در یک بازه زمانی کوتاه، رایانش ابری یا همان Cloud Computing روش های تجارت و دولت مداری را تغییر داد و همزمان مشکلات امنیتی جدیدی را به وجود آورد. گسترش مدل ابری باعث شد که تجارت های مبتنی بر تکنولوژی، بیش از پیش تاثیرپذیر شوند. حرکت از سمت سرورها به سمت تفکر خدماتی، اهداف، طراحی و روش های پیاده سازی برنامه ها در دپارتمان های فناوری را تغییر داد. با این حال این پیشرفت ها مشکلات امنیتی جدیدی را به وجود آورده اند.
مهمترین مشکل امنیتی در Cloud Computing تمایل آن به گذر از دپارتمان های فناوری است. اگرچه گذار به Cloud Computing سریع و امکان پذیر است، پایه های امنیتی تجارت (مانند سیاست های امنیتی، فرایندها و فعالیت های مهم) را به خطر می اندازد. اگر این استانداردها را در تجارت نداشته باشیم، تجارتمان در برابر رخنه های امنیتی امنیتی آسیب پذیر می شوند. حتی این رخنه های امنیتی می توانند همه منافعی که از حرکت به سمت SaaS به دست آورده ایم را از بین ببرد. (برای اطلاعات بیشتر در خصوص Cloud Computing و SaaS به مقاله مهندس نوروزی در باره مفاهیم Cloud Computing مراجعه کنید).
با وجود مشکلات فراوانی که برای تعیین استاداردهای امنیتی برای Cloud Computing وجود دارد، اتحادیه امنیت پردازش ابری (CSA) دستورالعمل هایی برای بهبود امنیت پردازش ابری ارایه کرده است که با گذشت اندکی زمان این دستورالعمل ها تبدیل به بهترین فعالیت ها برای امن کردن Cloud Computing شده است. این روزها بسیاری از تجارت ها، سازمان ها و دولت ها این راهنما را جزو منابع اصلی در استراتژی Cloud Computing خود قرار داده اند.
با این که Cloud Computing در ایران هنوز چندان گسترش پیدا نکرده و تعداد انگشت شماری از شرکت ها (مانند ایرانسل) هستند که از این مدل استفاده می کنند، اما جا دارد که بررسی 9 تهدید امنیتی Cloud Computing در سال 2013 بپردازیم. 9 تهدیدی که در این مقاله بررسی می کنم مهم ترین تهدیدها هستند و همه کارشناسان درباره آن ها اتفاق نظر دارند. همچنین تلاش کردم که در توضیحاتم بر روی طبیعت به اشتراک گذاری و On-demand (یعنی در هنگام تقاضا در دسترس است) بودن رایانش ابری تمرکز کنم. این تهدید ها بر اساس اهمیت به شرح زیر هستند:
سرقت اطلاعاتاز دست دادن اطلاعاتسرقت اکانت و ترافیک سرویسAPIهای ناامنحملات Denial of Serviceهمکار خیانت کارسوء استفاده از سرویس Cloudکم بودن درجه دیجیتالی شدنآسیب پذیری فناوری های به اشتراک گذاشته شده
اولین تهدید: سرقت اطلاعات
بدترین کابوس هر مدیر فناوری اطلاعات این است که اطلاعات داخلی و حساس شرکتش به دست رقیبانش بیافتد. البته گروه های اجرایی شرکت ها نسبت به این مسئله هوشیار هستند، اما با ورود Cloud Computing روش های جدیدی برای حمله به این اطلاعات سازمانی به وجود آمد. آبان ماه سال گذشته محققین دانشگاه کارولینای شمالی، دانشگاه ویسکانسین و شرکت RSA گزارشی را ارایه کردند که در آن توضیح داد که یک ماشین مجازی با استفاده از اطلاعاتی که از یک حمله side channel timing بر روی یک سرور به دست می آورد، می تواند کلیدهای خصوصی رمزنگاری، بر روی یک ماشین مجازی دیگر روی همان سرور را باز کند. البته در بسیاری از مواقع مهاجم عزیز نیاز به این همه زحمت ندارد. اگر پایگاه داده چندمستاجری (در این معماری SaaS یک نسخه از نرم افزار را بر روی پایگاه داده اجرا می کند و از طریق وب به تعداد زیادی از کاربران دسترسی می دهد) برای سرویس های cloud نساخته باشیم، نفوذ به یکی از برنامه های کلاینت ها میتواند به مهاجم اجازه دهد که علاوه بر اطلاعات همان کلاینت به اطلاعات کلاینت های دیگر دسترسی پیدا کند. با این راه حل اطلاعات هر کاربر ایزوله می شود و از چشم دیگر کاربران پنهان می ماند.
