بخشی از مقاله
معرفي مدلهاي امنيتي رايانش ابري و استراتژي هاي مقابله با خطرات امنيتي در صنعت رايانش ابري (CLOUD COMPUTING)
چکيده
امروزه سيستمهاي اطلاعاتي شاهد پديده اي بي نظير با نام رايانش ابري مي باشد .رايانش ابري تغييرات بسيار بزرگي براي سبک زندگي افراد و الگوهاي کاري ارائه مي دهد به طوري که استفاده از اين فناوري ، مزاياي بيش ماري به همراه دارد. اما با اين وجود ، امنيت رايانش ابري هميشه مورد توجه بسياري از مشتريان بالقوه ي ابري است که يک مانع بزرگ براي کاربردهاي گسترده ي آن ميباشد. به همين دليل ، هدف در اين مقاله کمک به مشتريان و استفاده کننده گان فناوري رايانش ابري براي در ک وضعيت امنيتي رايانش ابري و تلاش براي بهبود سطح امنيتي رايانش ابري بوده است .بر همين اساس ،پس از مقدمه اي بر مفهوم رايانش ابري و مفاهيم امنيتي مرتبط با رايانش ابري، مدل هاي امنيتي عمومي موجود رايانش ابري مثل مدل مالکيت موقت ١ چندگانه ، مدل انباشتگي٢ ريسک ، مدل مکعب رايانش ابري بررسي شده اند و خلاصه اي از ريسک هاي امنيتي اصلي رايانش ابري که از سازمانهاي مختلف استنتاج شده اند. در نهايت ، بعضي استراتژيهاي امنيتي از ديدگاه ساخت ، عمليات و پاسخ ضمني امنيتي براي کمک به موضوعات امنيتي رايج رايانش ابري شرح داده شده است .
واژه هاي کليدي: رايانش ابري، مدل امنيتي، تحليل ريسک ، استراتژي امنيتي.
١ – مقدمه
رايانش ابري يک پارادايم رايانشي جديد است که از سال ٢٠٠٦ ظهور پيدا کرده است ، منشأ آن تکامل رايانش برابر (موازي)، رايانش توزيع شده ، رايانش کاربردي و رايانش شبکه اي، و پيامد توسعه اي انبارش و ذخيره سازي شبکه اي، مجازي سازي و تعادل بار ميباشد.[١] ايده ي اصلي رايانش ابري اين است که يک اشتراک منبع رايانش مجازي توسط متمرکزکردن منابع رايانش مرتبط با شبکه بسازد و خدمات زيرساختي، طرح زيربنايي (پلت فرم ) و نرم افزار را ارائه ده د. اين شبکه که منابع رايانش مختلفي را ارائه مي دهد "ابري " ناميده ميشود.[٢] يک پارادايم ابررايانشي مبتني بر اينترنت است ، رايانش ابري به مشتريان اجازه مي دهد که بصورت پويا انبوهي از سخت افزار، نرم افزار و منابع داده را به اشتراک بگذارند، و مطابق کاربرد واقعي آنها تعهد دارند٣. بنابراين ، قدرت رايانش ميتواند به آساني به عنوان يک کالا توسط شبکه در يک قيمت پايين ، شبيه آب ، گاز و برق فروخته شود و خريداري شود. رايانش ابري يک دارايي نوآور شبيه به تغيير قدرت الکتريکي از يک مولد خاص به يک ماشين قدرت الکتريکي مرکزي است .
مفهوم رايانش ابري چندين سال است که معرفي شده است ، هرچند، تفاسير مختلفي در مورد اين موضوع وجود دارد که رايانش ابري چيست .؟! اما، تعريف NIST (موسسه استاندارد امريکا)،در مورد رايانش ابري يک از معتبرترين تعاريفي است که مورد قبول بسياري از محققان است . تعريف رايانش ابري NIST شامل موارد زير است پنج ويژگي ضروري، سه مدل خدمات و چهار مدل توسعه اي همانطور که در شکل ١ نشان داده شده است .[٣] در اينجا، پنج ويژگي ضروري شامل اشتراک منبع رايانش مجازي، دستيابي به شبکه ي گسترده ، قابليت انعطاف سريع ، خودخدمتي برحسب تقاضا٤، خدمت اندازه گيري شده ؛ سه مدل آن :خدمات زيرساختي به عنوان يک خدمت (IaaS) ،پلت فرم به عنوان يک خدمت (PaaS) و خدمات نرم افزاري به عنوان يک خدمت (SaaS)؛و چهار مدل توسعه اي آن : ابر خصوصي ٥ ، ابر گروهي ، ابر عمومي و ابرترکيبي مي باشد.
