خطرناک ترین تهدید های امنیتی در CLOUD COMPUTING

در یک بازه زمانی کوتاه، رایانش ابری یا همان Cloud Computing روش های تجارت و دولت مداری را تغییر داد و همزمان مشکلات امنیتی جدیدی را به وجود آورد. گسترش مدل ابری باعث شد که تجارت های مبتنی بر تکنولوژی، بیش از پیش تاثیرپذیر شوند. حرکت از سمت سرورها به سمت تفکر خدماتی، اهداف، طراحی و روش های پیاده سازی برنامه ها در دپارتمان های فناوری را تغییر داد. با این حال این پیشرفت ها مشکلات امنیتی جدیدی را به وجود آورده اند. 



مهمترین مشکل امنیتی در Cloud Computing تمایل آن به گذر از دپارتمان های فناوری است. اگرچه گذار به Cloud Computing سریع و امکان پذیر است، پایه های امنیتی تجارت (مانند سیاست های امنیتی، فرایندها و فعالیت های مهم) را به خطر می اندازد. اگر این استانداردها را در تجارت نداشته باشیم، تجارتمان در برابر رخنه های امنیتی امنیتی آسیب پذیر می شوند. حتی این رخنه های امنیتی می توانند همه منافعی که از حرکت به سمت SaaS به دست آورده ایم را از بین ببرد. (برای اطلاعات بیشتر در خصوص Cloud Computing و SaaS به مقاله مهندس نوروزی در باره مفاهیم Cloud Computing مراجعه کنید). 

با وجود مشکلات فراوانی که برای تعیین استاداردهای امنیتی برای Cloud Computing وجود دارد، اتحادیه امنیت پردازش ابری (CSA) دستورالعمل هایی برای بهبود امنیت پردازش ابری ارایه کرده است که با گذشت اندکی زمان این دستورالعمل ها تبدیل به بهترین فعالیت ها برای امن کردن Cloud Computing شده است. این روزها بسیاری از تجارت ها، سازمان ها و دولت ها این راهنما را جزو منابع اصلی در استراتژی Cloud Computing خود قرار داده اند. 
با این که Cloud Computing در ایران هنوز چندان گسترش پیدا نکرده و تعداد انگشت شماری از شرکت ها (مانند ایرانسل) هستند که از این مدل استفاده می کنند، اما جا دارد که بررسی 9 تهدید امنیتی Cloud Computing در سال 2013 بپردازیم. 9 تهدیدی که در این مقاله بررسی می کنم مهم ترین تهدیدها هستند و همه کارشناسان درباره آن ها اتفاق نظر دارند. همچنین تلاش کردم که در توضیحاتم بر روی طبیعت به اشتراک گذاری و On-demand (یعنی در هنگام تقاضا در دسترس است) بودن رایانش ابری تمرکز کنم. این تهدید ها بر اساس اهمیت به شرح زیر هستند: 

اولین تهدید: سرقت اطلاعات


بدترین کابوس هر مدیر فناوری اطلاعات این است که اطلاعات داخلی و حساس شرکتش به دست رقیبانش بیافتد. البته گروه های اجرایی شرکت ها نسبت به این مسئله هوشیار هستند، اما با ورود Cloud Computing روش های جدیدی برای حمله به این اطلاعات سازمانی به وجود آمد. آبان ماه سال گذشته محققین دانشگاه کارولینای شمالی، دانشگاه ویسکانسین و شرکت RSA گزارشی را ارایه کردند که در آن توضیح داد که یک ماشین مجازی با استفاده از اطلاعاتی که از یک حمله side channel timing بر روی یک سرور به دست می آورد، می تواند کلیدهای خصوصی رمزنگاری، بر روی یک ماشین مجازی دیگر روی همان سرور را باز کند. البته در بسیاری از مواقع مهاجم عزیز نیاز به این همه زحمت ندارد. اگر پایگاه داده چندمستاجری (در این معماری SaaS یک نسخه از نرم افزار را بر روی پایگاه داده اجرا می کند و از طریق وب به تعداد زیادی از کاربران دسترسی می دهد) برای سرویس های cloud نساخته باشیم، نفوذ به یکی از برنامه های کلاینت ها میتواند به مهاجم اجازه دهد که علاوه بر اطلاعات همان کلاینت به اطلاعات کلاینت های دیگر دسترسی پیدا کند. با این راه حل اطلاعات هر کاربر ایزوله می شود و از چشم دیگر کاربران پنهان می ماند. 

