اصول امنیت ابری: 10 سوال برای راهنمایی استراتژی شما

امروزه کاهش سطح حمله به راحتی انجام نمی‌شود. چه در صورت استفاده کامل از فناوری ابر و چه کار در یک محیط ابر ترکیبی، احتمال ایجاد خلأ در نظارت وجود دارد. بنابراین در صورت عدم نظارت کامل بر روی محیط‌های ابری، امکان وقوع مخاطرات امنیتی بسیار بالا است. ایمن‌سازی محیط ابر مستلزم اجرای یک رویکرد تحلیلی کامل نسبت به مشاهده‌پذیری زیرساخت و جریانات کاری و درک تهدیداتی است که احتمال مواجه با آنها وجود دارد. پیش از هر چیز بهتر است سؤالاتی که پاسخ‌شان را نمی‌دانید مشخص کنید. برای مثال اینکه چه شخصی، چه چیزی، کجا و چگونه می‌تواند نقاط کور و آسیب‌پذیری‌های محیط ابرتان را شناسایی نموده و آنها را مورد هدف قرار دهد از جمله سؤالات مهمی است که باید در راستای ارزیابی وضعیت امنیت ابر، انتخاب قابلیت‌های تحلیلی لازم و پر کردن خلاء از خودتان بپرسید.

تعدادی از این سؤالات عبارتند از:

1. از دیدگاه IaaS/PaaS/SaaS، مسئولیت امنیتی مشترک به چه معنا است؟
2. منابع در کدام مناطق جغرافیایی ایجاد می‌شوند؟
3. در صورت استفاده از فناوری‌هایی مثل مخازن و میکروسرویس‌ها، الزامات نظارت بر روی جریان کاری شما چه تغییری خواهند کرد؟ در رابطه با ایمن‌سازی این فناوری‌ها چگونه فکر می‌کنید؟
4. چگونه سیستم‌های مدیریت دسترسی و هویت یا IAM (به انگلیسی: identity and access management) را در محیط ابر ایمن‌سازی می‌کنید؟ چه افرادی، به چه منابع و بخش‌هایی، در کجا و در چه زمان‌هایی دسترسی دارند؟
5. چگونه کنترل DevSecOps را به محیط ابر توسعه دهیم؟
6. چگونه در محیط ابر به قابلیت دید و نظارت پیوسته برسیم؟
7. چگونه باید کنترل‌های فنی، فرایندی و سیاستی فعلی را به محیط چند ابری توسعه دهیم؟
8. چگونه در صورت مجاز بودن دسترسی اشخاص ثالث به منابع ابر، با ریسک‌های موجود مقابله کنیم؟
9. چگونه مهارت‌های نیروهای بخش عملیات امنیتی/رعایت الزامات قانونی را در راستای پوشش فناوری‌های ابر گسترش دهیم؟
10. چگونه رسیدگی به کنترل‌های امنیتی ابر را الویت‌بندی کنیم؟

