اصول امنیت ابری: 10 سوال برای راهنمایی استراتژی شما

امروزه کاهش سطح حمله به راحتی انجام نمیشود. چه در صورت استفاده کامل از فناوری ابر و چه کار در یک محیط ابر ترکیبی، احتمال ایجاد خلأ در نظارت وجود دارد. بنابراین در صورت عدم نظارت کامل بر روی محیطهای ابری، امکان وقوع مخاطرات امنیتی بسیار بالا است. ایمنسازی محیط ابر مستلزم اجرای یک رویکرد تحلیلی کامل نسبت به مشاهدهپذیری زیرساخت و جریانات کاری و درک تهدیداتی است که احتمال مواجه با آنها وجود دارد. پیش از هر چیز بهتر است سؤالاتی که پاسخشان را نمیدانید مشخص کنید. برای مثال اینکه چه شخصی، چه چیزی، کجا و چگونه میتواند نقاط کور و آسیبپذیریهای محیط ابرتان را شناسایی نموده و آنها را مورد هدف قرار دهد از جمله سؤالات مهمی است که باید در راستای ارزیابی وضعیت امنیت ابر، انتخاب قابلیتهای تحلیلی لازم و پر کردن خلاء از خودتان بپرسید.
تعدادی از این سؤالات عبارتند از:
- از دیدگاه IaaS/PaaS/SaaS، مسئولیت امنیتی مشترک به چه معنا است؟
- منابع در کدام مناطق جغرافیایی ایجاد میشوند؟
- در صورت استفاده از فناوریهایی مثل مخازن و میکروسرویسها، الزامات نظارت بر روی جریان کاری شما چه تغییری خواهند کرد؟ در رابطه با ایمنسازی این فناوریها چگونه فکر میکنید؟
- چگونه سیستمهای مدیریت دسترسی و هویت یا IAM (به انگلیسی: identity and access management) را در محیط ابر ایمنسازی میکنید؟ چه افرادی، به چه منابع و بخشهایی، در کجا و در چه زمانهایی دسترسی دارند؟
- چگونه کنترل DevSecOps را به محیط ابر توسعه دهیم؟
- چگونه در محیط ابر به قابلیت دید و نظارت پیوسته برسیم؟
- چگونه باید کنترلهای فنی، فرایندی و سیاستی فعلی را به محیط چند ابری توسعه دهیم؟
- چگونه در صورت مجاز بودن دسترسی اشخاص ثالث به منابع ابر، با ریسکهای موجود مقابله کنیم؟
- چگونه مهارتهای نیروهای بخش عملیات امنیتی/رعایت الزامات قانونی را در راستای پوشش فناوریهای ابر گسترش دهیم؟
- چگونه رسیدگی به کنترلهای امنیتی ابر را الویتبندی کنیم؟
سوال 1: از دیدگاه IaaS/PaaS/SaaS، مسئولیت امنیتی مشترک به چه معنا است؟
- برای ارایهدهندگان سرویسهای مختلف، تعریف مدل مسئولیت مشترک متفاوت بوده و برای ارایهدهنده زیرساخت به صورت سرویس یا IaaS (به انگلیسی: infrastructure-as-a-service)، پلتفرم به صورت سرویس یا PaaS (به انگلیسی: platform-as-a-service) و نرمافزار به صورت سرویس یا SaaS (به انگلیسی: software-as-a-service) تعاریف مختلفی دارد. باید جنبههای امنیتی که مسئولیتشان بر عهده شما است، درک کنید. گارتنر تخمین میزند که 99 درصد از حوادث امنیت ابر ناشی از خطای مشتریان در پیکربندی هستند.
- مشتری وظیفه حفاظت از امنیت دادهها، کد، منطق قابل اعمال، دسترسی و هویت و همچنین پیکربندی منابع و پلتفرم را برعهده دارد. ارایهدهنده سرویس ابر بر روی امنیت لایه مجازیسازی و مراکز داده، شبکهها و میزبانهای فیزیکی نظارت میکند. زیرساخت دایرکتوری و هویت، برنامههای کاربردی، کنترلهای شبکه و سیستم عاملها نیز جزو محدودههای مبهم و نامشخص هستند.
