چالش اریه دهندگان سرویسهای ابری برقراری امنیت محیطهای مجازی و همچنین برقراری امنیت اطلاعات اجاره کنندگان این سرویسها می باشد.
نیازهای امنیتی یک بانک و بررسی امنیت در بانک به صورت ابری
زینب بخشی / مدیرفنی شرکت ارتباط امن
شرکت ارتباط امن , 1 شهريور 1393 ساعت 11:36
چالش اریه دهندگان سرویسهای ابری برقراری امنیت محیطهای مجازی و همچنین برقراری امنیت اطلاعات اجاره کنندگان این سرویسها می باشد.
نیازهای امنیتی بانکها در حالت کلی
امنیت اطلاعات
وقتی صحبت از امنیت اطلاعات می شود، انتظار داریم مثلث امنیت اطلاعات(محرمانگی،در دسترس پذیری و صحت و جامعیت) را پوشش بدهد. از منظر اجرا سه عامل اصلی در تمامی پروژههای IT درگیر هستند: نیروی انسانی، فرایندها و فناوری. توضیح مختصری در مورد این سه عامل و تاثیر آنها بر ISMS خواهیم داشت.
نیروی انسانی از یک طرف مهمترین و از طرف دیگر ضعیف ترین عامل است. به این دلیل مهمترین است که ایجاد کننده یا اجرا کننده دو عامل دیگر نیروی انسانی است ولی چندان به آن توجه نمیشود. این در حالی است که اگر اطلاعرسانی و آموزش کافی داشته باشد، جلو بسیاری از موارد گرفته می شود.
فرآیندها و خط مشیهای سازمان در واقع شالوده ساختمان امنیتی هستند. بنابراین اگر این شالوده به طور صحیح ایجاد نشود، نمیتوان انتظار دستاورد خاصی داشت. فناوری عامل دیگری است که معمولا خیلی بیشتر از دو عامل دیگر به آن توجه میشود. وقتی صحبت از ارتقای امنیت میشود معمولا اولین چیزی که مد نظر قرار میگیرد سخت افزارها یا نرمافزارهای امنیتی است، این در حالی است که تاثیر آن به مراتب از دو عامل دیگر کمتر است. اگر فرایندها درست تعریف شوند و نیروی انسانی آموزش مناسب ببینند به مراتب بازدهی امنیتی بیشتری حاصل خواهد شد.
معماری امنیت اطلاعات
در شکل زیر عناصر موثر در امنیت نشان داده شده است. عوامل، ویژگیها و اطلاعات به سه شکل وجود دارند، که عبارتند از: دادههای ذخیره شده، در حال پردازش یا در حال انتقال. مکعبهای کوچک یکی از این عوامل را نشان میدهد.
در واقع امنیت در همه لایه ها باید دیده شود و بحث End point security مطرح است. نمی توان گفت من وبسایت را امن طراحی می کنم ولی چون فیشینگ مربوط به کاربر است به من ربطی ندارد. در واقع اگر آگاهی در مشتری ایجاد نشود، قطعا عواقب آن تمام سیستم را درگیر خواهد کرد. اگر نگاه کنیم مدیریت امنیت که تعامل بین انسان، فرآیندها و فناوری تعریف می شود ستون اصلی کار است که اگر از سیستم حذف شود، نباید انتظار خاصی داشته باشیم.
وقتی از مدیریت امنیت صحبت میکنیم چه مواردی را در بر می گیرد؟ مدیریت امنیت تمام فرایندها را از پایین ترین سطح که فناوری است تا بالاترین سطح که تدوین راهبردهای کلان امنیتی است دربر می گیرد. اصولا دستیابی به امنیت بدون برنامه ریزی و داشتن راهبردهای مشخص امکانپذیر نیست، این در حالی است که معمولا وقتی صحبت از امنیت می شود در بیشتر موارد فقط سطح پایین (فناوری) مد نظر قرار میگیرد.
از مهمترین راهبردهایی که انتظار میرود مدیریت امنیت ایجاد کند مدیریت مخاطرات(ریسک) است. در همین رابطه یک اشتباه رایجی وجود دارد. معمولا سازمانها تمایل دارند بگویند ما امن هستیم. این در حالی است که وجود امنیت در دنیا مفهوم خاصی ندارد، آنچه میتوان گفت این است که سازمان مخاطرات و امنیت خود را مدیریت میکند.
