کمیته رکن چهارم – یکی از مهمترین مواردی که هنگام انتخاب شرکت ارائه دهنده سرویس های ابری (Cloud) باید در نظر داشت امنیت است. به عنوان مثال، یکی از فرآیندهای ضروری که شرکت ارائه دهنده باید دارا باشد تجزیه و تحلیل گزارشات SOC است. هدف از گزارشات SOC ارزیابی سیستم های سازمان جهت اطمینان از تضمین امنیت، در دسترس بودن، جامعیت پردازش ها، محرمانه بودن و حفظ حریم خصوصی است. این گزارشات به سازمانهای ارائه دهنده سرویس ابری کمک می کند تا اعتماد و اطمینان را به مشتریان خود نسبت به فرآیندهای مختلف اعطاء کنند.
ملاحظات امنیتی دیگری نیز وجود دارد که می تواند فراتر از تجزیه و تحلیل گزارشات SOC باشد. موارد زیر ملاحظات گردآوری شده توسط متخصصان امنیتی است و کاربران باید هنگام انتخاب ارائه دهنده سرویس های ابری به خاطر داشته باشند.
امنیت Cloud
در ادامه این مقاله سعی می کنیم مواردی که برای مشتریان سرویس های ابری نیاز است را بررسی کرده و مختصرا توضیحاتی را نیز ارائه کنیم.
اگر می خواهید ارائه دهندگان سرویس های ابری را جستجو کرده و مناسب ترین آنها را انتخاب کنید باید موارد امنیتی زیر را در نظر بگیرید:
- مدیریت صحیح احراز هویت و تعیین سطح دسترسی، که اشاره به نحوه کنترل دسترسی اطلاعات دارد. یک ارائه دهنده ابر ممکن است با سیستم IAM شما ادغام شود. معمولاً IAM دارای احراز هویت چند عاملی با سایر خط مشی های دسترسی کاربر است.
- امنیت فیزیکی، به این صورت است که ارائه دهنده cloud شما باید از مرکز داده خود (به صورت فیزیکی) به درستی محافظت کند.
- آمادگی در مقابل تهدیدات، یک ارائه دهنده خدمات ابری غالباً دارای ویژگی های هوشیاری تهدید است بنابراین می تواند تهدیدات سایبری را سریعا رصد کرده و واکنش مناسب ارائه دهد.
- فرآیندهای رمزگذاری پیشرفته، شکل دیگری از حفاظت از دارایی های داده است که توسط ارائه دهندگان خدمات ابری به کار گرفته می شود.
فایروال های نسل جدید دارای ویژگی های پیشرفته تری نسبت به فایروال های سنتی هستند. به عنوان مثال، آنها ممکن است علاوه بر فیلتر بسته ها و مسدود کردن نام دامنه، دارای یک سیستم جلوگیری از نفوذ یا IPS نیز باشند. - هنگام انتخاب ارائه دهنده خدمات ابری صرف نظر از ویژگی های خاص یک شرکت، امنیت چند لایه ایی ضروری است.
امنیت باید در هر سه لایه تنظیم شود : تنظیمات فیزیکی، میزبان و شبکه.
یک ارائه دهنده خدمات ابری باید از امکانات تهیه نسخه پشتیبان داده ها برخوردار باشد و شما باید این سؤال را بپرسید که روند تهیه نسخه پشتیبان آنها به چه شکل و با چه سرعتی انجام می شود.
ممکن است حوزه کاری شما به انطباق اضافی نیاز داشته باشد و استاندارد امنیتی خاصی را اعمال کرده باشید، بنابراین ارائه دهنده سرویس ابری باید با استاندارهای امنیتی شما (به عنوان مثال HIPAA) سازگار باشد.
اگر ارائه دهنده سرویس ابری شما متمرکز بر امنیت و منطبق با استاندارد خاصی نباشد، قطعا تجارت شما امن یا سازگار نخواهد شد. بسیاری از مشاغل هنگام انتخاب ارائه دهنده سرویس های ابری احتیاط های لازمه را ندارند و همین امر موجب ضعف و آسیب پذیری آنها می شود. نمونه های نشت اطلاعات از کسب و کار های مختلف و خرید و فروش آنها در فروم های هکری خود گویای همین امر است.
گواهینامه ها و استانداردهای زیادی برای ارائه دهندگان خدمات ابری در دسترس هستند که می تواند مروری بر آنها داشته باشید.
به سرویس های Cloud به عنوان یک فرآیند نگاه کنید
دیدگاه شما به عنوان مدیر یک سازمان یا یک کسب و کار تجاری نسبت به سرویس های ابری و امنیت آنها باید فرآیندی باشد نه یک محصول. در نظر داشته باشید که مرتباً منابع ابری خود را بررسی کرده و از اینکه نیازهای شما را کاملا تأمین می کند اطمینان حاصل کنید. این که ما می گوئیم دیدگاه شما به این سرویس ها باید فرآیندی باشد منظور این است که ارائه دهندگان سرویس های ابری باید مرتبا در حال رشد و تکامل باشند.
موارد نهایی که باید در انتخاب ارائه دهنده در نظر بگیرید:
- اگر نیاز به کمک یا پشتیبانی داشته باشد آیا به راحتی از طرف شرکت ارائه دهنده در دسترس است ؟ شرکت مربوطه دارای چه سطحی از پشتیبانی است؟
- هزینه های سرویس ها به چه صورتی است
- تیم شما برای مدیریت ارائه دهنده سرویس های ابری چقدر زمان و تلاش لازم خواهد داشت؟
انتخاب ارائه دهنده خدمات ابری یک تصمیم بزرگ است، بنابراین عجله نکنید و زمان لازم را برای رسیدن به آندر نظر بگیرید.
منبع: ایران سایبر