سوال 1: از دیدگاه IaaS/PaaS/SaaS، مسئولیت امنیتی مشترک به چه معنا است؟

• برای ارایه‌دهندگان سرویس‌های مختلف، تعریف مدل مسئولیت مشترک متفاوت بوده و برای ارایه‌دهنده زیرساخت به صورت سرویس یا IaaS (به انگلیسی: infrastructure-as-a-service)، پلتفرم به صورت سرویس یا PaaS (به انگلیسی: platform-as-a-service) و نرم‌افزار به صورت سرویس یا SaaS (به انگلیسی: software-as-a-service) تعاریف مختلفی دارد. باید جنبه‌های امنیتی که مسئولیت‌‌شان بر عهده شما است، درک کنید. گارتنر تخمین می‌زند که 99 درصد از حوادث امنیت ابر ناشی از خطای مشتریان در پیکربندی هستند.
• مشتری وظیفه حفاظت از امنیت داده‌ها، کد، منطق قابل اعمال، دسترسی و هویت و همچنین پیکربندی منابع و پلتفرم را برعهده دارد. ارایه‌دهنده سرویس ابر بر روی امنیت لایه مجازی‌سازی و مراکز داده، شبکه‌ها و میزبان‌های فیزیکی نظارت می‌کند. زیرساخت دایرکتوری و هویت، برنامه‌های کاربردی، کنترل‌های شبکه و سیستم عامل‌ها نیز جزو محدوده‌های مبهم و نامشخص هستند.
• جهت اطمینان از وجود درک کامل نسبت به امنیت بخش‌های مبهم، مشتری باید اطمینان حاصل کند که مالکیت امنیت به صورت کاملاً واضح تعریف شده و هر طرف کنترل کامل دارایی‌ها، فرایندها و عملکردهای متعلق به خودش را در اختیار دارد. تعریف واضح مسئولیت‌های مشترک به شما امکان می‌دهد که بر استراتژی ارایه برنامه‌های کاربردی خودتان متمرکز شوید بدون اینکه تیم شما مسئولیت دغدغه‌های عملیاتی در لایه فیزیکی را برعهده داشته باشد.

سوال 2.منابع در کدام مناطق جغرافیایی ایجاد می‌شوند؟

• موقعیت‌های جغرافیایی مختلف، قوانین متفاوتی برای حفاظت از داده‌ها دارند. برای مثال در اروپا و برزیل مقررات حفاظت از داده‌های عمومی، در کالیفرنیا قانون حریم خصوصی مصرف‌کنندگان کالیفرنیا و در سایر ایالت‌های آمریکا هم قوانین مشابهی وجود دارند.
• باید بر روی اطلاعات هویتی یا PII (به انگلیسی: personally identifiable information) که از افراد مقیم در این مناطق جمع‌آوری می‌کنید نظارت داشته و آنها را مدیریت کنید. همچنین باید امکان دسترسی به این داده‌ها را برای مالک داده فراهم نموده و در صورت درخواست مالک، داده‌ها را اصلاح یا حذف کنید.
• برای اطمینان از پیروی از الزامات قانونی در مناطق مختلف می‌توانید اقدامات زیر را با اطلاعات PII انجام دهید:
  • همه اطلاعات PII را که سازمان شما چه در محیط خودش و چه در بستر ابر جمع‌آوری، پردازش و استفاده می‌کند شناسایی نمایید؛
  • همه محل‌های ذخیره اطلاعات PII را مشخص کنید؛
  • اطلاعات PII را از لحاظ حساسیت و بر اساس احتمال به خطر افتادن و عواقب نشت آنها طبقه‌بندی نمایید؛
  • برای دسترسی به اطلاعات PII یک سیاست استفاده قابل قبول تعریف نموده و پیاده‌سازی کنید؛
  • جهت ایمن‌سازی اطلاعات PII ساکن و همچنین در حال حرکت، رمزنگاری داده‌محور را پیاده‌سازی کنید؛
  • آموزش‌های لازم در رابطه با شیوه حفاظت از اطلاعات PII و استفاده کارآمد از رمزنگاری را به کارمندان ارایه دهید. باید بتوانید این اطلاعات را در بازه زمانی تعریف شده توسط قوانین پیدا کرده، تغییر دهید یا حذف کنید. باید اطمینان حاصل کنید که داده‌های انتقالی به خارج از مرزهای جغرافیایی که مقررات به آنها اعمال می‌شود، کاملاً تحت نظارت بوده و ایمن‌سازی می‌شوند.

