امنیت ابری: درک مدل مسئولیت مشترک

محاسبات ابری روش کار سازمان‌ها را متحول کرده و مقیاس‌پذیری، انعطاف‌پذیری و مقرون‌به‌صرفه بودن را ارائه می‌دهد. با این حال، این تغییر پارادایم چالش‌های امنیتی منحصربه‌فردی را نیز به همراه دارد. یک مفهوم اساسی برای پیمایش این چالش‌ها، مدل مسئولیت مشترک است. این مدل مسئولیت‌های امنیتی بین ارائه‌دهنده خدمات ابری و مشتری را روشن می‌کند و یک محیط ابری امن را تضمین می‌کند.

مدل مسئولیت مشترک چیست؟

مدل مسئولیت مشترک تعهدات امنیتی متمایز ارائه‌دهنده خدمات ابری (CSP) و مشتری استفاده‌کننده از خدمات آنها را تعریف می‌کند. این یک راه حل «یک اندازه مناسب همه» نیست. ویژگی‌های خاص بسته به نوع سرویس ابری مستقر شده متفاوت است: زیرساخت به عنوان سرویس (IaaS)، پلتفرم به عنوان سرویس (PaaS) یا نرم‌افزار به عنوان سرویس (SaaS).

اساساً، CSP مسئول امنیت از ابر است، در حالی که مشتری مسئول امنیت در ابر است. این تمایز برای مدیریت موثر امنیت ابری بسیار مهم است.

مسئولیت‌های ارائه‌دهنده خدمات ابری (CSP)

CSP مسئول حفظ زیرساخت فیزیکی و امنیت اساسی محیط ابری است. این شامل:

• امنیت فیزیکی: ایمن‌سازی مراکز داده، سخت‌افزار و زیرساخت شبکه در برابر تهدیدات فیزیکی، از جمله دسترسی غیرمجاز، بلایای طبیعی و قطع برق. به عنوان مثال، AWS، Azure و GCP همگی مراکز داده بسیار امن را با لایه‌های متعدد حفاظت فیزیکی نگهداری می‌کنند.
• امنیت زیرساخت: محافظت از زیرساخت اساسی که از خدمات ابری پشتیبانی می‌کند، از جمله سرورها، ذخیره‌سازی و تجهیزات شبکه. این شامل وصله کردن آسیب‌پذیری‌ها، پیاده‌سازی فایروال‌ها و سیستم‌های تشخیص نفوذ است.
• امنیت شبکه: اطمینان از امنیت و یکپارچگی شبکه ابری. این شامل محافظت در برابر حملات DDoS، بخش‌بندی شبکه و رمزگذاری ترافیک است.
• امنیت مجازی‌سازی: ایمن‌سازی لایه مجازی‌سازی، که به چندین ماشین مجازی اجازه می‌دهد تا روی یک سرور فیزیکی اجرا شوند. این برای جلوگیری از حملات متقابل VM و حفظ جداسازی بین مستاجران بسیار مهم است.
• انطباق و گواهینامه‌ها: حفظ انطباق با مقررات صنعت و گواهینامه‌های امنیتی مربوطه (به عنوان مثال، ISO 27001، SOC 2، PCI DSS). این اطمینان می‌دهد که CSP به استانداردهای امنیتی ایجاد شده پایبند است.

مسئولیت‌های مشتری ابری

مسئولیت‌های امنیتی مشتری بستگی به نوع سرویس ابری مورد استفاده دارد. با حرکت از IaaS به PaaS به SaaS، مشتری مسئولیت کمتری را بر عهده می‌گیرد، زیرا CSP بخش بیشتری از زیرساخت اساسی را مدیریت می‌کند.

