تامین امنیت زیرساخت و applicationهای ابری با استفاده از SOC

پس از گذشت بیش از یک دهه از انقلاب محاسبات ابری، استفاده از ابر برای هر شرکتی از هر نوع صنعتی و با هر اندازه‌ای به فرایندی عادی تبدیل شده است. امروزه، بی‌دلیل بودن نگرانی‌های بسیاری از جمله نگرانی‌های امنیتی که در گذشته در مورد استفاده از خدمات ابر وجود داشت و سرعت استفاده از آن را کاهش داده بود، مشخص شده است. خدمات ابری مدرن امن و قابل اعتماد بوده و به عنوان بخش مهمی از استراتژی‌های کسب‌وکار در نظر گرفته می‌شوند. مدل زیرساخت به عنوان یک خدمت (IaaS) گسترش سریع منابع محاسباتی، پیکره‌بندی مجدد انعطاف‌پذیر و قیمت‌ مقرون به صرفه را ممکن می‌سازند. مدل نرم‌افزار به عنوان یک خدمت (SaaS) به طور روز‌افزونی در کسب‌وکارهای معمولی مورد استفاده قرار گرفته و اجازه برون‌سپاری فعالیت‌ها با هزینه کم را ایجاد می‌کند.

شرکت‌های مدرن به طور معمول از یک معماری محاسباتی ترکیبی شامل منابع On-premises (در-محل) و منابع موجود بر بستر ابر استفاده می‌کنند که این مساله چالش‌های امنیتی جدیدی را ایجاد می‌کند. با توجه به اینکه حملات سایبری روز به روز رایج‌تر شده و افراد خرابکار به طور روز افزون از ابرها برای تهدید کسب‌و‌کارها استفاده می‌کنند، متخصصان IT نیز به استراتژی‌های امنیت ابری قوی برای محافظت از شرکت‌هایشان نیاز دارند.

در این مطلب، معماری ترکیبی کسب‌وکارهای مدرن و دلیل افزایش خطر قرارگیری آن‌ها در معرض حملات سایبری به واسطه این معماری، و تقسیم‌بندی مسئولیت‌های امنیتی ما بین مشتریان و ارائه‌دهندگان ابر بررسی می شود. همچنین، با تاکید بر قابلیت‌های ارائه شده در راه‌حل مرکز عملیات امنیت به عنوان یک خدمت (SOC as a Service (SOCaaS)) یعنی جامعیت، کارایی و به صرفه بودن، راه‌حل‌های قابل استفاده توسط کاربران برای تامین امنیت داده‌ها و سیستم‌ها در این نوع معماری بررسی خواهند شد.

معماری‌های ترکیبی برای کسب‌وکارهای مدرن

داده‌های یک شرکت یا از مدل On-premises پیروی کرده و یا در یکی از سه نوع مدل ابری توصیف شده ذیل قرار می‌گیرند:

زیرساخت به عنوان یک خدمت (IaaS)

شرکت‌های زیادی همه یا برخی از بسته‌های اختصاصی خود را روی پلت‌فرم‌های زیرساخت به عنوان خدمتی مانند Amazon Web Services (AWS)، Microsoft Azure، Google Cloud Platform و … قرار می‌دهند. در یک مدل IaaS، ارائه‌دهنده خدمات ابری نیازمندی‌های سخت‌افزاری را تعریف، دسترسی و امنیت فیزیکی را کنترل کرده و فضا و منابع محاسباتی را در اختیار شرکت‌ها قرار می‌دهد تا آن‌ها کدهای خود را اجرا کنند. مشتریان نیز مشخص می‌کنند که چه نرم‌افزاری بر بستر ابر اجرا شده و می‌توانند از نمونه‌های IaaS برای هر برنامه سازگاری استفاده کنند.

پلت‌فرم به عنوان یک خدمت (PaaS)

PaaS مدل ابری دیگری است که ارائه‌دهندگان آن مانند Oracle، IBM یا Cloud Foundry یک محیط کار ایجاد کرده که کاربران نهایی می‌توانند هر کد سازگاری را در آن اجرا کنند. در نتیجه، از آن‌جا که در PaaS کاربران نیازی به تعریف و نصب سیستم‌های عامل ندارند، این راه‌حل توازنی از انعطاف‌پذیری و راه‌اندازی ساده را به کاربران ارائه می‌کند.

