تبلیغات
کامپیوترستان - امنیت در فضای ابری
چهارشنبه 29 تیر 1390

امنیت در فضای ابری

• نوع مطلب: متفرقه ،
• نوشته شده توسط: محمد مهدی کربلایی صادق

ماهنامه شبکه - در سال 2006 هنگامی که سایت آمازون سرویس جدید EC2 (سرنام Elastic Compute Cloud) را معرفی کرد، گام بسیار بزرگی را در راستای رسیدن به هدف نهایی این اقدام که تبدیل‌کردن توان‌پردازشی به ابزاری با قابلیت دسترسی همیشگی بود، به جلو برداشت. با معرفی این فناوری هر فردی می‌توانست با استفاده از امکانات یک منوی آنلاین و پرداخت مبلغی هزینه با استفاده از کارت اعتباری خود، هر میزان توان پردازشی موردنیاز را دریافت کرده و هزینه آن را بر‌اساس تعرفه ثابتی پرداخت‌کند...


اطلاعات بیشتر را در ادامه مطلب می یابید.
در سال 2006 هنگامی که سایت آمازون سرویس جدید EC2 (سرنام Elastic Compute Cloud) را معرفی کرد، گام بسیار بزرگی را در راستای رسیدن به هدف نهایی این اقدام که تبدیل‌کردن توان‌پردازشی به ابزاری با قابلیت دسترسی همیشگی بود، به جلو برداشت. با معرفی این فناوری هر فردی می‌توانست با استفاده از امکانات یک منوی آنلاین و پرداخت مبلغی هزینه با استفاده از کارت اعتباری خود، هر میزان توان پردازشی موردنیاز را دریافت کرده و هزینه آن را بر‌اساس تعرفه ثابتی پرداخت‌کند. این تعرفه برای کار با سیستم‌عامل لینوکس معادل ده سنت در ساعت و برای کامپیوتر‌های ویندوز (در سال 2008) معادل 12,5 سنت بود. این سیستم‌ها روی ماشین‌های مجازی اجرا می‌شدند. بنابر‌این، در صورت نیاز در یک لحظه ایجاد و پیکربندی شده و پس از اتمام کار به همان سرعت ناپدید می‌شدند. کافی بود کاربران با افزایش نیاز پردازشی خود مبلغ بیشتری را پرداخت کنند تا در مقابل توان پردازشی بیشتری دریافت کنند و آمازون سایر دردسرها شامل نگه‌داری از مراکز داده و شبکه را برعهده می‌گرفت. البته، ماشین‌های مجازی روی هزاران سرور واقعی که درون مراکز داده آمازون در سراسر جهان به صورت کلاستر نصب شده بودند، به اجرا در‌می‌آمدند. خدمات پردازش ابری کارآمد، ارزان و در دسترس تمام کاربران، شرکت‌ها، آزمایشگاه‌های تحقیقاتی و سازمان‌های دولتی بود.

با تمام این اوصاف، خدمات پردازش ابری تهدید جدیدی را به دنبال داشت. فناوریEC2 نوعی فناوری را در اختیار عموم قرار داد که در آن نرم‌افزارهایی موسوم به هایپروایزر درایو‌ها، شبکه‌ها و فرآیندهای مجازی را اغلب روی یک سرور فیزیکی ایجاد و کنترل‌می‌کنند. فناوری مذکور پیش از معرفی EC2 تنها در اختیار سیستم‌های IT سازمانی بود. محققان امنیت کامپیوتری قبلاً ثابت کرده‌اند که هنگام اجرای همزمان دو نرم‌افزار روی یک سیستم‌عامل، یک مهاجم با استفاده از ابزارهای استراق‌سمع و تحلیل نحوه به‌اشتراک‌گذاری حافظه توسط نرم‌افزارهای مذکور می‌تواند اطلاعات را سرقت کند. به اعتقاد آن‌ها ممکن است اجرای حمله‌های مشابه روی ابرها و در هنگام فعالیت دو ماشین مجازی روی یک سرور نیز امکان‌پذیر باشد.

