آیا شما از کلود به صورت امن استفاده می کنید؟
مدیران اطلاعات و مدیران امنیت اطلاعات باید به نگرانی های بی مورد خود در خصوص امنیت سرویس های ابری (cloud services) پایان دهند و به جای آن ابتکار و انرژی خود را به طراحی رویکرد های کنترل ابر جدیدی که آن ها را قادر می سازند به طور ایمن و قابل اطمینانی از فواید این مدل رایانشی که به طور فزاینده ای در حال رواج یافتن است ، معطوف سازند.
خلاصه:
چالش های کلیدی:
- تصور افراد ساده اندیش مبنی بر این که فراهم کنندگان سرویس های ابری (Cloud Service Providers) مسئول امنیت مشتریان خود هستند سازمان ها را از اتخاذ تمهیدات مناسب برای اطمینان یافتن از استفادۀ مناسب کارکنان خود از سرویس های ابری باز می دارد.
- برخی از سازمان ها، به ویژه در خارج از آمریکا، به موجب توجه به نگرانی های بی اساس در مورد امنیت سرویس های ابری، خود را از مزایای استفاده از این سرویس ها محروم می کنند.
- توجه نامناسب به وضعیت امنیت فراهم کنندگان سرویس های ابری به موجب کاهش توجه نسبت به ایجاد فرآیند های سازمانی برای کنترل این سرویس ها، بر ایمنی تأثیر نامطلوبی داشته است.
- ممکن است سازمان هایی که رویکردی راهبردی نسبت به استفادۀ ایمن از رایانش ابری (cloud computing) اتخاذ نکرده اند با مشکلات امنیتی و در نتیجه از دست دادن داده مواجه شوند.
پیشنهادات:
- پیش فرض های سازمانی خود در مورد سرویس های ابری را فراموش کنید و به ترویج تصمیم گیری های ابرمحور بر اساس الزامات تجاری بپردازید.
- برای سازمان خود یک راهبرد ابر عمومی (public cloud)، شامل رهنمود های امنیتی در خصوص استفاده های قابل قبول از نرم افزار به عنوان سرویس (SaaS)، بستر به عنوان سرویس (Paas) یا زیرساخت به عنوان سرویس (Iaas)، تدوین کنید.
- سیاست هایی را در خصوص استفادۀ مناسب از سرویس های ابری و فرآیند های پذیرش ریسک این سرویس ها تدوین و اجرا کنید.
- از یک رویکرد مدیریت چرخۀ عمر که بر کنترل عملیاتی مستمرِ استفاده از ابر عمومی تأکید می کند استفاده کنید.
- تخصص خود را در زمینۀ امنیت و کنترل هر یک از مدل های ابری ای که مورد استفاده قرار خواهید داد افزایش دهید.
- فناوری هایی برای مقابله با پیچیدگی سرویس های ابری تهیه کنید.