نکات
یکی از مشکلات مهم این است که سرقت اطلاعات و از دست دادن اطلاعات هر دو از مهم ترین تهدید های Cloud Computing هستند و هرقدر که شما برای کاهش ریسک هر کدام از این دو تهدید تلاش کنید، ریسک تهدید دیگر را افزایش می دهید. ممکن است که بتوانید برای جلوگیری از سرقت، اطلاعاتتان را رمزنگاری کنید، اما اگر کلید رمزنگاری تان را از دست دهید، اطلاعاتتان را هم از دست داده اید. همچنین ممکن است که برای جلوگیری از حذف های ناگهانی، از اطلاعاتتان بک آپ های آفلاینی را تهیه کنید، اما همین کار احتمال سرقت اطلاعات را افزایش می دهد.
دومین تهدید: از دست دادن اطلاعات
حتی فکر از دست دادن اطلاعات هم برای مشتری و هم برای تجارت ها نا خوشایند است. برای مثال تابستان پارسال، هکرها به اکانت های اپل، توییتر و Gmail نویسنده مجله wired حمله کردند. سپس آن ها به کمک دسترسی به این اطلاعات، تمام اطلاعات شخصی او (برای مثال تمام عکس های دختر 18 ماهه او را) را پاک کردند.
مطمئنا اطلاعاتی که در فضاهای ابری نگهداری می شوند به دلایل دیگری (غیر از هک شدن) هم می توانند پاک شوند. تا زمانی که کمپانی ارایه دهنده cloud از اطلاعات بک آپ نگیرد، دلایل زیادی می تواند به حذف دایمی اطلاعات منجر شود (مانندپاک کردن تصادفی اطلاعات توسط کمپانی ارایه دهنده cloud و یا از آن بدتر، حوادثی مانند آتش سوزی و یا زمین لرزه). این نکته را هم از پویا فضلعلی به خاطر داشته باشید که مسئولیت حفاظت از اطلاعات تنها بر روی شانه های ارایه دهنده cloud نیست. اگر یک مشتری اطلاعاتش را قبل از آپلود بر روی cloud رمزگذاری کند و سپس کلید رمزنگاری را گم کند، اطلاعاتش را هم از دست می دهد.
نکات
حفاظت اطلاعات آن قدر مهم است که اتحادیه اروپا قوانین جدیدی را برای حفاظت از اطلاعات وضع کرد و در آن ذکر کرد که تخریب اطلاعات و تخریب اطلاعات شخصی نوعی از سرقت اطلاعات محسوب می شود و باید در خصوص این قانون به مردم اطلاع رسانی کرد.
علاوه بر این به شرکت ها پیشنهاد می کنم که از اطلاعات ممیزی و دیگر اسنادشان حفاظت کنند. اگر شرکتی این اطلاعات را بر روی محیط cloud ذخیره کند، از دست دادن این اطلاعات ممکن است وجود آن شرکت را به خطر اندازد.
سومین تهدید: ***ی اکانت و یا ترافیک سرویس
***ی اکانت یا سرویس مسئله جدیدی نیست. روش های هکینگ مانند فیشینگ، fraud و استفاده از نقاط ضعف نرم افزارها همچنان کارساز است. معمولا رمزهای عبور و اطلاعات هویتی چندین بار در جاهای مختلف استفاده می شوند که باعث می شود این نوع روش های هک بیشتر شود. حالا با این وجود راه حل های cloud تهدید جدیدی را به این حوزه اضافه کرده است. اگر یک هکر به اطلاعات هویتی شما دسترسی پیدا کند، می تواند فعالیت هایتان را بدون اطلاعتان زیر نظر بگیرد، اطلاعاتتان را دستکاری کند، اطلاعات اشتباه به اطلاعاتتان اضافه کند و کاربرانتان را به سایت های نادرست راهنمایی کند. اکانت و سرویستان تبدیل به منبع جدیدی برای هکر می شود. سپس آن ها می توانند با استفاده از شهرت شرکت شما، حمله های بعدیشان را انجام دهند.
در فروردین ماه سال 89 یک حمله از نوع Cross-Site Scripting یا XSS به سایت آمازون صورت گرفت. منشا این حمله یک باگ در سیستم بود که باعث شد که هکرها بتوانند اطلاعات هویتی را از سایت به سرقت ببرند. در سال 88 هکرها تعداد زیادی ازسیستم های آمازون را هک کردند و با استفاده از آن ها تروجان Zeus را اجرا کردند.