زیرساخت به عنوان سرویس (IaaS)

در IaaS، مشتری بیشترین کنترل و بنابراین بیشترین مسئولیت را دارد. آنها مسئول موارد زیر هستند:

• امنیت سیستم عامل: وصله کردن و تقویت سیستم عامل‌های در حال اجرا بر روی ماشین‌های مجازی خود. عدم وصله کردن آسیب‌پذیری‌ها می‌تواند سیستم‌ها را در برابر حملات باز بگذارد.
• امنیت برنامه: ایمن‌سازی برنامه‌هایی که در فضای ابری مستقر می‌کنند. این شامل پیاده‌سازی شیوه‌های کدنویسی ایمن، انجام ارزیابی آسیب‌پذیری و استفاده از فایروال‌های برنامه وب (WAF) است.
• امنیت داده: محافظت از داده‌های ذخیره شده در فضای ابری. این شامل رمزگذاری داده‌ها در حالت استراحت و در حال انتقال، پیاده‌سازی کنترل‌های دسترسی و پشتیبان‌گیری منظم از داده‌ها است. به عنوان مثال، مشتریانی که پایگاه‌های داده را در AWS EC2 مستقر می‌کنند، مسئول پیکربندی رمزگذاری و سیاست‌های دسترسی هستند.
• مدیریت هویت و دسترسی (IAM): مدیریت هویت‌های کاربر و امتیازات دسترسی به منابع ابری. این شامل پیاده‌سازی احراز هویت چند عاملی (MFA)، استفاده از کنترل دسترسی مبتنی بر نقش (RBAC) و نظارت بر فعالیت کاربر است. IAM اغلب اولین خط دفاعی است و برای جلوگیری از دسترسی غیرمجاز بسیار مهم است.
• پیکربندی شبکه: پیکربندی گروه‌های امنیتی شبکه، فایروال‌ها و قوانین مسیریابی برای محافظت از شبکه‌های مجازی خود. قوانین شبکه پیکربندی نادرست می‌توانند سیستم‌ها را در معرض اینترنت قرار دهند.

مثال: سازمانی که وب‌سایت تجارت الکترونیکی خود را در AWS EC2 میزبانی می‌کند. آنها مسئول وصله کردن سیستم عامل سرور وب، ایمن‌سازی کد برنامه، رمزگذاری داده‌های مشتری و مدیریت دسترسی کاربر به محیط AWS هستند.

پلتفرم به عنوان سرویس (PaaS)

در PaaS، CSP زیرساخت اساسی، از جمله سیستم عامل و محیط زمان اجرا را مدیریت می‌کند. مشتری در درجه اول مسئول موارد زیر است:

• امنیت برنامه: ایمن‌سازی برنامه‌هایی که در پلتفرم توسعه و مستقر می‌کنند. این شامل نوشتن کد ایمن، انجام آزمایش امنیتی و وصله کردن آسیب‌پذیری‌ها در وابستگی‌های برنامه است.
• امنیت داده: محافظت از داده‌های ذخیره شده و پردازش شده توسط برنامه‌های خود. این شامل رمزگذاری داده‌ها، پیاده‌سازی کنترل‌های دسترسی و رعایت مقررات حفظ حریم خصوصی داده‌ها است.
• پیکربندی سرویس‌های PaaS: پیکربندی ایمن سرویس‌های PaaS مورد استفاده. این شامل تنظیم کنترل‌های دسترسی مناسب و فعال کردن ویژگی‌های امنیتی ارائه شده توسط پلتفرم است.
• مدیریت هویت و دسترسی (IAM): مدیریت هویت‌های کاربر و امتیازات دسترسی به پلتفرم و برنامه‌های PaaS.

مثال: شرکتی که از Azure App Service برای میزبانی یک برنامه وب استفاده می‌کند. آنها مسئول ایمن‌سازی کد برنامه، رمزگذاری داده‌های حساس ذخیره شده در پایگاه داده برنامه و مدیریت دسترسی کاربر به برنامه هستند.

نرم‌افزار به عنوان سرویس (SaaS)

در SaaS، CSP تقریباً همه چیز، از جمله برنامه، زیرساخت و ذخیره‌سازی داده را مدیریت می‌کند. مسئولیت‌های مشتری معمولاً محدود به موارد زیر است:

• امنیت داده (درون برنامه): مدیریت داده‌ها در برنامه SaaS مطابق با سیاست‌های سازمان خود. این ممکن است شامل طبقه‌بندی داده‌ها، سیاست‌های نگهداری و کنترل‌های دسترسی ارائه شده در برنامه باشد.
• مدیریت کاربر: مدیریت حساب‌های کاربری و مجوزهای دسترسی در برنامه SaaS. این شامل تهیه و لغو تهیه کاربران، تنظیم رمزهای عبور قوی و فعال کردن احراز هویت چند عاملی (MFA) است.
• پیکربندی تنظیمات برنامه SaaS: پیکربندی تنظیمات امنیتی برنامه SaaS مطابق با سیاست‌های امنیتی سازمان خود. این شامل فعال کردن ویژگی‌های امنیتی ارائه شده توسط برنامه و پیکربندی تنظیمات اشتراک‌گذاری داده است.
• حاکمیت داده: اطمینان از اینکه استفاده آنها از برنامه SaaS با مقررات مربوط به حفظ حریم خصوصی داده‌ها و استانداردهای صنعت (به عنوان مثال، GDPR، HIPAA) مطابقت دارد.