- جهت اطمینان از وجود درک کامل نسبت به امنیت بخشهای مبهم، مشتری باید اطمینان حاصل کند که مالکیت امنیت به صورت کاملاً واضح تعریف شده و هر طرف کنترل کامل داراییها، فرایندها و عملکردهای متعلق به خودش را در اختیار دارد. تعریف واضح مسئولیتهای مشترک به شما امکان میدهد که بر استراتژی ارایه برنامههای کاربردی خودتان متمرکز شوید بدون اینکه تیم شما مسئولیت دغدغههای عملیاتی در لایه فیزیکی را برعهده داشته باشد.
سوال 2.منابع در کدام مناطق جغرافیایی ایجاد میشوند؟
- موقعیتهای جغرافیایی مختلف، قوانین متفاوتی برای حفاظت از دادهها دارند. برای مثال در اروپا و برزیل مقررات حفاظت از دادههای عمومی، در کالیفرنیا قانون حریم خصوصی مصرفکنندگان کالیفرنیا و در سایر ایالتهای آمریکا هم قوانین مشابهی وجود دارند.
- باید بر روی اطلاعات هویتی یا PII (به انگلیسی: personally identifiable information) که از افراد مقیم در این مناطق جمعآوری میکنید نظارت داشته و آنها را مدیریت کنید. همچنین باید امکان دسترسی به این دادهها را برای مالک داده فراهم نموده و در صورت درخواست مالک، دادهها را اصلاح یا حذف کنید.
- برای اطمینان از پیروی از الزامات قانونی در مناطق مختلف میتوانید اقدامات زیر را با اطلاعات PII انجام دهید:
- همه اطلاعات PII را که سازمان شما چه در محیط خودش و چه در بستر ابر جمعآوری، پردازش و استفاده میکند شناسایی نمایید؛
- همه محلهای ذخیره اطلاعات PII را مشخص کنید؛
- اطلاعات PII را از لحاظ حساسیت و بر اساس احتمال به خطر افتادن و عواقب نشت آنها طبقهبندی نمایید؛
- برای دسترسی به اطلاعات PII یک سیاست استفاده قابل قبول تعریف نموده و پیادهسازی کنید؛
- جهت ایمنسازی اطلاعات PII ساکن و همچنین در حال حرکت، رمزنگاری دادهمحور را پیادهسازی کنید؛
- آموزشهای لازم در رابطه با شیوه حفاظت از اطلاعات PII و استفاده کارآمد از رمزنگاری را به کارمندان ارایه دهید. باید بتوانید این اطلاعات را در بازه زمانی تعریف شده توسط قوانین پیدا کرده، تغییر دهید یا حذف کنید. باید اطمینان حاصل کنید که دادههای انتقالی به خارج از مرزهای جغرافیایی که مقررات به آنها اعمال میشود، کاملاً تحت نظارت بوده و ایمنسازی میشوند.
سوال 3. وقتی از فناوریهایی مثل مخازن و میکروسرویسها استفاده میکنید، الزامات نظارت بر روی فرایندهای کاری شما چه تغییری خواهند کرد؟ درباره ایمنسازی این فناوریها چگونه فکر میکنید؟
- مخازن و میکروسرویسها برای طراحی، توسعه و پیادهسازی برنامههای کاربردی با استفاده از روشهای توسعه چابک، کاربرد زیادی دارند. این محیط سیستمهای پویایی با اجزای مختلف که دائماً در بین لایههای مختلف جابجا میشوند، ایجاد میکند. در این محیط باید به امنیت فرایندهای کاری در کل چرخه حیات توسعه نرمافزار (ساخت، نصب و اجرا) توجه کنید. حدود 80 درصد از سازمانهایی که دارای بیش از 500 کارمند هستند، از مخازن استفاده میکنند.
- مخازن و میکروسرویسها خصوصیات منحصربفردی دارند که منجر به افزایش آسیبپذیریهای امنیتی میشوند. خطاهای امنیتی موجود در فناوری مخازن باعث ایجاد نقاط نفوذ برای مهاجمان سایبری میگردد. در اثر افزایش تعداد افرادی که به کد دسترسی دارند، فرصتهای مهاجمان برای حمله به کد بیشتر میشود. میکروسرویسها نیز دارای اجزای متحرک زیادی هستند که منجر به شکلگیری یک سطح حمله عظیمتر میگردد. با توجه به ارتباط پیوسته این اجزا با یکدیگر، ریسک ارتباطاتشان نیز افزایش مییابد.