نکات
***ی اکانت و سرویس ها (که معمولا با سرقت اطلاعات هویتی همراه است) همچنان یکی از مهمترین تهدیدها محسوب می شود. با استفاده از اطلاعات هویتی، هکرها می توانند به مناطق بحرانی سرویس های cloud دسترسی پیدا کنند، که به آن ها کمک می کند تا یه اطلاعات محرمانه دسترسی پیدا کنند و آن سرویس ها را به تخریب بکشانند. سازمان ها باید این تکنیک ها را به همراه راه های مقابله با آن ها بدانند تا بتوانند از صدمات (و دعوی قضایی) ناشی از سرقت جلوگیری کنند. سازمان ها باید از به اشتراک گذاری اطلاعات هویتی بین کاربران و سرویس ها جلوگیری کنند و هر وقت که امکان داشت، از روش های احراز هویت دو مرحله ای استفاده کنند (مانند دستگاه های خودپرداز که برای سرویس دادن به کاربران دو چیز لازم دارند: کارت بانک و رمز عبور آن).
چهارمین تهدید: رابط های کاربری یا APIهای ناامن
ارایه دهندگان cloud computing، تعدادی رابط کاربری یا API در اختیار کاربرانشان قرار می دهند که کاربران به کمک آن ها سرویس های cloud را مدیریت می کنند و با آن ها کارهایشان را انجام می دهند. تامین اطلاعات، مدیریت، هماهنگی و نظارت بر روی اطلاعات از طریق این رابط های کاربری انجام می شود. امنیت و در دسترس بودن سرویس های cloud عمومی در گرو امنیت این رابط های کاربری است. از احراز هویت و کنترل دسترسی ها گرفته تا رمزنگاری و نظارت بر فعالیت ها، این رابط های کاربری باید در برابر تلاش های تصادفی و یا بدخواهانه برای دور زدن رابط کاربری آماده باشد.
نکات
پویا فضلعلی به شما به عنوان یک سازمان پیشنهاد می کند که همزمان که از امنیت سرویسی که ارایه می دهید، اطمینان حاصل پیدا می کنید، به کاربران این سرویس ها هم راجع به نکیت امنیتی هنگام تامین اطلاعات، مدیریت، هماهنگی و نظارت بر روی سرویس های cloud اطلاع دهید. اگر سازمانی ربط کاربری ضعیفی داشته باشد، با مشکلات امنیتی بسیاری از جمله نبود محرمانگی، در دسترس نبودن و عدم پاسخگویی سرویس مواجه می شوند.
در قسمت دوم به معرفی و بررسی پنج تهدید بعدی می پردازیم. امیدوارم در پایان این سری مقالات بتوانم یک راهنما را در اختیار کاربران و گسترش دهندگان Cloud گذاشته باشم و به آن ها در مدیریت ریسک های Cloud کمکی کرده باشم و آن ها بتوانند تصمیم های آگاهانه بگیرند.
مقاله :: خطرناک ترین تهدید های امنیتی در Cloud Computing - قسمت اول
آموزش هاستینگ
آموزش راه اندازی هاستینگ و مباحث فنی مرتبط به هاستینگ
آرشیو
صفحات
جداگانه
لینک
دوستان
موضوعات
ارائه دهندگان خدمات پرداخت در محل
اسکریپت های فروشگاه ساز
بازارچه محصولات و خدمات اینترنتی
سفارش طرح گرافیکی ، چاپ و نشر
خرید و فروش تبلیغات اینترنتی
مباحث و منابع آموزشی
مباحث دیگر
Colocation
فروش سرور مجازی
ثبت دامنه و میزبانی وب
موتور جستجو ، سئو و بهینه سازی
خدمات سئو و بهینه سازی وب سایت
فروش دامین
وب سرورها
معرفی سایت ، فروشگاه ، کانال و...