مقدمه:
هیچ شواهدی مبنی بر آنکه فراهم کنندگان سرویس ابری (Cloud Service Provider) در مقایسه با سازمان های مصرف کنندۀ نهایی عملکرد مخاطره آمیزتری داشته اند وجود ندارد. تاریخچۀ اخیر ابرهای عمومی (Public Clouds) حاکی از آن است که سرویس هایی که دارای نام تجاری هستند، از بیرون فراهم می شوند و توسط چندین کاربر مورد استفاده قرار می گیرند نه تنها نسبت به حمله مقاومت بالایی دارند بلکه در مقایسه با ابزارهای داخلی/درون شرکتی (in-house) نیز ایمن تر هستند. مدل تجارت ابری (cloud business model) و واقعیت های امکان دید اینترنت (Internet visibility) انگیزه های زیادی برای فراهم کنندگان سرویس (service providers) ایجاد می کند تا در مقایسه با سازمان های مصرف کنندۀ نهایی به امنیت از جمله رویکرد فنی و پردازشی خود و انجام ارزیابی های امنیتی توسط شخص ثالث از قبیل ISO 27001 یا SOC2 بیشتر توجه کنند. فروشندگان برتر ابر (cloud) از بسترهایِ (platforms) هدف محور یا سفارشی (customized) استفاده می کنند که این امر آن ها را قادر می سازد از بسیاری از آسیب پذیری هایی که مختص ابزارهای داخلی/درون شرکتی هستند پیشگیری کنند. فراهم کنندگان بزرگ سرویس ابری از مدیران سیستم و آسیب پذیری مجرب بهره می گیرند و تولید انبوه آن ها فراهم کردن نظارت ۲۴ ساعته بر امنیت را میسر می سازد. بسیاری از پیشنهادهای نرم افزار به عنوان سرویس (SaaS) مبتنی بر بستر به عنوان سرویس (Paas) یا زیرساخت به عنوان سرویسِ (Iaas) فروشندگان دیگر هستند که این امر آن ها را قادر می سازد بدون نگرانی در مورد امنیت مرکز داده یا OS دیگر بر ویژگی ها و امنیت برنامه های خود تمرکز کنند.
متأسفانه بخش اعظم دنیای فناوری اطلاعات (IT) همچنان بر اساس تصوری اشتباه در مورد ایمنی ابرهای عمومی (Public Clouds) عمل می کند. این گونه مفروضاتِ اشتباه توانایی بهره گیری حداکثری از مزیت کاهش هزینه ها و انعطاف سرویس های ابری تجاری را کاهش می دهند. عجیب آن که عدم استفاده از سرویس های ابری حتی ممکن است به ریسک های امنیتی غیرضروری منجر شود چرا که سازمان ها همچنان به استفاده از سامانه های داخلی/درون شرکتی ای که به خوبی مدیریت نمی شوند و اغلب در مقایسه با ابرهای عمومی آسیب پذیری های امنیتی بیشتری دارند ادامه می دهند.
اگرچه بخش های پشته ای (stack) که مسئولیت آن ها بر عهدۀ فراهم کنندگان سرویس ابری است در مجموع بسیار ایمن هستند ولی ویژگی های بخش هایی از پشتۀ ابری که تحت کنترل کاربر هستند می تواند کاربران مبتدی را به انجام اقدامات نامناسب قادر سازد که این امر می تواند به مشکلات امنیتی یا عدم پیروری از قوانین منجر شود. استفادۀ ایمن از تمام اَشکال ابرهای عمومی مستلزم سیاست ها، مهارت ها و فعالیت های سازمانی است. هیچ فناوری ای به صورت on-premises یا در ابر عمومی ۱۰۰ درصد ایمن یا قابل اطمینان نیست، به ویژه هنگامی که برای کاربران و تیم فناوری اطلاعات یک قابلیت جدید بدون هیچ گونه راهنمایی در مورد به کارگیری یا مدیریت آن فراهم می شود. بیشینه سازی فواید ابر عمومی مستلزم مدیریت دقیق اقدامات سازمانی در زمینۀ نرم افزار به عنوان سرویس (SaaS)، بستر به عنوان سرویس (Paas) یا زیرساخت به عنوان سرویس (Iaas) جهت جلوگیری از مشکلات ایمنی و تنظیمی است.
قرار دادن هرگونه حجم کاری (workload) در زیرساخت به عنوان سرویس (Iaas) یا بهره گیری از برنامه ها از طریق نرم افزار به عنوان سرویس (SaaS) مستلزم کنترل های تعدیل شده و حتی نو و برداشت های جدید از ریسک است. اگرچه فراهم کنندگان بزرگ سرویس ابری سطوح بالایی از امنیت و اتکاپذیری را نشان داده اند ولی مدل ابری منجر به ایجاد هزاران نرم افزار به عنوان سرویسِ (SaaS) پیشنهادی شده است که بیشتر آن ها کوچک هستند و از بودجۀ کمی برخوردار هستند (یک فرد می تواند به تنهایی یک محصولِ SaaS را به طور پاره وقت اجرا و مدیریت کند). شرکت های کوچک سرویس هایی که از نظر تجاری کارآمد هستند فراهم می کنند ولی نمی توان به فروشندگان کوچک از نظر اعتبار فنی و مالی اعتماد کرد. آن دسته از فراهم کنندگان سرویس ابری را انتخاب کنید که برای مصارف شما به اندازۀ کافی بزرگ هستند.
