محاسبات ابری
امنیت محاسبات ابری
امنیت محاسبات ابری (گاهی اوقات به امنیت ابری تعبیر می شود) که زیر مجموعه ای از امنیت کامپیوتری، امنیت شبکه و در حالت کلی
تر امنیت اطلاعات به حساب می آید. این مفهوم شامل مجموعه ای از سیاست ها، تکنولوژی ها و کنترل ها جهت محافظت از داده ها،
برنامه ها و زیرساخت های امنیتی در محاسبات ابری است.
۱ مسائل امنیتی مرتبط با محاسبات ابری
۲ کنترل های امنیتی در محاسبات ابری
۲.۱ کنترل های بازدارنده
۲.۲ کنترل های پیش گیرنده
۲.۳ کنترل های تصحیح کننده
۲.۴ کنترل شناسایی کننده
۳ ابعاد امنیت ابری
۴ مسائل امنیتی و خصوصی سازی
۵ توافق ها
۶ مسائل حقوقی و قراردادی
۶.۱ پرونده های عمومی
۷ منابع
سازمانها از محاسبات ابری در بسیاری از مدل های سرویس دهی از قبیل (نر مافزار به عنوان سرویس،زیر ساخت به عنوان سرویس و
پلاتفرم به عنوان سرویس) و مدل های گسترش یافته نظیر (خصوصی، عمومی و ترکیبی) استفاده می کنند. مسائل و نگرانی های
امنیتی در ارتباط با محاسبات ابری وجود دارد اما تمام این نگرانی ها به 2 دسته کلی تقسیم می شوند: اول، مسائل امنیتی مربوط به
فراهم کنندگان محاسبات ابری و دوم، مسائل امنیتی مربوط به مشتریان. در اغلب موارد، فراهم کننده باید از ایمن بودن زیرساختش
مطمئن باشد و از داده های مشتریانش و برنامه های کاربردی محافظت کند در حالیکه، مشتری باید از عملکرد فراهم کننده خدمات
محاسبات ابری در راستای ایجاد معیارهای امنیتی مناسب برای محافظت از داده هایش مطمئن شود. کابرد گسترده مجازی سازی در
پیاده سازی زیرساخت محاسبات ابری نگرانی های امنیتی یکسانی برای مشتریان و خدمات عمومی محاسبات ابری ایجاد کرده است.
مجازی سازی، جایگزین ارتباط بین سیستم عامل و سخت افزار در محاسبات، ذخیره سازی ها و حتی شبکه می شود. این امر باعث
معرفی لایه جدیدی به نام لایه مجازی میشود که خودش نیاز به تنظیم، مدیریت و امنیت صحیح دارد. نگرانی اصلی در این راستا شامل
است. اگرچه که این نگرانی ها بیشتر به صورت تئوری مطرح می شوند اما می توانند در "hypervisor" سازگاری نر مافزارهای مجازی یا
واقعیت وجود داشته باشند. مثلا،ً یک شکاف در ایستگاه کاری مدیریت که از نر مافزارهای مدیریتی مجازی استفاده می کند می تواند
باعث از کار افتادن یک پایگاه داده یا تنظیم مجدد آن به صورتی مطلوب برای مهاجم شود.
معماری امنیت ابری فقط در صورتی کاراست که پیاده سازی های دفاعی صحیح وجود داشته باشد. یک معماری امنیت ابری کارا باید
مسائل امنیتی در سطح مدیریتی را شناسایی کند. مدیریت امنیت مسائل کنترل های امنیتی را نشان می دهد. این کنترل ها برای
محافظت از هر نوع ضعفی در سیستم و کاهش اثر یک حمله قرار داده شده اند. اگرچه که بسیاری از انواع کنترل، پشت معماری امنیتی
محاسبات ابری وجود دارد، آنها می توانند در دسته های زیر قرار گیرند:
محتویات
مسائل امنیتی مرتبط با محاسبات ابری
کنترل های امنیتی در محاسبات ابری
این کنترل ها به منظور جلوگیری از هر نوع حمله عمدی در یک سیستم محاسبات ابری تنظیم شده است. این کنترل ها، باعث کاهش
آسیب پذیری واقعی یک سیستم نم یشوند.