شکل ١. مدل تعريف NIST رايانش ابري
٢-روش و ادبيات تحقيق :
اين پژوهش با بررسي منابع نوظهور در فناوري رايانش و مرور آنها آغاز گرديده است .سوال تحقيق بدين صورت است که چگونه مي توان در کنار بهره مندي از مزاياي فناوري رايانش ابري،با خطرات و ريسکهايي که محيط ابري را مورد تهديد قرار مي دهد مقابله نمود؟ لذا در ابتداي اين بخش به شناخت مفاهيم امنيتي مرتبط با رايانش ابري پرداخته شده است و سپس مدلهايي از ايجاد امنيت رايانش ابري آورده شده است .
٢-١ مفاهيم امنيت اطلاعات در فناوري رايانش ابري :
الف -اعتماد:
ميگوييم موجوديت Aاعتماد موجوديت B را ملاحظه کرده است وقتي که موجوديت A اعتماد دارد که موجوديت Bدقيقا به عنوان يک مورد طبق انتظار و توقع ان رفتار خواهد کرد [٤].
به دنبال ان يک موجوديت مي تواند معتمد و امين مطرح شود اگر بخشهايا افراد درگير در تراکنش با ان موجوديت به قابليت اعتماد ان تکيه کنند. تصور و ادراک اعتماد در يک سازمان مي تواند به عنوان اطمينان مشتري در اين باره که سازمان صلاحيت و قابليت تهيه ي دقيق و لغزش ناپذير خدمات مورد نياز را دارد، توضيح داده شود. هم چنين مي توان گفت که تصور امنيت به موقعيتهايي بر مي گردد که تمامي ريسکهاي ممکن حذف مي شوند يا به يک حداقل ممکن مي رسند.[٥]
در نمونه هاي ابرعمومي "کنترل " به سازمان داراي زير ساخت محول شده است .هنگام ارايش در يک ابر عمومي کنترل به صاحب زير ساخت واگذار شده است تا يک سياست امنيتي مناسب را اجرا کندو فعاليتهاي امنيتي لازم را که به منظور اط مينان از کاهش ريسک انجام ميشودرا ضمانت و اجرا مي نمايد.
البته اين کاهش تعداد ريسکها و تهديدات مانند امنيت و اعتماد به فرايندها و محاسبات ،به صاحبان ابر بستگي دارد .همچنين تمايز ميان مدل هاي ارايش ابري اعم ازاينکه ما با يک ابر خصوصي سر و کار داريم يا در يک محيط ابر خصوصي قرار گرفته ايم ،در بررسي مفهوم امنيت ضروري مي باشد. اعتماد مشتريان مرتبط با TTPمي باشد.منظور از TTPدرون يک سيستم اطلاعاتي،تهيه ي خدمات به هم پيوسته ي امنيتي است که مقياس پذير باشند و بر پايه ي استاندارد ها و حوزه هاي مختلف امنيتي معتمد منا طق جغرافيايي و بخش هاي مخصوص مي باشد و يک تسهيل کننده امنيتي ايده آل در يک محيط توزيع نشده ي ابر ،جايي که موجوديت ها به مرزهاي اجرايي جدا از هم مربوط مي شوند،مي باشد.[٤]
هدف و منظور TTP(خدمات بخش سوم اعتماد درون ابر ) درون يک سيستم اطلاعات ،ارايه ي خدمات امنيتي پيوسته است که مي تواند مقياس پذير باشد.