تحلیل:
پیش فرض های سازمانی خود در مورد سرویس های ابری را فراموش کنید و به ترویج تصمیم گیری های ابرمحور بر اساس الزامات تجاری بپردازید.
رایانش ابری (Cloud Computing) یکی از مفاهیمی است که تبلیغات زیادی در مورد آن صورت می گیرد. از آنجا که رایانش ابری تحولی شگرف در قالب استفاده از فناوری اطلاعات است این تبلیغاتِ زیاد عجیب نیست. در بسیاری از سازمان ها، سرویس ابری همچنان طرفداران سرسختی دارد که بدون در نظر گرفتن نکات امنیتی، قانونی و سایر ملاحظات دیگر به استفاده از ابرها می پردازند. منتقل کردن حجم های کاری (workload) موجود به ابر عمومی بدون بازنگری نکات امنیتی و مدیریتی و فرآیند ها منجر به بروز سناریوهای پرخطر می گردد. استفادۀ کنترل نشده از ابرها، به ویژه برنامه های SaaS، موجب قرار گرفتن داده های حساس، از جمله داده های مدیریتی، در اختیار افراد فاقد صلاحیت در درون و در بیرون شرکت می گردد.
نقطۀ مقابل این سناریو هنگامی است که متخصصان فناوری اطلاعات (IT) یا مدیران شرکت ها هیچ تمایلی به استفاده از رایانش ابری ندارند. عدم تمایل به بهره گیری از رایانش ابری (Cloud Computing) می تواند یک شرکت را در موقعیتی ناامن و غیرمنعطف قرار دهد و از توان رقابت آن بکاهد و حتی به مشاغل مختلف آسیب برساند.
تبلیغات در مورد سرویس ابری، به ویژه هنگامی که طرفداران و مخالفان این سرویس با یکدیگر مناقشه دارند، منجر به تصمیم گیری های احساسی و ستیزه جویانه بدون توجه به نیازها و ویژگی های فراهم کنندۀ سرویس ابری می گردد. این موضوع موجب نارضایتی شدید همه و از آن بدتر، عدم توجه به ملاحظات کنترلی ضروری می شود. چنان چه یک سازمان آمادۀ اتخاذ رویکردی عینی و نظام مند نسبت به استفاده از ابرهای عمومی (Public Clouds) نباشد، پیروی از توصیه های گارتنر در مورد کنترل ابر دشوار یا غیرممکن خواهد بود.
برای شرکت خود یک راهبرد ابر عمومی، شامل رهنمود هایی در مورد میزان حساسیت مجاز داده هایی که در ابرهای عمومی قرار داده می شوند، شرایط قرار دادن این داده ها و آنچه در حال حاضر قابلقبول نیست، تدوین کنید.
سازمان هایی که فاقد رویکردی راهبردی نسبت به استفاده از سرویس های ابری هستند، بی جهت خود را محدود می کنند که این امر موجب می شود این سازمان ها نسبت به امنیت و مدیریت رویکرد های فنی ای اتخاذ کنند که ریسک ها را به طور غیرمؤثر و جزء به جزء مدیریت می کنند. مهم ترین اقدامی که یک سازمان می تواند به منظور اطمینان از مناسب بودن میزان امنیت ابری اتخاذ کند موافقت رهبر آن سازمان با این موضوع است که رایانش ابری مهم می باشد و باید بر اساس برنامه ریزی و سیاست گذاری مطلوب مدیریت شود. هنگامی که تصمیم گرفته شده باشد میزان مشخصی از کسب وکار مبتنی بر سرویس های ابری ای باشد که از بیرون تأمین می شوند می توان با تحلیل نیازها، برنامه ریزی و فرآیند های پذیرش ریسک به رهبری کسب وکار و فناوری اطلاعات پرداخت. باید به منظور اطمینان از استفادۀ ایمن و قانونی ابرهای عمومی ساختاری کارآمد ایجاد کرد.