مثال: کسب و کاری که از Salesforce به عنوان CRM خود استفاده می‌کند. آنها مسئول مدیریت حساب‌های کاربری، پیکربندی مجوزهای دسترسی به داده‌های مشتری و اطمینان از اینکه استفاده آنها از Salesforce با مقررات حفظ حریم خصوصی داده‌ها مطابقت دارد، هستند.

تصویرسازی مدل مسئولیت مشترک

مدل مسئولیت مشترک را می‌توان به صورت یک کیک لایه‌ای تجسم کرد که در آن CSP و مشتری مسئولیت لایه‌های مختلف را به اشتراک می‌گذارند. در اینجا یک نمایش رایج وجود دارد:

IaaS:

• CSP: زیرساخت فیزیکی، مجازی‌سازی، شبکه‌سازی، ذخیره‌سازی، سرورها
• مشتری: سیستم عامل، برنامه‌ها، داده‌ها، مدیریت هویت و دسترسی

PaaS:

• CSP: زیرساخت فیزیکی، مجازی‌سازی، شبکه‌سازی، ذخیره‌سازی، سرورها، سیستم عامل، زمان اجرا
• مشتری: برنامه‌ها، داده‌ها، مدیریت هویت و دسترسی

SaaS:

• CSP: زیرساخت فیزیکی، مجازی‌سازی، شبکه‌سازی، ذخیره‌سازی، سرورها، سیستم عامل، زمان اجرا، برنامه‌ها
• مشتری: داده‌ها، مدیریت کاربر، پیکربندی

ملاحظات کلیدی برای پیاده‌سازی مدل مسئولیت مشترک

پیاده‌سازی موفقیت‌آمیز مدل مسئولیت مشترک نیازمند برنامه‌ریزی و اجرای دقیق است. در اینجا برخی از ملاحظات کلیدی آورده شده است:

• مسئولیت‌های خود را درک کنید: مستندات و توافق‌نامه‌های خدمات CSP را به دقت بررسی کنید تا مسئولیت‌های امنیتی خاص خود را برای سرویس ابری انتخاب شده درک کنید. بسیاری از ارائه‌دهندگان، مانند AWS، Azure و GCP، مستندات دقیق و ماتریس‌های مسئولیت را ارائه می‌دهند.
• کنترل‌های امنیتی قوی را پیاده‌سازی کنید: کنترل‌های امنیتی مناسب را برای محافظت از داده‌ها و برنامه‌های خود در فضای ابری پیاده‌سازی کنید. این شامل پیاده‌سازی رمزگذاری، کنترل‌های دسترسی، مدیریت آسیب‌پذیری و نظارت امنیتی است.
• از سرویس‌های امنیتی CSP استفاده کنید: از سرویس‌های امنیتی ارائه شده توسط CSP برای افزایش وضعیت امنیتی خود استفاده کنید. نمونه‌هایی از این موارد عبارتند از AWS Security Hub، Azure Security Center و Google Cloud Security Command Center.
• امنیت را خودکار کنید: وظایف امنیتی را تا حد امکان برای بهبود کارایی و کاهش خطر خطای انسانی خودکار کنید. این می‌تواند شامل استفاده از ابزارهای زیرساخت به عنوان کد (IaC) و پلتفرم‌های اتوماسیون امنیتی باشد.
• نظارت و حسابرسی: به طور مداوم محیط ابری خود را برای تهدیدات و آسیب‌پذیری‌های امنیتی نظارت کنید. به طور منظم کنترل‌های امنیتی خود را حسابرسی کنید تا از موثر بودن آنها اطمینان حاصل کنید.
• تیم خود را آموزش دهید: آموزش امنیتی را برای تیم خود ارائه دهید تا اطمینان حاصل کنید که آنها مسئولیت‌های خود را درک می‌کنند و می‌دانند چگونه به طور ایمن از سرویس‌های ابری استفاده کنند. این امر به ویژه برای توسعه‌دهندگان، مدیران سیستم و متخصصان امنیتی مهم است.
• به روز بمانید: امنیت ابری یک زمینه دائماً در حال تحول است. از آخرین تهدیدات امنیتی و بهترین شیوه‌ها مطلع باشید و استراتژی امنیتی خود را بر اساس آن تطبیق دهید.

