانی خودکار آنها ازImage کد ها در تمام گره ها استفاده کنیم و بررسی کنیم که به روز رسانی به درستی انجام شده باشد و سرویس به طور کامل در حال کار است.
۶.امنیت دسترسی
اگر عملیات امن می خواهید ، هرگز به کاربران اعتماد نکنید! بخش قابل توجهی از، از دست دادن داده ها به وسیله خودکاربران انجام میشود،اما تنها مسئله کاربران نیستند. رایج ترین رمز عبور در جهان "123456" است و هکرها حتما آن را امتحان میکنند. فرض کنید کلمه عبور شما همیشه به خطر بیافتد بنابراین بهترین راه استفاده از احراز هویت چند عاملی است که البته احراز هویت را کمی آهسته تر، اما بسیار امن تر میکند. بخش دیگر از این مسئله خطای مدیر است. به خصوص با نرم افزار مبتنی بر CLI، که در آن یک دستور ترانهاده ساده به همراه یک مدیر خسته ، ممکن است تمام سوابق داده ها را حذف کنند.
پیش بینی این موضوع و محدود کردن آن می تواند از بسیاری از خطرات جلوگیری کند. محدود کردن بیش از حد دسترسی مدیران پیشنها نمیشود تنها در حدی که بتوانند سیستم ها را به خوبی مدیریت کنند. امروزه بسیاری از داده ها ذخیره شده، به دستگاه های تلفن همراه گره خورده است. برخی را می توان با دو یا چند فاکتور تأیید هویت ایمن سازی کرد، اما خطری که همیشه کاربران تلفن همراه را تحدید میکند، دسترسی به داده ها در مکان های غیر مجاز و امکان سرقت فایل ها است. این موضوع می تواند اتفاقی باشد و در خانه یا محل کار رخ دهد. اما امنیت این داده ها تنها از نظر ذخیره سازی نگران کننده نیست،بلکه نباید آنها را در محلی که امنیت به طور بالقوه در معرض خطر است قرار داد.
۷. کنترل حسابهای سایه
حسابهای سایه بخش قابل توجهی از کل دنیای IT را از آن خود کرده اند. این حسابها خارج از کنترل و ناامن هستند، و در عین حال اکثر سازمانها داده های خودرا در فضای ابری و تحت کنترل قرار میدهند در حالی که وجودحسابهای سایه یک حفره بزرگ در دیوار امنیتی است. بهترین راهکار این است که با ارائه خدمات جذاب تر و میل به ایجاد حساب سایه را ازبین ببریم. این به این معنی است که با ارائه یک راهکار انعطاف پذیر، سریع، مقرون به صرفه در سرویس ابری، چه خصوصی و چه عمومی و یا ترکیبی، به کاربران خود را راضی و خوشنود گردانیم .
ازطرف دیگر ،مشکل به SaaS مرتبط میشود زیرا اکثر فروشندگان SaaS در ابرهای عمومی هستند و وادار کردن آنها به پیروی از قوانین شما می تواند یک چالش بزرگ باشد. این یک مسئله امنیتی بزرگی است، چرا که آنها "خود" بخشی از داده های خود را ذخیره میکنند، همچنین به ارائه یک دروازه گسترده برای ذخیره اطلاعات بیشتر نیازدارند. اضافه کردن رمزگذاری و کنترل شدید دسترسی به داده های، دو مرحله بزرگ به سوی حل این مشکل می باشد.
نویسنده : جیم اوریلی
تاریخ انتشار: 05/24/2017
مترجم :مهرداد فشنگچی
منبع: http://www.networkcomputing.com/data-cen.../866645128