بخشی از مقاله
تحلیل و بررسی چالش های امنیتی موجود در محاسبات ابری
چکیده
محاسبات ابری یک تکنولوژی جدید نیست بلکه مدلی جدید برای تحویل اطلاعات و خدمات با استفاده از تکنولوژی های موجود است که از بستر اینترنت به عنوان ارتباط میان کاربر و سرور استفاده می کند. در محاسبات ابری چالش های امنیتی آن به همان اندازه جنبه اقتصادی قابل توجه است. در این مقاله ابتدا یک دید کلی نسبت به محاسبات ابری و سرویس های ارائه شده در ان می پردازیم، سپس در مورد مسائل و چالش های امنیتی موجود در محاسبات ابری به همراه روش های کاهش این چالش ها بیان می شود.
کلمات کلیدی
محاسبات ابری، چالش های امنیتی، cloud computing
۱- مقدمه
محاسبات ابری مجموعه ای از منابع مجازی و مقیاس پذیر است که قابلیت ارائه خدمات مورد نیاز کاربران با پرداخت بر اساس استفاده آنها از سرویس ها می باشد. در حقیقت مجموعه ای از خدمات شبکه است که می تواند از طریق راه های ساده و فراگیر در دسترس کاربران قرار گیرد. || ۱ | محاسبات ابری یک تکنولوژی جدید نیست بلکه مدلی جدید برای تحویل اطلاعات و خدمات با استفاده از تکنولوژی های موجود است که از بستر اینترنت به عنوان ارتباط میان کاربر و سرور استفاده می کند.
y) محاسبات ابری به عنوان مدیریت و ارائه منابع، نرم افزارهای کاربردی و تبادل اطلاعات به عنوان یک سرویس تحت بستر اینترنت تعریف شده است. در مقایسه با راه حل های سنتی که در آن سرویس های فناوری اطلاعات بر پایه کنترل های فیزیکی و منطقی بودند، محاسبات ابری نرم افزارهای کاربردی و پایگاه داده ها را به سمت مراکز داده های بزرگ سوق داده است. با این حال ویژگی های منحصر به فرد ابری همواره با شمار بسیاری از چالش های امنیتی جدید و شناخته نشده همراه بوده است. ۳ ابا این حال همراه با مزایای ذکر محاسبات شده ذخیره مقدار زیادی داده از جمله داده های بحرانی انگیزه بسیار خوبی برای هکرهای ماهر می شوند داین امر باعث به امنیت بعنوان یک سرویس احساس می شود. به دلیل ماهیت طبیعی برنامه های کاربردی، به کارگیری ابرهای امن مهم می باشد. چالش امنیتی بزرگ ابرها این است که مالک داده ها نسبت به مکانی که در آن داده ها قرار داده شده است کنترلی ندارد. بنابراین نیاز به حفاظت از داده ها در میان فرایندهای غیر قابل اطمینان وجود دارد. ظهور محاسبات ابری تلاشی برای دستگاه های متصل به وب و رسیدگی به حجم انبوهی از داده ها می باشد. گوگل در حال حاضر چارچوب نگاشت کاهش را برای پردازش حجم زیادی از داده ها را پیاده سازی کرده است. سیستم فایل توزیع شده هادوپ آپاچی (HDFS) به عنوان یک جزء نرم افزاری ترکیب شده با نگاشت کاهش در حال ظهور می باشد. این موضوع به نوبه خود منجر به ایجاد سایت های متعدد شبکه های اجتماعی با حجم انبوهی از داده های به بنابراین نیاز به یک سیستم در مقیاس بزرگ که مسئولیت رسیدگی به تعداد زیادی از سایت ها و پردازش مقادیر عظیمی از داده ها را به عهده بگیرد احساسی شده است. به همین منظور از HDFS و نگاشت کاهش که مکانیزم های امنیتی برای محافظت از اطلاعات حساس را ارائه می دهند استفاده شده است. با توجه به پیچیدگی های گسترده ابر، ارائه یک راه حل جامع برای امنیت ابر دشوار خواهد بود. با پیاده سازی سیاست های امنیتی ابر امن را خواهیم داشت. ابر امن شامل سخت افزار (۸۰۰ ترابایت ذخیره سازی داده درایو مکانیکی، ۲۴۰۰ بایت حافظه و چندین کامپیوتر)، نرم افزار شامل (هادوپ) و داده ها می باشد. بنابراین سیستم ابر دارای ویژگی های زیر می باشد: ۴]
* حمایت از ذخیره سازی کارآمد حساس رمزگذاری داده ها اشتراک گذاشته شده است.