نمونه‌های جهانی از مدل مسئولیت مشترک در عمل

مدل مسئولیت مشترک به صورت جهانی اعمال می‌شود، اما اجرای آن بسته به مقررات منطقه‌ای و الزامات خاص صنعت می‌تواند متفاوت باشد. در اینجا چند نمونه آورده شده است:

• اروپا (GDPR): سازمان‌های فعال در اروپا باید با مقررات عمومی حفاظت از داده‌ها (GDPR) مطابقت داشته باشند. این بدان معناست که آنها مسئول محافظت از داده‌های شخصی شهروندان اتحادیه اروپا هستند که در فضای ابری ذخیره می‌شوند، صرف نظر از اینکه ارائه‌دهنده خدمات ابری در کجا قرار دارد. آنها باید اطمینان حاصل کنند که CSP اقدامات امنیتی کافی را برای مطابقت با الزامات GDPR ارائه می‌دهد.
• ایالات متحده (HIPAA): سازمان‌های بهداشتی در ایالات متحده باید با قانون قابلیت انتقال و پاسخگویی بیمه سلامت (HIPAA) مطابقت داشته باشند. این بدان معناست که آنها مسئول محافظت از حریم خصوصی و امنیت اطلاعات سلامت محافظت شده (PHI) هستند که در فضای ابری ذخیره می‌شوند. آنها باید یک توافق‌نامه شریک تجاری (BAA) با CSP منعقد کنند تا اطمینان حاصل شود که CSP با الزامات HIPAA مطابقت دارد.
• صنعت خدمات مالی (مقررات مختلف): موسسات مالی در سراسر جهان مشمول مقررات سختگیرانه‌ای در مورد امنیت داده‌ها و انطباق هستند. آنها باید به دقت کنترل‌های امنیتی ارائه شده توسط CSPها را ارزیابی کرده و اقدامات امنیتی بیشتری را برای برآورده کردن الزامات نظارتی پیاده‌سازی کنند. نمونه‌هایی از این موارد عبارتند از PCI DSS برای مدیریت داده‌های کارت اعتباری و مقررات مختلف بانکداری ملی.

چالش‌های مدل مسئولیت مشترک

علیرغم اهمیت آن، مدل مسئولیت مشترک می‌تواند چندین چالش را ایجاد کند:

• پیچیدگی: درک تقسیم مسئولیت‌ها بین CSP و مشتری می‌تواند پیچیده باشد، به ویژه برای سازمان‌هایی که تازه وارد محاسبات ابری شده‌اند.
• فقدان شفافیت: مستندات CSP ممکن است همیشه در مورد مسئولیت‌های امنیتی خاص مشتری شفاف نباشد.
• پیکربندی نادرست: مشتریان ممکن است منابع ابری خود را به اشتباه پیکربندی کنند و آنها را در برابر حملات آسیب‌پذیر بگذارند.
• شکاف مهارتی: سازمان‌ها ممکن است مهارت‌ها و تخصص لازم برای ایمن‌سازی موثر محیط ابری خود را نداشته باشند.
• قابلیت مشاهده: حفظ قابلیت مشاهده در وضعیت امنیتی محیط ابری می‌تواند چالش برانگیز باشد، به ویژه در محیط‌های چند ابری.