با توجه به وسعت فو‌ق‌العاده یک ابر، احتمال این که یک مهاجم بتواند شرایط مناسب را روی یک سرور مشخص به‌دست آورد، بسیار اندک است. با وجود این، در سال جاری سه متخصص کامپیوتر در دانشگاه سن‌خوزه کالیفرنیا و یک متخصص کامپیوتر در دانشگاه MIT توانستند این کار را انجام دهند. آن‌ها چند ماشین مجازی را به‌عنوان هدف و تعدادی را نیز به عنوان مهاجم به کار گرفته و سعی کردند تمام ماشین‌های مجازی را روی سرورهای یکسانی از مراکز داده آمازون به اجرا درآورند. در پایان آزمایش آن‌ها تنها با صرف چند دلار موفق شدند، در چهل درصد موارد ماشین‌های مجازی مهاجم را روی سرورهای میزبان ماشین‌های مجازی هدف اجرا کنند. با وجود این که آن‌ها برای سرقت اطلاعات اقدام نکردند، معتقد‌ند انجام چنین سرقتی از دیدگاه نظری امکان‌پذیر است. همچنین آن‌ها نشان دادند، ممکن است بهره‌مندی از مزایای پردازش ابری (مانند دسترسی آسان، قیمت مناسب، تمرکز منابع و انعطاف‌پذیری سیستم پردازش) به قیمت ظهور نسل جدیدی از تهدیدات امنیتی تمام شود. شرکت آمازون تأکید می‌کند، هنوز هیچ‌فردی نتوانسته به این شیوه، حمله موفقیت‌آمیزی را روی EC2 اجرا کند و در حال حاضر تمام راه‌های اجرای این نوع حمله‌ها توسط آمازون مسدود شده است. اما مشکلی که آمازون هنوز آن را حل نکرده (و در واقع هیچ‌کس موفق به حل آن نشده است) ضعف امنیتی محاسبات ابری به دلیل ساختار و ابعاد بسیار وسیع آن است.

خدمات و نر‌افزارهای پردازش ابری که از طریق اینترنت عرضه می‌شوند، به سرعت نحوه استفاده ما از کامپیوتر را متحول می‌کنند. به عنوان مثال، ‌سایت Gmail و برخی از بزرگ‌ترین شبکه‌های اجتماعی آنلاین، برنامه‌های ابری محسوب می‌شوند. کارایی و هزینه اندک خدمات زیرساختی تحت وب مانند ابر محاسباتی آمازون و نمونه‌هایی که توسط سایر تولیدکنندگان مانند Rackspace عرضه شده‌اند، ارتشی از مشتریان سازمانی و شرکتی را به‌خود جذب کرده‌اند. اکنون نشریه نیویورک تایمز و شرکت دارویی Pfizer از مشتریان خدمات ابری آمازون هستند و انتظار می‌رود مرورگر و سیستم‌عامل جدید گوگل (که هردو با نامChrome عرضه می‌شوند) دسترسی آسان به نرم‌افزارهای ابری را فراهم کنند. حتی سازمان‌های دولتی که تحولات آن‌ها حرکت کندی دارد، نیز در حال ورود به این صحنه هستند. به عنوان مثال، شهرداری لوس‌آنجلس از خدمات Apps شرکت گوگل برای ایجاد ایمیل و سایر خدمات مسیریابی بهره می‌برد و دولت ایالات‌متحده به تازگی سایتی را به‌منظور تشویق سازمان‌های دولتی برای استفاده از خدمات ابری راه‌اندازی کرده است.