این کنترل ها به کمک مدیریت آسیب پذیری ها سبب افزایش قدرت سیستم می شوند. کنترل پیش گیرنده، از آسیب پذیری های سیستم
محافظت خواهد کرد، اگر یک حمله اتفاق بیفتد، بعد از آن این نوع از کنترل ها سعی در پوشش حمله و کاهش خرابی امنیت سیستم می
کند.
این کنترل سعی در کاهش اثر حمله دارد. برخلاف کنترل پیش گیرنده، کنترل تصحیح کننده در حین وقوع حمله، عکس العمل نشان می
دهد.
این نوع از کنترل سعی در شناسایی حمله حین وقوع آن دارد. در زمان رخداد حمله، کنترل شناسایی کننده، سیگنالی برای کنترل های
پیش گیرنده یا تصحیح کننده برای مشخص کردن مشکل ارسال می کند.
کنترل های امنیتی درستی باید برای دارایی ها، تهدیدها و ریسک آسیب پذیری ماتریس های ارزیابی پیاده سازی شوند. اگرچه که نگرانی
Cloud Security Alliance های امنیتی در محاسبات ابری می توانند به ابعاد مختلفی تقسیم بندی شوند(گارتنر 7 تا از آنها را نام برده و 14
تا از این نگرانی ها را شناسایی کرده) این ابعاد به 3 دسته کلی تقسیم شده اند: مسائل امنیتی و خصوصی سازی، مسائل پذیرش و
مسائل حقوقی و قراردادی.
مدیریت هویت هر سازمانی به منظور کنترل دسترسی به اطلاعات و منابع محاسباتی نیاز به سیستم مدیریت هویت خودش دارد. فراهم
یکپارچه می کنند یا یک راه SSO کنندگان محاسبات ابری یا سیستم مدیریت هویت مشتریان به زیرساخت هایشان را با کمک تکنولوژی
حل اختصاصی در مدیریت هویت ارائه می دهند. امنیت پرسنلی و فیزیکی ارائه دهنده ها مطمئن هستند که ماشین های فیزیکی به
اندازه کافی امن هستند و دسترسی به این ماشین ها و داده های مربوط به مشتریان تنها محدودیت نیست و تمام دسترسی ها مستند
می شوند. دسترس پذیری ارائه دهنده ها مطمئن هستند که آهنا دسترسی مرتب و قابل پیش بینی به داده ها و برنامه هایشان دارند.
امنیت برنامه ها ارائه دهنده ها مطمئن هستند که برنامه ها به عنوان یک سرویس روی محاسبات ابری که امنیت آنها با پیاده سازی رویه
های تست و پذیرش برای به خارج فرستادن یا کد برنامه های پکیج شده در دسترس هستند. همچنین این مکانیزم، نیاز به معیارهایی
برای امنیت برنامه ها در محیط کارفرما دارند. خصوصی سازی نهایتا،ً فراهم کنندگان محاسبات ابری مطمئن هستند که تمام داده های
حساس (برای مثال، شماره کارت های اعتباری) ماسک می شوند و تنها کاربران دارای مجوز، اجازه دسترسی به داده ها را دارند. به
علاوه، شناسه های دیجیتالی و گواهی نامه ها باید از هر نوع داده ای که ارائه دهنده، درباره فعالیت های مشتری جمع می کند یا تولید
و قوانین E-Discovery میکند حفظ شود. مسائل قانونی به علاوه، ارائه دهنده ها و مشتریان باید مسائل قانونی از قبیل قراردادها و
مرتبط که ممکن است در کشورهای مختلف متفاوت باشد را در نظر بگیرند.