نکات مهم:
* امنیت فقط فناوری نیست و آنچه سازمان را امن تر می کند، مدیریت امنیت است. مدیریت امنیت نیز جدای از مدیریت ریسک نیست، برای هیچ چیزی نمیتوان بودجه امنیتی تعریف کرد مگر اینکه ریسک های آن مشخص شده باشد. یعنی اینکه برای هر هزینه باید مشخص شود اگر این هزینه صورت نگیرد چه چیزی را از دست می دهیم.
* امنیت یک زنجیره است، اگر به فرض مثال به عامل انسانی توجه نکنیم، قاعدتا این زنجیره به شکل محکم برقرار نخواهد بود.
چرا امنیت در بانکها مهمتر است؟
تا اینجا در مورد امنیت به عنوان یک موضوع کلی صحبت کردیم که در تمام بخشها مطرح است. اکنون میخواهیم بدانیم در بخش بانکی امنیت اطلاعات چه وضعیتی دارد؟
طبق یک پژوهش که در سال ۲۰۱۰ انجام شده است، در صدر عواملی که بانکها مشتاق به سرمایه گذاری در امر امنیت هستند، اعتماد مشتریان به چشم می خورد. بحث اعتماد شاید در هیچ صنعت دیگری اینقدر اهمیت نداشته باشد. ممکن است هک یک کارت ضرر مالی چندانی به بار نیاورد اما جنبه اعتماد عمومی آن خیلی ارزش دارد. سایر عوامل با اهمیت در این زمینه به ترتیب مباحث مالی، الزامات قانونی و تقاضای مشتریان است.
امنیت اطلاعات در صنعت بانکداری
برخی موارد امنیت اطلاعات در همه زمینه ها مشترک هستند ولی بانک ها نمی توانند هیچکدام از آنها را نادیده بگیرند یا اهمیت کمتری قایل شوند. این موارد که بانک ها باید توجه بیشتری بکنند عبارتند از: احراز هویت، صحت، دسترس پذیری و حفظ محرمانگی، مدیریت رخداد که از جنس فرآیندهاست، کنترل دسترسی و امنیت فیزیکی که هر کدام ملاحظات خاص خود را دارد. در موقع طراحی هر کدام از این فاکتورها در کنارشان باید مدیریت مخاطرات دیده شود.
بحث آموزش و آگاهی رسانی اهمیت زیادی دارد ودر تمام راهنماها و استانداردهای امنیتی بر این امر تاکید شده است. تطابق با الزامات قانونی، تداوم کسب و کار و حفظ حریم شخصی و قابلیت اعتماد از دیگر مواردی است که بانک ها باید توجه بیشتری به آنها نشان دهند.
بهمنظور درک علت باید مشکلات امنیتی را به بخشهای کوچکتر تجزیهکنیم. در سازمانهایی که از سرویسهای پردازش ابری استفاده میکنند، تمام مشکلات امنیتی در سه گروه اصلی جای میگیرند:
- امنیت پلتفرمی که در اقامتگاه سرویسدهنده ابری قرار دارد.
- امنیت ایستگاههای کاری (نقاط انتهایی) که در اقامتگاه کلاینتها قرار دارد.
- امنیت دادههایی که از نقاط انتهایی به پلتفرم ارسال میشود.
آخرین نگرانی امنیتی یادشده که همان امنیت دادهای انتقالی است، عملاً با استفاده از تکنیکهای کدگذاری، اتصالات ایمن و VPN حل شده است. تقریباً تمام سرویسهای جدید ابری از این سازوکارها پشتیبانی میکنند و امروزه انتقال اطلاعات از نقاط نهایی به پلتفرمها در یک فرآیند کاملاً ایمن انجام میگیرد.