به اعتقاد دیل یورگنسن، یکی از اقتصاددانان هاروارد که در زمینه نقش فناوری اطلاعات در بهره‌وری ملی فعالیت می‌کند، خطوط هوایی، مؤسسات مالی و خرده فروشی‌ها نیز می‌توانند از خدمات پردازش ابری استفاده کنند. او در این‌باره می‌گوید: «تمرکز نوآوری‌های صنعت IT از تجهیزات سخت‌افزاری به سمت برنامه‌های نرم‌افزاری تغییر جهت داده است. بسیاری از این برنامه‌ها به سرعت در حال توسعه هستند و محاسبات ابری به سرعت در حال تبدیل شدن به یک فناوری عمومی برای تمام افراد جامعه است.» البته، هیچ‌کدام از این وقایع رخ نمی‌دهد، مگر این‌که خدمات ابری امن شوند و این کار نیز بدون خطر نخواهد بود. کلید کارایی و مقرون به صرفه بودن خدمات ابری در به اشتراک‌گذاری تجهیزات سخت‌افزاری است و هنگامی که هزاران مشتری مختلف از تجهیزات سخت‌افزاری یکسان در مقیاس بزرگ استفاده می‌کنند، هرگونه خرابی و تهاجم به سیستم می‌تواند برای تعداد زیادی از کاربران مخرب باشد.رودو سیان یکی از متخصصان کامپیوتر در دانشگاه ایالتی نیویورک واقع درStony Brook می‌گوید: «امروز تأمین‌کنندگان بسیار توانمندی برای خدمات ابری وجود دارند که میزبان تعداد زیادی از شرکت‌های کوچک‌تر هستند. اگر نتوانید تمام کاربران را به استفاده از خدمات ابری تشویق کنید، نمی‌توانید این خدمات را با قیمت ارزان ارائه کنید. اما زمانی که تمام کاربران از خدمات ابری بهره می‌گیرند، ناگهان با تمام این مشکلات امنیتی مواجه می‌شوید که باید آن‌ها را حل کنید.»

تهدیدات امنیتی خدمات ابری
به‌طور کلی، پردازش ابری با چندین خطر امنیتی مجزا، اما مرتبط باهم مواجه است.علاوه بر این که ممکن است اطلاعات ذخیره شده، توسط مهاجمان به سرقت رفته یا در اثر خرابی سیستم از بین برود، ممکن است تأمین کننده خدمات ابری نیز از این اطلاعات سو‌ء استفاده کند یا در اثر فشارهای دولت آن را افشا کند. واضح است که این خطرات امنیتی پیامدهای وخیمی را درپی دارند. در سال 2008 تنها یک بیت اطلاعات معیوب در پیغام‌هایی که بین سرورهای مورد استفاده خدمات S3آمازون (سرنام Simple Storage Service) ردوبدل می‌شد، به خاموشی سیستم برای چندین ساعت منجر شد. خدمات مذکور، فضای ذخیره‌سازی آنلاین را در مقیاس گیگابایت در اختیار کاربران قرار می‌دهند. در اوایل سال 2009 یک هکر با حدس زدن پاسخ سؤال امنیتی ایمیل شخصی یکی از کارمندان توییتر توانست تمام اسناد موجود در حساب Google Apps را که توسط وی مورد استفاده قرار می‌گرفت، به دست آورد و بخشی از این اسناد را برای رسانه‌ها ارسال کند. مدتی بعد یک اشکال نرم‌افزاری محدودیت‌های به اشتراک‌گذاری اسناد برخی از کاربرانGoogle Docs را حذف کرد. به این ترتیب، هریک از کاربرانی که سندی را با آن‌ها به اشتراک گذاشته‌ بودید می‌توانست تمام اسناد مشترک شما و سایر کاربران را ببیند. در ماه اکتبر و در پی خرابی یکی از سرورهای بخش Dangerاز شرکت مایکروسافت که تأمین‌کننده فضای ذخیره‌سازی است، اطلاعات یک میلیون گوشی هوشمند T-Mobile Sidekick از دست رفت. البته بخش زیادی از این اطلاعات بعدها بازیابی شد. پیتر مل، رهبر یک گروه امنیتی خدمات ابری در مؤسسه ملی استاندارد و فناوری (NIST) ایالات متحده واقع در Githersburg از ایالت مریلند می‌گوید: «حیطه حمله‌ها به نرم‌افزارهایی که توسط ابرهای عمومی عرضه می‌شوند، بسیار گسترده‌تر است. تمام مشتریان به تمام ابزارهای موجود در نرم‌افزار ابری دسترسی دارند. اگر این نرم‌افزارها تنها یک نقطه‌ضعف داشته باشند،‌ یک مهاجم می‌تواند به تمام اطلاعات آن‌ها دست یابد.»