- برای ایمنسازی این محیط باید مخازن تغییرناپذیری بسازید. همچنین باید فقط از ایمیجهای منابع قابل اطمینان استفاده نموده و دسترسی به ایمیجها را ایمنسازی کنید. به ازای هر میزبان یک میکروسرویس مستقر نمایید. سپس سیستم عامل میزبان را تقویت و دفاع در عمق را پیادهسازی کنید. در نهایت اسکن آسیبپذیری را در خط لوله توسعه و ساخت تعبیه نموده و از آزمونهای خودکار استفاده نمایید.
سوال 4. چگونه سیستمهای مدیریت دسترسی و هویت (IAM) را در محیط ابر ایمنسازی میکنید؟ چه افرادی، به چه بخشها و مواردی، در چه زمانهایی و در کجا دسترسی دارند؟
- نظارت بر روی فهرست متغیر کاربران با مجوزهای دسترسی مختلف و متغیر برای مجموعه سرویسهایی که همواره رو به گسترش هستند، عملیات چالش برانگیزی است. در محیط ابر، منابع نیز الزامات دسترسی خاص خودشان را دارند. این امر باعث افزایش پیچیدگی مدیریت IAM داخلی میشود.
- باید همواره دادههای کاربران و کارمندان سیستمهای خودتان را تحت نظارت داشته باشید. برای مثال باید بدانید که کارمندان شما چه اشخاصی هستند؟ چه نقشی دارند؟ در کدام بخش فعالیت میکنند؟ از چه دستگاههایی استفاده میکنند، به چه منابع و دادههایی باید دسترسی داشته باشند و مجوز دسترسی به چه منابعی را ندارند؟
- برای موفقیت سیستم IAM باید مدل «حداقل دسترسی» را اجرا کنید. در این مدل فقط دسترسیهای لازم برای ایفای نقش به کارمندان داده میشود. برای پیادهسازی این مدل، پیش از هر چیز باید بررسیهای اولیه از کلیه مجوزهای دسترسی را انجام دهید. سپس همه حسابهای کاربری را با کمترین سطح دسترسی ایجاد نموده و دسترسیها را در صورت نیاز اعطا کنید. با تفکیک حسابهای سطح بالا از حسابهای سطح پایین، تفکیک دسترسیها را پیادهسازی نموده و مجوزهای دسترسی را فقط در هنگام نیاز اعطا کنید. همچنین باید اقدامات افراد را پیگیری کنید و به صورت منظم بر روی مجوزهای دسترسی نظارت داشته باشید.
برای داشتن یک سیاست IAM کارآمد در محیط ابر، باید از احراز هویت چند مرحلهای استفاده کنید. همچنین باید به اشتراکگذاری اعتبارنامههای کاربری را ممنوع نموده و یک سیاست قوی برای کلمات عبور داشته باشید. حسابهای کاربری غیرضروری و اعتبارنامههای کاربری مربوط به آنها را حذف کنید و کلیدها را در کدها یا نمونهها قرار ندهید.
سوال 5. چگونه کنترل DevSecOps را به محیط ابر توسعه دهیم؟
- امروزه DevOps تبدیل به مدل اصلی برای فناوری اطلاعات در محیط ابر شده اما بر اساس نظرسنجی مؤسسه SANS همچنان حدود 25 درصد از سازمانها هیچگونه آزمون امنیتی DevOps را اجرا نمیکنند. سازمانها برای رسیدگی به خلأ امنیتی DevOps و ایمنسازی شبکهها، سرویسها و برنامههای کاربردی، در حال توسعه کنترلهای امنیتی DevOps فراتر از محیطهای درون سازمانی و گسترش آنها به محیط ابر هستند. DevSecOps امنیت را در سرتاسر مسیر توسعه چابک ادغام میکند. این مسیر شامل مراحل تعیین الزامات تا معماری، طراحی، کدنویسی، ارزیابی، انتشار و پیادهسازی است.
- بسیاری از توسعهدهندگان برای صرفهجویی در زمان و بهبود محصولات نهایی خودشان از اجزای شخص ثالث استفاده میکنند اما بکارگیری کدهای آماده بدون اجرای بررسیهای امنیتی منجر به ایجاد تهدیداتی مثل نشت دادهها، تزریق اسکریپت بین سایتی، نقایص امنیتی و غیره میشود. برای مثال نسخه 3.2.1 از Apache Commons Collection به مهاجمان امکان میدهد که کنترل یک سرور را در اختیار بگیرند. همچنین در صورت تعبیه کد در یک محصول بزرگتر، استفاده از کدنویسی ناامن میتواند باعث تشدید مخاطرات امنیتی شود. مهاجمان معمولاً در اسرع وقت از آسیبپذیریهای موجود در کدها سوءاستفاده میکنند.
