چگونه امنیت زیرساخت‌های ابری را تامین کنیم؟

حوزه‌های مهم و تاثیرگذار امنیت ابری

به‌طور معمول، در نظر گرفتن تمام کنترل‌های امنیت ابری در زمان استقرار فرآیندهای کاری روی بستر ابر برای هر سازمانی چالش‌برانگیز است. افزایش سطح امنیت در بالاترین حد ممکن با فرض بروز حمله‌های سایبری مشکلات خاص خود را دارد، زیرا عملکرد و سرعت دسترسی به خدمات را کاهش می‌دهد. در نقطه مقابل کاهش سطح امنیت در پایین‌ترین سطح یک زیرساخت غیر قابل اعتماد را به وجود می‌آورد. به همین خاطر مهم است سطح مناسبی از امنیت در تعامل با طرح‌های واکنش به رخدادها به کار گرفته شود. از سویی دیگر، تمرکز بیش از اندازه روی یک حوزه و نادیده گرفتن حوزه‌های دیگر باعث آسیب‌پذیر شدن فرایندهای تجاری می‌شود. بنابراین تمامی اقدامات باید توازن کاملی با یکدیگر داشته باشند. به همین خاطر باید در زمان تدوین یک استراتژی امنیت سایبری ابری با حداکثر میزان پوشش، حوزه‌های اصلی را شناسایی کنید. 

کاهش سطح حمله

تعیین سطح حمله و تلاش برای کم یا بی اثر کردن آن به حفظ امنیت ابر کمک می‌کند و از شدت حمله‌ به زیرساخت‌ها کم می‌کند. از مهم‌ترین کنترل‌هایی که برای دستیابی به این هدف در دسترس قرار دارند باید به تفکیک شبکه‌ها، مدیریت وصله‌ها، مدیریت آسیب‌پذیری‌های فنی و پویش مخازن ابری اشاره کرد. علاوه بر این، باید خط‌مشی‌های امنیتی در اولین مرحله از چرخه عمر برنامه‌های کاربردی بر مبنای قواعد DevSecOpS طراحی و پیاده‌سازی شوند. به بیان دقیق‌تر، باید زیرساخت مناسبی برای برنامه‌های کاربردی که قرار است در محیط ابر استقرار پیدا کنند تعریف کنید و نظارت و بهینه‌سازی مستمری بر حفظ عملکرد زیرساخت‌ها اعمال کنید. این فرایند گسترده‌تر از آن است که تیم امنیتی به تنهایی از عهده آن برآید، بنابراین مهندسان دواپس، طراحان شبکه و تیم نظارت که به محیط دسترسی دارند و از خدمات استفاده می‌کنند باید بخشی از وظایف را بر عهده بگیرند. با وجود تمام این تلاش‌ها ممکن است بازهم امکان دفع کامل حمله‌های سایبری وجود نداشته باشد. بنابراین رویکرد دقیق‌تر این است که تمرکز را روی تشخیص و واکنش به نفوذهای احتمالی قرار دهید تا تاثیرات مخرب حمله‌ها کم شود. 

تشخیص نفوذ و حمله

هرچه زمان تشخیص کوتاه‌تر باشد، میزان خسارت وارد شده به سازمان کم می‌شود. بنابراین یک راه‌حل کارآمد باید فاصله میان زمان حمله تا تشخیص را به حداقل برساند. مهم‌ترین اصلی که باید به آن دقت کنید این است که حمله‌هایی که در نگاه اول مخاطره‌آمیز نیستند، ممکن است زنگ هشداری برای حمله‌های دیگری باشند که احتمال شناسایی آن‌ها وجود ندارد یا ممکن است در روزهای آتی اتفاق بیافتند. به‌طور مثال، افزایش حجم ترافیک همراه با فرایندهای جدیدی که در زیرساخت رایانشی انجام شده خبر از تلاش‌های هکرها برای نفوذ به سامانه‌های شبکه از طریق یک ماشین مجازی یا مخازن آلوده می‌دهند. به منظور دستیابی به قابلیت تشخیص دقیق باید از خدماتی استفاده کنید که قابلیت کار در سطح شبکه و منابع محاسباتی را دارند. علاوه بر این به دلیل این‌که تهدیدات سایبری روند رو به رشدی دارند، باید پایگاه دانش تهدیدات سازمان با جدیدترین اطلاعات به‌روز شوند. 