* ذخیره، مدیریت و مقدار گسترده پرس و جو از داده ها
* پشتیبانی از کنترل دسترسی
* حمایت قوی احراز هویت
در ادامه این مقاله به معرفی محاسبات ابری، مسائل امنیت ابر، چالش های آن و راه حل های موجود این چالش ها پرداخته خواهد شد.
۲- محاسبات ابری
برای اینکه یک تعریف جامع از محاسبات ابری ارائه دهیم در اینجا از تعریف موسه NIST استفاده می نماییم. البته تعاریف دیگری نیز ارائه شده اند اما این تعریف تقریبا تمامی مشخصات اصلی محاسبات ابری را که مد نظر ماست را پوشش می دهد. تعریف: محاسبات ابری یک مدل برای دسترسی بنابر تقاضا و راحت تحت شبکه به یک مجموعه اشتراکی از منابع محاسباتی قابل بندی ( از جمله سرورها، شبکه ها، دستگاه های ذخیره سازی، مه های کاربردی و سرویس ها ) است که این منابع به سرعت فراهم و استفاده می شوند و با کمترین تلاش و هزینه آزاد می شوند. فراهم اورندگان محاسبات ابری به دو صورت عمل می کنند انها قادرند نرم افزارهای کاربردی خود را توسط ماشین مجازی شان عرضه کنند، یا دسترسی به ماشین های مجازی خودشان را به عنوان یک سرویس در اختیار دیگر کمپانی ها قرار دهند. استفاده از ماشین های مجازی چالش نیاز به منابع فیزیکی را به طور قابل ملاحظه ای کم می کند. ارائه سرویس به مصرف کنندگان از طریق رایانش ابری زمان پاسخ گویی را کاهش می دهد و بنابراین با توزیع حجم کاری درخواست ها روی ابرها در نقاط مختلف به طور همزمان در مصرف زمان صرفه جویی می کند.
از ویژگی های اساسی محاسبات ابری می توان به موارد زیر اشاره کرد: سلف سرویس بودن درخواست ها ، دسترسی فراگیر به شبکه ،عدم وابستگی به مکان منابع، انعطاف پذیری سریع ، سرویس های اندازه گیری شده، تحمل پذیری خطا، مجازی سازی، استقلال از وسیله، تداوم و قابلیت اطمینان
۱-۲- مدل های پیاده سازی رایانش ابری
ابر عمومی در ابر عمومی منابع محاسباتی به صورت پویا از طریق اینترنت و برنامه ها یا سرویسهای تحت وب تهیه میشوند. ابرهای عمومی توسط شرکت های ارائه دهنده خدمات ابر اجرا می شوند و برنامه های کاربران مختلف، روی سرورهای ابر، سیستمهای ذخیرهسازی و شبکهها با هم ترکیب می شوند. ابر خصوصی ابر خصوصی به رایانش ابری در شبکههای خصوصی اشاره می کند. ابرهای خصوصی برای استفاده انحصاری مشتریان مشخصی، کنترل کامل بر روی دادهها، امنیت و کیفیت خدمات به وجود می آیند. ابرهای خصوصی میتوانند توسط خود سازمان، شرکت ها یا توسط فراهم آورنده ابر ایجاد و مدیریت شوند. در واقع ابر خصوصی، تنها از پشت فایروالها قابل دسترسی است. هر سازمانی که بخواهد زیرساختهای خود را روی ابر منتقل کند باید بتواند یک محیط امن جهت ارتباط با دادهها ایجاد کند به طوری که اطلاعات سازمان تنها در دسترسی افراد مطمئن و کارمندان مشخصی قرار بگیرد. ابر خصوصی با در نظر داشتن این نیاز، چنین فضایی را در اختیار سازمانها قرار می دهد. در این حالت سازمان ها به جای صرف هزینه زیاد جهت خریداری، نصب و نگهداری تجهیزات مرتبط با فعالیتهای رایانشی خود، از خدمات ابر خصوصی بهره میگیرند و در حقیقت تنها به اندازه توان رایانشی مورد نیاز خود هزینه می کنند.
