ملاحظات امنيتی محاسبات ابری (قسمت دوم)

IRCAR201304169
تاريخ: 26/01/92

مقدمه
در قسمت اول از سري مقالات امنيت ابر خصوصي، ملزومات ابر خصوصي را بررسي كرديم. بسياري از مردم معتقدند كه ابر خصوصي كمي متفاوت تر از چيزي است كه در حال حاضر دارند، و بسياري ديگر معتقدند كه ابر تنها يك مركز داده مجازي شده مي باشد. هر دو فرضيه اشتباه است و دلايل آن در قسمت اول اين مقالات توضيح داده شده است.
يك ابر (خصوص يا عمومي) بايد داراي پنج مشخصه زير باشد تا بتوان آن را به عنوان يك ابر در نظر گرفت:

• سلف سرويس
• دسترسي به شبكه گسترده
• قابليت ارتجاعي
• استرداد
• مديريت منابع

مادامي كه يك مركز داده سنتي ممكن است برخي از اين مشخصه ها را دربر گيرد، بعيد است كه بتواند تمام اين مشخصه ها را شامل شود. و اگر يك مركز داده اين پنچ مشخصه را پشتيباني نكند، اين احتمال وجود دارد كه برخي از مشخصه ها به كار برده نشود و در نتيجه كل سيستم نتواند بهره وري كافي را داشته باشد.
اما امنيت چيست؟ امنيت در ابر خصوصي بسيار شبيه به امنيت در مركز داده سنتي است. در ابر خصوصي بايد نگران امنيت شبكه، احراز هويت، تفويض اختيار و مميزي باشيد و بايد مديريت هويت را جدي بگيريد. هم چنين لازم است تا مسائل امنيتي در كليه لايه هاي شبكه و محاسبات پشته مورد توجه قرار گيرند. در مورد امنيت ابر خصوصي هيچ مورد جادويي يا انقلابي وجود ندارد. تنها مورد منحصر به فرد در ابر خصوصي آن است كه بايد بر روي اولويت هاي امنيتي در مناطق خاص توجه ويژه اي داشته باشيد.
يك راه براي فكر كردن در مورد مسائل امنيتي كه مختص به ابر خصوصي است، فكر كردن درباره تاثيرات امنيتي پنچ مشخصه مي باشد كه يك راه حل محاسبات ابري را توصيف مي كند. به عنوان مثال، چگونه بايد درباره امنيت يك محاسبه سلف سرويس فكر كرد؟ امنيت در رابطه با دسترسي به شبكه گسترده چگونه مي تواند باشد؟ با توجه به اين رويكرد، مي توان ملزومات امنيتي در پنج مشخصه ابر خصوصي را مورد بررسي قرار داد. در اين مقاله به توضيح چگونگي اعمال امنيت در مشخصه سلف سرويس مي پردازيم.

امنيت سلف سرويس
مشخصه سلف سرويس به مشتريان يك ابر خصوصي اجازه مي دهد تا شبكه، حافظه و منابع ذخيره سازي مورد نظر را بر مبناي توانايي مالي خود بدست آورند. علاوه بر اين، اگر شما PaaS (پلت فرم به عنوان يك سرويس) يا SaaS (نرم افزار به عنوان يك سرويس) را در ابر خصوصي مستقر نماييد، مشتريان اين ابر خصوصي مي توانند از اين نرم افزارها و پلت فرم ها استفاده نمايند. اما نتايج و اثرات سلف سرويس چيست و چگونه مي تواند امنيت آن را تحت تاثير قرار دهد؟
اولين چيزي كه به ذهن مي رسد، اين واقعيت است كه شما نمي توانيد كليه كارهاي صورت گرفته در مركز داده و يا حتي سيستم عامل هايي كه در مركز داده در حال اجرا هستند، را كنترل نماييد. برخلاف يك مركز داده سنتي كه شما يك سيستم عامل را نصب مي كنيد و سپس يك نرم افزار بار كاري را نصب مي كنيد، در ابر خصوصي سلف سرويس مشتريان خدمات ابر شما، بر اساس مدل هاي خدماتي كه شما مي خواهيد در دسترس مشتريان قرار دهيد، از سيستم عامل هاي جديد استفاده مي كنند، برنامه هاي كاربردي جديد ايجاد مي نمايند و خدماتي كه ارائه مي دهيد را اجرا مي نمايند.
اين كار باعث مي شود تا نتوانيد كليه كارهايي كه در محيط ابر خصوصي شما اتفاق مي افتد را به خوبي كنترل نماييد. در محيط ابر خصوصي، در بسياري از بخش ها نمي دانيد كه مشتريان شما با منابعي كه در زيرساخت ابر خصوصي وجود دارد چه كارهايي انجام مي دهند.
اين بدان معناست كه بايد در رابطه با قابليت هاي نظارت، هشدار و گزارش گيري بسيار فعال باشيد. لازم است كه زيرساخت ابر قادر باشد تا به شما اطلاع دهد كه مشتريان ابر چگونه از زيرساخت استفاده مي كنند و بايد هنگامي كه از منابع استفاده اي نادرست مي شود بتواند به شما اطلاع دهد. علاوه بر اين، بايد بتواند روزانه يك گزارش دهي جامع ارائه دهد تا بتوان در صورت لزوم اطلاعات آن را تجزيه و تحليل نمود.
ابزارهاي نظارت، هشدار و گزارش گيري بايد به منظور پشتيباني از زيرساخت ابر خصوصي سلف سرويس به روز رساني و جايگزين شوند. بسياري از ابزارهايي كه امروزه در يك مركز داده مورد استفاده قرار مي گيرند، مي توانند زيرساخت هاي نرم افزاري و سخت افزاري را كنترل نمايند و مي توان به منظور فعال نمودن سرويس هاي محاسباتي مورد نياز، دستورات كاري خاصي را بر روي آن ها ايجاد كرد. در محيط ابر خصوصي، از سلف سرويس استفاده مي شود زيرا به لحاظ اجرايي نيازي به تعامل بين مشتري سرويس ابر و مديران زيرساخت ابر وجود ندارد. كاربران تنها آنچه را كه از خدمات شما نياز دارند، انتخاب كرده و از آن استفاده مي كنند.