تعداد زیادی از مقررات مربوط به ذخیره سازی و استفاده از داده ها از قبیل: استاندارد امنیت داده ها در صنعت کارت های پرداخت
Health Insurance Portability and)) بیمه سلامت قابل حمل و حسابرسی ،(Payment Card Industry Data Security Standard (PCI DSS))
بسیاری از این مقررات، نیاز به گزارش ها و حسابرسی های منظم دارند. ارائه .Accountability Act (HIPAA)، Sarbanes-Oxley Act
دهندگان محاسبات ابری باید قادر باشند مشتریانشان را مجبور کنند تا این قوانین را رعایت کنند. تداوم کسب و کار و بازیابی اطلاعات
ارائه دهندگان محاسبات ابری برنامه هایی برای تداوم کسب و کار و بازیابی داده ها برای اطمینان از اینکه این سرویس می تواند
خطرات و ضرورت های از بین رفتن داده ها را دارند. این برنامه ها توسط مشتریان دیده و به اشتراک گذاشته می شوند. گزارش ها و
کنترل های بازدارنده
کنترل های پیش گیرنده
کنترل های تصحیح کننده
کنترل شناسایی کننده
ابعاد امنیت ابری
مسائل امنیتی و خصوصی سازی
توافق ها
بازرسی ها علاوه بر گزارش ها و بازرسی ها، ارائه کنندگان محاسبات ابری با مشتریان کار میکنند تا مطمئن شوند که این گزارش ها و
بازرسی ها به طور درستی امن شده اند، تا زمانیکه مشتریان نیاز دارند نگهداری می شوند و برای سرمایه گذاری های قانونی در
دسترس هستند. رعایت نیازمندی های منحصرب هفرد استفاده از یک فراهم کننده سرویس محاسبات ابری میتواند منجر به نگرانی های
امنیتی اضافی درباره صلاحیت داده ها شود چون که مشتریان داده ها روی سیستم یکسان یا مرکز داده مشابه یا درون یک ارائه دهنده
محاسبات ابری یکسانی باقی نم یمانند.
گذشته از امنیت و رعایت مسائل برشمرده شده در بالا، ارائه دهندگان محاسبات ابری و مشتریان آنها درباره مسئولیت هایی مذاکره
خواهند کرد از قبیل مشخصه های معنوی و زمان پایان خدمات (زمانیکه داده و برنامه های کاربردی در نهایت به مشتری بازگردانده می
شود).
مسائل حقوقی نیز ممکن است شامل نیازهایی برای نگهداری سوابق در بخش دولتی، که در آن بسیاری از سازمان ها توسط قانون
برای حفظ و ایجاد پرونده های الکترونیکی موجود در یک مد خاص است می باشد. این امر توسط قانونگذاری ممکن است به منظور نیاز
سازمان به مطابقت با قوانین و شیوه های تعیین شده توسط آژانس های حفظ سوابق مشخص شود. سازمان های دولتی با استفاده از
محاسبات ابری و ذخیره سازی باید این نگرانی ها را به مورد توجه قرار دهند.
.Swamp Computing a.k.a. Cloud Computing". Web Security Journal. 2009-12-28. Retrieved 2010-01-25
Winkler, Vic. "Cloud Computing: Virtual Cloud Security Concerns". Technet Magazine, Microsoft. Retrieved 12
.February 2012
Hickey, Kathleen. "Dark Cloud: Study finds security risks in virtualization". Government Security News. Retrieved 12
.February 2012
Winkler, Vic (2011). Securing the Cloud: Cloud Computer Security Techniques and Tactics. Waltham, MA USA:
.Elsevier. p. 59. ISBN: 978-1-59749-592-9
Krutz, Ronald L., and Russell Dean Vines. "Cloud Computing Security Architecture." Cloud Security: A
.Comprehensive Guide to Secure Cloud Computing. Indianapolis, IN: Wile, y2010. 179-80. Print
Krutz, Ronald L., and Russell Dean Vines. "Cloud Computing Security Architecture." Cloud Security: A
.Comprehensive Guide to Secure Cloud Computing. Indianapolis, IN: Wile, y2010. 179-80. Print
Krutz, Ronald L., and Russell Dean Vines. "Cloud Computing Security Architecture." Cloud Security: A
Comprehensive Guide to Secure Cloud Computing. Indianapolis, IN: Wile, y2010. 179-80. Print
.Cloud Computing Security Policies You Must Know". CloudComputingSec. 2011. Retrieved 2011-12-13 4"
.Gartner: Seven cloud-computing security risks". InfoWorld. 2008-07-02. Retrieved 2010-01-25"
Security Guidance for Critical Areas of Focus in Cloud Computing". Cloud Security Alliance. 2011. Retrieved 2011-"
.05-04
.Cloud Security Front and Center". Forrester Research. 2009-11-18. Retrieved 2010-01-2"5
امنیت محاسبات ابری (گاهی اوقات به امنیت ابری تعبیر می شود) که زیر مجموعه ای از امنیت کامپیوتری، امنیت شبکه و در حالت کلی
تر امنیت اطلاعات به حساب می آید. این مفهوم شامل مجموعه ای از سیاست ها، تکنولوژی ها و کنترل ها جهت محافظت از داده ها،
برنامه ها و زیرساخت های امنیتی در محاسبات ابری است.