واکنش مناسب به حمله‌ها 

هنگامی که قصد ایمن‌سازی زیرساخت‌های ابری را دارید باید فاصله زمانی میان تشخیص تا بازیابی کامل از طریق یک خط‌مشی‌ها مناسب جهت واکنش به رخدادها را به حداقل برسانید. علاوه بر این، باید فرق میان تهدیدات واقعی و هشدارهای کاذب را درک کنید و آن‌ها را از یکدیگر تفکیک کنید. برای انجام این‌کار باید تحقیقات و مطالعات کاملی درباره بردارهای حمله انجام دهید و گزارش‌هایی که توسط ابزارها تولید یا جمع‌آوری شده‌اند را به دقت مطالعه کنید. از قابلیت‌هایی مثل اسکریپت‌های خودکارسازی فعالیت‌ها و وب‌هوک‌هایی (Web Hooks) که قابلیت ادغام با هشدارها را دارند و امکان استفاده از آن‌ها به عنوان اولین خط دفاعی وجود دارد استفاده کنید. هرچه شناخت دقیق‌تری درباره حمله‌ها و راه‌حل‌های مقابله با آن‌ها کسب کنید، به شکل کارآمدتری قادر به تدوین خط‌مشی‌های امنیتی خواهید بود. 

کنترل‌های امنیتی ابری

در همه استراتژی‌های امنیتی توجه به نکاتی مثل کنترل دسترسی‌ها و مدیریت هویت، حفاظت از داده‌ها و امنیت برنامه‌های کاربردی اهمیت زیادی دارد. کنترل‌های امنیتی مختلف را می‌توان به گروه‌های مختلفی طبقه‌بندی کرد که از مهم‌ترین آن‌ها باید به امنیت شبکه‌، مدیریت بر فرایند وصله کردن، سازوکارهای حفاظتی زمان اجرا (Runtime)، انتخاب راه‌حل‌های CWPP متناسب و بهره‌گیری از مکانیزم  SIEM مناسب اشاره کرد. در ادامه به تشریح هر یک از این مولفه‌ها می‌پردازیم.

امنیت شبکه

برخلاف شبکه‌های درون سازمانی، شبکه‌های ابری نرم‌افزارمحور (SDN) هستند و انعطاف‌پذیری بیشتری نسبت به شبکه‌های سنتی و مکانیزم‌هایی نظیر بخش‌بندی (Segmentation) شبکه دارند. رعایت نکاتی همچون تفکیک ساده با استفاده از شبکه‌های مجازی، بخش‌بندی حجم کار مخزن بر مبنای خط‌مشی‌های تعریف شده و بخش‌بندی سطوح مختلف بار کاری به کنترل و مدیریت ترافیک‌ انتقال کمک می‌کند و مرز دقیق‌تری برای پیاده‌سازی خط‌مشی‌های امنیتی متمرکز ایجاد می‌کنند. به‌طور مثال، مرزها/کرانه‌ها (boundaries) و خط‌مشی‌های تعریف شده در لایه شبکه به حفاظت در برابر حمله‌های مبتنی بر آدرس آی‌پی‌های ناشناس یا حمله‌هایی که پورت‌های آسیب‌پذیر را هدف قرار می‌دهند، کمک کنند. با این حال، حمله‌های پیچیده‌تری که در سطح لایه شبکه اتفاق می‌دهند به تفکیک مولفه‌های برنامه‌های کاربردی و اعمال خط‌مشی‌های مربوط به این مرزها (مرزبندی بین بخش‌های مختلف) نیاز دارند. 