نرم‌افزار به عنوان یک خدمت (SaaS)

مدل مهم و آخر یک معماری کسب‌وکار مدل SaaS است که به عنوان نمونه‌هایی از این مدل می‌توان ابزارهای شرکتی مانند Microsoft Office یا Microsoft Office 365، ابزارهای فروش مانند Salesforce و ابزارهای منابع انسانی مانند Workday را نام برد. در یک SaaS، ارائه‌دهنده همه سخت‌افزارها و نرم‌افزارهای مورد نیاز را نگهداری و اجرا کرده و کاربران نهایی شرکت‌ها به سادگی از نرم‌افزارهای کاربردی که بر بستر ابر اجرا می‌شوند، همانند زمانی که آن‌ها را در محل اجرا می‌کنند، استفاده خواهند کرد.

ارائه‌دهندگان امنیت به عنوان یک خدمت (SecaaS) زیرمجموعه خاصی از ارائه‌دهندگان SaaS هستند که خدمات امنیتی ارائه می‌کنند. به عنوان نمونه‌هایی از این خدمات می‌توان به احراز هویت به عنوان یک خدمت (IDaaS) ارائه شده توسط شرکت‌هایی مانند Oka و Ping Identity و مرکز عملیات امنیت به عنوان یک خدمت (SOCaaS)  اشاره کرد.

معماری‌های ابر ترکیبی

اغلب شرکت‌ها در زمان آغاز به کار داده‌ها و برنامه‌های کاربردی خود را On-premises نگهداری می‌کنند. این مساله شامل لپ‌تاپ‌ها، کامپیوترهای رومیزی، موبایل‌ها و سایر سیستم‌هایی که به طور مستقیم توسط کاربران مورد استفاده قرار نمی‌گیرند، نیز می‌شود. در این حالت، تیم‌های IT شرکت کنترل روی سخت‌افزار، نرم‌افزار و شبکه را حفظ کرده و تیم‌های امنیت داخلی می‌توانند به طور دلخواه سیاست‌های امنیتی خود را ایجاد و برقرار سازند. در ادامه، با توجه به افزایش همکاری شرکت‌ها با یکدیگر، تامین‌کننده‌ها و مشتریان بیرونی و کاهش بودجه IT، شرکت‌ها بسیاری از داده‌ها و برنامه‌های کاربردی خود را به ابر انتقال داده و تنها داده‌های حساس و محرمانه خود را روی سرورهای درونی و یا مراکز داده امن نگهداری می‌کنند. این مساله منجر به استفاده فراگیری از معماری‌های ابر ترکیبی می‌شود که در آن داده‌ها میان محیط درونی و انواع مختلف مدل‌های ابری توزیع شده است. در این معماری مسئولیت تامین امنیت داده‌ها نیز ما بین شرکت اصلی و ارائه‌دهندگان مدل‌های ابری توزیع شده است. در نتیجه، در این معماری، شرکت باید دید جامعی نسبت به فعالیت کاربران در applicationهای On-premises و در هر یک از سه نوع مدل ابری داشته باشد.

هر تهدید سایبری برای ابر نیز تهدید‌کننده است.

هر چند اثبات شده که ترس‌های اولیه در مورد امنیت ابر بی‌دلیل بوده است، اما تهدیدهای سایبری در مورد داده‌ها و applicationهای موجود چه On-premises و چه مبتنی بر ابر یکسان است. درحالیکه کاربرد گسترده تکنولوژی‌های مبتنی بر ابر بیانگر تحولی واقعی در معماری کسب‌وکارها است، انگیزه انجام حملات سایبری و در نتیجه دسته‌بندی‌های متنوع آن‌ها یکسان مانده است:

با توجه به این مطالب و وابستگی روزافزون شرکت‌ها به خدمات ابری، ابر نمایانگر قسمتی از شرکت‌هاست که بیشتر در معرض خطر است. در نتیجه، همانطور که استفاده از ابر گسترش می‌یابد، نقاط آسیب‌پذیر یک سازمان که هکرها ممکن است از آن برای بهره‌برداری استفاده کنند نیز افزایش خواهد یافت.

امنیت در ابر به خودی خود به دست نمی‌آید

استفاده از مزایای ابر برای کسب‌و‌کارها مدرن عادی شده است. اغلب این مزیت‌ها به واسطه برون‌سپاری به دست آمده است. در استفاده از خدمات ابری، تیم‌های IT می‌توانند وظایف و چالش‌های سنگین قبلی خود را کنار گذاشته و بگویند این مشکل به ما مربوط نبوده و مشکل ارائه‌دهنده ابر است. با این وجود، امنیت در ابر به خودی خود به دست نمی‌آید. ارائه‌دهندگان ابر تنها یک شریک امنیتی برای کسب‌و‌کارها بوده نه یک راه‌حل امنیتی. این ارائه‌دهندگان تنها قسمت‌هایی مشخص از یک استراتژی امنیتی کلی را ارائه می‌کنند. در استفاده از خدمات ابر، تقسیم‌بندی مسئولیت‌های امنیتی بین ارائه‌دهنده و کاربر نهایی وابسته به مدل ابر است.