- برای کار کردن DevSecOps در محیط ابر، باید ارزیابیها و بازبینیهای امنیتی را در همان مراحل ابتدایی و مقدماتی فرایند DevOps انجام دهید. همچنین باید نظر مدیران سازمان را درباره الویتهای امنیتی جلب نموده و آموزشهای لازم را در رابطه با شیوههای کدنویسی امن به توسعهدهندگان بدهید. بهتر است قهرمانهای امنیتی مشخصی در تیمها داشته باشید، ابزارهای امنیتی پیدا کنید که به صورت طبیعی در جریان کار توسعه و خط لولههای خودکار تعبیه میشوند. همچنین به تیمهای DevOps درباره نحوه استفاده از این ابزارها آموزش دهید. باید مطمئن شوید که تیمهای امنیت و DevOps به صورت پیوسته ابزارهای امنیتی را آزمایش میکنند، بر روی آسیبپذیریها و حملات نظارت دارند. همچنین باید سازوکارهای حفاظتی ویژه زمان اجرا و رعایت خودکار الزامات امنیتی را پیادهسازی کنید.
سوال 6. چگونه در محیط ابر به قابلیت دید و نظارت پیوسته برسیم؟
- نظارت و دید پیوسته بر روی محیط ابر به تشخیص راحت الگوها و مشخص نمودن ریسکهای امنیتی در زیرساخت ابر کمک میکند. تقریباً همه شرکتکنندگان در نظرسنجی Dimension Research اعلام کردهاند که قابلیت نظارت بر روی محیط ابر یک ویژگی حیاتی برای حفظ امنیت و کنترل عملیاتی است. با این وجود فقط 20 درصد از آنها امکان دسترسی به دادههای ابری را داشتند. همچنین حدود 90 درصد از سازمانها در نظرسنجی شرکت Ixia اعلام کردند که نسبت به عدم نظارت و دید کافی بر روی تهدیدات امنیتی مخفی در ابر نگران هستند.
- دادههای ذخیره شده بر روی سرویسهای ابری معمولاً شامل اطلاعات هویتی، اطلاعات سلامتی حفاظت شده و سایر دادههای تحت پوشش قوانین و مقررات هستند. از این رو باید امکان دید و نظارت بر روی دادههای اختصاصی موجود در محیط ابر را داشته باشید.
- ابزارهای امنیتی که توسط ارایهدهنده ابر تأمین میشوند ممکن است باعث ایجاد خلاءهایی در قابلیت نظارت شوند. از این رو نباید فقط متکی بر این ابزارها و فناوریها باشید. باید به صورت واضح مشخص کنید که ارایهدهنده سرویس ابر مسئولیت ایمنسازی کدام بخشهای زیرساخت را بر عهده دارد. در محیط ابر باید دید لازم بر شبکه، برنامههای کاربردی، نمونهها و مخازن، پایگاههای داده، رسانههای ذخیره اطلاعات و داشبورد کنترلی را داشته باشید.
سوال 7. چگونه باید کنترلهای فنی، فرایندی و سیاستی فعلی را به محیط چند ابری توسعه دهیم؟
- شرکتها برای پیشبرد تحول دیجیتال و مقابله با چالشهای جدید استراتژی چند ابری را اجرا نمودهاند. بر اساس نظرسنجی IDG، بیش از نیمی از تصمیمگیرندگان حوزه آیتی از چندین سرویس ابر استفاده میکنند. حدود 21 از شرکتکنندگان در این نظرسنجی نیز اعلام کردند که از حداقل سه سرویس ابر استفاده میکنند. فراموش نکنید که بکارگیری چندین سرویس ابر بدون اجرای یک سیاست و استراتژی واضح میتواند باعث شکلگیری پدیده پراکندگی ابر شود. در نتیجه سطح حمله و پیچیدگی مدیریت ابر نیز افزایش مییابد.