بررسی امنیت در ابرها:
پلتفرم: مشکلات امنیتی مربوط به اعتبارسنجی و کارکرد سیستم
امروزه، بزرگترین کابوس مدیران IT وجود مشکلات امنیتی مربوط به عملکرد پلتفرمهای سرویسدهنده است. برای اغلب این افراد، یافتن شیوه مناسبی برای تأمین امنیت سیستمی که امکان کنترل مستقیم آن وجود ندارد، فرآیند سادهای نیست. پلتفرم سرویسهای ابری بهشکل یک سیستم متمرکز در اقامتگاه یک سازمان متفرقهایاست، بلکه اغلب در یک دیتاسنتر ناشناخته در کشوری نامعلوم قرار گرفته است.
به عبارت دیگر، اصلیترین مشکل امنیتی پردازش ابری از وجود اشکال در اعتبار (و اعتبارسنجی) سرویسدهندگان ناشی میشود و در واقع دنباله همان مشکلاتی است که در جریان محول کردن بخشی از امور سازمانها به تأمینکنندگان خارجی بروز میکند؛ متخصصان و مدیران سازمانها با محول کردن امور حیاتی مانند تأمین امنیت اطلاعات کاری خود به تأمینکنندگان خارجی نامأنوس هستند. به هر حال میتوان مطمئن بود که این مشکل نیز مانند مشکلات قبلی مربوط به تفویض اختیار انجام امور داخلی سازمانها به تأمینکنندگان متفرقه رفع شده و تمام نگرانیهای موجود درباره امنیت منابع از بین میرود.
حال این اظهارات برچه اساسی است؟ پیش از هرچیز، تأمین امنیت مرکز دادهای که دربرگیرنده منابع پردازشی هستند، برای سرویسدهندگان بسیار سادهتر است. علت این امر ویژگی توزیعشدگی (مقیاس) پردازش ابری است. از آنجا که سرویسدهندگان، خدمات خود را به تعداد زیادی از کاربران عرضه میکنند، امکان تأمین امنیت تمام کاربران را بهطور همزمان دارند و در نتیجه میتوانند از رویکردهای امنیتی مؤثرتر و پیچیدهتر بهره بگیرند.
البته، شرکتهای گوگل و مایکروسافت نسبت به شرکتهای کوچک و حتی مؤسسات بزرگی که از مراکزداده اختصاصی استفاده میکنند، منابع و امکانات بیشتری را برای تأمین امنیت اطلاعات در اختیار دارند.
دوم این که استفاده از سرویسهای ابری بین سازمانهای مشتری و سرویسدهنده همواره براساس کیفیت مورد توافق طرفین در قراردادهایی انجام میشود که تمام مسئولیتهای سرویسدهنده را در رابطه با مشکلات امنیتی پیشبینی کردهاند.
سوم این که ادامه کار سرویسدهندگان بهطورمستقیم به سوابق کاری آنان مربوط است و به همین دلیل، همواره سعی میکنند امنیت اطلاعات را در بالاترین سطح ممکن تأمین کنند.
مشتریهای پلتفرمهای ابری علاوه بر مشکلات اعتباری و ارزیابی اعتبار، در مورد مشکلات امنیتی مربوط به نحوه عملکرد سیستمهای ابری نیز نگرانیهایی دارند. با وجود این که بسیاری از سیستمهای خانگی (در نتیجه تکامل درازمدت) از این ویژگی برخوردارند، هنگام استفاده از سرویسهای ابری، اوضاع بسیار پیچیدهتر میشود.
مؤسسه تحقیقاتی گارتنر در یک مقاله کوتاه با عنوان «ارزیابی خطرات امنیتی پردازش ابری» به بررسی هفت مورد از مهمترین مشکلات امنیتی سرویسهای ابری میپردازد. اغلب این مشکلات به نحوه عملکرد سیستمهای ابری مربوط میشوند. مؤسسه گارتنر بهویژه بررسی سیستمهای ابری را از جنبههای توزیع حق دسترسی به اطلاعات، قابلیتهای بازیابی اطلاعات، پشتیبانیهای تحقیقی و بازبینیهای دورهای توصیه میکند.
آیا محدودیتی وجود دارد که پیادهسازی عملی این ویژگیها را غیرممکن کند؟ پاسخ قطعاً منفی است. هر اقدامی که امکان انجام آن در یک سازمان وجود دارد، انجام آن توسط یک سیستم ابری نیز امکانپذیر است. اصولاً مشکلات امنیتی به نحوه طراحی محصولات و سرویسهای ابری بستگی دارند. پیش از ورود به بحث امنیت پلتفرمهای پردازش ابری باید مشکلات قانونی و ممیزی مهمی را برطرف کنید.