سوال 3. وقتی از فناوری‌هایی مثل مخازن و میکروسرویس‌ها استفاده می‌کنید، الزامات نظارت بر روی فرایندهای کاری شما چه تغییری خواهند کرد؟ درباره ایمن‌سازی این فناوری‌ها چگونه فکر می‌کنید؟

• مخازن و میکروسرویس‌ها برای طراحی، توسعه و پیاده‌سازی برنامه‌های کاربردی با استفاده از روش‌های توسعه چابک، کاربرد زیادی دارند. این محیط سیستم‌های پویایی با اجزای مختلف که دائماً در بین لایه‌های مختلف جابجا می‌شوند، ایجاد می‌کند. در این محیط باید به امنیت فرایندهای کاری در کل چرخه حیات توسعه نرم‌افزار (ساخت، نصب و اجرا) توجه کنید. حدود 80 درصد از سازمان‌هایی که دارای بیش از 500 کارمند هستند، از مخازن استفاده می‌کنند.
• مخازن و میکروسرویس‌ها خصوصیات منحصربفردی دارند که منجر به افزایش آسیب‌پذیری‌های امنیتی می‌شوند. خطاهای امنیتی موجود در فناوری مخازن باعث ایجاد نقاط نفوذ برای مهاجمان سایبری می‌گردد. در اثر افزایش تعداد افرادی که به کد دسترسی دارند، فرصت‌های مهاجمان برای حمله به کد بیشتر می‌شود. میکروسرویس‌ها نیز دارای اجزای متحرک زیادی هستند که منجر به شکل‌گیری یک سطح حمله عظیم‌تر می‌گردد. با توجه به ارتباط پیوسته این اجزا با یکدیگر، ریسک ارتباطات‌شان نیز افزایش می‌یابد.
• برای ایمن‌سازی این محیط باید مخازن تغییرناپذیری بسازید. همچنین باید فقط از ایمیج‌های منابع قابل اطمینان استفاده نموده و دسترسی به ایمیج‌ها را ایمن‌سازی کنید. به ازای هر میزبان یک میکروسرویس مستقر نمایید. سپس سیستم عامل میزبان را تقویت و دفاع در عمق را پیاده‌سازی کنید. در نهایت اسکن آسیب‌پذیری را در خط لوله توسعه و ساخت تعبیه نموده و از آزمون‌های خودکار استفاده نمایید.

سوال 4. چگونه سیستم‌های مدیریت دسترسی و هویت (IAM) را در محیط ابر ایمن‌سازی می‌کنید؟ چه افرادی، به چه بخش‌ها و مواردی، در چه زمان‌هایی و در کجا دسترسی دارند؟

• نظارت بر روی فهرست متغیر کاربران با مجوزهای دسترسی مختلف و متغیر برای مجموعه سرویس‌هایی که همواره رو به گسترش هستند، عملیات چالش برانگیزی است. در محیط ابر، منابع نیز الزامات دسترسی خاص خودشان را دارند. این امر باعث افزایش پیچیدگی مدیریت IAM داخلی می‌شود.
• باید همواره داده‌های کاربران و کارمندان سیستم‌های خودتان را تحت نظارت داشته باشید. برای مثال باید بدانید که کارمندان شما چه اشخاصی هستند؟ چه نقشی دارند؟ در کدام بخش فعالیت می‌کنند؟ از چه دستگاه‌هایی استفاده می‌کنند، به چه منابع و داده‌هایی باید دسترسی داشته باشند و مجوز دسترسی به چه منابعی را ندارند؟
• برای موفقیت سیستم IAM باید مدل «حداقل دسترسی» را اجرا کنید. در این مدل فقط دسترسی‌های لازم برای ایفای نقش به کارمندان داده می‌شود. برای پیاده‌سازی این مدل، پیش از هر چیز باید بررسی‌های اولیه از کلیه مجوزهای دسترسی را انجام دهید. سپس همه حساب‌های کاربری را با کمترین سطح دسترسی ایجاد نموده و دسترسی‌ها را در صورت نیاز اعطا کنید. با تفکیک حساب‌های سطح بالا از حساب‌های سطح پایین، تفکیک دسترسی‌ها را پیاده‌سازی نموده و مجوزهای دسترسی را فقط در هنگام نیاز اعطا کنید. همچنین باید اقدامات افراد را پیگیری کنید و به صورت منظم بر روی مجوزهای دسترسی نظارت داشته باشید.