۱ مسائل امنیتی مرتبط با محاسبات ابری
۲ کنترل های امنیتی در محاسبات ابری
۲.۱ کنترل های بازدارنده
۲.۲ کنترل های پیش گیرنده
۲.۳ کنترل های تصحیح کننده
۲.۴ کنترل شناسایی کننده
۳ ابعاد امنیت ابری
۴ مسائل امنیتی و خصوصی سازی
۵ توافق ها
۶ مسائل حقوقی و قراردادی
۶.۱ پرونده های عمومی
۷ منابع
سازمانها از محاسبات ابری در بسیاری از مدل های سرویس دهی از قبیل (نر مافزار به عنوان سرویس،زیر ساخت به عنوان سرویس و
پلاتفرم به عنوان سرویس) و مدل های گسترش یافته نظیر (خصوصی، عمومی و ترکیبی) استفاده می کنند. مسائل و نگرانی های
امنیتی در ارتباط با محاسبات ابری وجود دارد اما تمام این نگرانی ها به 2 دسته کلی تقسیم می شوند: اول، مسائل امنیتی مربوط به
فراهم کنندگان محاسبات ابری و دوم، مسائل امنیتی مربوط به مشتریان. در اغلب موارد، فراهم کننده باید از ایمن بودن زیرساختش
مطمئن باشد و از داده های مشتریانش و برنامه های کاربردی محافظت کند در حالیکه، مشتری باید از عملکرد فراهم کننده خدمات
محاسبات ابری در راستای ایجاد معیارهای امنیتی مناسب برای محافظت از داده هایش مطمئن شود. کابرد گسترده مجازی سازی در
پیاده سازی زیرساخت محاسبات ابری نگرانی های امنیتی یکسانی برای مشتریان و خدمات عمومی محاسبات ابری ایجاد کرده است.
مجازی سازی، جایگزین ارتباط بین سیستم عامل و سخت افزار در محاسبات، ذخیره سازی ها و حتی شبکه می شود. این امر باعث
معرفی لایه جدیدی به نام لایه مجازی میشود که خودش نیاز به تنظیم، مدیریت و امنیت صحیح دارد. نگرانی اصلی در این راستا شامل
است. اگرچه که این نگرانی ها بیشتر به صورت تئوری مطرح می شوند اما می توانند در "hypervisor" سازگاری نر مافزارهای مجازی یا
واقعیت وجود داشته باشند. مثلا،ً یک شکاف در ایستگاه کاری مدیریت که از نر مافزارهای مدیریتی مجازی استفاده می کند می تواند
باعث از کار افتادن یک پایگاه داده یا تنظیم مجدد آن به صورتی مطلوب برای مهاجم شود.
معماری امنیت ابری فقط در صورتی کاراست که پیاده سازی های دفاعی صحیح وجود داشته باشد. یک معماری امنیت ابری کارا باید
مسائل امنیتی در سطح مدیریتی را شناسایی کند. مدیریت امنیت مسائل کنترل های امنیتی را نشان می دهد. این کنترل ها برای
محافظت از هر نوع ضعفی در سیستم و کاهش اثر یک حمله قرار داده شده اند. اگرچه که بسیاری از انواع کنترل، پشت معماری امنیتی
محاسبات ابری وجود دارد، آنها می توانند در دسته های زیر قرار گیرند:
محتویات
مسائل امنیتی مرتبط با محاسبات ابری
کنترل های امنیتی در محاسبات ابری
این کنترل ها به منظور جلوگیری از هر نوع حمله عمدی در یک سیستم محاسبات ابری تنظیم شده است. این کنترل ها، باعث کاهش
آسیب پذیری واقعی یک سیستم نم یشوند.
این کنترل ها به کمک مدیریت آسیب پذیری ها سبب افزایش قدرت سیستم می شوند. کنترل پیش گیرنده، از آسیب پذیری های سیستم
محافظت خواهد کرد، اگر یک حمله اتفاق بیفتد، بعد از آن این نوع از کنترل ها سعی در پوشش حمله و کاهش خرابی امنیت سیستم می
کند.