دیوارهای آتش وب‌محور (Web Application Firewalls)برنامه‌های کاربردی مستقر در محیط ابر در برابر حمله‌های سایبری آسیب‌پذیر هستند. بنابراین باید لایه‌های حفاظتی پیشرفته‌تری برای آن‌ها تعریف کرد. برای انجام این‌کار می‌توان از دیوارهای آتش کاربردی وب‌محور استفاده کرد که توسط ارایه‌دهندگان خدمات ابری در اختیار شرکت‌ها قرار می‌گیرند و حفاظت جامعی در سطح لایه کاربرد (Application Layer) در برابر آسیب‌پذیری‌ها و اکسپلویت‌های شناخته شده فراهم می‌کنند. دیوارهای آتش کاربردی وب‌محور (WAF) می‌توانند ترافیک HTTP بین کلاینت‌ها و سرورهای وب را تحلیل و در صورت لزوم فیلتر کنند تا از برنامه‌های کاربردی تحت وب در برابر حمله‌هایی مثل تزریق کدهای  SQL، تزریق اسکریپت از طریق وب‌گاه و انواع حمله‌ها محافظت کنند. دیوارهای آتش وب‌محور قابلیت ادغام با خدمات مختلفی را دارند که جریان ورودی داده‌ها از طریق وب را تامین می‌کنند. دیوارهای آتش کاربردی وب‌محور بر مبنای قواعد تشخیص حمله OWASP طراحی می‌شوند، به شناسایی و مقابله با تهدیدات امنیتی مختلف همچون حمله‌های تزریق کد (SQL، NoSQL، OS، LDAP)، افشای داده‌های حساس، پیکربندی‌های امنیتی نادرست، حمله XSS و نقص در کنترل‌های دسترسی و احراز هویت کمک می‌کنند.

حفاظت در برابر حمله‌های DDoS 

حمله‌های محروم‌سازی از سرویس توزیع شده (DDoS) در ظرف چند ثانیه برنامه‌های کاربردی ابرمحور را از مدار خارج می‌کنند. بنابراین وجود یک سازوکار حفاظتی برای مقابله با این حمله‌ها ضروری است. بهتر است این‌کار را از خود زیرساخت آغاز کنید و حفاظت‌های لازم در کل مسیر را اعمال کنید تا در انتها به لایه کاربرد برسید. امروزه تمام شرکت‌های ارایه‌دهنده خدمات ابری از امکانات حفاظتی و مکانیزم‌های امنیتی برای کاهش پیامد این حمله‌ها استفاده می‌کنند. پیکربندی راه‌حل‌های حفاظت در برابر حمله‌های محروم‌سازی از سرویس توزیع شده برای خدمات ابری IaaS و PaaS اهمیت زیادی دارد. ویژگی‌های مطلوب چنین خدماتی قابلیت تنظیم و خودکارسازی خط‌مشی‌های کاهش پیامدهای حمله و خدمات تحلیلی است که اطلاعات جامعی درباره حمله ارایه می‌کنند.

مدیریت وضعیت امنیتی ابر (CSPM)

پیکربندی اشتباه خدمات، خطاهای انسانی و مدیریت غیر حرفه‌ای عامل اصلی موفقیت حمله‌های سایبری بر ضد خدمات ابری هستند. راه‌حل‌های CSPM به‌طور پیوسته بر نصب و تنظیم راه‌حل‌های ابری نظارت می‌کنند تا ضمن شناسایی پیکربندی‌های اشتباه، گزارش دقیقی در اختیار کارشناسان قرار گیرد. این خط‌مشی کنترلی یک بررسی کلی سطح بالا از وضعیت امنیتی محیط ابر ارایه می‌کند. علاوه بر همسو بودن خط‌مشی‌های امنیتی پیش‌فرض با استانداردهای قانونی، یک راه‌حل CSPM استاندارد باید به سازمان‌ها اجازه دهد خط‌مشی‌های امنیتی متناسب با الزامات کاری کسب‌و‌کارشان را تعریف کنند. راه‌حل‌های CSPM می‌توانند در خصوص تخطی از خط‌مشی‌های امنیتی سازمان توسط کاربران هشدار داده، اقدامات اصلاحی مناسب را پیشنهاد کرده یا به‌طور خودکار آن‌ها را پیاده‌سازی کنند. یک راه‌حل CSPM ایده‌آل باید امنیت محیط ابر که شامل ماشین‌های مجازی، شبکه، رسانه‌های ذخیره‌ساز اطلاعات، سرویس‌های PaaS و محیط‌های بدون سرور و مخازن می‌شوند را پوشش دهد. قابلیت ارزیابی مستمر مخاطرات و پیروی از الزامات قانونی و گزارش‌دهی آن‌ها نقش مهمی در کاهش سطح حمله دارد و اجازه می‌دهد CSPM به عنوان یک مولفه مهم در راهبرد امنیت ابری به کار گرفته شود. 