ملاحظات امنيتي ديگر در رابطه با سلف سرويس
در حالي كه زيرساخت نظارت، هشدار و گزارش گيري، احتمالا مهم ترين موضوع مورد توجه در مشخصه سلف سرويس ابر خصوصي مي باشد، مسائل ديگري نيز وجود دارند كه بايد در رابطه با امنيت سلف سرويس مورد توجه قرار بگيرند. اين موارد عبارتند از:

• چگونه تصميم مي گيريد كه چه كسي اين حق را دارد كه از خدمات ابر استفاده نمايد؟
• آيا احراز هويت، تفويض هويت و حسابرسي و زيرساخت ابر اين توانايي را دارد كه حقوق دسترسي را براي درخواست هاي خاص در فهرست خدمات شما حوزه بندي كند يا آيا كساني كه اين حق را دارند كه از خدمات ابر استفاده نمايند، مي توانند از موارد ديگري كه در فهرست خدمات وجود دارد، استفاده نمايند؟
• آيا راه حل خودكاري براي پاسخ گويي به حملات انكار سرويس (DoS) وجود دارد؟
• آيا مكانيزمي وجود دارد تا اطمينان دهد مشتريان سلف سرويس نمي توانند از نقش مشتري به نقش مدير ابر تغيير يابند؟
• آيا راهي وجود دارد كه رفتارهاي سيستم عامل و خدماتي كه مشتريان سلف سرويس شما نصب خواهند كرد را كنترل نمايد؟
• آيا راهي وجود دارد كه هويت مشتريان سلف سرويس را تشخيص دهد؟

شما هنگام كار در يك محيط IT جديد كه كارهاي مشتريان، فعاليت هاي مركز داده را تشكيل مي دهد، بايد برخي از مسائل امنيتي را مورد توجه قرار دهيد. يكي از مسائل مهم، استفاده از اتوماسيون است. اتوماسيون مي تواند در نظارت، هشدار و گزارش گيري به شما كمك نمايد و هم چنين نياز است تا براي امنيت كارهايي كه بر روي زيرساخت ابر انجام مي گيرد از اتوماسيون استفاده كرد.

خلاصه
در اين مقاله، به مسائل امنيتي مربوط به مشخصه هاي ابر خصوصي و فكر كردن درباره تاثيرات امنيتي اين پنچ مشخصه اشاره كرديم. سپس به توضيح امنيت مشخصه سلف سرويس پرداختيم. اشاره شد كه يكي از نگراني هاي امنيتي در رابطه با اين مشخصه آن است كه ITنمي تواند بر روي سيستم عامل ها و كارهايي كه در مركز داده اجرا مي شود، كنترل كاملي داشته باشد. در قسمت سوم اين مقالات توضيح داده مي شود كه چگونه مشخصه "دسترسي به شبكه گسترده" ابر خصوصي، امنيت را تحت تاثير قرار مي دهد.

مطالب مرتبط:
ملاحظات امنيتي پردازش ابري (قسمت اول)- پلتفرم مجازي سازي (بخش دوم)
ملاحظات امنيتي محاسبات ابري (قسمت اول)- پلتفرم مجازي سازي (بخش اول)
محاسبات ابري و چالش‌هاي امنيتي آن
ابر خصوصي مايكروسافت- مروري بر امنيت Hypervisor (قسمت اول)
ابر خصوصي مايكروسافت- مروري بر امنيت Hypervisor (قسمت دوم)