ابر ترکیبی محیط ابر ترکیبی، مدلهای ابرهای عمومی و خصوصی را ترکیب می کند . ابرهای ترکیبی، در توزیع برنامههای کاربردی روی ابرهای عمومی و خصوصی پیچیدگیهایی دارند. به بیان دیگر، زیرساخت ترکیبی از چندین ابر (عمومی، خصوصی یا گروهی) تشکیل میشود که ممکن است هر یک از این ابرها توسط یک ارائه کننده ایجاد شود و همه این ابرها در کنار هم یک ابر ترکیبی را ایجاد کنند... در شکل (۱) انواع ابر نشان داده شده است.
۲- ۲- معماری رایانش ابری
زیر ساخت به عنوان سرویس، پلتفرم به عنوان سرویس، نرم افزار به عنوان سرویس سه مدل اصلی و مهم محاسبات ابری هستند. هر یک از این مدل ها، اثر متفاوتی به نرم افزار دارا هستند. که در زیر به معرفی این سه مدل می پردازیم: - نرم افزار به عنوان سرویس (SaaS) : این سرویس بنا به درخواست کاربر، به صورتی ارائه می شود که پردازشی منفرد از یک نرم افزار در محیط ابر اجرا می شود و میتواند همزمان به چندین کاربر نهایی سرویس دهی کند. به کمک این سرویس دیگر نیازی به نصب نرم افزار روی رایانه ی مشتری نیست و باعث تسهیل در پشتیبانی می شود؛ زیرا نرمافزار تنها روی یک سرویس دهندهی مرکزی نصب شده و توسط آن اداره می شود. جهت بروزرسانی نرمافزار نیز، تنها نرمافزار سرویس دهنده نیاز به ارتقا دارد. بزرگترین مزیت این سرویس، دسترسی دائمی کاربر به نرمافزار در هر نقطه، به وسیله ی بستر اینترنت UCRM Sales force Online Photoshop Google Docs - میتوان مثال های خوبی از این شیوه دانست.
پلت فرم به عنوان سرویس (PaaS) به کمک این سرویس مشتری بن امکان را دارد که نرمافزار خریداری شده یا ساخته شده توسط خود را، روی بستر ابری قرار دهد و آن را کنترل و تست کرده یا تغییر دهد. همچنین شرکتهای ارائه دهندهی این سرویس، کیت توسعهی نرم افزار را جهت ایجاد بستر مناسب برای برنامه نویسی در اختیار مشتری قرار می دهند. در این حالت تنها محدودیت مشتری عدم نظارت بر زیرساخت زیرین، شبکه یا سرویش دهنده هاست. به وسیلهی این سرویس دیگر نیازی به خریداری سرویس دهندهی اختصاصی و گران قیمت نیست. شرکت گوگل با سرویس App Engine|نمونهای از بن مایکروسافت نیز اخیراً AZure Platformرا به عنوان بستری برای رایانش ابری معرفی کرده است.
این خدمات را عرضه می کند.
زیرساخت به عنوان سرویس ( laaS): این سرویس با فراهم کردن توان پردازشی، شبکهها، فضای ذخیره سازی و منابع پایهای رایانشی، نیاز مشتری را به خرید سختافزار و تجهیزات مختلف شبکه از صورت کاربر قادر است سیستمعامل یا نرم افزارهای میبرد موردنظر خود را در زیرساخت ابر قرار داده، پردازش کرده یا از آنها استفاده کند. باید یادآور شد که در این سرویس کاربر کنترل بیشتری نسبت به زیرساخت دارد. یکی از معروفترین انواع این سرویس، ش ابری EC2شرکت آمازون است.
