نیازمندیهای امنیتی فناوری اطلاعات
نیازمندی های امنیتی فناوری اطلاعات ، نیازمندیهای کاربردی و غیر کاربردی می باشند که می بایست برآورده شوند تا مشخصات امنیتی یک سیستم تأمین شود .
انواع نیازمندی های امنیتی
نیازمندیهای امنیتی می تواند در سطوح انتزاعی (Abstraction Levels) مختلفی ارائه شود . در بالاترین سطح انتزاعی ، اهداف امنیتی منعکس می گردد . برای مثال یک هدف امنیتی می تواند به این صورت باشد : " یک سیستم باید محرمانگی تمام داده هایی که در قالب محرمانه طبقه بندی شده اند را حفظ نماید. "
برای طراحان سیستم مفیدتر این خواهد بود که نیازمندی های امنیتی با عینیت و واقع گرایی بیشتر ، آنچه که برای تأمین امنیت یک سیستم و داده آن باید انجام شود را توصیف نمایند . چهار نوع نیازمندی امنیتی را می توان برای این منظور پیشنهاد کرد :
-
نیازمندیهای کاربردی امن :
این نوع نیازمندی توصیف مربوط به امنیت می باشد که در هر نیازمندی کاربردی باید گنجانده شود . در واقع داشتن نگاه امنیتی در توصیف نیازمندیهای کاربردی را می رساند و معمولا عنوان می کند که چه مواردی نباید اتفاق بیفتد . این نیازمندیها
-
نیازمندی های امنیتی کاربردی :
این نوع نیازمندی ، سرویسهای امنیتی می باشد که لازم است در سیستم تحت اتخاذ شود . برای مثال می توان تصدیق هویت ، صدور مجوز ، پشتیبان گیری و خوشه بندی سرورها را نام برد . این نیازمندی ها را می توان از بهترین شیوه ها (Best Practices) ، سیاست ها و مقررات استخراج نمود .
-
نیازمندیهای امنیتی غیر کاربردی (Non – functional) :
این نوع نیازمندی نیازمندیهای معماری مربوط به امنیت می باشد ، همچون استحکام ( Robusteness )و کارآیی و مقیاس پذیری حداقلی . این موارد معمولا از مفاهیم معماری و استانداردها قابل استخراج می باشد .
-
نیازمندیهای توسعه امن :
این نوع نیازمندی ، فعالیت های لازم در طول توسعه سیستم را توصیف می کند ، این موضوع متضمن آنست که تضمین نماید خروجی ، موضوعی برای آسیب پذیری نمی باشد ، برای مثال طبقه بندی داده ها ، راهنمای کدگذاری ، و یا روش های آزمودن سیستم . این نیازمندیها از چارچوب های بهترین شیوه مربوط استخراج می شوند .
با توجه به موارد مطرح شده فرآیند شکل گرفتن نیازمندی های امنیتی و استفاده از آن در شکل زیر نشان داده شده است .
حملات محتمل عليه سرویس های رایانش ابری
با توجه به نوظهور بودن بسیاری از سرویس های رایانش ابری هنوز برآورد کاملی از آسیب پذیری ها و حملات محتمل بر این فناوری وجود ندارد . اما آنچه از مشابهت با سیستم های فناوری اطلاعات مشابه قدیمی و تجربیات سرویس های رایانش ابری ارائه شده به دست می آید ، حملات محتمل عليه سرویس های رایانش ابری شامل این موارد خواهد بود:
- به خطر افتادن محرمانگی و صحت داده در تبادل ارتباطات ؛
- حملاتی که از یکپارچگی و توان محیط رایانش ابری سود می برند تا به سرعت ابعاد و توان حملات را گسترش دهند ؛
- دسترسی غیر مجاز به وسیله یک مشتری به نرم افزارها ، داده ها و منابع در حال استفاده توسط سایر کاربران مجاز سرویس های ابر ؛
- افزایش سطح حملات مبتنی بر شبکه همچون حملات انکار سرویس ، که از نرم افزارهایی که برای مدل های تهدید و آسیب پذیری های اینترنت طراحی نشده اند ؛
- محدودیت در قابلیت رمزنگاری داده های مستقر در محیط چندکاربری رایانش ابری ؛
- محدودیت های سازگاری و قابلیت جابجایی به علت استفاده از واسطهای ( API برنامه نویسی غیر استاندارد که منجر به ایجاد مشکلات برای مشتری در هنگام تغییر فراهم کننده ابر می شود . این تغییر فراهم کننده ابر ممکن است به دلایل مختلف از جمله برآورده نکردن نیازمندیهای در دسترس بودن اتفاق بیفتد ؛
- حملاتی که از جداسازی (Abstraction) فیزیکی منابع ابر بهره می برند و یا از عدم شفافیت در شیوه ها و بایگانی بازرسی و ممیزی استفاده می کنند ؛
- حملاتی که از ماشین های مجازی به روز نشده و اصلاح نشده بهره می برند و
- حملاتی که از ناهماهنگی در مقررات و سیاستهای کلی پوشیدگی استفاده میکنند .
