میزان استفاده از خدمات رایانش ابری روز به روز در حال افزایش است. از این رو تیمهای امنیتی به دنبال راهکارهایی هستند تا بتوانند به نیازهای روزافزون در حوزه امنیت ابری پاسخ مناسب دهند. با توجه به رشد و توسعه چشمانداز تهدیدات سایبری و اینکه مهاجمان همواره در حال تدارک انجام حملات پیچیدهتر هستند، کاملاً مشخص است تیمهای امنیت سازمانی باید راهبردها و کنترلهای کافی را برای حفاظت از فرایندهای عملیاتی حیاتی شان که در بسترهای ابری استقرار یافته اند، در نظر بگیرند.
از آنجا که کنترلهای اختصاص یافته در خصوص امنیت ابری میتوانند اهمیت و تأثیر بسیار زیادی در موفقیت یا شکست یک سازمان برای استفاده از این محیط و همچنین امنیت فعالیت های کسب و کاری شان داشته باشند؛ به همین خاطر در این مطلب از فراست به شما کمک میکنیم تا با این کنترلها بیشتر آشنا شوید. همچنین راهنماییهای لازم را به منظور استفاده بهتر از پلتفرمهای مختلف ابری ارایه خواهیم کرد.
پس در بخش اول، نگاهی به مسایل مطرح در هنگام تدوین یک راهبرد امنیت ابری داشته و بر موضوعات مهم این حوزه مروری خواهیم داشت. بررسی کنترلهای امنیتی که باید در این مرحله به آنها توجه داشته باشید و اینکه بهترین روش برای پیادهسازی این کنترلها چیست، از دیگر موضوعاتی هستند که در این بخش به آنها اشاره می کنیم.
در بخش بعدی این مطلب نیز شما را با ابزارهای امنیتی و سرویسهای ارایه شده توسط برترین پلتفرمهای ابری یعنی مایکروسافت آژور، وبسرویسهای آمازون و پلتفرم ابر گوگل و همچنین کنترلهای امنیتی پیاده سازی شده آنها آشنا خواهیم نمود. میزان رشد و بلوغ قابلیتهای امنیتی هر کدام از این پلتفرم ها را بررسی کرده و در نهایت نیز به مقایسه سرویسهای مختلف ابری می پردازیم.
حوزههای مهم امنیت ابری
معمولاً در نظر گرفتن همه کنترلهای امنیت ابری در هنگام استقرار فرایندهای کاری بر روی بستر ابر برای سازمانها اقدام بسیار چالش برانگیزی است. افزایش سطح امنیت تا بیشترین حد ممکن، آن هم با در نظر گرفتن حملات احتمالی میتواند کار سختی باشد. علاوه بر این باید طرحهای واکنش به رخدادها را هم تدوین کرد. از سوی دیگر با توجه به اینکه تمرکز ویژه بر یک حوزه و نادیده گرفتن سایر حوزهها میتواند باعث آسیبپذیر شدن فرایندهای کسب و کاری شود بنابراین باید اقدامات انجام شده، توازن کاملی با یکدیگر داشته باشند.
در ادامه، به بررسی حوزههای اصلی امنیت ابری میپردازیم که در هنگام تدوین یک راهبرد امنیت سایبری ابر بالغ با حداکثر میزان پوشش دهی می بایست به آنها توجه داشته باشید.
کاهش سطح حمله
تعیین سطح حمله و تلاش جهت کاهش آن، به حفظ امنیت ابری کمک کرده و باعث میشود احتمال وقوع حملات به شدت کاهش یابد. کنترلهایی که برای دستیابی به این هدف میتوان پیادهسازی کرد، عبارتند از تفکیک شبکهها، مدیریت وصلهها، مدیریت آسیبپذیریهای فنی و پویش مخازن ابری. همچنین باید سازوکارهای امنیتی لازم را در اولین مرحله از چرخه عمر برنامههای کاربردی، بر اساس اصول DevSecOps طراحی و اجرا نمود. این موضوع به معنای آن است که زیرساخت مناسبی را برای برنامههای کاربردی خود که در محیط ابری مستقر کرده اید، در نظر گرفته اید.