برای داشتن یک سیاست IAM کارآمد در محیط ابر، باید از احراز هویت چند مرحله‌ای استفاده کنید. همچنین باید به اشتراک‌گذاری اعتبارنامه‌های کاربری را ممنوع نموده و یک سیاست قوی برای کلمات عبور داشته باشید. حساب‌های کاربری غیرضروری و اعتبارنامه‌های کاربری مربوط به آنها را حذف کنید و کلیدها را در کدها یا نمونه‌ها قرار ندهید.

سوال 5. چگونه کنترل DevSecOps را به محیط ابر توسعه دهیم؟

• امروزه DevOps تبدیل به مدل اصلی برای فناوری اطلاعات در محیط ابر شده اما بر اساس نظرسنجی مؤسسه SANS همچنان حدود 25 درصد از سازمان‌ها هیچ‌گونه آزمون امنیتی DevOps را اجرا نمی‌کنند. سازمان‌ها برای رسیدگی به خلأ امنیتی DevOps و ایمن‌سازی شبکه‌ها، سرویس‌ها و برنامه‌های کاربردی، در حال توسعه کنترل‌های امنیتی DevOps فراتر از محیط‌های درون سازمانی و گسترش آنها به محیط ابر هستند. DevSecOps امنیت را در سرتاسر مسیر توسعه چابک ادغام می‌کند. این مسیر شامل مراحل تعیین الزامات تا معماری، طراحی، کدنویسی، ارزیابی، انتشار و پیاده‌سازی است.
• بسیاری از توسعه‌دهندگان برای صرفه‌جویی در زمان و بهبود محصولات نهایی خودشان از اجزای شخص ثالث استفاده می‌کنند اما بکارگیری کدهای آماده بدون اجرای بررسی‌های امنیتی منجر به ایجاد تهدیداتی مثل نشت داده‌ها، تزریق اسکریپت بین سایتی، نقایص امنیتی و غیره می‌شود. برای مثال نسخه 3.2.1 از Apache Commons Collection به مهاجمان امکان می‌دهد که کنترل یک سرور را در اختیار بگیرند. همچنین در صورت تعبیه کد در یک محصول بزرگتر، استفاده از کدنویسی ناامن می‌تواند باعث تشدید مخاطرات امنیتی شود. مهاجمان معمولاً در اسرع وقت از آسیب‌پذیری‌های موجود در کدها سوءاستفاده می‌کنند.
• برای کار کردن DevSecOps در محیط ابر، باید ارزیابی‌ها و بازبینی‌های امنیتی را در همان مراحل ابتدایی و مقدماتی فرایند DevOps انجام دهید. همچنین باید نظر مدیران سازمان را درباره الویت‌های امنیتی جلب نموده و آموزش‌های لازم را در رابطه با شیوه‌های کدنویسی امن به توسعه‌دهندگان بدهید. بهتر است قهرمان‌های امنیتی مشخصی در تیم‌ها داشته باشید، ابزارهای امنیتی پیدا کنید که به صورت طبیعی در جریان کار توسعه و خط لوله‌های خودکار تعبیه می‌شوند. همچنین به تیم‌های DevOps درباره نحوه استفاده از این ابزارها آموزش دهید. باید مطمئن شوید که تیم‌های امنیت و DevOps به صورت پیوسته ابزارهای امنیتی را آزمایش می‌کنند، بر روی آسیب‌پذیری‌ها و حملات نظارت دارند. همچنین باید سازوکارهای حفاظتی ویژه زمان اجرا و رعایت خودکار الزامات امنیتی را پیاده‌سازی کنید.