بهترین شیوه‌ها برای امنیت ابری در مدل مسئولیت مشترک

برای غلبه بر این چالش‌ها و اطمینان از یک محیط ابری امن، سازمان‌ها باید بهترین شیوه‌های زیر را اتخاذ کنند:

• مدل امنیتی اعتماد صفر را اتخاذ کنید: یک مدل امنیتی اعتماد صفر را پیاده‌سازی کنید، که فرض می‌کند هیچ کاربر یا دستگاهی به طور پیش‌فرض مورد اعتماد نیست، صرف نظر از اینکه در داخل یا خارج از محیط شبکه هستند.
• دسترسی با کمترین امتیاز را پیاده‌سازی کنید: فقط حداقل سطح دسترسی مورد نیاز برای انجام وظایف شغلی خود را به کاربران اعطا کنید.
• از احراز هویت چند عاملی (MFA) استفاده کنید: MFA را برای همه حساب‌های کاربری فعال کنید تا از دسترسی غیرمجاز محافظت کنید.
• داده‌ها را در حالت استراحت و در حال انتقال رمزگذاری کنید: داده‌های حساس را در حالت استراحت و در حال انتقال رمزگذاری کنید تا از دسترسی غیرمجاز محافظت کنید.
• نظارت و ثبت رویدادهای امنیتی را پیاده‌سازی کنید: نظارت و ثبت رویدادهای امنیتی قوی را برای شناسایی و پاسخگویی به حوادث امنیتی پیاده‌سازی کنید.
• ارزیابی‌های آسیب‌پذیری و آزمایش نفوذ منظم را انجام دهید: به طور منظم محیط ابری خود را برای آسیب‌پذیری‌ها ارزیابی کنید و آزمایش نفوذ را برای شناسایی نقاط ضعف انجام دهید.
• وظایف امنیتی را خودکار کنید: وظایف امنیتی مانند وصله کردن، مدیریت پیکربندی و نظارت امنیتی را برای بهبود کارایی و کاهش خطر خطای انسانی خودکار کنید.
• یک برنامه پاسخگویی به حوادث امنیتی ابری را توسعه دهید: یک برنامه برای پاسخگویی به حوادث امنیتی در فضای ابری توسعه دهید.
• یک CSP با شیوه‌های امنیتی قوی انتخاب کنید: یک CSP با سابقه اثبات شده در زمینه امنیت و انطباق انتخاب کنید. به دنبال گواهینامه‌هایی مانند ISO 27001 و SOC 2 باشید.

آینده مدل مسئولیت مشترک

احتمالاً مدل مسئولیت مشترک با ادامه بلوغ محاسبات ابری تکامل خواهد یافت. می‌توانیم انتظار داشته باشیم که:

• افزایش اتوماسیون: CSPها به خودکارسازی وظایف امنیتی بیشتری ادامه خواهند داد و ایمن‌سازی محیط‌های ابری خود را برای مشتریان آسان‌تر می‌کنند.
• سرویس‌های امنیتی پیچیده‌تر: CSPها سرویس‌های امنیتی پیچیده‌تری مانند تشخیص تهدید با هوش مصنوعی و پاسخگویی خودکار به حوادث را ارائه خواهند داد.
• تاکید بیشتر بر انطباق: الزامات نظارتی برای امنیت ابری سختگیرانه‌تر می‌شوند و سازمان‌ها را ملزم به نشان دادن انطباق با استانداردها و مقررات صنعت می‌کنند.
• مدل سرنوشت مشترک: یک تکامل بالقوه فراتر از مدل مسئولیت مشترک، مدل "سرنوشت مشترک" است، جایی که ارائه دهندگان و مشتریان حتی بیشتر با یکدیگر همکاری می کنند و انگیزه های همسو برای نتایج امنیتی دارند.

نتیجه‌گیری

مدل مسئولیت مشترک یک مفهوم حیاتی برای هر کسی است که از محاسبات ابری استفاده می‌کند. با درک مسئولیت‌های CSP و مشتری، سازمان‌ها می‌توانند یک محیط ابری امن را تضمین کرده و از داده‌های خود در برابر دسترسی غیرمجاز محافظت کنند. به یاد داشته باشید که امنیت ابری یک تلاش مشترک است که نیازمند هوشیاری و همکاری مداوم است.

با پیروی دقیق از بهترین شیوه‌های ذکر شده در بالا، سازمان شما می‌تواند با اطمینان از پیچیدگی‌های امنیت ابری عبور کرده و پتانسیل کامل محاسبات ابری را باز کند و در عین حال یک وضعیت امنیتی قوی در مقیاس جهانی حفظ کند.