- علاوه بر نظارت و پیگیری دادهها و برنامههای کاربردی موجود در ابر باید بر روی نقل و انتقال دادهها در محیط ابر نظارت داشته و آن را ایمنسازی کنید. چنین انتقالاتی میتوانند باعث افزایش ریسکهای امنیتی شوند. ممکن است لازم باشد که مبادلات ترافیک با APIها را هم ایمنسازی کنید.
- بهترین روش برای توسعه کنترلهای فنی، فرایندی و سیاستی به محیط چند ابری، استفاده از یک پلتفرم مدیریت چند ابری است که امکان مدیریت سیاستهای امنیتی و کنترل در سطح برنامههای کاربردی و همچنین مستأجر ابر را فراهم میکند. باید کنترلهای امنیتی لازم را برای داراییهایی که بر اساس مدل امنیت توزیع شده نیاز به حفاظت دارند، پیادهسازی کنید. همچنین باید مطمئن شوید که دادهها چه در حالت سکون و چه در حالت انتقال در بین پلتفرمهای ابر، رمزنگاری میشوند.
سوال 8. چگونه در صورت مجاز بودن دسترسی اشخاص ثالث به منابع ابر، با ریسکهای به وجود آمده مقابله کنیم؟
- دسترسی اشخاص ثالث به منابع ابر تبدیل به یکی از مشکلات روزافزون شرکتها شده است. بر اساس نظرسنجی Wiz Research، حدود 80 درصد از شرکتها، دسترسیهای سطح بالا به منابع ابر را برای شرکتهای شخص ثالث فراهم میکنند. حدود 75 درصد از سازمانها دارای نقشهای شخص ثالثی هستند که امکان تصاحب کامل حسابهای کاربری را ایجاد مینمایند. بیش از 90 درصد از تیمهای امنیت ابر از دسترسیهای سطح بالایی که برای فروشندگان شخص ثالث فراهم کردهاند اطلاعی ندارند.
- با رشد و توسعه سازمان شما، دادههای مشتریان و دادههای داخلی در معرض دسترسی طیف وسیعی از شرکای کاری و فروشندگان راهکارهای مختلف قرار میگیرند. در نتیجه ریسک شخص ثالث تبدیل به یک مسئله مهم برای تیم امنیت سایبری شما میشود. نفوذ مهاجمان به پلتفرم ابر یک شرکت شخص ثالث میتواند سازمان شما را هم در معرض مخاطرات امنیتی، عملیاتی، قانونی و اعتباری قرار دهد. بسیاری از سازمانها به دلیل عدم نظارت و کنترل کافی برای ایمنسازی روابط کاری دچار چالشهای بسیار زیادی با شرکتهای شخص ثالث هستند.
- اتحادیه امنیت ابر توصیه میکند که با شرکتهای شخص ثالث برای کاهش خلأهای امنیتی در زمینه حفاظت از دادهها، نظارت بر روی فرایندهای امنیتی ابر، به روز نگه داشتن پروتکلهای امنیتی، جمعآوری دادهها در سرتاسر جریان کار شرکتهای شخص ثالث همکاری داشته؛ از این دادهها جهت ارتقای فرایندهای امنیتی استفاده کنید و جایگاه سازمان خودتان را به عنوان یک رهبر فکری در زمینه امنیت سایبری تثبیت نمایید. حدود 90 درصد از پروژههای گیتهاب متکی بر نرمافزار اوپن سورس هستند. ممکن است آسیبپذیریهای نرمافزار اوپن سورس حتی تا بیش از چهار سال مخفی بمانند. براساس توصیه گیتهاب: «توسعهدهندگان پروژهها، مسئولان نگهداری و مراقبت از پروژهها و همچنین کاربران باید جهت شناسایی آسیبپذیریها، پروژهها را به صورت منظم بررسی نموده و برای رفع مشکلات امنیتی از ابزارهایی با قابلیت ارسال هشدار خودکار استفاده کنند».