سوال 6. چگونه در محیط ابر به قابلیت دید و نظارت پیوسته برسیم؟

• نظارت و دید پیوسته بر روی محیط ابر به تشخیص راحت‌ الگوها و مشخص نمودن ریسک‌های امنیتی در زیرساخت ابر کمک می‌کند. تقریباً همه شرکت‌کنندگان در نظرسنجی Dimension Research اعلام کرده‌اند که قابلیت نظارت بر روی محیط ابر یک ویژگی حیاتی برای حفظ امنیت و کنترل عملیاتی است. با این وجود فقط 20 درصد از آنها امکان دسترسی به داده‌های ابری را داشتند. همچنین حدود 90 درصد از سازمان‌ها در نظرسنجی شرکت Ixia اعلام کردند که نسبت به عدم نظارت و دید کافی بر روی تهدیدات امنیتی مخفی در ابر نگران هستند.
• داده‌های ذخیره شده بر روی سرویس‌های ابری معمولاً شامل اطلاعات هویتی، اطلاعات سلامتی حفاظت شده و سایر داده‌های تحت پوشش قوانین و مقررات هستند. از این رو باید امکان دید و نظارت بر روی داده‌های اختصاصی موجود در محیط ابر را داشته باشید.
• ابزارهای امنیتی که توسط ارایه‌دهنده ابر تأمین می‌شوند ممکن است باعث ایجاد خلاءهایی در قابلیت نظارت شوند. از این رو نباید فقط متکی بر این ابزارها و فناوری‌ها باشید. باید به صورت واضح مشخص کنید که ارایه‌دهنده سرویس ابر مسئولیت ایمن‌سازی کدام بخش‌های زیرساخت را بر عهده دارد. در محیط ابر باید دید لازم بر شبکه، برنامه‌های کاربردی، نمونه‌ها و مخازن، پایگاه‌های داده، رسانه‌های ذخیره اطلاعات و داشبورد کنترلی را داشته باشید.

سوال 7. چگونه باید کنترل‌های فنی، فرایندی و سیاستی فعلی را به محیط چند ابری توسعه دهیم؟

• شرکت‌ها برای پیشبرد تحول دیجیتال و مقابله با چالش‌های جدید استراتژی‌ چند ابری را اجرا نموده‌اند. بر اساس نظرسنجی IDG، بیش از نیمی از تصمیم‌گیرندگان حوزه آی‌تی از چندین سرویس ابر استفاده می‌کنند. حدود 21 از شرکت‌کنندگان در این نظرسنجی نیز اعلام کردند که از حداقل سه سرویس ابر استفاده می‌کنند. فراموش نکنید که بکارگیری چندین سرویس ابر بدون اجرای یک سیاست و استراتژی واضح می‌تواند باعث شکل‌گیری پدیده پراکندگی ابر شود. در نتیجه سطح حمله و پیچیدگی مدیریت ابر نیز افزایش می‌یابد.
• علاوه بر نظارت و پیگیری داده‌ها و برنامه‌های کاربردی موجود در ابر باید بر روی نقل و انتقال داده‌ها در محیط ابر نظارت داشته و آن را ایمن‌سازی کنید. چنین انتقالاتی می‌توانند باعث افزایش ریسک‌های امنیتی شوند. ممکن است لازم باشد که مبادلات ترافیک با APIها را هم ایمن‌سازی کنید.
• بهترین روش برای توسعه کنترل‌های فنی، فرایندی و سیاستی به محیط چند ابری، استفاده از یک پلتفرم مدیریت چند ابری است که امکان مدیریت سیاست‌های امنیتی و کنترل در سطح برنامه‌های کاربردی و همچنین مستأجر ابر را فراهم می‌کند. باید کنترل‌های امنیتی لازم را برای دارایی‌هایی که بر اساس مدل امنیت توزیع شده نیاز به حفاظت دارند، پیاده‌سازی کنید. همچنین باید مطمئن شوید که داده‌ها چه در حالت سکون و چه در حالت انتقال در بین پلتفرم‌های ابر، رمزنگاری می‌شوند.