از آنجا که راهبردهای ابری اغلب شامل استفاده از ابر است، بیشتر سازمان ها به استفادۀ غیرمجاز و غیرقانونی از ابرهای عمومی می پردازند. به ویژه هنگام وجود داده های حساس یا مدیریتی، ابرهای تأیید نشده ریسک های بی موردی ایجاد می کنند. حمایت فرآیند های حیاتی با استفاده از سرویس های خارجیِ تأییدنشده ریسک هایی زیادی در پی دارد. ممکن است داده های شرکت در درون سرویس غیر منعطفی که قادر به تأمین نیاز های آتی نیست یا بدتر از آن تأمین کنندۀ کوچکی که در شرف ورشکستگی قرار دارد بلوکه شوند. به همین ترتیب نباید استانداردهای لازم برای فراهم کنندگان سرویس های ابری را به اندازه ای سخت گیرانه تعریف کرد که شمار کمی از فراهم کنندگان این سرویس ها قادر به تأمین آن ها باشند.
در صورت نبود راهبردی برای تعریف انتظارات سازمانی از شکل، معنا و کنترل استفاده از ابر عمومی، رهبران فناوری اطلاعات اغلب احساس می کنند از اختیار کافی برای سازماندهی استفاده از ابرهای عمومی برخوردار نیستند چه برسد به محدود سازی استفاده از این گونه ابرها. خوشبختانه، شمار فزاینده ای از مشتریان گارتنر در حال اتخاذ رویکرد های راهبردی «بالا به پایین» هستند. یک راهبرد ابری که توسط مدیر اطلاعات یا مدیر فناوری یا مدیر دیجیتال اجرا و بر اساس راهبرد فناوری اطلاعات، ساختار یا تابع های پیشبرد کسب و کار رهبری می شود، رهنمود هایی در مورد نحوۀ انجام خرید های آتی و آنچه باید در خصوص امنیت و کنترل سرویس های ابر عمومی کنونی و آتی انجام شود فراهم می کند.
سیاست های را در زمینۀ مالکیت سرویس ابری و فرآیند های پذیرش ریسک این سرویس تدوین و اجرا کنید.
هیچ فرآیند سازمانی را نمی توان با اطمینان اجرا کرد و هیچ امکانات سازمانی را نمی توان با اطمینان مورد استفاده قرار داد مگر آنکه مسئولیت های مربوط بهروشنی تعریف و اجرا شوند. سیاست اصلی در پس استفادۀ کنترل شده از سرویس هایی که از بیرون از سازمان یا شرکت فراهم می شوند، مالکیت است: چنانچه فردی بخواهد یک سرویس ابر عمومی که قبلاً غیرمجاز بوده است استفاده کند باید آن فرد یا شرکت او بهروشنی مالکیت آن سرویس، از جمله مسئولیت سازگاری آن با سیاست های مربوط، ریسک های سرویس و در صورت نیاز بودجۀ اضافی برای امنیت و کنترل سازگاری آن سرویس، را بهروشنی بر عهده گیرد. طبیعی است که چنان چه رهبران فناوری اطلاعات (IT) انتظار داشته باشند مدیران از پذیرش مسئولیت سازگاری خودداری کنند تمایلی به استفاده از رایانش ابری نخواهند داشت. منطقی نیست که از مدیر اطلاعات یا مدیر امنیت اطلاعات انتظار داشت تمام پیامد های استفاده از سرویس هایی را که خود انتخاب نکرده اند و هیچ کنترلی بر آن ها ندارند بر عهده گیرند.