نکات


یکی از مشکلات مهم این است که سرقت اطلاعات و از دست دادن اطلاعات هر دو از مهم ترین تهدید های Cloud Computing هستند و هرقدر که شما برای کاهش ریسک هر کدام از این دو تهدید تلاش کنید، ریسک تهدید دیگر را افزایش می دهید. ممکن است که بتوانید برای جلوگیری از سرقت، اطلاعاتتان را رمزنگاری کنید، اما اگر کلید رمزنگاری تان را از دست دهید، اطلاعاتتان را هم از دست داده اید. همچنین ممکن است که برای جلوگیری از حذف های ناگهانی، از اطلاعاتتان بک آپ های آفلاینی را تهیه کنید، اما همین کار احتمال سرقت اطلاعات را افزایش می دهد. 
  

دومین تهدید: از دست دادن اطلاعات


حتی فکر از دست دادن اطلاعات هم برای مشتری و هم برای تجارت ها نا خوشایند است. برای مثال تابستان پارسال، هکرها به اکانت های اپل، توییتر و Gmail نویسنده مجله wired حمله کردند. سپس آن ها به کمک دسترسی به این اطلاعات، تمام اطلاعات شخصی او (برای مثال تمام عکس های دختر 18 ماهه او را) را پاک کردند. 

مطمئنا اطلاعاتی که در فضاهای ابری نگهداری می شوند به دلایل دیگری (غیر از هک شدن) هم می توانند پاک شوند. تا زمانی که کمپانی ارایه دهنده cloud از اطلاعات بک آپ نگیرد، دلایل زیادی می تواند به حذف دایمی اطلاعات منجر شود (مانندپاک کردن تصادفی اطلاعات توسط کمپانی ارایه دهنده cloud و یا از آن بدتر، حوادثی مانند آتش سوزی و یا زمین لرزه). این نکته را هم از پویا فضلعلی به خاطر داشته باشید که مسئولیت حفاظت از اطلاعات تنها بر روی شانه های ارایه دهنده cloud نیست. اگر یک مشتری اطلاعاتش را قبل از آپلود بر روی cloud رمزگذاری کند و سپس کلید رمزنگاری را گم کند، اطلاعاتش را هم از دست می دهد. 

نکات


حفاظت اطلاعات آن قدر مهم است که اتحادیه اروپا قوانین جدیدی را برای حفاظت از اطلاعات وضع کرد و در آن ذکر کرد که تخریب اطلاعات و تخریب اطلاعات شخصی نوعی از سرقت اطلاعات محسوب می شود و باید در خصوص این قانون به مردم اطلاع رسانی کرد. 

علاوه بر این به شرکت ها پیشنهاد می کنم که از اطلاعات ممیزی و دیگر اسنادشان حفاظت کنند. اگر شرکتی این اطلاعات را بر روی محیط cloud ذخیره کند، از دست دادن این اطلاعات ممکن است وجود آن شرکت را به خطر اندازد. 