مشکل زمانی بروز میکند که تفکیک اطلاعات بین کلاینت یک سرویسدهنده در یک محیط ابری انجام میشود و این تفکیک معمولاً فرآیند اطمینان از رعایت قوانین مدون و استانداردها را پیچیدهتر میکند. با وجود این که مشکل مذکور بسیار بااهمیت است، شکی وجود ندارد که این مشکل نیز دیر یا زود حل میشود. از یک طرف با توسعه پردازش ابری، فناوریهای مورد استفاده برای نظارت بر اجرای قوانین نیز بهبود مییابد. از طرف دیگر قانونگذاران پیچیدگیهای فنی محیط پردازش ابری را در قوانین جدی درنظر میگیرند.
بهطور خلاصه، نگرانیهای موجود در رابطه با امنیت اطلاعات تا جایی که به بخش پلتفرم از محیط پردازش ابری مربوط میشود، ما را به این نتیجه میرساند که بالاخره تمام مشکلات شناساییشده توسطکاربران امروزی سیستمهای ابری، به طور موفقیتآمیز برطرف خواهد شد. در پردازش ابری هیچ نوع محدودیت انتزاعی وجود ندارد.
نقاط انتهایی: ادامه مشکلات و وخیمتر شدن اوضاع
در یک «دنیای ابری» ایدهآل از آنجا که اطلاعات درون تجهیزات ذخیره نمیشود، امنیت پردازش ابری در سطح پلتفرم و از طریق ارتباط با تجهیزات جانبی تأمین میشود. این مدل هنوز برای استفاده عملی مناسب نیست و اطلاعاتی که به پلتفرم میرسد، در حقیقت، در نقاط انتهایی سیستم ساخته، پردازش و ذخیره میشود.
بهاین ترتیب به نظر میرسد، تجهیزات جانبی محیطهای ابری همواره درگیر مشکلات امنیتی خواهند بود. در حقیقت، براساس یک تئوری قویتر این مشکلات به مرورزمان وخیمترهم میشوند. برای درک بهتر علت ماجرا اجازه دهید بعضی از مدلهای پردازش خانگی اطلاعات را در قالب نمودار با شرایط محیط ابری مقایسهکنیم (شکلهای ۳ و۴).
شکل ۳- تهدیدات امنیتی مربوط به مدل سنتی اجرای نرمافزارها
شکل ۴- تهدیدات امنیتی در یک محیط ابری سازمانی
در هر مورد، اغلب تهدیدات امنیتی از جانب شبکه جهانی و ورود به زیرساخت سازمانی کلاینت ایجاد میشوند. در سیستم خانگی مشکل اصلی هنگام تعامل با پلتفرم بروز میکند، اما در محیط ابری نقاط انتهایی محافظت نشده دچار مشکلات امنیتی میشوند. چنانکه پیش از این گفتهشد، سطح امنیتی پلتفرمهایابریجهانی مانند گوگل و مایکروسافت به دلیل بهرهمندی از امکانات و قابلیتهای بسیار زیاد، متخصصان حرفهای و منابع نامحدود بسیار بالاتر از سطح امنیتی است که توسط سیستمهای مستقل سازمانی تأمین میشود. به همین دلیل، مهاجمان خارجی از بینتیجه ماندن حملههای خود نسبت به سرویسدهندگان حفاظت شده اطمینان دارند.
در نتیجه، مجرمان دنیای مجازی حملههای خود را متوجه تجهیزات جانبی دنیای ابری میکنند. مفهوم اصلی پردازش ابری که شامل دسترسی همیشگی و بدون محدودیت مکانی به یک پلتفرم است، احتمال وقوع چنین وقایعی را افزایش میدهد.
با بررسی تعداد حملهها به کامپیوترهایی که در نقاط انتهایی سیستم قرار دارند، سرویسهای امنیتی اطلاعات سازمانی باید به گونهای تغییر کنند که بتوانند از تجهیزات جانبی محیط ابری محافظت کنند. انجام این کار برای تأمین امنیت اطلاعات سازمانی حیاتی است.
کد مطلب: 7935