نواحی رنگی: مسئولیت‌های شرکت                                                                    نواحی بدون رنگ: مسئولیت‌های ارائه دهنده

حتی در محیط SaaS، سازمان‌ها باید اختیارات کاربران و سیاست‌های مناسب برای دسترسی به داده‌های SaaS را وضع کنند که این مهم تنها توسط یک کارشناس امنیت با دانش مناسب از سازمان ممکن خواهد بود. چنین کارشناسی به طور معمول در بسته‌های خدماتی ارائه‌دهندگان SaaS وجود ندارد. در استفاده از IaaS نیز وضعیت به همین شکل است و از آن‌جا که ارائه‌دهندگان IaaS هر نرم‌افزار ارائه شده را بدون بررسی امنیت آن اجرا می‌کنند، سازمان‌ها نیز در مورد امنیت applicationهای ابری مسئول خواهند بود.

دستیابی به امنیت قابل‌اتکا در ابر

با توجه به دلایلی که ذکر شد امنیت ابر برای معماری‌های کسب‌و‌کار ترکیبی امروزی مساله‌ای مهم بوده و سازمان‌ها باید از یک استراتژی امنیتی ابری استفاده کنند. بدین منظور، گزینه‌های آن‌ها عبارت است از:

۱) استفاده از ابزارهای امنیتی بومی ابر

۲) استفاده از ارائه‌دهندگان خدمات امنیتی ابر

۳) استفاده از یک راه‌حل خدمات یکپارچه.

استفاده از ابزارهای امنیتی بومی ابر

دسترسی به این ابزارها بدون پرداخت اضافه می‌تواند کسب‌و‌کارها را وسوسه کرده تا خروجی‌های این ابزارهای امنیتی و داده‌های امنیتی On-premises خود را تجمیع کنند. با این وجود، هیچ پرداخت اضافه به معنای هیچ هزینه اضافه نیست. اغلب سازمان‌ها پس از مدتی متوجه خواهند شد که این رویکرد نسبت به امنیت منجر به هزینه‌ای بیش از سایر رویکردها خواهد شد. دلیل این مساله این است که استفاده از این ابزارهای بومی تنها به معنی دسترسی به داده‌های خام به دست آمده از این ابزارها است و برای کسب نتیجه دلخواه باید برخی یکپارچه‌سازی‌ها انجام شده و ابزارهای ارائه شده توسط ابر به پلت‌فرم‌های تحلیل log متصل شوند که این مهم کاری سخت و هزینه‌بر است. نگهداری و به‌روز‌رسانی ابزار یکپارچه ایجاد شده نیز هزینه زیادی به شرکت‌ها وارد می‌کند. علاوه‌براین، مهندسان باید قواعدی امنیتی ایجاد و تعیین کنند که کدام داده‌های log و چه ترکیبی از آن‌ها باید برای هشدارهای امنیتی به کار گرفته شوند. قواعد امنیتی از یکپارچه‌سازی‌ها موقتی‌تر بوده و باید به طور مداوم به دلایلی مانند تغییرات در نرم‌افزارها، پاسخ به تهدیدات و نشانه‌های خطر جدید، و همچنین سیاست‌های جدید شرکت به‌روز‌رسانی شوند. در نهایت، این تکنولوژی پیچیده و خانگی باید به طور مداوم توسط کارشناسان امنیتی آموزش دیده مورد ارزیابی قرار بگیرد که این مساله نیز هزینه‌ای اضافه ایجاد خواهد کرد. با توجه به این مسائل، این رویکرد برای اغلب شرکت‌ها نه لزوما به‌صرفه و نه لزوما امن خواهد بود.

استفاده از خدمات ارائه‌دهندگان امنیت ابری

از آن‌جا که استفاده از منابع امنیتی موجود On-premises در ابر ممکن نیست، کسب‌و‌کارها باید از یک راه‌حل امنیتی برای ابر استفاده کنند. پیشنهادات امنیتی منحصر به ابر ممکن است ویژگی‌ها و تخصص‌های منحصر به ابر را به طور مناسب ارائه دهند. با این وجود، منحصرا متکی بودن به این نوع ارائه‌دهندگان در محیط‌های ترکیبی امروزی کسب‌و‌کارها بی‌فایده است.