این کنترل سعی در کاهش اثر حمله دارد. برخلاف کنترل پیش گیرنده، کنترل تصحیح کننده در حین وقوع حمله، عکس العمل نشان می
دهد.
این نوع از کنترل سعی در شناسایی حمله حین وقوع آن دارد. در زمان رخداد حمله، کنترل شناسایی کننده، سیگنالی برای کنترل های
پیش گیرنده یا تصحیح کننده برای مشخص کردن مشکل ارسال می کند.
کنترل های امنیتی درستی باید برای دارایی ها، تهدیدها و ریسک آسیب پذیری ماتریس های ارزیابی پیاده سازی شوند. اگرچه که نگرانی
Cloud Security Alliance های امنیتی در محاسبات ابری می توانند به ابعاد مختلفی تقسیم بندی شوند(گارتنر 7 تا از آنها را نام برده و 14
تا از این نگرانی ها را شناسایی کرده) این ابعاد به 3 دسته کلی تقسیم شده اند: مسائل امنیتی و خصوصی سازی، مسائل پذیرش و
مسائل حقوقی و قراردادی.
مدیریت هویت هر سازمانی به منظور کنترل دسترسی به اطلاعات و منابع محاسباتی نیاز به سیستم مدیریت هویت خودش دارد. فراهم
یکپارچه می کنند یا یک راه SSO کنندگان محاسبات ابری یا سیستم مدیریت هویت مشتریان به زیرساخت هایشان را با کمک تکنولوژی
حل اختصاصی در مدیریت هویت ارائه می دهند. امنیت پرسنلی و فیزیکی ارائه دهنده ها مطمئن هستند که ماشین های فیزیکی به
اندازه کافی امن هستند و دسترسی به این ماشین ها و داده های مربوط به مشتریان تنها محدودیت نیست و تمام دسترسی ها مستند
می شوند. دسترس پذیری ارائه دهنده ها مطمئن هستند که آهنا دسترسی مرتب و قابل پیش بینی به داده ها و برنامه هایشان دارند.
امنیت برنامه ها ارائه دهنده ها مطمئن هستند که برنامه ها به عنوان یک سرویس روی محاسبات ابری که امنیت آنها با پیاده سازی رویه
های تست و پذیرش برای به خارج فرستادن یا کد برنامه های پکیج شده در دسترس هستند. همچنین این مکانیزم، نیاز به معیارهایی
برای امنیت برنامه ها در محیط کارفرما دارند. خصوصی سازی نهایتا،ً فراهم کنندگان محاسبات ابری مطمئن هستند که تمام داده های
حساس (برای مثال، شماره کارت های اعتباری) ماسک می شوند و تنها کاربران دارای مجوز، اجازه دسترسی به داده ها را دارند. به
علاوه، شناسه های دیجیتالی و گواهی نامه ها باید از هر نوع داده ای که ارائه دهنده، درباره فعالیت های مشتری جمع می کند یا تولید
و قوانین E-Discovery میکند حفظ شود. مسائل قانونی به علاوه، ارائه دهنده ها و مشتریان باید مسائل قانونی از قبیل قراردادها و
مرتبط که ممکن است در کشورهای مختلف متفاوت باشد را در نظر بگیرند.