بخش سوم معتمد (TTP)مي تواند به طور خاص بر فقدان مرز امنيتي سنتي توسط ايجاد محدوديتهاي امنيتي معتمد توجه کند[٦]
ب -تعريف امنيت :
ضرورتا تامين امنيت يک سيستم اطلاعاتي (IS) شامل تشخيص چالشها و تهديدات ويژه مي باشد ک ه نياز به توجه توسط به کارگيري اقدامات متقابل و مناسب دارد .رايانش ابري بسته به طراحي معماري و کاراکترها تعدادي از منافع امنيتي را ايجاد مي کند که شامل تمرکز امنيت ،بخش بندي فرايند و داده ،افزونگي و در دسترس بودن بالا مي باشد .البته محيط رايانش ابري نيازم ند تخمين ريسک در نواحي اي مانند نيازهاي اعتبار و در دسترس بودن ،يکپارچگي داده ،جبران و بازيافت داده ،مميزي داده و محرمانگي مي باشد.[٧] امنيت به طور کلي مربوط به مفهوم مهم قابليت اعتماد ،يکپارچگي ودر دسترس بودن است .
ج -قابليت اطمينان و محرمانگي :
مفهوم قابليت اطمينان ،فقط به بخشهاي مجاز و سيستمهايي که توانايي دسترسي به داده هاي حمايت شده دارند مربوط ميشوند.بسته به تعداد زياد شدن بخش ، تهديد به خطر افتادن داده در ابر زياد مي شود، زيرا تعداد نقاط دسترسي زياد مي شوند.
در ابر مفاهيم مختلف سيستمهاي اطلاعاتي تسهيم و به اشتراک گذاشته مي شود که که در برگيرنده ي حافظه ،برنامه ها و شبکه ها وداده ها مي باشند
رايانش ابري بر پايه ي يک مدل کسب و کاراست که منابع در سطح شبکه تسهيم مي شوند و کاربران چند گانه و مختلف از منابع يکسان استفاده مي کنند ، به همين دليل ما را متوجه ي شناخ ت تهديدات و قابليت اطمينان و محرمانگي به وجود مي سازد. بايد دسترسي ها کنترل شوند و در اين زمينه قوانين کافي در محيط هاي ابري استفاده گردد وبدين وسيله از سو استفاده از منابع ابري جلوگيري شود.
بنابراين تهيه کننده ي ابر مسئول تهيه و ايجاد يک ابر ايمن است که محرمانگي کاربران را تضمين نمايد.
محرمانگي ارزو و خواسته ي هر شخص براي کنترل افشاي اطلاعات شخصي مي باشد .اما از سويي محيط ابري قوانين محرمانگي را نقض مي کند،مانند قوانين اروپايي که نيازمند اين است که سازمان بايستي بداند کجا داده هاي شخصي ذخيره شده اند؟ اما در فناوري رايانش ابري چنين قيد و بند هايي مشاهده نمي شود.
د-يکپارچگي :
جنبه ي اصلي امنيت اطلاعات يکپارچگي است .يکپارچگي يعني دارايي و سرمايه مي تواند فقط به وسيله ي بخش هاي مجاز يا راههاي مجاز مورد استفاده و تغيير قرار گيرد.
اين کار توسط ممانعت از دسترسي هاي غير مجاز صورت مي گيرد و اين گونه سازمانها ميتوانند به اعتماد بيشتري در يکپارچگي سيستم و داده ،دست يابند.از سويي اختيار مکانيزمي است که توسط آن يک سيستم ،سطح دسترسي کاربر معتبر را اندازه گيري مي کند.
در يک محيط ابر ،اختيار در اطمينان دادن به اينکه فقط موجو ديت هاي مختار مي توانند با داده ها ارتباط متقابل داشته باشد،بسيار مهم است . بر همين اساس تهيه کنندگان ابر مي بايست به يکپارچگي سخت افزار و شبکه توجه داشته باشند[٤]
ه -در دسترس بودن :
تعريف در دسترس بودن به خاصيت يک سيستم که دستيابي پذيري و قابل مصرف بر مبناي تقاضا توسط يک موجوديت مجاز مي باشد ،بر مي گردد.
در دسترس بودن سيستم در برگيرنده توانايي سيستم ها در ادامه دادن عمليات مي باشد ،حتي وقتي که بعضي بخشها درست کار نکنند ،سيستم بايد توانايي ادامه ي عمليات را حتي هنگام احتمال نقص امنيتي ،داشته باشد. در دسترس بودن بيشتر مربوط به داده و نرم افزار است ،در دسترس بودن سيستم شامل توانايي سيستم براي انجام عمليات ها حتي وقتي که بعضي رفتار ها درست حادث نمي شوند تعريف مي گردد .در رايانش ابري سيستم بايد توانايي ادامه ي عمليات را حتتي در زمان احتمال نقص امنيت داشته باشد.
