مهاجرت امن ابری در صورتی امکان پذیر است که از همان ابتدا منابعی را به آن اختصاص دهید. یک رویکرد امنیتی اول در مهاجرت ابری فرض میکند که هر چیزی که مهاجرت میکنید، بازسازی میکنید و دوباره معماری میکنید، یک محیط بسیار امن ایجاد میکند و خطرات نقض، از دست دادن عملیات و نشت دادهها را به حداقل میرساند.
در ابر عمومی، امنیت و انطباق مسئولیت مشترک هستند. به همین دلیل ضروری است که عناصری را که باید از آنها مراقبت کنید تا از حفاظت مناسب از داده های کسب و کار خود در فضای ابری اطمینان حاصل کنید، شناسایی کنید.
برای کسب اطلاعات بیشتر در مورد ساختن یک استراتژی ابری امنیت اول و شش عنصری که باید سنگ بنای آن باشند، ادامه مطلب را بخوانید.
این دومین مقاله از مجموعه ما در مورد مهاجرت ابری است – برای کسب اطلاعات بیشتر در مورد شبکه، مقاله اول را بررسی کنید.
مهاجرت امن ابری چیست؟
محیط های ابری می توانند به سرعت تغییر کنند و به صورت پویا وارد و خارج از انطباق شوند.
اولین رویکرد امنیتی برای رایانش ابری بر نظارت و مدیریت مداوم تهدیدها متمرکز است تا اطمینان حاصل شود که سازمان در بالای همه خطرات بالقوه باقی می ماند. علاوه بر این، شامل درک و اقدام در مورد این خطرات از طریق سیاستها، فرآیندها و کنترلهای خودکار است.
دستیابی به وضعیت انطباق مستمر در ابتدا مستلزم ترکیبی از ابزارها، تکنیک ها و فرآیندهای مدرن است. در اینجا شش عنصر کلیدی که استراتژی ابری شما باید برای ارتقا و بهبود وضعیت امنیتی شما داشته باشد، آورده شده است.
6 جزء یک مهاجرت امن ابری
1. مدیریت وضعیت امنیت ابری (CSPM)
همه ارائه دهندگان خدمات ابری (CSP) حداقل مجموعه ای از بهترین شیوه های مورد نیاز برای امنیت و انطباق منابع ذخیره شده در ابر را به اشتراک می گذارند.
مدیریت وضعیت امنیت ابری راهحلهای (CSPM) به مقایسه پیکربندیهای منابع ابری با چنین بهترین شیوهها کمک میکنند. علاوه بر این، آنها می توانند هرگونه تغییر پیکربندی را به دلیل تغییرات موقت یا اهداف مخرب شناسایی کنند.
Microsoft Azure با یک راه حل CSPM برای منابع ابری خود ارائه می شود، اما همچنین AWS و GCP دارای بخش هایی از عملکردهای مرتبط هستند. اگر ترجیح میدهید در فضای ابری خنثی بمانید، میتوانید ابزار CSPM شخص ثالث مانند Palo Alto، ZScaler، Orca Security، Wiz Security یا Secberus را انتخاب کنید.
راهحلهای CSPM میتوانند پیکربندیهای ابری شما را بخوانند و بررسی کنند، مشکلاتی را که نیاز به اصلاح دارند به شما اطلاع دهند، و یافتهها و توصیههای دقیق را ارائه کنند. در نتیجه، آنها به اطمینان از یک امتیاز امنیتی سطح بالا در همه اجزا کمک می کنند.
بنابراین، در حالت ایدهآل، محیطهای ابری شما باید شامل یک ابزار CSPM باشند و برای دستیابی به حداقل امتیاز امنیتی و انطباق تجویز شده تلاش کنند. به عنوان یک قاعده کلی، سطح 3 («تعریف شده») یا بالاتر از چارچوب امنیت سایبری NIST باید انتخاب خوبی باشد.
تشخیص و پاسخ نقطه پایانی
تشخیص و پاسخ نقطه پایانی (EDR) یک فناوری امنیت سایبری است که به طور مداوم دستگاه های کاربر نهایی را برای شناسایی و پاسخ به تهدیدهایی مانند باج افزار و بدافزار نظارت می کند.
هر ماشین مجازی در استقرار ابری شما باید یک راه حل امنیتی Endpoint به درستی نصب و پیکربندی شده باشد.
Microsoft Azure Defender را برای ویندوز ارائه می دهد، اما نسخه ای برای لینوکس نیز وجود دارد. اگر رویکرد فروشنده-اگنوستیک را انتخاب کنید، همچنان طیف وسیعی از محصولات EDR مانند Crowd Strike، Sentinel One، Trend Micro، Broadcom و بسیاری دیگر را دریافت خواهید کرد.
نصب ابزار EDR برای تمام ماشین های مجازی مستقر شده باید بخشی از استراتژی باشد که از طریق ابزارهای CSPM و Policy as Code اعمال می شود.
مدیریت کلید و مدیریت اسرار
برنامه مهاجرت ابری شما باید شامل ایمن سازی تنظیمات حساس یا مخفی باشد.
در حالت ایده آل، شما باید چنین داده هایی را در یک مکان مرکزی با استفاده از یک سرویس مدیریت مخفی ارائه شده توسط ابر ذخیره کنید. چنین ابزارهایی به شرکتها اجازه میدهند تا دادههایی مانند رمز عبور، کلیدهای رمزگذاری، کلیدهای SSH، کلیدهای API، اعتبار پایگاه داده، نشانهها و گواهیها را بهطور امن ذخیره، انتقال و مدیریت کنند.