تعداد زیادی از مقررات مربوط به ذخیره سازی و استفاده از داده ها از قبیل: استاندارد امنیت داده ها در صنعت کارت های پرداخت
Health Insurance Portability and)) بیمه سلامت قابل حمل و حسابرسی ،(Payment Card Industry Data Security Standard (PCI DSS))
بسیاری از این مقررات، نیاز به گزارش ها و حسابرسی های منظم دارند. ارائه .Accountability Act (HIPAA)، Sarbanes-Oxley Act
دهندگان محاسبات ابری باید قادر باشند مشتریانشان را مجبور کنند تا این قوانین را رعایت کنند. تداوم کسب و کار و بازیابی اطلاعات
ارائه دهندگان محاسبات ابری برنامه هایی برای تداوم کسب و کار و بازیابی داده ها برای اطمینان از اینکه این سرویس می تواند
خطرات و ضرورت های از بین رفتن داده ها را دارند. این برنامه ها توسط مشتریان دیده و به اشتراک گذاشته می شوند. گزارش ها و
کنترل های بازدارنده
کنترل های پیش گیرنده
کنترل های تصحیح کننده
کنترل شناسایی کننده
ابعاد امنیت ابری
مسائل امنیتی و خصوصی سازی
توافق ها
بازرسی ها علاوه بر گزارش ها و بازرسی ها، ارائه کنندگان محاسبات ابری با مشتریان کار میکنند تا مطمئن شوند که این گزارش ها و
بازرسی ها به طور درستی امن شده اند، تا زمانیکه مشتریان نیاز دارند نگهداری می شوند و برای سرمایه گذاری های قانونی در
دسترس هستند. رعایت نیازمندی های منحصرب هفرد استفاده از یک فراهم کننده سرویس محاسبات ابری میتواند منجر به نگرانی های
امنیتی اضافی درباره صلاحیت داده ها شود چون که مشتریان داده ها روی سیستم یکسان یا مرکز داده مشابه یا درون یک ارائه دهنده
محاسبات ابری یکسانی باقی نم یمانند.
گذشته از امنیت و رعایت مسائل برشمرده شده در بالا، ارائه دهندگان محاسبات ابری و مشتریان آنها درباره مسئولیت هایی مذاکره
خواهند کرد از قبیل مشخصه های معنوی و زمان پایان خدمات (زمانیکه داده و برنامه های کاربردی در نهایت به مشتری بازگردانده می
شود).
مسائل حقوقی نیز ممکن است شامل نیازهایی برای نگهداری سوابق در بخش دولتی، که در آن بسیاری از سازمان ها توسط قانون
برای حفظ و ایجاد پرونده های الکترونیکی موجود در یک مد خاص است می باشد. این امر توسط قانونگذاری ممکن است به منظور نیاز
سازمان به مطابقت با قوانین و شیوه های تعیین شده توسط آژانس های حفظ سوابق مشخص شود. سازمان های دولتی با استفاده از
محاسبات ابری و ذخیره سازی باید این نگرانی ها را به مورد توجه قرار دهند.
.Swamp Computing a.k.a. Cloud Computing". Web Security Journal. 2009-12-28. Retrieved 2010-01-25
Winkler, Vic. "Cloud Computing: Virtual Cloud Security Concerns". Technet Magazine, Microsoft. Retrieved 12
.February 2012
Hickey, Kathleen. "Dark Cloud: Study finds security risks in virtualization". Government Security News. Retrieved 12
.February 2012
Winkler, Vic (2011). Securing the Cloud: Cloud Computer Security Techniques and Tactics. Waltham, MA USA:
.Elsevier. p. 59. ISBN: 978-1-59749-592-9
Krutz, Ronald L., and Russell Dean Vines. "Cloud Computing Security Architecture." Cloud Security: A
.Comprehensive Guide to Secure Cloud Computing. Indianapolis, IN: Wile, y2010. 179-80. Print
Krutz, Ronald L., and Russell Dean Vines. "Cloud Computing Security Architecture." Cloud Security: A
.Comprehensive Guide to Secure Cloud Computing. Indianapolis, IN: Wile, y2010. 179-80. Print
Krutz, Ronald L., and Russell Dean Vines. "Cloud Computing Security Architecture." Cloud Security: A
Comprehensive Guide to Secure Cloud Computing. Indianapolis, IN: Wile, y2010. 179-80. Print
.Cloud Computing Security Policies You Must Know". CloudComputingSec. 2011. Retrieved 2011-12-13 4"
.Gartner: Seven cloud-computing security risks". InfoWorld. 2008-07-02. Retrieved 2010-01-25"
Security Guidance for Critical Areas of Focus in Cloud Computing". Cloud Security Alliance. 2011. Retrieved 2011-"
.05-04
.Cloud Security Front and Center". Forrester Research. 2009-11-18. Retrieved 2010-01-2"5
+ نوشته شده در جمعه ششم بهمن ۱۳۹۶ ساعت 12:6 PM توسط احمد صبحی
|
مطالب وبلاگ درخصوص علمی پژوهشی وبیشتردرخصوص علوم فنآوری واطلاعات میباشد.کپی برداری ازکلیه مطالب بانثارصلوات برمحمدوآل محمد(ص)آزاداست.