سومین تهدید: دزدی اکانت و یا ترافیک سرویس


دزدی اکانت یا سرویس مسئله جدیدی نیست. روش های هکینگ مانند فیشینگ، fraud و استفاده از نقاط ضعف نرم افزارها همچنان کارساز است. معمولا رمزهای عبور و اطلاعات هویتی چندین بار در جاهای مختلف استفاده می شوند که باعث می شود این نوع روش های هک بیشتر شود. حالا با این وجود راه حل های cloud تهدید جدیدی را به این حوزه اضافه کرده است. اگر یک هکر به اطلاعات هویتی شما دسترسی پیدا کند، می تواند فعالیت هایتان را بدون اطلاعتان زیر نظر بگیرد، اطلاعاتتان را دستکاری کند، اطلاعات اشتباه به اطلاعاتتان اضافه کند و کاربرانتان را به سایت های نادرست راهنمایی کند. اکانت و سرویستان تبدیل به منبع جدیدی برای هکر می شود. سپس آن ها می توانند با استفاده از شهرت شرکت شما، حمله های بعدیشان را انجام دهند. 

در فروردین ماه سال 89 یک حمله از نوع Cross-Site Scripting یا XSS به سایت آمازون صورت گرفت. منشا این حمله یک باگ در سیستم بود که باعث شد که هکرها بتوانند اطلاعات هویتی را از سایت به سرقت ببرند. در سال 88 هکرها تعداد زیادی ازسیستم های آمازون را هک کردند و با استفاده از آن ها تروجان Zeus را اجرا کردند. 

نکات


دزدی اکانت و سرویس ها (که معمولا با سرقت اطلاعات هویتی همراه است) همچنان یکی از مهمترین تهدیدها محسوب می شود. با استفاده از اطلاعات هویتی، هکرها می توانند به مناطق بحرانی سرویس های cloud دسترسی پیدا کنند، که به آن ها کمک می کند تا یه اطلاعات محرمانه دسترسی پیدا کنند و آن سرویس ها را به تخریب بکشانند. سازمان ها باید این تکنیک ها را به همراه راه های مقابله با آن ها بدانند تا بتوانند از صدمات (و دعوی قضایی) ناشی از سرقت جلوگیری کنند. سازمان ها باید از به اشتراک گذاری اطلاعات هویتی بین کاربران و سرویس ها جلوگیری کنند و هر وقت که امکان داشت، از روش های احراز هویت دو مرحله ای استفاده کنند (مانند دستگاه های خودپرداز که برای سرویس دادن به کاربران دو چیز لازم دارند: کارت بانک و رمز عبور آن). 

چهارمین تهدید: رابط های کاربری یا APIهای ناامن


ارایه دهندگان cloud computing، تعدادی رابط کاربری یا API در اختیار کاربرانشان قرار می دهند که کاربران به کمک آن ها سرویس های cloud را مدیریت می کنند و با آن ها کارهایشان را انجام می دهند. تامین اطلاعات، مدیریت، هماهنگی و نظارت بر روی اطلاعات از طریق این رابط های کاربری انجام می شود. امنیت و در دسترس بودن سرویس های cloud عمومی در گرو امنیت این رابط های کاربری است. از احراز هویت و کنترل دسترسی ها گرفته تا رمزنگاری و نظارت بر فعالیت ها، این رابط های کاربری باید در برابر تلاش های تصادفی و یا بدخواهانه برای دور زدن رابط کاربری آماده باشد. 

نکات


پویا فضلعلی به شما به عنوان یک سازمان پیشنهاد می کند که همزمان که از امنیت سرویسی که ارایه می دهید، اطمینان حاصل پیدا می کنید، به کاربران این سرویس ها هم راجع به نکیت امنیتی هنگام تامین اطلاعات، مدیریت، هماهنگی و نظارت بر روی سرویس های cloud اطلاع دهید. اگر سازمانی ربط کاربری ضعیفی داشته باشد، با مشکلات امنیتی بسیاری از جمله نبود محرمانگی، در دسترس نبودن و عدم پاسخگویی سرویس مواجه می شوند. 

در قسمت دوم به معرفی و بررسی پنج تهدید بعدی می پردازیم. امیدوارم در پایان این سری مقالات بتوانم یک راهنما را در اختیار کاربران و گسترش دهندگان Cloud گذاشته باشم و به آن ها در مدیریت ریسک های Cloud کمکی کرده باشم و آن ها بتوانند تصمیم های آگاهانه بگیرند. 