خدمات ، در یک دیدگاه ساده شده ای از معماری محاسبات ابری که در شکل (۲) نشان داده شده است در ابتدا کاربر درخواست سرویس خود را به سمت ابر می فرستد، مدیریت سیستم منابع صحیح و مناسب را می یابد. پس از آن تامین کننده سیستم منابع مورد نیاز را یافته و درخواست کاربر اجرا شده است. در پایان سرویس های درخواستی به کاربر داده می شود.
۳- چالش های محاسبات ابری
امنیت و حریم شخصی دو نگرانی عمده محاسبات ابری به شمار می آید. در دنیای محاسبات ابری، محیط مجازی اجازه می دهد تا دسترسی کاربر به قدرت محاسباتی بیش از دسترسی موجود وی در دنیای فیزیکی باشد. برای ورود به این محیط مجازی کاربر موظف است که نسبت به انتقال داده ها درسراسر ابر اقدام نماید. در ادامه چند شده است: {۶}
امنیتی
۱-۳- امنیت اطلاعات.
امنیت اطلاعات به حفاظت از محرمانه بودن آن مربوط می شود. ممکن است یکپارچگی ودر دسترس بودن داده ها بدون درنظرگرفتن فرم داده ها از بین برود. ازدست دادن کنترل بر داده ها : برون سپاری به معنای ازدست دادن کنترل قابل توجهی برروی داده ها می باشد. بانکهای بزرگ نمی خواهند که برنامه های خود را در ابر ارائه دهند چون خطر ابتلا به خطر انداختن داده های خود از طریق تعامل با برخی از برنامه های یگر وجود دارد. مگر در مواردی که مشتری به خود اجازه دسترسی ناشناسی داده ها را بدهد. یکپارچگی داده ها : یکپارچگی داده ها تضمین است که ت: داده ها تنها در پاسخ به معاملات مجاز باشد. به عنوان مثال اگر مشتری مسئول ساخت و اعتبار پرس وجوها می باشد و سرور آنها را اجرا می کند، در حالی که یک ناشناسی همیشه می تواند کدهای سمت کاربر را تغییر دهد و معمولا این بدان معناست که مزاحم قادر به خواندن، تغییر و یا حذف اطلاعات در داده ها می باشد. این موضوع باعث برهم زدن یکپارچگی داده ها می شود خطر تشنج : دریک ابر عمومی، قادر خواهید بود تا منابع محاسباتی خود را با شرکتهای دیگر به اشتراک بگذارید. بسادگی هنگامی که داده ها در ابر به اشتراک می گذاشته می شود، ممکن است داده درمعرض خطر تشنج قرارداده می شود. تنها محافظلت در برابر خطالر تشنج رمزگذاری داده های کاربر می باشد. مسائل ناسازگاری : خدمات ذخیره سازی ارائه شده توسط یک فراهم آورنده ابرممکن است با یکی دیگر از فراهم آورندگان ناسازگار باشد. حال ممکن است تصمیم به حرکت از یکی به دیگری را داشته باشید در این میان انتقال از یکی به دیگری مشکل خواهد بود. به عنوان مثال ه سازی امازون (S3) با سرویس ابر آبی IBM یا Google یا Dell ناسازگار می باشد. ویژگیهای ثابت اضافه شده : ویژگی های ثابت برنامه های کاربردی تحت ابر با پیشرفت نرم افزارها باید توسط کاربران به روز شود و به این صورت از آنها محافظت شود. چرخه عمر نرم افزار و امنیت دو عاملی هستند که بر سرعت نرم افزار در ابر تاثیر گذار می باشند
امنیت فراهم آورنده : انتظار می رود که مشتری باید به امنیت ارائه دهنده اعتمادکند. برای کسب و کارهای بزرگ امنیت فراهم آورنده بسیار امر حیاتی می باشد که باید به درستی انجام گیرد.