توجه داشته باشید که نظارت و بهینه سازی مداوم برای دستیابی به حفاظت مستمر، یک امر ضروری است. این مسئولیت نه تنها بر عهده تیم امنیت بلکه بر عهده تمام افراد از جمله مهندسان DevOps، طراحان، تیم نظارت و غیره است که به این محیط دسترسی داشته و از خدمات آن استفاده میکنند. با وجود تلاشهای مداوم کارشناسان باز هم ممکن است برطرف سازی کامل سطح حمله امکان پذیر نباشد. بنابراین رویکرد عملیتر این است که با تمرکز بر تشخیص و واکنش به نفوذهای احتمالی، تا حد امکان پیامدهای حملات را کاهش دهید.
تشخیص نفوذ و حمله
هر چه زمان تشخیص نفوذ سریعتر باشد میزان آسیب وارد شده به سازمان کاهش خواهد یافت. بنابراین یک راهبرد کارآمد باید فاصله بین زمان حمله تا تشخیص آن را به حداقل ممکن برساند.
لازم به ذکر است حملاتی که در نگاه نخست، مشکوک به نظر نمیرسند میتوانند نشان دهنده وقوع حملات دیگری باشند که احتمال شناسایی آنها وجود ندارد یا ممکن است در روزهای آتی رخ دهند. به عنوان مثال، افزایش حجم ترافیک همراه با فرایندهای جدیدی که در محیط رایانشی شروع شده اند میتواند نشان دهنده تلاش هکرها برای نفوذ به سایر سیستم های شبکه از طریق یک ماشین مجازی یا مخازن آلوده باشد.
جهت دستیابی به قابلیت تشخیص جامع باید از سرویسهایی استفاده کنید که امکان کار در سطح شبکه و منابع محاسباتی را دارند. همچنین با توجه به اینکه تهدیدات سایبری همواره در حال رشد و توسعه هستند بایستی پایگاه دانش تهدیدات سازمان تان را با جدیدترین اطلاعات به روز رسانی نمایید.
واکنش مناسب به حملات
آخرین قطعه از پازل تلاش های شما باید به حداقل رساندن فاصله زمانی بین تشخیص تا بازیابی کامل، با استفاده از یک راهبرد مناسب جهت واکنش به رخدادها باشد. همچنین باید بتوانید تفاوت بین تهدیدات واقعی و هشدارهای کاذب را به خوبی درک کرده و آنها را از یکدیگر تفکیک نمایید. چنین کاری مستلزم انجام تحقیقات و مطالعات کامل درباره روش های حمله است که توسط ابزارها و گزارشها (لاگها) جمع آوری شدهاند. از قابلیتهای خودکار مثل اسکریپتهای خودکارسازی فعالیت ها و وبهوکهایی که قابلیت ادغام با هشدارها را دارند می توان برای ایجاد اولین خط دفاعی هم استفاده کرد.
به خاطر داشته باشید هر چه بیشتر راجع به حملات و راهکارهای مقابله با آنها بیاموزید به طور اثربخش تری خواهید توانست راهبرد امنیتی سازمان تان را طراحی و پیاده سازی کنید.
کنترلهای امنیتی ابرها
در تمام راهبردهای امنیت سایبری به مواردی همچون کنترل دسترسی ها و مدیریت هویت، حفاظت از دادهها و امنیت برنامههای کاربردی اشاره شده است. ما در این مطلب، به این کنترلها که تقریباً به صورت الزامات پایه و استاندارد در همه راهبردها وجود داشته و راجع به آنها در مطالب مختلف فراست به تفصیل صحبت کرده ایم، نپرداخته و فقط به تعدادی از روشهای پیادهسازی عملی و مفید که در هنگام تدوین راهبردهای امنیت ابری تان بایستی آنها را در نظر بگیرید، خواهیم پرداخت.
کنترلهای امنیتی مختلف را می توان به دسته بندی های مختلفی نگاشت کرد که تعدادی از مهمترین آنها عبارتند از: امنیت شبکه، مدیریت پیکربندی بر اساس بهروشها، سازوکارهای حفاظتی حین اجرا (Runtime)، انتخاب راهکارهای CWPP متناسب و بهره گیری از SIEM مناسب که در ادامه به بررسی آنها میپردازیم.