پنجمین تهدید: حملات DENIAL OF SERVICE


به بیان ساده، حملات Denial of Service یا عدم پاسخگویی سرویس به حملاتی گفته می شود که در آن کاربران سرویس cloud نمی توانند به اطلاعات و یا برنامه هایشان دسترسی پیدا کنند. در این حمله سرویس قربانی دچار کمبود منابع سیستمی (مانند قدرت پردازشی، حافظه، پهنای باند) می شود. مهاجم (یا مهاجمین در حملات Distributed Denial of Service یا DDoS) سرعت سیستم را تا جایی که امکان دارد پایین می آورند و کاربران سرویس را به دلیل عدم پاسخگویی سرویس ناراحت می کنند. 

نکات

  • وقتی که دچار حمله DoS می شوید، شبیه این است که در ترافیک سنگین گرفتار شده اید، راهی برای رسیدن به مقصدتان ندارید و فقط باید بنشینید و صبر کنید. به عنوان یک مصرف کننده پاسخگو نبودن سیستم شما را به این فکر می اندازد که اصلا انتقال اطلاعاتم به این سرویس cloud ارزش دارد. زمانی که صحبت اطلاعات حساس می شود، این نوع تفکرات عمیق تر و بیشتر می شوند. در شرایط بدتر اگر هزینه های سرویس برای ارایه دهندگان این سرویس زیاد باشد و دچار حمله DoS شوند، ممکن است که مهاجم نتواند سرویستان را کاملا از کار بیاندازد، اما هنوز می تواند زمان پردازش ها را تا جایی افزایش دهد که هزینه های آن ها برای شما خیلی سنگین باشد و در نهایت خودتان مجبور شوید که سرویس را قطع کنید. 

 

ششمین تهدید: همکار خیانتکار


این روزها همکاران خیانتکار یکی از جنجالی ترین بحث های دنیای امنیت هستند. همکار خیانت کار در یک سازمان کسی است که در حال حاضر یا در گذشته کارمند، پیمان کار، یا شریک تجاری سازمان بوده که اجازه دسترسی به شبکه، سیستم یا اطلاعات داشته یا دارد و از روی عمد از این دسترسی سوء استفاده کرده است، به طوری که بر روی اطلاعات محرمانه، صحت اطلاعات و یا بر وجود اطلاعات سازمان یا اطلاعات سیستم تاثیر گذاشته است. 

نکات

  • همکار خائن، به طور مثال یک مدیر سیستم، در یک سناریوی اشتباه cloud، می تواند به اطلاعات بسیار حساس دسترسی داشته باشد.از سطح IaaS به PaaS و SaaS، دسترسی یک همکار خیانتکار به سیستم های مهم تر و اطلاعات حساس تر بیشتر می شود. این جاست که می بینیم که سیستم هایی که تنها به ارایه دهنده سرویس cloud (یا CSP) وابسته هستند، دچار ریسک امنیتی بالایی هستند. حتی اگر هم از رمزگذاری استفاده کنیم، اگر کلیدها بر روی سیستم کاربر دخیره نشوند و فقط زمان استفاده از اطلاعات قابل استفاده باشند، سیستم همچنان در مقابل تهدیدهای همکاران خائن آسیب پذیر است. 

 