برای اثرگذاری کامل امنیت، کارشناسان امنیت باید دید کاملی نسبت به سیستم کلی کسب‌و‌کار داشته باشند. این دید کلی تحلیلگران را قادر به کشف هر نوع حمله‌ای مخصوصا حملات وابسته به چندین ابزار حمله می‌کند. برای مثال، یک هکر ممکن است با یک حمله phishing علیه سیستم‌های موجود On-premises اطلاعات حساب‌های کاربری کارکنان را به دست آورده و با استفاده از آن‌ها، اطلاعات یک حساب با سطح دسترسی مناسب بر روی cloud instance را سرقت کند. بدون در اختیار داشتن یک راه‌حل جامع، بخش وابسته به ابر این حمله می‌تواند ناشناخته بماند و در نتیجه حتی در صورت تشخیص سریع حمله phishing و مقابله با آن، هکر موردنظر همچنان قادر به دسترسی به داده‌های مهم شرکت خواهد بود.

با توجه به این مطالب تنها در حالتی که کسب‌و‌کارها از راه‌حلی استفاده کنند که این راه‌حل تمام داده‌های امنیتی آن‌ها را از همه قسمت‌ها از جمله ابر تجمیع کرده و یک‌جا تجزیه و تحلیل کند، امنیت به دست آمده موثر خواهد بود.

استفاده از راه‌حل خدمات یکپارچه

راه‌حل‌های امنیتی موثر ابری به طور کامل با راه‌حل‌های On-premises مجتمع هستند. یک استراتژی امنیت ابری ممکن است شامل کنترل دسترسی‌های تخصصی برای کاربران ابر و ابزارهای دقیق اختصاصی روی سیستم‌های ابر باشد. نکته اصلی در دستیابی موفقیت‌آمیز به امنیت ابر داشتن یک سرویس نظارت یکتا و متمرکز است که رویت‌پذیری را همزمان در سیستم‌های موجود بر بستر ابر و سیستم‌های On-premises ارائه کند و بدین‌وسیله به کارشناسان امنیت اجازه کشف هر حمله‌ای، در هر محلی، را بدهد.

گونه‌های مختلفی از راه‌حل‌های امنیت ابر ترکیبی متمرکز وجود دارد که در بین آن‌ها از راه‌حل‌های نرم‌افزاری که مشتریان خود باید نسبت به نصب، نگهداری و نظارت بر آن‌ها اقدام کنند و خدمات امنیتی با مدیریت ترکیبی تا SOCaaS که به طور مستقیم قابلیت‌های کشف و پاسخگویی مدیریت‌یافته (MDR) را ارائه می‌کند، وجود دارد. دسته آخر ذکر شده می‌تواند برای شرکت‌هایی که می‌خواهند با سرعت و تاثیر زیاد تمام معماری ترکیبی خود را امن کنند جذاب‌ترین گزینه باشد. برخلاف خدمات On-premises یا با مدیریت مشترک، ارائه‌دهندگان SOCaaS تکنولوژی، افراد و فرایندهای مورد نیاز برای امن‌سازی کامل سیستم‌های یک شرکت را بدون سختی‌های راه‌اندازی و هزینه‌های نظارتی درون سازمانی سنگین در اختیار قرار می‌دهند.

نتیجه‌گیری

کسب‌و‌کارهای امروزی متکی بر معماری‌های ترکیبی پیچیده هستند که در کنار سخت‌افزارهای On-premises از طیف گسترده‌ای از امکانات ابری برای انعطاف‌پذیری و تاثیرگذاری بیشتر استفاده می‌کنند. اگر چه این مهم مزیت‌های کلیدی زیادی برای کسب‌و‌کارها ایجاد می‌کند، اما مسئولان IT مرتبط نیز باید از امنیت معماری جدید اطمینان حاصل کنند. برای امن کردن کسب‌و‌کارهای ترکیبی نوین، مسئولان IT باید از یک راه‌حل امنیتی استفاده کنند که به متخصان امنیت سایبری اجازه دهد به صورت یک‌جا بر همه سیستم‌های شرکت نظارت کنند که در این میان SOCaaS می‌تواند جذاب‌ترین گزینه برای سازمان‌هایی باشد که می‌خواهند با سرعت هر چه بیشتر و هزینه هر چه کمتر از امنیت سیستم‌های خود اطمینان حاصل کنند.