٢-٢ مدل هاي امنيتي رايانش ابري
٢-٢-١مدل مالکيت موقت چندگانه ي ابريNIST :
مالکيت موقت چندگانه [٨] يک ويژگي کارکردي مهم رايانش ابري است که کاربردهاي مختلف ارائه دهندگان خدمات ابري در يک سرور فيزيکي جريان دارند تا خدمات ابري را به مشتريان ارائه دهند . اين بخش بندي و فرآيندهاي سرور فيزيکي متفاوت از تقاضاهاي مشتريان مجازي است . مجازي بودن توانايي خوب به اشتراک گذاري و جداسازي است ، و دقيقا يک تکنولوژي مرکزي رايانش ابري است . با بکارانداختن ماشين هاي مجازي مختلف در يک ماشين فيزيکي ، مجازي سازي توانايي به اشتراک گذاري من ابع رايانش مثل پردازشگر، کارت حافظه ، ذخيره سازي و I.O در ميان کاربردهاي مشتريان مختلف را دارد [٩]و بکارگيري منابع ابري را بهبود مي دهد. با دسته بندي کاربردهاي مشتريان مختلف درماشين هاي مجازي متفاوت ، مجازي سازي قادر به جداسازي نقص ، ويروس و تعدي ديگر ماشين هاي مجازي و سخت افزاراست ، و خطر کاربردهاي سوء را کاهش ميدهد. مشکلات تکنولوژي مدل مالکيت موقت چندگانه شامل : جداسازي داده ها، فرمت معماري، پيکربندي خود-تعريف و سفارش سازي عملکرد ميباشد. جداسازي داده ها به اين معني است که داده هاي تجاري مشتريان متعدد متق ابلاً مداخله نميکنند. فرمت معماري به اين معني است که مالکيت موقت چندگانه بايد يک چارچوب اساسي با انعطاف پذيري و مقياس پذيري بالا را به کار گيرند .
تعريف پيکربندي به اين معني است که رايانش ابري بايد تقاضاهاي مربوط به مشتريان مختلف را در مورد پيکربندي طرح هاي زيربنايي خدمات پشتيباني کند . سفارش سازي عملکرد به اين معني است که رايانش ابري بايد جوابگوي تقاضاهاي مشتريان مختلف در عملکرد ها و پلت فرم هاي مختلف و تحت حجم کاري مختلف باشد. اثر مدل مالکيت موقت چندگانه با توجه به مدل - هاي توسعه ي ابري مختلف ، متفاوت است .
SaaS (نرم افزار به عنوان خدمات ) را به عنوان يک نمونه درنظر بگيريد، SaaS با مشخصه ي کارکردي مالکيت موقت چندگانه دو ويژگي اساسي دارد . نخست ، کاهش و افزايش آن به نسبت مقياس آسان است تا اينکه براي مشتريان مختلف و نيازهاي مختلف خدمات تحت وب ارايه دهد . دوم اينکه ، منطق تجارت افزوده ،مي تواند ارائه شود که مشتريان را قادر مي سازد تا طرح زيربنايي خدمات آن را توسعه دهند و تقاضاهاي بنگاه هاي اقتصادي بزرگتر را برآورده ميکند. مدل مالکيت موقت چندگانه رايانش ابري توسط مجازي سازي بکارگرفته شده است که روشي را پيش نهاد مي دهد تا تقاضاي مشتريان مختلف در مورد امنيت ، بخش - بندي، جداسازي، نظارت ، SLA و صدورصورتحساب .برگشت شارژ و غيره را برآورده کند.