مدیریت کلید و یک ماژول امنیتی سخت افزار FIPS 140.2 مناسب باید از این تنظیم پشتیبانی کند.
همه ارائه دهندگان ابر از نظر عملکردی خدماتی معادل برای اسرار و مدیریت کلید دارند. شما همچنین می توانید از ابزارهای شخص ثالث متعددی انتخاب کنید.
خط مشی به عنوان کد
ایده Policy-as-Code شامل نوشتن کد به زبان سطح بالا برای مدیریت و خودکارسازی خط مشی ها است. این فرم استفاده از بهترین روشها را برای توسعه نرمافزار، مانند کنترل نسخه و آزمایش و استقرار خودکار، آسانتر میکند.
نمونه هایی از قوانینی که خط مشی شما به عنوان کد می تواند شامل شود به شرح زیر است:
- از استفاده از IP های عمومی در ماشین های مجازی خودداری کنید.
- تمام فضای ذخیره سازی باید از کلیدهای رمزگذاری ارائه شده ذخیره شده در راه حل مدیریت کلید شما (KMS) استفاده کند.
- اشیاء ذخیره سازی عمومی مجاز نیستند.
- فایروال برنامه وب باید در مقابل همه API و برنامه های وب استفاده شود.
هنگام جمعآوری فهرست بهترین شیوهها، میتوانید از استانداردهای صنعتی مانند معیارهای CIS یا CISA/NSA Kubernetes Hardening Guide استفاده کنید. سپس، میتوانید چنین سیاستهایی را از طریق IaC پیادهسازی کنید و آنها را برای کارآیی آزمایش کنید.
گزارش و اطلاعات امنیتی و مدیریت رویداد (SIEM)
همه منابع ابری داده های گزارش را تولید می کنند. فناوری اطلاعات امنیتی و مدیریت رویداد (SIEM) دادههای گزارش رویداد را از چندین منبع جمعآوری میکند و به شما کمک میکند فعالیتهای غیرمعمول را شناسایی کنید و اقدامات مناسب را سریع انجام دهید.
سیستمهای SIEM عملکردهای متفاوتی دارند، اما به طور کلی، با پیگیری نحوه عملکرد کاربران، محدود کردن تلاشهای دسترسی و تهیه گزارشهای انطباق، خطرات سایبری را کاهش میدهند.
استقرار ابری شما باید یک راه حل SIEM سرتاسر را ادغام کند و از آن برای تجزیه و تحلیل داده های گزارش برای همه اجزا استفاده کند. با هشدار از طریق اعلانها، میتوانید فعالیتهای مشکوک را کشف کرده و در محل به آنها رسیدگی کنید.
برخی از راه حل های پیشنهادی در این دسته عبارتند از IBM Security QRadar، Datadog Security Monitoring، AT&T Cybersecurity، FortiSIEM و غیره.
تضمین امنیت و انطباق
همه ارائه دهندگان خدمات ابری کلیدی می توانند از انطباق با استانداردهای رایج مانند SOC2 Type II، ISO127001، PCI DSS (راه حل ذخیره سازی داده ها) و بسیاری دیگر اطمینان حاصل کنند. این گواهینامه می تواند پایه ای برای الزامات تضمین امنیت و انطباق شما باشد.
هنگامی که کار خود را در این زمینه ساختار می دهید، روی دو قابل تحویل کلیدی تمرکز کنید:
- اطمینان حاصل کنید که امتیاز معیار CIS را برای همه عناصر زیرساخت دریافت می کنید، بدون نقض بهترین رویه بالاتر از «متوسط». حداقل 90٪ چک های اجرا شده را با نمره قبولی که توسط راه حل CSPM انتخابی شما اندازه گیری می شود، هدف بگیرید.
- محیط خود را در برابر چارچوب سایبری امن NIST 1.1 بررسی کنید، باز هم با هدف حداقل سطح بلوغ 3 («تعریف شده»)، که در حالت ایده آل به سطح 4 («مدیریت شده») یا 5 («بهینه شده») گسترش می یابد.
اگر از Kubernetes استفاده می کنید، یک ابزار مفید در اینجا می تواند گزارش امنیت کانتینر CAST AI باشد. با اسکن خودکار پیکربندی های خوشه شما، مطابقت شما با استانداردهای ضروری صنعت و بهترین شیوه ها را بررسی می کند.
هنگامی که مطابقت خود را بررسی کردید، می توانید یک جدول زمانی برای آن تعیین کنید تست نفوذ. این تمرین امنیت سایبری به شما کمک می کند هر نقطه ضعفی را در سیستم دفاعی سیستم خود پیدا کنید که هکرها می توانند از آن استفاده کنند. تست نفوذ باید داخلی و خارجی باشد و در حالت ایده آل، به لطف اولویت بندی مسائل، گام های بعدی شما را راهنمایی می کند.
یک مهاجرت امن ابری را راه اندازی کنید
ایجاد یک استراتژی ابر امنیت در ابتدا احتمال حملات سایبری را به حداقل می رساند، از دارایی های ارزشمند شما محافظت می کند و چابکی کلی کسب و کار شما را بهبود می بخشد.
شما می توانید با ترکیب انواع راه حل ها و تکنیک های مشخص شده، یک ساختار امنیتی محکم برای استقرار ابر خود بسازید – سرمایه گذاری مطمئناً نتیجه خواهد داد.