امنیت شبکه
برخلاف شبکههای درون سازمانی، شبکههای ابری؛ نرمافزارمحور بوده و انعطاف پذیری بیشتری برای بخشبندی شبکه دارند. رعایت مواردی همچون تفکیک ساده با استفاده از شبکههای مجازی، بخشبندی حجم کار مخزن بر اساس سیاست های از پیش تعریف شده و بخشبندی سطوح مختلف بار کاری می توانند به کنترل و مدیریت ترافیک های تبادلی کمک کرده و مرزهای شفافتری را برای اجرای سیاستهای امنیتی متمرکز ایجاد نمایند.
برای مثال، مرزها و سیاستهایی که در لایه شبکه تعریف میشوند میتوانند به حفاظت در برابر حملات صورت گرفته از طریق آدرس آیپی های ناشناس یا حملاتی که پورتهای آسیبپذیر را هدف قرار می دهند، کمک کنند. با این حال، حملات پیچیدهتری که در سطح لایه شبکه رخ میدهند مستلزم تفکیک اجزای برنامههای کاربردی و اعمال سیاستهای مربوط به این مرزها (مرزبندی بین بخشهای مختلف) هستند.
فایروال برنامههای کاربردی تحت وب
برنامههای کاربردی که در محیط ابر میزبانی میشوند، به شدت در برابر حملات آسیبپذیر هستند. از این رو می بایست لایههای حفاظتی پیشرفته تری را برای آنها در نظر گرفت. برای انجام این کار میتوان از فایروال برنامههای کاربردی استفاده کرد که توسط ارایه دهندگان سرویس ابری در اختیار شرکتها قرار گرفته و حفاظت جامعی را در سطح لایه کاربرد (Application Layer) در برابر آسیبپذیریها و اکسپلویتهای شناخته شده فراهم می کند.
فایروالهای برنامههای کاربردی تحت وب که بر اساس قواعد تشخیص حمله OWASP طراحی و تولید شدهاند، به شناسایی و مقابله با تهدیدات امنیتی مختلف از جمله حملات تزریق کد (SQL، NoSQL، OS، LDAP)، افشای دادههای حساس، پیکربندی های امنیتی نادرست، حمله XSS و همچنین نقص در کنترلهای دسترسی و احراز هویت کمک میکنند.
حفاظت در برابر حملات محروم سازی از سرویس توزیع شده (DDoS)
حملات محروم سازی از سرویس توزیع شده میتوانند تنها ظرف چند ثانیه کل برنامههای کاربردی مبتنی بر ابر شما را از کار بیندازند. بنابراین وجود یک سازوکار حفاظتی برای مقابله با چنین تهدیداتی بسیار مهم است. بهتر است این کار را از خود پلتفرم شروع کرده و حفاظت های لازم در کل مسیر اعمال کرده تا نهایتاً به لایه کاربرد ختم شود. امروزه تمام شرکتهای ارایه دهنده سرویس های ابری از امکانات حفاظتی و سازوکارهای امنیتی لازم جهت کاهش پیامد این حملات برخوردار هستند.
علاوه بر این باید پیکربندی راهکارهای حفاظت در برابر حملات محروم سازی از سرویس توزیع شده را برای سرویسهای ابری IaaS[1] و PaaS[2] تنظیم کنید. ویژگیهای مطلوب چنین سرویسی عبارتند از قابلیت تنظیم و خودکارسازی سیاستهای کاهش پیامدهای حمله و سرویسهای تحلیلی که اطلاعات جامعی را درباره حمله ارایه میکنند.
مدیریت وضعیت امنیتی ابر (CSPM[3])
پیکربندی نادرست سرویسها، خطاهای انسانی و سوءمدیریت همگی جزو دلایل ریشهای حمله موفق بر ضد سرویسهای ابری هستند. راهکارهای CSPM به صورت پیوسته بر نحوه نصب و تنظیم راهکارهای ابری نظارت نموده تا ضمن شناسایی پیکربندیهای نادرست، اقدام به گزارش دهی آنها می کنند. این نگرش کنترلی معمولاً یک بررسی اجمالی سطح بالا را از وضعیت امنیتی محیط ابر ارایه می کند.