سوال 8. چگونه در صورت مجاز بودن دسترسی اشخاص ثالث به منابع ابر، با ریسک‌های به وجود آمده مقابله کنیم؟

• دسترسی اشخاص ثالث به منابع ابر تبدیل به یکی از مشکلات روزافزون شرکت‌ها شده است. بر اساس نظرسنجی Wiz Research، حدود 80 درصد از شرکت‌ها، دسترسی‌های سطح بالا به منابع ابر را برای شرکت‌های شخص ثالث فراهم می‌کنند. حدود 75 درصد از سازمان‌ها دارای نقش‌های شخص ثالثی هستند که امکان تصاحب کامل حساب‌های کاربری را ایجاد می‌نمایند. بیش از 90 درصد از تیم‌های امنیت ابر از دسترسی‌های سطح بالایی که برای فروشندگان شخص ثالث فراهم کرده‌اند اطلاعی ندارند.
• با رشد و توسعه سازمان شما، داده‌های مشتریان و داده‌های داخلی در معرض دسترسی طیف وسیعی از شرکای کاری و فروشندگان راهکارهای مختلف قرار می‌گیرند. در نتیجه ریسک شخص ثالث تبدیل به یک مسئله مهم برای تیم امنیت سایبری شما می‌شود. نفوذ مهاجمان به پلتفرم ابر یک شرکت شخص ثالث می‌تواند سازمان شما را هم در معرض مخاطرات امنیتی، عملیاتی، قانونی و اعتباری قرار دهد. بسیاری از سازمان‌ها به دلیل عدم نظارت و کنترل کافی برای ایمن‌سازی روابط کاری دچار چالش‌های بسیار زیادی با شرکت‌های شخص ثالث هستند.
• اتحادیه امنیت ابر توصیه می‌کند که با شرکت‌های شخص ثالث برای کاهش خلأهای امنیتی در زمینه حفاظت از داده‌ها، نظارت بر روی فرایندهای امنیتی ابر، به روز نگه داشتن پروتکل‌های امنیتی، جمع‌آوری داده‌ها در سرتاسر جریان کار شرکت‌های شخص ثالث همکاری داشته؛ از این داده‌ها جهت ارتقای فرایندهای امنیتی استفاده کنید و جایگاه سازمان خودتان را به عنوان یک رهبر فکری در زمینه امنیت سایبری تثبیت نمایید. حدود 90 درصد از پروژه‌های گیت‌هاب متکی بر نرم‌افزار اوپن سورس هستند. ممکن است آسیب‌پذیری‌های نرم‌افزار اوپن سورس حتی تا بیش از چهار سال مخفی بمانند. براساس توصیه گیت‌هاب: «توسعه‌دهندگان پروژه‌ها، مسئولان نگهداری و مراقبت از پروژه‌ها و همچنین کاربران باید جهت شناسایی آسیب‌پذیری‌ها، پروژه‌ها را به صورت منظم بررسی نموده و برای رفع مشکلات امنیتی از ابزارهایی با قابلیت ارسال هشدار خودکار استفاده کنند».

سوال 9. چگونه مهارت‌های نیروهای بخش عملیات امنیتی/ رعایت الزامات قانونی را گسترش دهیم تا فناوری‌های ابر را پوشش دهند؟