بهترین روش برای اتخاذ تصمیم های مناسب و غیرجنجالی در مورد قابل پذیرش بودن ریسک سرویس های ابر عمومی و موارد استفادۀ آن ها به کارگیری ساختاری نظام مند، از قبیل فرآیندی روشن برای تعریف الزامات امنیتی بر اساس طبقه بندی داده ها است. یک فرآیند پذیرش ریسک محور که با مفهوم حساسیت داده ها یا موارد استفاده آغاز می شود متخصصان امنیت سرویس ابری را قادر می سازد زمان و انرژی خود را بر مهم ترین و با اهمیت ترین موقعیت ها متمرکز سازند. آن دسته از تقاضا ها برای استفاده از سرویس ابری که داده های غیرحساس را در برمی گیرند به ارزیابی ریسک نیاز ندارند و مسئولان امنیتی ای که بر ضرورت امنیت بالا در استفاده از برنامه های ابری با حساسیت کم تأکید می کنند در حال از دست دادن اعتبار و وجاهت خود هستند. تنها گفتنِ «خیر» به عنوان پاسخ رایج به درخواست های تأیید استفاده از سرویس های ابری نتایج نامطلوبی در پی دارد و در بیشتر سازمان ها دیگر قابلقبول نیست.
یکی از مؤثرترین روش های افزایش اثربخشی و سادگی پردازش ریسک انجام کمتر آن است. با تأیید پیشاپیش مجموعه ای از سرویس های ابر عمومی برای مصارف و سناریوهای تجاری خاص، رهبران فناوری اطلاعات می توانند بدون آنکه نیاز باشد هر دفعه که شرکت خواهان یک سرویس ابری است یک فرآیند تأیید کامل را از ابتدا انجام دهند به طور غیرمنفعلانه ای پذیرش ابرهای عمومی را نشان تأیید کنند. فرآیند های تأیید طولانی و پیچیده نتایج نامطلوبی در پی دارند چرا که باعث این برداشت می شوند که تمایلی به استفاده از ابرها وجود ندارد و مسئولان شرکت را ترغیب می کند بدون درخواست کمک از بخش فناوری اطلاعات برای انتخاب یا مدیریت برنامه های مورد نیاز خود را پیدا کنند. بخش فناوری اطلاعات و مسئولان امنیتی شرکت باید بدون آنکه از آن ها درخواست شود سرویس های ابری مجازی را که با نیازهای شرکت بیشترین تناسب را دارند معرفی کنند. اقبال کاربران به گارتنر برای تأمین محصولات SaaS از پیش تأیید شده و حمایتی مختلف از جمله همگام سازی و به اشتراک گذاری فایل های شرکت، انواع دیگر ابزارهای همکاری و مدیریت روابط مشتری، در حال افزایش است.
سازمان ها می توانند با استفاده از آن دسته از فراهم کنندگان سرویس ابری که با انجام موفق یک ارزیابی امنیتی رسمی توسط یک شخص ثالث، از قبیل ISO 27001 یا SOC2، که در مقایسه با بیشتر سازمان های کاربر توجه بیشتری به امنیت نشان داده اند، فرآیند ارزیابی ریسک فراهم کنندگان سرویس ابری را مؤثرتر سازند.
به تدوین و اجرای یک رویکرد مدیریت چرخۀ عمر که بر کنترل عملیاتی سرویس های مبتنی بر SaaS، PaaS و IaaS تأکید می کند بپردازید.