علاوه بر همسو بودن سیاستهای امنیتی پیش فرض با استانداردهای قانونی، یک راهکار CSPM استاندارد باید به سازمانها امکان دهد سیاستهای امنیتی لازم را متناسب با الزامات کاری یا حوزه فعالیت کسب و کاری شان هم تعریف کنند. راهکارهای CSPM میتوانند در خصوص تخطی از سیاستهای امنیتی سازمان هشدار داده، اقدامات اصلاحی لازم را توصیه کرده یا حتی آنها را پیادهسازی نمایند. یک راهکار CSPM باید کل محیط امنیت ابری از جمله ماشینهای مجازی، شبکه، رسانههای ذخیره ساز اطلاعات و سرویسهای PaaS و همچنین محیطهای بدون سرور و مخازن را پوشش دهد.
قابلیت ارزیابی مداوم مخاطرات و پیروی از استانداردهای قانونی و نیز گزارش دادن آنها نقش مهمی در کاهش سطح حمله داشته و باعث میشود CSPM تبدیل به یکی از اجزای مهم و ضروری راهبرد امنیت ابری شما شود.
مدیریت آسیبپذیری ها
وجود یک سازوکار برای پویش و برطرف سازی سریع آسیبپذیری ها در حوزه ابر، به همان اندازه محیط درون سازمانی اهمیت دارد. با توجه به رشد مداوم میکروسرویسها در ابر، ابزارهای تشخیص و مدیریت آسیبپذیری هم باید بتوانند از محیطهای مخزن دار با بهره گیری از مواردی همچون پویش مخازن در حین اجرا، ادغام با پایپ لاین های CI/CD[4] و غیره حفاظت کنند. در حالت ایدهآل این ابزارها میتوانند به صورت مداوم آسیبپذیریها را شناسایی کرده، گزارشهای لازم را تولید نموده، نتایج را در قالب داشبوردهای کاربردی ارایه داده و هر زمانی که ممکن بود آسیبپذیریها را به صورت خودکار اصلاح و برطرف نمایند.
وجود یک فرایند مدیریت وصلههای امنیتی برای محیط های لینوکسی و ویندوزی به کاهش سطح حمله در این سیستم عاملها کمک زیادی میکند. سازمانها همچنین میتوانند از راهکارهای مدیریت وصلههای امنیتی مخصوص پلتفرمهای ابر یا ابزارهای شخص ثالث برای تحقق این هدف استفاده کنند. دسترسی به گزارشهای فراگیر و جامع درباره آسیبپذیریهای شناسایی شده و اقدامات صورت پذیرفته برای رفع آنها و نیز وصلههای امنیتی نصب شده کمک میکند تا دید کاملی را از تاریخچه وضعیت امنیت محیط ابری تان به دست آورید. لازم به ذکر است انجام این کار یک امر ضروری در ممیزی های امنیتی است.
پلتفرم حفاظت از حجم کاری ابر (CWPP)
با توجه به اینکه امروزه مهاجمان سایبری به سمت ابر و استفاده از حملات پیچیده بر ضد این محیط روی آورده اند بنابراین تمرکز امنیت هم باید از پارامترهای تعریف شده و دقیقی که برای سیستمهای درون سازمانی استفاده میشدند به سمت یک رویکرد متمرکز بر حجم کار حرکت کند. روش مورد استفاده جهت تشخیص و گزارش حملات باید از جامعیت لازم برخوردار باشد. در اینجا است که پلتفرمهای حفاظت از حجم کاری ابر (CWPP[5]) با رویکرد امنیتی ویژه خودشان که مبتنی بر حجم کار هستند میتوانند مفید واقع شوند. راهکارهای CWPP برای نظارت بر منابع رایانشی مختلف از جمله ماشینهای مجازی، مخازن و غیره طراحی شدهاند و میتوانند اطلاعات جامعی را درباره وضعیت امنیتی به شما ارایه دهند.