٢-٢-٢ مدل انباشتگي ريسک ابري CSA:
درک وابستگي طبقات مدل هاي خدمات ابري براي تحليل ريسک هاي امنيتي رايانش ابري بسيار مهم است . IaaS طبقه ي زيرين همه ي خدمات ابري است ، PaaS روي IaaS ساخته شده است و SaaS روي PaaS ساخته شده است ، بنابراين يک رابطه ي موروثي بين قابليت خدمات طبقات مختلف در رايانش ابري وجود دارد، همچنين ريسک هاي امنيتي رايانش ابري بين طبقات خدماتي مختلف وجود دارد. يکي از ويژگيهاي مهم معماري امنيتي ابر آن است که در لايه هاي سطح پايين تر ارايه دهنده و تامين کنندگان ابر مسئول تامين امنيت و قابليتهاي ايمني هستند نه مشتريان . در مدل SaaS ، ارائه دهندگان خدمات ابري مي بايست تا تقاضاها در مورد SLA(توافقنامه ي قانوني في ماب ين فراهم کننده ي خدمات ابري و مشتريان )، امنيت ، نظارت ، مطلوبيت ٦ و انتظارات وظيفه و غيره را برآورده کنند .SaaS حداقل توسعه پذيري مشتريان را ارائه ميدهد، اما بيشترين خدمات يکپارچه و بالاترين امنيت يکپارچه دربين سه طبقه ي خدمات را دارا مي باشد .در
SaaS اراه ئدهندگان خدمات ابري عهده دارمسئوليتهاي امنيتي بيشتر مي شوند و براي مشتريان تلاشهاي امنيتي کمي ضروري مي گردد در PaaS و IaaS، تقاضاهايي که ذکر شد به عهده ي مشتريان است ، و ارائه دهنده ي خدمات ابري تنها براي دردسترس بودن و امنيت خدمات اصلي(پايه اي) مثل اج زاي زيربنايي و طرح هاي زيربنايي اساسي مسئول است .
به طوري که IaaS تواناييها و دستورالعمل هاي امنيتي کمي را نياز دارد (غير از قابليت ها و عمليات امنيتي مخصوص به زير ساخت خودش ) . در IaaS ديده ميشود که مشتريان عهده دار امنيت سيستم هاي عملياتي، محتواها و کاربردهاي نرم افزار و غيره مي باشند.
٢-٢-٣ مدل مکعبي ابري جريکو فورمو:
مدل مکعبي ابري جريکو فورمو تشريح وضعيتي است از اطلاعات ويژگي هاي امنيتي که بر مدل هاي توسعه اي و خدمات رايانش ابري و موقعيت ، مديرو مالکيت منابع رايانش و غيره اشاره مي کند به طوري که در شکل ٢ نشان داده شده است .[١٠].
پارامترهاي زير گوياي اين مدل مي باشند:
شکل ٢ -مدل مکعبي ابري جريکو فورمو
الف -دروني.بيروني: يک پارامتر از مدل براي تعريف مکان فيزيکي ذخيره ي داده ها ،مي باشد. اگر مکان ذخيره ي داده ها درون مرز مالکيت داده ها باشد ارزش پارامتر مدل ،دروني است . برعکس آن ، ارزش پارامتر مدل ، بيروني است . براي مثال ، مرکز داده هاي ابر يک بنگاه اقتصادي خصوصي، دروني است ، و مرکز داده هاي SC٣ آمازون ، بيروني است .[١١] توجه داشته باشيد: يک ابر با ذخيره ي داده هاي دروني نسبت به ذخيره ي داده هاي بيرون ي ايمن تر است . ترکيب ذخيره ي داده هاي بيروني و دروني ممکن است مدل کاربردي ايمن تري را ارائه بدهد.
ب -اختصاصي.باز: يکي ديگر از پارامترهاي مدل است که مالکيت واسطه ها، خدمات و تکنولوژي ابري را تعريف مي کند. اين پارامتر مدل درجه ي همکاري را مثل قابليت انتقال داده ها و کاربرد بين سيستم اختصاصي و ابعاد٧ ابري ديگر و توانايي تغيير داده - ها از يک بعد ابري به بعد ابري ديگر بدون هيچ محدوديتي را نشان مي دهد. اختصاصي بودن به اين معني است که يک ارائه دهنده ي خدمات ابري مالکيت تأمين تسهيلات خدمات ابري را براي خود نگاه ميدارد، از اينرو عملکرد ابري اختصاصي است و مشتريان نميتوانند کاربرد آنها را بدون هيچ سرمايه گذاري يا تلاش زياد از يک ارائه دهنده ي خدمات ابري به ديگري انتقال