چنان چه سازمان ها تصور کنند ابرها می توانند از خود مراقبت کنند بروز مشکلات امنیتی و عدم سازگاری اجتناب ناپذیر خواهد بود. عدم طراحی فرآیند هایی برای نظارت بر ابر عمومی و حمایت از آن به به اشتراک گذاری نامناسب داده های حساس و استفاده از سرویس های ابری غیرمجاز منجر خواهد شد. این موضوع موجب می شود سازمان ها نتوانند به ناظران، تنظیم کنندگان، مشتریان، شهروندان و مدیران توضیح دهند چرا داده های حساس بدون اینکه در ابتدا سیاست ها و رهنمودهایی مناسبی تدوین شود در درون سرویس های کنترل نشده قرار داده شده اند. استفاده از ابر عمومی دست کم مستلزم توجه مستمر به وضعیت و عملکرد فراهم کنندگان سرویس های ابری ای است برای پردازش های مورد نیاز مورد استفاده قرار می گیرند.
در بیشتر موارد، کنترل سرویس های IaaS محور مبتنی بر الگوهایی است که به رایانش درون شرکتی/داخلی شباهت دارند. اگرچه ممکن است برخی از فناوری های کنترل و بعضی از روش ها به محیط های مجازی ابر عمومی منحصر باشند. اما استفادۀ موفقیت آمیز از IaaS مستلزم توجه به ساختار، روش های کدگذاری، آزمایش، تغییر مدیریت و آسیب پذیری مدیریت است.
سازمان هایی که اثرات استفاده از SaaS را به طور کامل مورد بررسی قرار نداده اند اغلب به اشتباه تصور می کنند بیشترِ فعالیت های مربوط به امنیت تحت کنترل فراهم کننده هستند. فراهم کنندۀ SaaS محیط عملیاتی و کاربست را مدیریت می کند اما آنچه در این محیط انجام می شود – به ویژه مدیریت دسترسی به هویت (Identity Access Management {IAM}) و حفاظت از داده – تحت کنترل مشتری است. بیشتر برنامه های SaaS به اشتراک گذاری داخلی نامناسب داده ها را برای افراد آسان می سازند و بسیاری از برنامه ها نیز افراد را قادر می سازند بدون تأیید لازم برای دسترسی به ، به اشتراک گذاری خارجی نامناسب داده ها بپردازند.
کنترل مؤثر استفاده از رایانش ابری شامل نه گفتن نیست بلکه برخورداری از توانایی لازم برای شناخت آنچه در ابر عمومی در حال انجام است و قادر بودن به فراهم کردن پاسخ های مثبت به این سؤال مدیران، اعضای هیئتمدیره، ناظران، تنظیم کنندگان و سازمان های همکار که آیا رایانش ابری به طور مناسب و مؤثری مورد استفاده قرار می گیرد و به کارگیری مزیت های ذاتی محصول به منظور کاهش حوادث امنیتی بالقوه را در بر می گیرد.
تخصص خود در زمینۀ اجرا و کنترل هر یک از مدل های ابری ای را که مورد استفاده قار خواهند گرفت افزایش دهید
IaaS و SaaS به مهارت های امنیتی و مدیریتی متفاوتی نیاز دارند و کنترل آن ها مستلزم ابزارهای متفاوتی است. برای اطمینان از نظارت و کنترل مؤثر بر اَشکال مختلف سرویس هایی که از خارج از سازمان فراهم می شوند، راهبرد سازمانی برای استفاده از ابر عمومی باید به این موضوع که مدل های ابری مختلف ریسک ها و الزامات کنترلی مختلفی دارند توجه کند.