برنامههای کاربردی میتوانند در سطح محیطهای ابر ترکیبی یا چندابری گسترش یافته و راهکارهای CWPP، نظارت و حفاظت لازم را برای این محیطها تضمین میکنند. از جمله قابلیتهای CWPP میتوان به مواردی همچون تشخیص نفوذ/ تهدید، تضمین جامعیت سیستم، امنسازی سرویسها، کنترل برنامههای کاربردی و حفاظت درون حافظهای اشاره کرد. ابزارهای ضدبدافزار مبتنی بر امضا برای حجم کاری ابر مخصوصاً آنهایی که در لینوکس میزبانی میشوند دیگر قدیمی و منسوخ شده اند. بنابراین CWPP میتواند روشهای تشخیص پیشرفته و قابلیتهای کنترلی لازم را فراهم نماید.
راهبرد تشخیص تهدید CWPP، یک گام فراتر از رویکردهای سنتی بوده و این اطمینان را ایجاد میکند که همه کدهای در حال اجرا بر روی منابع رایانشی، برگرفته از یک منبع قابل اعتماد باشند. قابلیتهای تشخیص تهدید این ابزار میتوانند اجرای هر نوع کد مخرب یا غیرمجاز را شناسایی نمایند.
در گذشته، لینوکس به عنوان سیستم عاملی تلقی میشد که به صورت پیش فرض امن است. تهدیداتی مثل Doki و IPStorm که محیطهای ابر و لینوکسی را هدف میگیرند به همراه نقطه ضعفهای امنیتی کشف نشده (مثل نرمافزارهای به روز رسانی نشده و پلاگینهای آسیبپذیر) باعث شده اند که سیستمهای لینوکس در محیط ابر هم آسیبپذیریهای خاص خودشان را داشته باشند. هر چند راهکارهای متداول امنیتی عمدتاً متمرکز بر تشخیص تهدیدات در محیط ویندوز هستند اما راهکارهای CWPP باید در زمینه مدیریت امنیت و تشخیص تهدیدهای لینوکسی از قابلیت های لازم برخوردار بوده تا واقعاً مفید و کاربردی باشند.
امنیت مخازن (کانتینرها)
امنیت مخازن ابر شامل حفاظت از مخازن و پلتفرمهای هماهنگ سازی (ارکستراسیون) است. از محبوبترین آنها در حوزه ابر می توان به «کوبرنتیز» اشاره کرد. اگرچه بیشتر سرویسهای ابری یک نوع سرویس کوبرنتیز مدیریت شده را ارایه میکنند اما شرکت هایی که نیاز به دسترسی به یک پنل کنترلی داشته باشند میتوانند کلاسترهای کوبرنتیز خودشان را پیادهسازی نمایند.
برای کلاسترها و همچنین مخازن کوبرنتیز باید پیروی و انطباق با استانداردها مدنظر قرار گرفته و هر گونه انحراف از آنها گزارش داده شود. هر فعالیت مخربی در سطح مخزن یا میزبان مثل دسترسی سطح بالا به مخزن، دسترسی به API از منابع مشکوک و تشخیص پوسته وب باید به صورت بلادرنگ گزارش داده شده و نقص امنیتی مربوطه مورد تحلیل و بررسی قرار گیرد. معمولاً این قابلیت ها به عنوان بخشی از امکانات یک راهکار CWPP ارایه میشوند.
همچنین قابلیت اسکن تصویر مخازن هم با شناسایی آسیبپذیریهای موجود در تصویر، پیش از انتقال آن به رجیستری مخزن، به کاهش سطح حمله کمک میکند. برای دستیابی به این هدف میتوان از ابزارهای مخزن که توسط ارایه دهنده خدمات ابر جهت نظارت بر تصاویر و اسکن آنها عرضه شده اند، استفاده نمود.
مدیریت رویدادها و اطلاعات امنیتی (SIEM[6])
راهکارهای SIEM با قابلیت های ویژه ای که دارند هم برای محیطهای درون سازمانی و هم برای بسترهای ابری مفید هستند. این ابزارها میتوانند تهدیدات سایبری را به سرعت شناسایی و تحلیل نمایند. ابزارهای SIEM به تشخیص ارتباط دادههای به دست آمده از اجزای مختلف معماری، صرف نظر از محل نصب آنها کمک میکنند. این ویژگی میتواند موجب بهبود قابلیتهای تشخیص و واکنش شود.
در حالت ایده آل، این ابزارها باید قابلیت ادغام با منابع دادهای مختلف را داشته و خودکارسازی مبتنی بر API را برای انجام کارهای اصلاحی فراهم کنند. بیشتر ابزارهای SIEM، قابلیتهای تصویرسازی خوبی دارند که به مشاهده هر چه بهتر میزان تکرار رویدادهای مخرب، ناهنجاریهای دادهای، نفوذ به شبکه و غیره کمک میکنند.
سایر قابلیتهای تشخیص تهدید
سازمان ها علاوه بر پوشش امنیتی ارایه شده توسط راهکارهای CWPP باید خدمات مخزن ارایه دهنده سرویس ابر را هم برای حفاظت و تشخیص پیشرفته در نظر داشته باشند. این سرویس می بایست لایههای مختلف کاربرد، منابع رایانشی و منابع دادهای را در برگرفته و از لایه امنیت از جمله پنل کنترل ابر، ترافیک شبکه و راهکارهای مدیریت کلیدی پشتیبانی کند. شناسایی فعالیتها و لاگینهای مشکوک، نظارت بر گزارش فعالیتهای راهبران و بازبینی الگوهای مورد استفاده جهت شناسایی کاربران متخلف از جمله سناریوهایی هستند که بایستی تحت پوشش قرار بگیرند.
گزارشهای امنیتی در دسترس
تمامی شرکتهای پیشرو در زمینه خدمات ابر، راهکارهای جامعی برای ثبت گزارش دارند. برای اطمینان از رسیدن به سطح امنیتی مناسب باید بر گزارشهای پنل کنترل و پنل دادهها نظارت داشته و آنها را تحلیل کرد. این گزارشها شامل گزارش فعالیتهای صورت گرفته در سرویس، جریانات شبکه، گزارش IAM، گزارش ورود و خروج دادهها و غیره بوده و اهمیت بسیار زیادی جهت تحقیقات دارند.
خلاصه
تحقق امنیت ابری، یک مسیر پیوسته و مستمر است که باید همزمان با رشد و تکامل فعالیت های کسب و کاری شما به صورت مداوم به آن پرداخته شود. کنترلهایی که در این مطلب به آنها اشاره شد، مبنای لازم را برای تعریف اصول اولیه راهبرد امنیت ابری در اختیارتان قرار داده و به شما در سرعت بخشی به فرایند امنسازی فرایندهای کاری تا در ابر کمک میکنند.
مایکروسافت آژور، وبسرویسهای آمازون و پلتفرم ابر گوگل از جمله راهکارهای پیشروی موجود در بازار هستند که انواع راهکارها و سرویسهای مختلف را در اختیار شما قرار میدهند. استفاده از این راهکارها برای پیادهسازی کنترلهای امنیتی می تواند بسیار مفید واقع شود. ممکن است به منظور بهره مندی از قابلیتهای تشخیص تهدید یا استفاده از یک SIEM پیشرفته جهت تشخیص تهدیدات درون حافظه یا پویش حین اجرا نیاز به استفاده از راهکارهای جانبی نیز داشته باشید.
[1] Infrastructure as a Service
[2] Platform as a Service
[3] Cloud Security Posture Management
[4] در مهندسی نرم افزار، CI/CD یا CICD معمولاً به روش های ترکیبی ادغام مداوم یا تحویل مداوم یا استقرار مداوم اشاره دارد. CI/CD با اعمال خودکارسازی در ساخت، آزمایش و استقرار برنامهها، فاصله بین فعالیتهای توسعه و بهره برداری و تیمها را برطرف میکند. ویکیپدیا (فارسی)
[5] Cloud Workload Protection Platforms
[6] Security Information Event Management