سوال 9. چگونه مهارتهای نیروهای بخش عملیات امنیتی/ رعایت الزامات قانونی را گسترش دهیم تا فناوریهای ابر را پوشش دهند؟
- همچنان که شرکتهای بیشتری به سمت فناوری ابر حرکت میکنند، تیمهای امنیت سایبری هم باید تخصص خودشان را در این زمینه گسترش دهند. گارتنر پیشبینی میکند که مخارج شرکتها در زمینه سرویسهای زیرساخت سیستم ابر از 63 میلیارد دلار در سال 2020 میلادی به 81 میلیارد دلار در سال 2022 افزایش پیدا کند. براساس پیشبینی گارتنر، تا سال 2024، حدود 45 درصد از مخارج آیتی در زمینه زیرساختهای سیستمی، نرمافزارهای زیرساختی، نرمافزارهای کاربردی و برونسپاری فرایندهای تجاری از راهکارهای سنتی به فناوری ابر منتقل میشوند. مسئله حفاظت از دادهها و جریانات کاری، از جمله مشکلات مهمی است که تیمهای امنیتی در محیط ابر با آن مواجه هستند.
- در راستای حرکت به سمت فناوری ابری، باید مشخص کنید که نیروهای امنیتی شما نیازمند تقویت و ارتقا کدام مجموعه از مهارتها هستند. بر اساس نظرسنجی که در بین 327 کارشناس امنیت سایبری و اعضای ISSA صورت گرفته، حدود 33 درصد از کمبودهای مهارت امنیت سایبری مربوط به حوزههای امنیت برنامههای کاربردی بوده و حدود 31 درصد به امنیت رایانش ابری مرتبط است. سازمانها در حوزههایی مثل تحقیقات و تحلیلهای امنیتی (29 درصد)، مهندسی امنیت (26 درصد)، مدیریت ریسک و الزامات قانونی (21 درصد)، تمرینهای تیم قرمز/ آزمون نفوذ (19 درصد)، امنیت شبکه (16 درصد)، بازرسیهای امنیتی (14 درصد)، امنیت پایگاه داده (13 درصد) و امنیت رایانش همراه (13 درصد) دچار کمبود مهارتهای امنیتی سایبری هستند. فقط حدود 4 درصد از این کارشناسان معتقد بودند که کمبود مهارت امنیت سایبری ندارند.
- یکی از چالشهای مهم سازمانها، تقویت مهارتهای نیروهای امنیت سایبری خودشان برای رسیدگی به نیازهای امنیتی مختلف در محیط ابر است. تیم امنیت فعلی شما با سازمان شما، افراد و فرایندهای آن آشنایی دارد. میتوانید آموزشهای امنیت ابر این افراد را متناسب با نیازهای خاص کسبوکارتان تنظیم کنید. سازمانهایی مثل مؤسسه SANS و (ISC)2 هم میتوانند آموزشها و گواهینامههای لازم در زمینه امنیت ابر را ارایه دهند. آمازون نیز مجموعهای از آموزشهای رایگان یا کم هزینهای در اختیار سازمانهایی که از وب سرویسهای آن استفاده میکنند، قرار میدهد.
سوال 10. چگونه رسیدگی به کنترلهای امنیتی ابر را الویتبندی کنیم؟
- رایانش ابری نیاز به کنترلهای امنیتی خاصی دارد که برای حفاظت از دادهها، سرویسها، برنامههای کاربردی و زیرساختهای مربوطه در برابر تهدیدات داخلی و خارجی، حریم خصوصی کاربران طراحی شده باشند و به صورت همزمان امکان رعایت الزامات قانونی را فراهم کنند.
- برای حفظ امنیت دادهها و رعایت الزامات قانونی در محیط ابر باید اطمینان حاصل کنید که ارایهدهنده سرویس ابر شما قابلیتهای امنیتی لازم را داشته و این قابلیتها با سازوکارهای امنیتی پیادهسازی شده در سایر نقاط شبکه توزیع شدهتان، همخوانی داشته باشند.
- شرکتها باید به کنترلهای امنیت ابر زیر الویت دهند:
- کنترلهای مشخص شده در قوانینی که پیروی از آنها برای سازمان شما الزامی هستند (مثل قوانین PCI، HIPAA و غیره)؛
- کنترلهای توصیه شده برای محیط ابر و جریان کاری ابر (مثل استانداردهای امنیتی NIST، بنچمارکهای CIS)؛
- قابلیت دید امنیتی از جمله ثبت گزارشهای ابر مثل AWS CloudTrail، ثبت گزارشهای مفصل درباره وضعیت منابع، ثبت گزارشهای برنامههای کاربردی، رفتار جریان کاری و غیره؛
- سیاست حداقل دسترسی IAM؛
- کنترلهای کارگذار امنیت دسترسی ابر.
منبع: bankinfosecurity