مدیریت و کنترل IaaS مستلزم فرآیند های ساختاری، برنامه ریزی، آزمایش، اجرا و تغییر مدیریت است. اگرچه چارچوب اصلی این فعالیت ها شبیه فرآیند ها و مهارت های مورد استفاده در فناوری اطلاعاتِ سنتی است ولی متخصصانی که این فعالیت ها را انجام می دهند باید با مجازی سازی و دانش مربوط به فراهم کنندگان سرویس ابری، به ویژه در زمینۀ مدیریت دسترسی به هویت ((Identity Access Management {IAM}، مدیریت تصویر OS، ارتباط شبکه ای و کدگذاری آشنا باشند. در سال های آتی سازمان هایی که قصد دارند از مجازی سازی و سایر سازوکارهای IaaS برای مصارف حساس استفاده کنند به کارمندانی که با فناوری های امنیت ابری آشنایی کامل دارند نیاز خواهند داشت. افرادی که در زمینۀ فناوری شم بالایی دارند و از دانش نوین برخوردار هستند برای انجام فعالیت های امنیتی کم ریسک یا ایجاد سازوکارهایی که استفاده از آن ها برای کاربر آسان است یا طراحی سازوکارهای کنترلی که بدون نیاز به توجه مستمر کارشناسان امنیت ابری قادر به فعالیت هستند مورد نیاز خواهند بود.
در مقابل، تمام فناوری SaaS تحت کنترل مستقیم فراهم کنندۀ سرویس است که این امر بدین معنا است که شرکت هایی که خواهان مدیریت استفادۀ خود از SaaS هستند باید یا به ساختارهایی که هر یک از فراهم کنندگانِ SaaS تأمین می کنند اتکا نمایند و یا از نوعی هدایت توسط شخص ثالث استفاده کنند. امنیت و مدیریت SaaS شامل فعالیت های سازمانیِ تعیین سیاست و تشویق سازگاری با این فناوری ها است. کنترل های قابل اِعمال – ایجاد یا مرتبط سازی حساب ها، ایجاد گذرواژه، تدوین سیاست های دسترسی به داده و نظارت بر عملکرد – تنها از طریق داشبورد ها و کنسول های اینترنت محور انجام می شوند و از این رو فرآیند های نظارتیِ SaaS به دانش فنی کمتری نیاز دارند. ممکن است کارکنانی که به مدیریت فرآیند های SaaS می پردازند در حوزۀ عملیات های فناوری اطلاعات، امنیت فناوری اطلاعات یا حتی سازگاری یا حریم خصوصی متخصص باشند ولی به طور کلی به فعالیت های درون سیستمی یا پروتکل های شبکه ای علاقه ای ندارند.
یکپارچه سازی سرویس ها در قالب پلان های کنترل (Control Planes)، فراهم کردن کنترل هویت، اجرای سیاست، نظارت و سایر کنترل های متمرکز ابعادی از SaaS هستند که به بیشترین مهارت فنی داخلی نیاز دارند. این فعالیت ها اغلب توسط متخصصان امنیت که در زمینۀ اجرای ابزارهای هویت، directory federation و سازوکارهای امنیت شبکه تجربه دارند انجام می شوند.
با گذشت زمان، همچنان که فراهم کنندگانِ SaaS به گسترش پروتکل های داخلی تطبیقیِ (AIPs) خود ادامه می دهند و همچنان که پایگاه کاربر به کنترل، تعدیل و یکپارچه سازی بیشتری نیازمند می گردد، استفادۀ مؤثر از SaaS مستلزم تخصص بیشتر در زمینۀ ساختار و کدگذاری خواهد بود یا به محصولات جانبی از قبیل CASB نیاز خواهد داشت. همان طور که شرکت Salesforce و بسترِ Force آن نشان داده است، آن دسته از برنامه های SaaS که به لحاظ راهبردی مهم هستند به طور فزاینده ای دارای ویژگی های PaaS خواهند بود. هر چه میزان تقاضا برای شخصی سازی (customization) از سوی شرکت بیشتر باشد، به افرادی که با پیامد های امنیتی و کنترلی و پیوند های بین بستر های PaaS آشنا هستند بیشتر نیاز خواهد بود؛ و البته اگر PaaS رایج تر گردد، استفاده از آن در شرکت ها مستلزم برخورداری از متخصصان فنی ای که با پروتکل های داخلی تطبیقیِ (AIPs) خاص و ویژگی های هر یک از سرویس های مورد استفاده آشنا هستند خواهد بود.