• همچنان که شرکت‌های بیشتری به سمت فناوری ابر حرکت می‌کنند، تیم‌های امنیت سایبری هم باید تخصص خودشان را در این زمینه گسترش دهند. گارتنر پیش‌بینی می‌کند که مخارج شرکت‌ها در زمینه سرویس‌های زیرساخت سیستم ابر از 63 میلیارد دلار در سال 2020 میلادی به 81 میلیارد دلار در سال 2022 افزایش پیدا کند. براساس پیش‌بینی گارتنر، تا سال 2024، حدود 45 درصد از مخارج آی‌تی در زمینه زیرساخت‌های سیستمی، نرم‌افزارهای زیرساختی، نرم‌افزارهای کاربردی و برون‌سپاری فرایندهای تجاری از راهکارهای سنتی به فناوری ابر منتقل می‌شوند. مسئله حفاظت از داده‌ها و جریانات کاری، از جمله مشکلات مهمی است که تیم‌های امنیتی در محیط ابر با آن مواجه هستند.
• در راستای حرکت به سمت فناوری ابری، باید مشخص کنید که نیروهای امنیتی شما نیازمند تقویت و ارتقا کدام مجموعه از مهارت‌ها هستند. بر اساس نظرسنجی که در بین 327 کارشناس امنیت سایبری و اعضای ISSA صورت گرفته، حدود 33 درصد از کمبودهای مهارت امنیت سایبری مربوط به حوزه‌های امنیت برنامه‌های کاربردی بوده و حدود 31 درصد به امنیت رایانش ابری مرتبط است. سازمان‌ها در حوزه‌هایی مثل تحقیقات و تحلیل‌های امنیتی (29 درصد)، مهندسی امنیت (26 درصد)، مدیریت ریسک و الزامات قانونی (21 درصد)، تمرین‌های تیم قرمز/ آزمون نفوذ (19 درصد)، امنیت شبکه (16 درصد)، بازرسی‌های امنیتی (14 درصد)، امنیت پایگاه داده (13 درصد) و امنیت رایانش همراه (13 درصد) دچار کمبود مهارت‌های امنیتی سایبری هستند. فقط حدود 4 درصد از این کارشناسان معتقد بودند که کمبود مهارت امنیت سایبری ندارند.
• یکی از چالش‌های مهم سازمان‌ها، تقویت مهارت‌های نیروهای امنیت سایبری خودشان برای رسیدگی به نیازهای امنیتی مختلف در محیط ابر است. تیم امنیت فعلی شما با سازمان شما، افراد و فرایندهای آن آشنایی دارد. می‌توانید آموزش‌های امنیت ابر این افراد را متناسب با نیازهای خاص کسب‌وکارتان تنظیم کنید. سازمان‌هایی مثل مؤسسه SANS و (ISC)2 هم می‌توانند آموزش‌ها و گواهینامه‌های لازم در زمینه امنیت ابر را ارایه دهند. آمازون نیز مجموعه‌ای از آموزش‌های رایگان یا کم هزینه‌ای در اختیار سازمان‌هایی که از وب سرویس‌های آن استفاده می‌کنند، قرار می‌دهد.

سوال 10. چگونه رسیدگی به کنترل‌های امنیتی ابر را الویت‌بندی کنیم؟

• رایانش ابری نیاز به کنترل‌های امنیتی خاصی دارد که برای حفاظت از داده‌ها، سرویس‌ها، برنامه‌های کاربردی و زیرساخت‌های مربوطه در برابر تهدیدات داخلی و خارجی، حریم خصوصی کاربران طراحی شده باشند و به صورت همزمان امکان رعایت الزامات قانونی را فراهم کنند.
• برای حفظ امنیت داده‌ها و رعایت الزامات قانونی در محیط ابر باید اطمینان حاصل کنید که ارایه‌دهنده سرویس ابر شما قابلیت‌های امنیتی لازم را داشته و این قابلیت‌ها با سازوکارهای امنیتی پیاده‌سازی شده در سایر نقاط شبکه توزیع شده‌تان، همخوانی داشته باشند.
• شرکت‌ها باید به کنترل‌های امنیت ابر زیر الویت دهند:
  • کنترل‌های مشخص شده در قوانینی که پیروی از آنها برای سازمان شما الزامی هستند (مثل قوانین PCI، HIPAA و غیره)؛
  • کنترل‌های توصیه شده برای محیط ابر و جریان کاری ابر (مثل استانداردهای امنیتی NIST، بنچمارک‌های CIS)؛
  • قابلیت دید امنیتی از جمله ثبت گزارش‌های ابر مثل AWS CloudTrail، ثبت گزارش‌های مفصل درباره وضعیت منابع، ثبت گزارش‌های برنامه‌های کاربردی، رفتار جریان کاری و غیره؛
  • سیاست حداقل دسترسی IAM؛
  • کنترل‌های کارگذار امنیت دسترسی ابر.

منبع: bankinfosecurity