تهدید هفتم: سوء استفاده از سرویس CLOUD


یکی از بهترین مزایای Cloud Computing این است که با استفاده از آن سازمان های کوچک می توانند از مقادیر زیادی از پردازش و حافظه استفاده کنند. برای بسیاری از سازمان ها تهیه هزاران سرور مشکل است، اما اجاره همین هزاران سرور امکان پذیر است (از این قضیه بگذریم که در ایران هر سازمانی که بودجه اش برسد برای خودش سرورهای مجزا راه اندازی می کند، بدون رعایت کردن استانداردهای یک سرور واقعی. این در حالی است که همین چند تا سرور نسبتا استانداردی هم که در بخش خصوصی برای اجاره داریم، مصرف کننده و طرفدار زیادی ندارند). ممکن است که برای هکر شکستن یک کلید رمزنگاری شده با سیستم ضعیفی که دارد چندین سال طول بکشد، اما همین هکر اگر به تعداد زیادی از سرورهای cloud دسترسی داشته باشد، با استفاده از قدرت پردازشی این سرویس ها می تواند همان کلید را در عرض چند دقیقه کرک کند. سپس او می تواند با استفاده از سرورهای cloud یک حمله DDoS را پیاده کند و بدافزارها را گسترش دهد. 

نکات

  • این تهدید بیشتر مربوط به ارایه دهندگان سرویس cloud می شود نه مصرف کنندگان آن، با این حال ارایه دهندگان را هوشیار نگاه می دارد. سوء استفاده کننده از سرویس تان را چگونه شناسایی می کنید؟ چگونه می فهمید که از سرویس تان سوء استفاده شده است؟ چگونه از سوء استفاده های بعدی آن ها جلوگیری می کنید؟ 

 

هشتمین تهدید: کم بودن درجه دیجیتالی شدن


مزایایی که Cloud Computing دارد (مانند کاهش هزینه ها، بهبود امنیت و تاثیرات در عملکردها)، بسیاری از سازمان ها را به سمت خودش می کشاند. در این شرایط بسیاری از سازمان هایی که منابع کافی دارند به سمت تکنولوژی های cloud می روند، اما مشکل اینجاست که بسیاری از آن ها دید کاملی نسبت به این تکنولوژی ندارند.اگر راجع به ارایه دهندگان cloud، برنامه ها یا سرویس هایی که در cloud کار می کنند و کارهایی که باید در زمان اجرای cloud (برای مثال واکنش سریع در زمان بروز مشکل، رمزنگاری و کنترل امنیت) انجام شوند، دانش کافی نداشته باشیم، سازمان ما دچار ریسک های شدیدی می شود که حتی قابل اندازه گیری نیست و ممکن است از بسیاری از تهدیدهای رایج خطرناک تر باشد. 

نکات

  • سازمان هایی که می خواهند از سرویس های cloud استفاده کنند، با تعدادی مشکل مواجه می شوند. مشکلاتی در وظایف، پاسخ گویی و یا شفاف سازی بین انتظاراتی که ارایه دهنده cloud و مشتری از یکدیگر دارند. قرار دادن برنامه هایی که برای اجرا در شبکه "داخلی" طراحی شده اند، بر روی cloud باعث بروز مشکلات امنیتی مهمی می شود، چون کنترل این برنامه ها در شبکه داخلی امکا پذیر است و بر روی cloud این کنترل ها از بین می رود و یا به درستی کار نمی کنند. اگر طراحان و سازندگان بر تکنولوژی های cloud تسلط کامل نداشته باشند، مشکلات عملیاتی و معماری ناآشنا ایجاد می شود. 

 

نهمین تهدید: آسیب پذیری فناوری های به اشتراک گذاشته شده


ارایه دهندگان سرویس های cloud خدماتشان را در سطح مشخصی از زیرساخت، پلتفرم ها و برنامه ها ارایه می دهند. آسیب پذیری را د همه سطوح زیر ساخت می توانیم ببینیم. از هر مدلی که استفاده کنیم (IaaS، PaaS یا SaaS) ریسک و تهدید فناوری های به اشتراک گذاشته شده وجود دارد. برای مقابله با این تهدیدها باید استراتژی قوی در نظر بگیریم که شامل پردازش ها، حافظه، شبکه، امنیت برنامه و کاربران و کنترل عملیات ها باشد. این نکته را از پویا فضلعلی به یاد داشته باشید که کوچکترین نقطه ضعف یا تنظیمات اشتباه می تواند تمام cloud را به خطر بیاندازد.