پاسخ صنعت پردازش ابری به تمام نظریه‌های مذکور چنین است: «اکنون ابرها از هرچیز دیگری که شما استفاده می‌کنید امن‌تر هستند.» ارن فیگنبام مدیر بخش امنیت Google Apps می‌گوید، تأمین‌کنندگان خدمات ابری در مقایسه با میلیون‌ها کاربر و شرکت مستقل که از دیتاسنتر اختصاصی استفاده می‌کنند، می‌توانند به نحو بسیار مؤثرتری امنیت اطلاعت را تأمین کنند. او درباره موج تبلیغاتی مشکل پیش آمده در خدمات Google Docs‌ می‌گوید، این اتفاق کمتر از0,05 درصد اسنادی را که گوگل میزبانی می‌کند، تحت تأثیر قرار داده است. وی می‌گوید: «یکی از مزایای استفاده از محاسبات ابری این بود که توانستیم باروش سریع ویکسان به تمام موارد آسیب دیده واکنش نشان دهیم. این مشکل بدون نیاز به نگه‌داری از سرورها و حتی بدون نیاز به نصب نرم‌افزار روی سیستم کاربران برطرف شد.» به راه‌های مختلف بروز تهدیدات امنیتی در رویکردهای قدیمی فکر کنید. حدود دو سوم افرادی که در نظر سنجی شرکت کردند حافظه‌ USB ‌خود را (که اغلب حاوی اطلاعات خصوصی سازمانی است) در مکان‌های مختلف جا گذاشته‌اند؛ در سال 2008 حداقل دو میلیون لپ‌تاپ در ایالات متحده به سرقت رفته است؛ نصب بسته‌های امنیتی ضروری در سازمان‌ها و شرکت‌ها به دلیل ترس از بروز اشکالات امنیتی جدید در اثر نصب بسته‌های مذکور، با تأخیر سه تا شش ماهه انجام می‌پذیرد. او می‌گوید: «نمی‌توان امنیت را به صد درصد رساند و درعین حال از تمام قابلیت‌های سیستم بهره‌گرفت. اگر یک سیستم کاملاً امن می‌خواهید‌، باید یک کامپیوتر را انتخاب کرده، آن را از تمام منابع خارجی جدا کنید، به هیچ‌وجه به شبکه‌ای متصل نشوید، از پنجره دور نگه‌دارید و آن را درون یک گاو‌صندوق قرار دهید.» اما هر کسی نمی‌تواند این تدابیر را به‌کار گیرد. در یک کنفرانس امنیتی کامپیوتر که بهار سال گذشته برگزار شد، جان چمبرز، مدیرعامل شرکت سیسکو پردازش ابری را یک «کابوس امنیتی» خطاب کرد که «نمی‌توان آن را با روش‌های متداول مهار‌کرد.» در همان کنفرانس ران ریوست، متخصص علوم کامپیوتر در MIT که الگوریتم رمزگذاری کلید عمومی RSA را(اغلب در تجارت الکترونیک کاربرد دارد) ابداع کرده است، گفت، بهتر است عبارت «پردازش ابری» (Cloud Computing) با عبارت «پردازش باتلاقی»