اهداف امنیتی پایه در پیاده سازی رایانش
با توجه به موارد گفته شده در دو بخش قبلی ، اهداف امنیتی اصلی در پیاده سازی رایانش ابری شامل موارد زیر خواهد بود :
- محافظت داده مشتری از دسترسی غیرمجاز ، افشا ، تغییر و پایش . که شامل پشتیبانی از مدیریت هویت می باشد ، از جمله اینکه این قابلیت برای مشتری فراهم باشد که بر دسترسی کاربران مجاز به سرویسهای ابر سیاست های کنترل دسترسی و هویت اعمال کند . همچنین مشتری را قادر می سازد تا برای کاربران مختلف امکان دسترسی به بخش های مختلف داده ها را فراهم سازد .
- جلوگیری از تهدیداتی که زنجیره تأمین را هدف قرار میدهد ، شامل اعتمادپذیری و قابلیت اطمینان به فراهم کننده ابر و به همان اندازه به سخت افزار و نرم افزار می باشد . جلوگیری از دسترسی غیرمجاز به منابع زیرساخت ابر ، که شامل پیاده سازی حوزه های امنیتی بین منابع پردازش جداسازی منطقی انجام می دهند . به عنوان مثال جداسازی منطقی بین بار کاری مشتریان که بر روی یک سرور فیزیکی در حال اجرا می باشند ، و استفاده از پیکربندیهایی که به صورت پیش فرض امکانات امنیتی را اعمال می کنند.
- طراحی کاربردهای وبی که در یک ابر مستقر هستند بر اساس یک مدل تهدید اینترنت و امنیت تعبیه شده(Embedded) در فرآیند توسعه نرم افزار.
- محافظت از مرورگرهای وب در برابر حملات به منظور کاهش آسیب پذیری های امنیتی کاربر انتهایی(End-user) ، شامل اندازه گیری برای محافظت از دستگاههای پردازشی پرسنل که به اینترنت متصل است به وسیله به کارگیری نرم افزارهای امنیتی ، دیواره های آتش شخصی و نگهداری بسته های اصلاحی می باشد . گسترش کنترل دسترسی و فن آوری های تشخیص نفوذ در سمت فراهم کننده ابر و انجام یک ارزیابی مستقل به منظور بررسی این که آن ها در جای خود عمل می کنند . این شامل محیطهای پیرامونی امنیتی در ترکیب با مدلهای حوزه امنیت می باشد . محیط پیرامونی امنیتی شامل این موارد می باشد : محدودیت های فیزیکی دسترسی به شبکه و دستگاههای حفاظت از یکایک اجزاء در برابر سوءاستفاده در هنگام توسعه بسته های امنیتی ، تعریف پیش فرض اکثریت موارد امنیتی در پیکربندی ها ، غیر فعال کردن تمام درگاه ها و سرویس های استفاده نشده ، استفاده از کنترل دسترسی های نقش محور ، پایش روند بازرسی ، حداقل کردن استفاده از مصونیتها ، استفاده از ضد ویروس های نرم افزاری و رمزنگاری ارتباطات.
- تعریف حدود اعتماد بین فراهم کنندگان و مشتریان به منظور اطمینان از اینکه پاسخگویی در قبال فراهم کردن امنیت واضح و مشخص باشد .
- پشتیبانی از قابلیت جابجایی به طوری که مشتری بتواند به منظور تامین در دسترس بودن صحت و محرمانگی اقدام به تغییر فراهم کننده ابر نماید . این مسئله شامل توانایی بستن حساب در یک زمان و تاریخ مشخص و انتقال داده از یک فراهم کننده به فراهم کننده دیگر می باشد .