فروش پستی و پرداخت در محل
اشتراک گذاری
دیگر زبان ها
گفتگوی آزاد
درگاه های پرداخت
درخواست سرویس
فروش پنل پیام کوتاه،پیام رسان اجتماعی،تلفن مجازی
به دنبال کارمند هستم
محصولات نرم افزاری
خرید و فروش تلفن های همراه
محصولات چند رسانه ای
آموزشگاه گرافیک و انیمیشن
راه اندازی و مدیریت وب سایت اینترنتی
سوالات و مشکلات
نیازمند کار یا کارمند هستم
درخواست سرور مجازی
فروش نمایندگی هاستینگ
اسکریپت و قالب سایت
مباحث و منابع آموزشي
دامنه ، سایت ، گروه و کانال
محصولات فرهنگی آموزشی
اسکریپت های دیگر
به دنبال کار هستم
روابط عمومی بازارچه
برنامه نویسی
تبلیغات اینترنتی و بازاریابی آنلاین
کالاهای مصرفی فروشگاه اینترنتی
سایر محصولات و کالاها
سی پنل CPanel
ارائه دهندگان خدمات پرداخت اینترنتی
اسکریپت های مدیریت سایت و وبلاگ
Wordpress
شبکه های ویندوزی
سیستم های مدیریت محتوا
فروش انواع ماژول،پلاگین،قالب،افزونه،امکانات سفارشی
Proxy / Cache / Firewall
اوپن وی زد OpenVZ
فروش هاست اشتراکی
درخواست هاست اشتراکی
فروش سرور اختصاصی
وی ام ور Vmware
بازارچه محصولات سخت افزاری
سیسکو Cisco
سرویس دهندگان خارجی
پنل اس ام اس ، تلگرام و ...
نرم افزار
PHP-MySQL
همکاری در فروش
لپ تاپ و لوازم جانبی
Joomla-Mambo
کار آفرینی و مدیریت کسب و کار
اخبار دنیای فناوری
محصولات و نجهیزات ورزشی
2
فروش انواع وب سایت،گروهای اطلاع رسانی
زیور آلات و جواهرات تزئینی
کیف ، کفش و پوشاک
سئو ، بک لینک و افزایش بازدید
فروش نقدی و پرداخت الکترونیک
پلاگین طراحی کنید و 200
آموزشگاه زبان های برنامه نویسی
عینک های طبی و آفتابی
مسائل مربوط به انجمن
فروش انواع لایسنس
وام های بانکی و تسهیلات کم بهره
CentOS
خدمات طراحی و گرافیکی
دايرکت ادمين DirectAdmin
درخواست سرور اختصاصی
خرید و فروش لوازم جانبی موبایل
ssd
ubuntu
ایده پروری ، ایده یابی و ایده پردازی
انجمن خیریه
درخواست انواع اسکریپت،سیستم عامل،نرم افزار و ..
متمرکزکننده کسب و کارهای اینترنتی
مباحث عمومی مرکز داده
بازی های رایانه ای
دامین
درخواست خدمات برنامه نویسی
نماد اعتماد الکترونیکی (اینماد)
راه اندازی و مدیریت فروشگاه اینترنتی
اثاثیه منزل و لوازم خانگی
فروش انواع اسکریپت،سیستم عامل،نرم افزار و ..
مباحث و منابع آموزش
مباحث و منایع آموزشی
کلوکسو يا ال ايکس ادمين Kloxo or LXAdmin
اتصالات به اینترنت و ارایه دهندگان پهنای باند
vBulletin
سرور مجازی
تا 70 درصد تخفیف فروش دامین
ارائه دهندگان وبلاگ فروشگاهی
آرایشی و بهداشتی
خدمات برنامه نویسی
خدمات کانفیگ سرور و وب سایت
درخواست نمایندگی هاستینگ
بازارچه خدمات برنامه نویسی
درخواست سخت افزار
ماژول ، قالب و افزونه ها
سرور اختصاصی
عطر ، اسپری و ادکلن
درخواست انواع ماژول،پلاگین،قالب،امکانات سفارشی
فروش سخت افزار
PHPNUKE
WHMCS
زن Xen
فروش ویژه شماره مجازی روسیه مخصوص تلگرام
شبکه های بی سیم
ساير مجازي سازي ها
دیگر سیستم ها
بازارچه کار و سرمایه
نیازمند php
هاست اشتراکی
تبلت ها و دیوایس های پرتابل
HTML-XHTML
ساير کنترل پنل ها
فروش عیدانه : آفر ویژه ارائه نمایندگی
Debian
دیجی سرور| فروش ویژه و استثنایی سرور مجازی از اروپا|256 مگابایت رم
درخواست توضیحات برای میزان مصرف cpu
ASP-ASP.net-Access-MSSQL
ارسال ایمیل تبلیغاتی و ایمیل مارکتینگ
شارژ خط به خط و کارت شارژ