مدیریت آسیب‌پذیری‌ها

به موازات رشد مداوم ریزخدمات (Micro Services) در ابر، ابزارهای تشخیص و مدیریت آسیب‌پذیری باید از محیط‌های مخزن‌دار (Container) با بهره‌گیری از مواردی مثل اسکن مخازن در زمان اجرا، یکپارچگی با مکانیزم ادغام و استمرار مستمر (CD/CI) و غیره محافظت کنند. در شرایط مطلوب این ابزارها باید به‌شکل مستمر آسیب‌پذیری‌ها را شناسایی کنند، گزارش‌های کاربردی را آماده کنند، نتایج را در قالب داشبوردهای کاربردی تولید کنند و در صورت لزوم آسیب‌پذیری‌ها را به شکل خودکار اصلاح کنند. وجود یک فرایند مدیریت وصله‌های امنیتی برای محیط‌های لینوکسی و ویندوزی از شدت حمله به این سامانه‌های عامل کم می‌کند. علاوه بر این، سازمان‌ها می‌توانند از راه‌حل‌های مدیریت وصله‌های امنیتی ویژه زیرساخت‌های ابر یا ابزارهای ثالث برای این هدف استفاده کنند. دسترسی به گزارش‌های جامع درباره آسیب‌پذیری‌های شناسایی شده و اقدامات انجام گرفته برای اصطلاح آن‌ها و وصله‌های امنیتی نصب شده کمک می‌کند چشم‌انداز دقیقی از تاریخچه وضعیت امنیت محیط ابری به‌دست آورید. فراموش نکنید این استراتژی در زمان ممیزی‌های امنیتی کمک فراوانی می‌کند. 

زیرساخت حفاظت از حجم کاری ابر (CWPP)

امروزه مهاجمان سایبری به محیط‌های ابری و به‌کارگیری حمله‌های پیچیده بر ضد این محیط‌ها علاقه‌مند شده‌اند، بنابراین مهم است از سنجه‌های تعریف شده و دقیق برای ارزیابی وضعیت سامانه‌های سازمانی استفاده شود و فرایند تحلیل‌ها به سمت یک رویکرد متمرکز بر حجم متمایل شود. راهکار مورد استفاده برای تشخیص و گزارش حمله‌ها باید جامعیت کافی داشته باشد. در همین نقطه است که زیرساخت‌های حفاظت از حجم کاری ابر (CWPP) با رویکرد امنیتی مبتنی بر حجم کار به یاری‌تان می‌آیند. راه‌حل‌های CWPP برای نظارت بر منابع رایانشی مختلف مثل ماشین‌های مجازی، مخازن و غیره طراحی شده‌اند و اطلاعات دقیقی درباره وضعیت امنیتی ارایه می‌کنند. برنامه‌های کاربردی می‌توانند در سطح محیط‌های ابر ترکیبی یا چند ابری گسترش‌یافته و راه‌حل‌های CWPP، نظارت و حفاظت برای این محیط‌ها را تضمین می‌کنند. از جمله قابلیت‌های کاربردی که CWPP ارایه می‌کند باید به تشخیص نفوذ/ تهدید، تضمین جامعیت سیستم، امن‌سازی خدمات، کنترل برنامه‌های کاربردی و حفاظت درون حافظه‌ای اشاره کرد. واقعیت این است که ابزارهای ضدبدافزار امضامحور برای حجم کاری ابر به ویژه فرآیندهایی که در لینوکس میزبانی می‌شوند منسوخ شده‌اند، در حالی که CWPP می‌تواند از راه‌حل‌های تشخیص پیشرفته و قابلیت‌های کنترلی لازم استفاده کند که عملکردی بهتر از رویکردهای سنتی دارد. 

همان‌گونه که اشاره شد، استراتژی تشخیص تهدید CWPP، عملکردی بهتر از رویکردهای سنتی دارد و می‌تواند همه پردازه‌های در حال اجرا روی منابع رایانشی را ارزیابی کند و اجرای هر نوع کد مخرب یا غیرمجاز را شناسایی کند. درست است که راه‌حل‌های رایج امنیتی متمرکز بر تشخیص تهدیدات در محیط ویندوز هستند، اما راه‌حل‌های CWPP در زمینه مدیریت امنیت و تشخیص تهدیدهای لینوکسی قابلیت‌های کارآمدی دارند. 