۳ - ۲-امنیت شبکه اقدامات امنیتی
شبکه برای حفاظت از اطلاعات درطول انتقال آنها، بین کاربران ترمینال ها و کامپیوترها نیاز است. حمله محرومیت از سرویس (DDOS):در این نوع از حمله به سرورها و شبکه حمله بزرگی می شود. این حمله با ایجاد ترافیک دسترسی کاربران به خدمات اینترنتی را مختل می کند. در بدترین حالت مهاجمان با ایجاد بات نت به حمله اقدام می کنند. حمله متوسط :این حمله یک فرم فعال استراق سمع است که در آن مهاجم ارتباط میان قربانیان و پیام های بین آنها را شنود می کند. این در حالی است که قربانیان فکر می کنند که یک از تباط امن و بی خطر را میان خود برقرار کرده اند. همه ارتباطات در وب سرویس آمازون با SSL که امازون فراهم کرده است کنترل می شود. کاربران برای ارتباط با سرویس دهنده باید ابتدا تشخیص هویت شوند. حقه بازی IP : ساخت بسته های TCP/IP توسط دیگران حقه بازی IP نام دارد. مزاحم دسترسی غیرمجاز با یک آدرس IP پیامی را به کامپیوتر دیگری که قصد حمله به آن را دارد می فرستد و کامپیوتر دیگر فکر می کند که یک کاربر با دسترسی مجاز با او ارتباط برقرار کرده است. سرویس EC2 آمازون نمی تواند ترافیک شبکه جعلی را ارسال کند. کنترل کننده امازون با استفاده از زیرساخت دیوار آتش رسال ترافیک با یک IP مبدا یا آدرس MAC را نمی دهد.
خود اجا اسکن پورت فیک از هر منبعی به پورت خاص هدایت شود آن پورت نسبت به اسکن آسیب پذیر خواهد بود. از آنجا که پورت محلی است که دران اطلاعات مربوط به داخلی و خارج از کامپیوتر راه می یابد. پورت اسکن درهای باز به یک کامپیوتر را شناسایی می کند به دلیل اینکه پورت های سرور به همچون درهای بازی برای کاربران می باشد، هیچ راهی برای جلوگیری از پورت اسکن در اینترنت وجود ندارد. سیستم EC2آمازون هنگامی که پورت اسکن تشخیص داده شود آن رامسدود می کند. به طورکلی اسکن از EC2 آمازون بی اثر است، زیرا به طور پیش فرضی، همه پورت های ورودی در EC2 آمازون بسته هستند و تنها توسط مشتری باز می شوند. شنود بسته : شنود بسته نرم افزاری جهت شنود می باشد. هنگامی که نرم افزار بسته ای که با معیارهایش متناسب است را می بیند اطلاعات آن را در یک فایل ثبت می کند. شایع ترین معیارهایی که برای یک بسته وجود دارد کلمه های "نام کاربری" و "کلمه عبور" خواهد بود. حملاتی از قبیل پنهان کاری ARP در EC2 آمازون قادر به فعالیت نخواهد بود. آمازون EC2 فراهم می کند محافظت کافی در برابر یک مشتری که سهوا یا بدتر برای دیدن اطلاعات دیگران ، تلاش می کند. به عنوان یک روش استاندارد مشتریان باید برای ترافیک کدگذاری حساس را داشته باشند.
۳-۳-مسائل امنیتی
مسائل امنیتی. در یک محیط مجازی پیچیده تر هستند چرا که شما در حال حاضر برای پیگیری امنیت در سطح امنیت میزبان فیزیکی و چنان چه امنیت ماشین مجازی می باشید. چنانچه امنیت سرور ف به خطر بیفتد، همه ماشین های مجازی روی سرور افتند. چنانچه امنیت یک ماشین مجازی به خطر بیفتد برروی همه ماشین های مجازی دیگر اثر سوء خواهد گذاشت.
جدایی نمونه ها : نمونه های اجرا شده متفاوت که برروی ماشین فیزیکی اجرا می شوند از هم جدا هستند. مجازی سازی در ابر به
ماشین های مجازی نیاز دارد که همگی روی ماشین فیزیکی قرار گرفته اند. اگرچه امنیت مرکز داده ها به طور سنتی هنوز هم در محیط ابری وجود دارد، تفکیک فیزیکی و سخت افزاری مبتنی برامن تواند محافظت در برابر حملات نمی ن ماشین های مجازی بر روی همان سرور را تامین کند. این افزایش خطر به سرویس مانیتورینگ و محدودیت کنترل دسترسی نیاز دارد. نمونه های مختلف