درخواست خدمات کانفیگ سرور و وب سایت
درخواست پنل پیام کوتاه،پیام رسان اجتماعی،تلفن مجازی
ساعت ، تایمر و شمارنده
فیلم های آموزشی
ذخیره سازی / SAN /NSA
اسکریپت های مدیریت انجمن گفتگو
انجمن نظرسنجی
سایر لینوکس ها
کولرگازی
مالیات کسب و کارهای اینترنتی
لایک
درخواست کالا و خدمات
طراحی حرفه ای بنر
الگوریتم های روتینگ
شرکتهای خصوصی جا به جایی کالا
Review دیتا سنترها
JavaScript
فایروال سخت افزاری
بحث در مورد نرم افزار / سخت افزار مرکز داده
دو سرور بدون ستاپ هتزنر ex41-ssd
درخواست دامین
Diablo 3
گیاهان آپارتمانی و حیوانات خانگی
سایر مجازی سازی ها
سامان
US
پلسک Plesk
مدیریت
بزرگان
اکانتینگ Accounting
پلیر ها و پخش کننده ها
درخواست انواع وب سایت،گروهای اطلاع رسانی
نمایندگی میزبانی وب
فروشگاه صنایع دستی
سيتريکس Citrix Systems
سوالی در مورد فتوشاپ
AJAX
شبکه های لینوکسی
درخواست خدمات Payment Credit card
STP(Unshielded Twisted Pair)
هايپر وي Microsoft Hyper-V
نیروی انسانی
info
درخواست خدمات طراحی و گرافیکی
کردیت کارت ، گیفت کارت و ارز اینترنتی
Hard Enterprise
[بنـــر20 : طراحـی حرفه ای بنــر
ns1
یه مشکل در گوگل +1
مشکل با تمامی ماژول ها
صفحه اول گوگل و bing.com
29IPs
سخت افزار
سیستم های بک آپ و بازیابی اطلاعات
trace
به مناسبت عيد سعيد فطر - ارائه درگاه پرداخت اختصاصی سامان
کارکرد عالی
ایندکس گوگل
onda
رفع خطای اتصال Remote به سرور MS SQL 2008 - Microsoft SQL Server
ساير لينوکس ها
%25 تخفیف دانشجویی
.info
KIMSUFI
معروف ترین سیستم همکاری در فروش
فروش سرور مجازی آمریکا با قیمت ویژه ( دائمی ) 512 =9
آموزش (10) mcsa
هايپر وي ام HyperVM
فروشگاه تبلیغاتی لونو
فروش دامنه های tp24
کلاسترینگ و محاسبات ابری
فروش ویژه اینترنت پرسرعت +adsl2 آسیاتک در سراسر کشور + 15
درخواست خدمات سئو و بهینه سازی وب سایت
پذیرش نمایندگی فروش هاستینگ
آزمون تومر
جشنواره اقساطی فروش سرور اختصاصی ex-px هتزنر آلمان با 65٪ تخفیف
پشتیبانی
PHPBB
سرور مجازی ماهانه 7 هزار تومان ، تحویل آنی ، مجازی ساز kvm
هاستینگ نامحدود + دامین رایگان + 1 ماه گارانتی بازگشت پول + آپ تایم 99.99 فقط 29
آلوما ولت طرح دار
پلاگين
رپورتاژ
خدمات Payment Credit card
فروش vps ویندوز با رم 512 مگ وارز ساپورت مناسب دانلود و آپلود فقط 18
نیازمند پاکت حباب دار a5
10
فروش Positive SSL با قیمت 19
افزایش قیمت دامنه های .com .biz
حتی بدون عضو
4 ماه سرور های مجازی ویژه ! هرماه یک سری ! نوروز 90
انتشار مقاله
*/ فروش سرور های هتزنر
مهر روی ناخن
Token Passing
عدم ست شدن ns7
بحث در مورد سرور های فیزیکی
000
یاهو
آنالیز قیمتی ۳ ارز مجازی: بیت کوین
Bvlgari
هاست اشتراکی ایران
فروش (46) دامنه رند آی آر هرکدام 15
گم شدن دو مرسوله پستی به ارزش 450
JQuery
فروش انواع گواهینامه SSL
مینی کار: کار ایجاد کن
سئو ایندکس
Time & Date
[ - Custom PHP Code - ] نمونه کد
سرور مجازی هلند 11
پوستر
تعرفه طراحی وب سایت
در کنار شما
خرید و فروش گیرنده دیجیتال
ex40-ssd
ثبت دامنه org=14
آموزش (15) mcsa
سایتم هک غیر حرفه ای شده
پرسیوا
فروش ویژه مجموعه مقالات
90درصد تخفیف! فروش ویژه سوپر آلفا
فروش سرور اختصاصی ex40
فروش دامنه sharjemoft.com
Reboot
Virtualizor
علمی
cpanel
مزایده فروش وبسایت بزرگ فروش پروژه
آمار سایت