امنیت کانتینرها

امنیت مخازن ابر شامل حفاظت از مخازن و زیرساخت‌های هماهنگ‌کننده (ارکستراسیون) است. قدرتمندترین گزینه در این زمینه کوبرنتیس است. درست است که بیشتر خدمات ابری یک نوع خدمت کوبرنتیس مدیریت شده را ارایه می‌کنند، اما شرکت‌هایی که نیاز به دسترسی به یک پنل کنترلی دارند، می‌توانند خوشه‌های کوبرنتیس خود را پیاده‌سازی کنند. برای خوشه‌ها و مخازن کوبرنتیس باید منطبق با استانداردها گام برداشت و هرگونه تخطی از این موارد را گزارش کرد. هر فعالیت مخربی در سطح مخزن یا میزبان مثل دسترسی سطح بالا به مخزن (دسترسی مدیریتی)، دسترسی به واسط‌های برنامه‌نویسی کاربردی از منابع مشکوک و تشخیص فعالیت مشکوک باید به سرعت گزارش داده شده و نقص امنیتی تحلیل شود. به‌طور معمول، این قابلیت‌ها به عنوان بخشی از امکانات یک راه‌حل CWPP ارایه می‌شوند. علاوه بر این، قابلیت پویش ایمیج مخازن هم با شناسایی آسیب‌پذیری‌های موجود در ایمیج، قبل از انتقال آن به رجیستری مخزن به کم شدن شدت حمله‌ها کمک می‌کند. برای دستیابی به این هدف می‌توان از ابزارهای مخزن که توسط ارایه‌دهنده خدمات ابر برای نظارت بر ایمیج‌ها و پویش آن‌ها عرضه می‌شوند، استفاده کرد. 

مدیریت رویدادها و اطلاعات امنیتی (SIEM) 

راه‌حل‌های SIEM قابلیت‌های ویژه‌ای دارند که مناسب محیط‌های درون سازمانی و زیرساخت‌های ابری هستند. این راه‌حل‌ها تهدیدات سایبری را در زمان کمی شناسایی و تحلیل می‌کنند. در حالت ایده‌آل، این راه‌حل‌ها باید قابلیت ادغام با منابع داده‌ای مختلف را داشته و خودکارسازی مبتنی بر واسط برنامه‌نویسی کاربردی برای انجام کارهای اصلاحی را فراهم کنند. بیشتر ابزارهای SIEM، قابلیت‌های ایمیج‌سازی خوبی دارند که به مشاهده هر چه بهتر میزان تکرار رویدادهای مخرب، ناهنجاری‌های داده‌ای، نفوذ به شبکه و غیره کمک می‌کنند.

سایر قابلیت‌های تشخیص تهدید

سازمان‌ها نباید به راه‌حل‌های CWPP بسنده کنند و باید از مکانیزم‌هایی که برای نظارت بر مخازن توسط شرکت‌های ارایه‌دهنده خدمات پیشنهاد می‌شود برای تشخیص پیشرفته استفاده کنند. این سرویس‌ها باید لایه‌های مختلف کاربرد، منابع رایانشی و منابع داده‌ای را پوشش دهند و از لایه امنیت از جمله پنل کنترل ابر، ترافیک شبکه و راه‌حل‌های مدیریت کلیدی پشتیبانی کنند. شناسایی فعالیت‌ها و گزارش‌های مشکوک، نظارت بر فعالیت‌های کاربران و ارزیابی الگوهای رفتاری کاربران به شناسایی رفتارهای مشکوک کمک فراوانی می‌کند. 

گزارش‌های امنیتی در دسترس

تمامی شرکت‌های موفق در زمینه خدمات ابر، راه‌حل‌های جامعی برای ثبت گزارش دارند. برای اطمینان از این‌که راه‌حل‌های امنیتی در سطح مناسبی قرار دارند باید گزارش‌های پنل کنترل و پنل داده‌ها را تحلیل کرد. این گزارش‌ها شامل فعالیت‌های انجام گرفته در سرویس‌ها، ترافیک شبکه، گزارش IAM، گزارش ورود و خروج داده‌ها و مواردی هستند که اهمیت زیادی در تحقیقات دارند.

کلام آخر

تحقق امنیت محیط‌های ابری، یک مسیر پیوسته و مستمر است که باید همزمان با رشد فعالیت‌های تجاری به شکل مداوم به آن پرداخته شود. کنترل‌هایی که در این مطلب به آن‌ها اشاره شد، نقش مهمی در پیکربندی امنیت ابر دارند و به سرپرستان شبکه و امنیت در سرعت بخشی به فرایند امن‌سازی فرایندهای کاری در ابر کمک می‌کنند.