(Swamp Computing) جایگزین شود. او بعدها توضیح داد، مفهوم جمله فوق این بوده که کاربران باید مشکلات امنیتی به‌ظاهر ساده این صنعت را موشکافانه بررسی کنند. او در این‌باره گفت: «قصد من این نبود که بگویم پردازش ابری واقعاً پردازش باتلاقی است، بلکه از این عبارت به‌عنوان ابزاری برای تشریح نحوه تأثیرگذاری آن بر ادراک و انتظارات کاربران استفاده کردم. بنابر‌این، اگر به جای استفاده از عبارت پردازش ابری بگوییم پردازش باتلاقی، ممکن است نسبت به خدمات و تضمین‌های امنیتی که تأمین‌کنندگان پردازش باتلاقی در اختیار ما می‌گذارند، حساس‌تر و کنجکاوتر شویم.»تلاش مؤسسه NIST برای توصیف ماهیت و ارزیابی امنیت پردازش ابری، دیدگاه مشابهی را با رنگ و لعاب کمتر بیان می‌کند؛ پیتر مل می‌گوید: «در این رابطه همه کمی گیج شده‌اند.» مؤسسه NIST‌ پانزدهمین نگارش از اسناد توصیف کننده پردازش ابری را منتشر کرده است. مل در این‌باره می‌گوید: «تعریف متداول ابر به قدری مبهم است که تمام فناوری‌های مدرن IT را دربرمی‌گیرد و تشخیص موضوعات امنیتی منحصر به فرد بر‌اساس این تعریف دشوار است.» مؤسسه NISTامیدوار است، معرفی شفاف‌تر این موضوعات بتواند صنعت IT‌ را در بهبود استانداردهای متداول برای امن‌سازی بیشتر اطلاعات یاری کند. همچنین این مؤسسه در تلاش است تا امکان تعامل بین ابرها را فراهم کند تا کاربران به سادگی بتوانند اطلاعات خود را از یک ابر به ابر دیگر منتقل کنند و در نتیجه کارایی کل سیستم افزایش یابد.

با توجه به رشد سریع صنعت پردازش ابری، نارسایی استانداردهای فعلی این صنعت و آمار شکست‌ شرکت‌های فعال در این زمینه، دور از انتظار نیست که بسیاری از شرکت‌ها هنوز درباره انتقال اطلاعات حساس خود به ابرها تردید دارند. لری پترسن، یکی از متخصصان علوم کامپیوتر در دانشگاه پرینستون که وظیفه اداره یک پلتفرم آزمون اینترنت موسوم بهPlanetLab Consortium را برعهده دارد، معتقد است، با وجود این که در حال حاضر ابرها امنیت مناسبی دارند، ‌تأمین‌کنندگان خدمات ابری باید قابلیت اطمینان خود را در دراز‌مدت ثابت کنند. او در این‌باره می‌گوید: «ممکن است تأمین کننده خدمات ابری مکانیزم‌های امنیتی مناسب را در اختیار داشته باشد.اما آیا می‌توان به آن برای محافظت از اطلاعات در برابر افراد متفرقه اعتماد کرد و مطمئن بود که اطلاعات خصوصی و حساس را فاش نمی‌کند و در عین حال می‌توان از فعال بودن آن مؤسسه در طول پنج یا ده سال آینده اطمینان حاصل کرد؟ در اینجا بعضی از مسائل امنیتی وجود دارند که باید مورد توجه قرار گیرند. بهره‌مندی صرف از فناوری کافی نیست؛ زیرا ممکن است استفاده از این فناوری دشوار بوده و با مسائل امنیتی متعدد همراه باشد.»

به‌عنوان نمونه ملموسی از عدم اعتماد مورد ‌نظر پترسن می‌توان به یک مرکز داده مستقر در منطقه Somerville از ایالت ماساچوست و در حاشیه شهر بوستون اشاره کرد. این مرکز داده متعلق به یک شرکت کوچک به نام 2N+1 است که فضای مجهز به سیستم خنک‌کننده، امنیت، توان الکتریکی و امکانات اتصال به شبکه را در اختیار سایرین می‌گذارد. در طبقه نخست این مرکز داده مجموعه‌ای از دوازده قفسه سیاه رنگ حاوی سرورها به چشم می‌خورد. وینستن بونو، یکی از بنیان‌گذاران شرکت 2N+1 تشریح می‌کند که این سرورها متعلق به نخستین مشتری شرکت وی هستند که یک بانک ملی است. این بانک ترجیح می‌دهد، به جای استفاده از خدمات ابری،‌ از سرورهای اختصاصی بهره بگیرد. بانک مذکور برای تأمین امنیت سرورهای خود روشی کاملاً محسوس در پیش گرفته است: یک حصار سیمی فولادی.


نظرات() 


برچسب ها: متفرقه ،
 
لبخندناراحتچشمک
نیشخندبغلسوال
قلبخجالتزبان
ماچتعجبعصبانی
عینکشیطانگریه
خندهقهقههخداحافظ
سبزقهرهورا
دستگلتفکر
نظرات پس از تایید نشان داده خواهند شد.