به منظور مقابله با پراکندگی سرویس های ابری از پلان های کنترل استفاده کنید.
یکی از معایب استفاده از سرویس ابر عمومی این است که این ابر به طور ذاتی پراکنده و مبسوط است که این امر منجر به ازدیاد کنسول ها و ضعف مدیریتی می گردد. IaaS پیچیده می گردد چرا که ممکن است شمار حجم های کاری (workload) به طور نامحدودی افزایش یابد. SaaS به موجب شمار بالای فراهم کنندگان پیچیده است که تقریباً هر یک از سازمان ها به طور منظم دست کم از چندین جین برنامه هایی که از خارج از سازمان فراهم شده اند و شرکت های بزرگ از بیش از هزار عدد از این برنامه ها استفاده می کنند. «مرتبط بودن تمام چیز ها» به همراه نیاز فزاینده به میزان مشخصی کنترل بر استفاده از حجم های کاری ابری، SaaS، تحرک، هویت و سایر حوزه های پیچیده و پویا مشکلاتی را در زمینۀ تدوین سیاست های مشترک و کنترل یا یکپارچه سازی عملکرد کاربر ایجاد می کند. سازوکارهای یکپارچه یا «پلان های کنترل»، که کنسول های منفردی با نگاه یکپارچه در چندین ابر عمومی (و احتمالاً خصوصی) فراهم می کنند، به طور فزاینده ای به عنوان سازوکارهایی که بهره گیری از تمام مزایای ابرهای عمومی را تسهیل می سازند و در عین حال از تأمین الزامات سازگاری و انتظارات امنیتی توسط این ابرها اطمینان حاصل می کنند محبوب خواهند شد.
اساس استفادۀ کنترل شده از انواع ابر های خارجی، مدیریت و رهبری کارآمدِ هویت است. مدیریت هویت با یکپارچه سازی، یا همبسته سازیِ (federation)، ابرهای خارجی با سرویس راهنمایِ (directory service) سازمانی و با بهره گیری فزاینده از مدیریت هویت و دسترسی به عنوان یک سرویس و در نظر گرفتن تأیید به عنوان مهم ترین عملکرد، از این نکته اطمینان حاصل می کند که تنها افراد مناسب از حساب های سازمانی استفاده می کنند و تنها کاربران مجاز به داده های حساس دسترسی دارند. کنترل کاربرانِ دارای دسترسی ویژه از اهمیت زیادی برخوردار است و باید با چندین برابر ساختن فعالیت های لازم برای تأیید و ورود انجام شود.
اگرچه بیشتر سازمان هایی که از IaaS استفاده می کنند شمار کمی CSP به کار می برند اما ممکن است هزاران ماشین یا برنامۀ مجازی مورد استفاده قرار گیرد. بسترهای مدیریت ابر نقطۀ کنترل منفردی برای مجموعه ای از حجم های کاری (workloads) فراهم می کنند. همچنان که استفاده از کدگذاری افزایش می یابد، مدیریت کلیدی ابر مطلوب و حتی ضروری می گردد.
کنترل SaaS دشوارتر از کنترل IaaS است چرا که هر برنامه توسط فروشندۀ خاصی تهیه شده و ویژگی ها، نقاط ضعف، قابلیت های کنترل و کنسول های مدیریتی متفاوتی دارد. هیچ کنترل پلان منفردی برای تأمین نیازهای یک شرکت در زمینۀ کنترل SaaS، دست کم نه در طول چند سال آتی، کافی نخواهد بود ولی گارتنر معتقد است CASB با فراهم کردن نقطۀ مناسبی برای کنترل تدوین سیاست هایی مشترک در بین برنامه های مختلفِ SaaS و نظارت بر عملکرد و استفادۀ کاربر، به عنوان مکانیسم امنیتی و مدیریتی یک شرکت عمل خواهد کرد.
به این مطلب امتیاز دهید: