نحوه ارزیابی سریع امنیت سرویس‌های ابر ارایه‌دهندگان خدمات نرم‌افزاری

سازمان‌های ارایه‌دهنده خدمات ابری معمولاً با ادعای حفاظت از اطلاعات‌تان، شما را ترغیب به استفاده از خدمات‌شان می‌کنند. در حالی که در سال 2021 میلادی شرکت‌ها و کسب‌وکارهای مستقر در آمریکا هر هفته به صورت میانگین حدود 30 نفوذ اطلاعاتی را تجربه می‌کردند. ممکن است سازمان‌های بزرگ قابلیت ارزیابی فروشندگان شخص ثالث با استفاده از ابزارهای امنیتی پیشرفته را داشته یا اینکه از آنها بخواهند تا پرسشنامه‌های خاصی را در این زمینه پاسخ دهند، ولی شرکت‌های کوچک و متوسط جهت کسب اطمینان به این ارایه‌دهندگان به روشی مناسب و کارآمد نیاز دارند. در ادامه با 5 مرحله ارزیابی امنیت سرویس‌های ابر ارایه‌دهندگان خدمات نرم‌افزاری آشنا می‌شویم.

مراحل ارزیابی امنیت سرویس‌های ابر ارایه‌دهندگان خدمات نرم‌افزاری

مرحله اول) پیدا کردن صفحه مربوط به اطلاعات امنیتی

پیش از هر چیز ابتدا صفحه‌ای از وب‌سایت شرکت مدنظر را که در آن درباره شیوه ایمن‌سازی اطلاعات مشتریان توضیح داده شده پیدا کنید. برای انجام این کار معمولاً باید کلمات امنیت یا حریم خصوصی را به همراه نام شرکت مدنظر در گوگل جستجو کنید.

در صورت عدم دستیابی به چنین اطلاعاتی، ممکن است امنیت سرویس مدنظر چندان قوی نبوده یا اینکه این سازمان اهمیت زیادی به امنیت اطلاعات مشتریان‌ خود نمی‌دهد.

مرحله دوم) بررسی و درک زبان مورد استفاده

جملاتی از قبیل «ما راهکارهای ایمن را ارایه می‌دهیم» و «امنیت شما برای ما مهم است» معمولاً جهت ایجاد حس امنیت کاذب مورد استفاده قرار می‌گیرند. بنابراین در صورت مواجه با چنین آگهی‌های تبلیغاتی فریب نخورد و تلاش کنید تا به اطلاعات معنادار و کاربردی برای ارزیابی امنیت شرکت ارایه‌دهنده مدنظرتان دست یابید.

همچنین راهکارهای امنیتی ساده با استفاده از زبان پیچیده و جذاب بیان می‌شوند. برای مثال ممکن است ارایه‌دهندگان درباره «رمزنگاری در سطح استانداردهای نظامی» یا «جدیدترین روش رمزنگاری داده‌ها» صحبت نموده و از جملاتی مثل «برای ایمن‌سازی داده‌های‌تان، همه طرح‌ها شامل رمزنگاری SSL هستند» استفاده کنند. بیان چنین جملاتی دلالت بر استفاده از پروتکل HTTPS که جزو الزامات امنیتی ابتدایی است، دارد.

بررسی و درک زبان مورد استفاده، اولین مرحله ارزیابی امنیت سرویس‌های ابر

مرحله سوم) فیلتر کردن موارد ابتدایی و الزامی

«رمزنگاری داده‌های در حال سکون و در حال انتقال» از جمله اصطلاحات رایجی می‌باشد که ممکن است در هنگام انتخاب فروشنده شخص ثالث با آن مواجه شوید. ارایه‌دهندگانی که چنین جملاتی را بیان می‌کنند می‌خواهند به شما بگویند که علاوه بر HTTPS از رمزنگاری دیسک شفاف نیز استفاده می‌کنند. اگرچه این راهکار مهم است اما از داده‌های کاربران در برابر نفوذ و دسترسی هکرها محافظت نمی‌کند مگر اینکه مجرمان سایبری قصد سرقت هارددرایو سرورها را داشته باشند. این راهکار مهم است اما از داده‌های شما در برابر هکرها محافظت نمی‌کند مگر اینکه به دنبال سرقت ‌هارددرایو سرورها باشند.  احتمال عدم رمزنگاری داده‌ها در یک سیستم فعال وجود دارد.

یکی دیگر از اصطلاحات رایج در این زمینه «امنیت مرکز داده» است. وقتی در صفحه امنیت وب‌سایت سازمان مدنظر درباره حفاظت فیزیکی با استفاده از نیروهای مسلح، نظارت ویدیویی و راهکارهای این چنینی صحبت می‌شود، یعنی آن سازمان فقط به دنبال پیدا کردن موضوعی بوده که درباره آن صحبت نموده و محتوای وب‌سایت خود را پر کند. در حالی که همه ارایه‌دهندگان راهکارهای ابر مهم و بسیاری از مراکز داده باید این کار را انجام دهند.

مرحله چهارم) امتیازدهی به سایر اطلاعات امنیتی

مواردی که پیش از این به آنها اشاره کردیم جزو نکات و مفاهیم ابتدایی و الزامی ارزیابی امنیت سرویس‌های ابر هستند. یکسری از اقداماتی نیز که دلالت بر وجود امنیت در سطح متوسط دارند عبارتند از:

  1. بررسی فرایندها و گواهینامه‌ها (مثل SOC2اگرچه وجود این گواهینامه‌ها تضمینی برای رعایت اصول حفاظت از داده‌ها نیست ولی نشان می‌دهد که شرکت مدنظر به صورت کلی برای امنیت اهمیت قائل بوده و اقداماتی مثل تست نفوذ خارجی را برای محک زدن امنیت خودش انجام می‌دهد. ارایه‌دهندگانی که مجوز نوع دو SOC2 را دارند حداقل در حوزه امنیت مسئولیت‌پذیر هستند.
  2. امکانات احراز هویت پیشرفته مثل ورود یکپارچه، احراز هویت چند مرحله‌ای و اعلان‌های مربوط به ورود با دستگاه‌های جدید.
  3. برگزاری طرح شکار باگ برای پاداش به هکرهای کلاه سفیدی که مشکلات امنیتی را پیدا کرده و گزارش‌های مربوطه را ارسال می‌کنند.

همچنین فروشندگانی که قابلیت‌های امنیتی پیشرفته از جمله امکانات زیر را فراهم می‌کنند از جمله بهترین ارایه‌دهندگان در حوزه امنیت هستند:

  1. شفافیت داده‌ها: ارسال گزارش‌های مربوط به ردپاهای حسابرسی به مشتریان. این گزارش‌ها معمولاً شامل تغییرات و دسترسی‌های صورت گرفته به داده‌ها و اینکه این دسترسی‌ها توسط چه افرادی و از چه مکان‌هایی صورت گرفته‌اند و آیا کارمندان شرکت مورد نظر به هر دلیلی به داده‌ها دسترسی دارند یا خیر هستند.
  2. رمزنگاری در لایه کاربرد: داده‌ها پیش از ارسال به مرکز داده توسط کلید رمزنگاری مشتری رمزنگاری می‌شوند. چنین شرکت‌هایی معمولاً از روش‌هایی مثل مدیریت کلیدها توسط کاربران، رمزنگاری سرتاسری و غیره استفاده می‌کنند.

ارزیابی امنیت یک شرکت خدمات ابر بر اساس اطلاعات عمومی در دسترس معمولاً به کمتر از ده دقیقه زمان نیاز دارد. هر چقدر خریداران در انتخاب خودشان به سطح رشد و تکامل امنیت اهمیت بدهند، تلاش فروشندگان نیز برای ایمن‌سازی امنیت محصولاتشان بیشتر خواهد شد.

 

منبع: infosecurity-magazine

خروج از نسخه موبایل