داده ها و اطلاعات نفت جدید هستند. چه کسی این استعاره را نشنیده است؟ بنابراین، حفاظت از داده های شرکت – بدیهی است – یک اولویت مدیریت است. چالش اصلی برای CIOها، CISOها، افسران حفاظت از دادهها و معماران امنیتی آنها انتخاب و ترکیب راهحلها، الگوها و روشهای نرمافزاری مناسب در یک معماری کارآمد و مقرونبهصرفه است.
کنترل دسترسی، رمزگذاری، DLP/CAB، پوشاندن، ناشناسسازی یا نام مستعار – همه میتوانند به ایمن کردن دادههای حساس در ابر کمک کنند. اما چگونه این قطعات پازل با هم قرار می گیرند؟ و چگونه ابرهای عمومی، مانند AWS، از مهندسان و متخصصان امنیتی در اجرای چنین معماری پشتیبانی می کنند؟ بیایید حفاری کنیم.
کنترل دسترسی
اولین قطعه پازل حفاظت از داده ها به قدری آشکار است که مهندسان حتی ممکن است فراموش کنند آن را ذکر کنند: کنترل دسترسی (شکل 1، الف). با پیروی از اصل نیاز به دانستن، فقط کارمندان یا حساب های فنی با نیاز واقعی باید بتوانند به داده ها دسترسی داشته باشند. بنابراین، دسترسی به دادهها تنها باید پس از آن امکانپذیر باشد که شخصی به صراحت اجازه دسترسی داده باشد. کنترل دسترسی دو تفاوت دارد: مدیریت هویت و دسترسی (به عنوان مثال، RBAC و LDAP) و اتصال لایه شبکه (فایروال ها را در نظر بگیرید).
شکل 1 — چگونه بخش های فناوری اطلاعات از داده های شرکت محافظت می کنند
رمزگذاری
دومین قطعه پازل برای حفاظت از داده ها در فضای ابری رمزگذاری است. رمزگذاری از سوء استفاده از داده های حساس توسط افرادی که به دلایل فنی می توانند به داده ها دسترسی داشته باشند اما نیازی به درک و کار با آنها ندارند، جلوگیری می کند. به عبارت دیگر: رمزگذاری داده در حالت استراحت (شکل 1، B) به خطر نشت داده ها به دلیل از بین رفتن دیسک های فیزیکی، و همچنین ادمین ها یا هکرها که فایل های حساس را استخراج می کنند، می پردازد. آنها ممکن است داده ها را بدزدند، اما داده ها به دلیل رمزگذاری برای آنها بی فایده است.
رمزگذاری داده در ترانزیت (شکل 1، ج) انتقال داده بین سرویس ها و ماشین های مجازی در داخل شرکت یا با شرکای خارجی را ایمن می کند. هدف: جلوگیری از استراق سمع یا دستکاری اطلاعات زمانی که دو برنامه یا جزء تبادل اطلاعات می کنند.
ارائه دهندگان ابر بزرگ مانند Azure مایکروسافت، GCP گوگل و AWS آمازون از مفاهیم رمزگذاری و کنترل دسترسی در خدمات خود چشم پوشی کرده اند. آنها (تقریبا) تمام داده هایی را که ذخیره می کنند رمزگذاری می کنند، خواه داده های موجود در GCP Bigtable، Azure’s CosmosDB، یا ذخیره سازی اشیاء AWS S3. یافتن یک سرویس ابری بدون رمزگذاری پیشفرض برای کمک به امنیت دادههای حساس دشوار است.
وقتی به مثال یک سطل S3 نگاه می کنیم، AWS گزینه های پیکربندی مختلفی را برای کنترل دسترسی و رمزگذاری ارائه می دهد. اول، مهندسان می توانند اتصال را پیکربندی کنند، به خصوص اینکه آیا سطل ها و داده های آنها از طریق اینترنت قابل دسترسی هستند یا خیر (شکل 2، 1). آنها میتوانند سیاستهای دسترسی کاربر و نقش محور را برای سطلهای تک تک S3 پیادهسازی کنند (2). در مرحله بعد، آنها می توانند رمزگذاری HTTPS را برای دسترسی (3) اعمال کنند و در صورت ناکافی بودن رمزگذاری پیش فرض، گزینه های پیچیده رمزگذاری در حالت استراحت را تعریف کنند (4).
شکل 2 — تنظیمات اولیه دسترسی و رمزگذاری سطل AWS S3 برای ایمن سازی داده های حساس
وقتی صحبت از حفاظت از داده ها در فضای ابری می شود، متخصصان امنیتی و CISO ها عاشق کنترل دسترسی و رمزگذاری هستند. بخشهای فناوری اطلاعات میتوانند و باید خطوط پایه امنیتی فنی را برای آنها اعمال کنند و از پذیرش گسترده این الگوها اطمینان حاصل کنند. الگوهای بعدی پوشاندن داده ها، ناشناس سازی، و نام مستعار (شکل 1، D) متفاوت است.
اجرای آنها در یک سازمان بیشتر چالش برانگیز است زیرا آنها به مهندسی برنامه نزدیکتر هستند. ارائه دهندگان ابر خدمات مفیدی دارند، اما کفایت آنها به پشته فناوری سازمان – و روش کلی ابزار مهندسی برنامه کاربردی شرکت بستگی دارد.
پوشاندن، ناشناس سازی، و نام مستعار
پوشاندن، ناشناسسازی و نام مستعار همگی دادههای حساس را در پایگاههای داده پنهان میکنند، از جمله اطلاعات شناسایی شخصی (PII) مانند شمارههای تامین اجتماعی، شماره حساب IBAN یا دادههای سلامت خصوصی. با این حال، پنهان کاری متفاوت عمل می کند:
- نقاب زدن دادههای حساس صفر یا «exes out». به عنوان مثال، هر IBAN تبدیل به “XXXXXXXXX” می شود.
- ناشناس سازی داده های حساس را با شبه داده ها جایگزین می کند. ناشناس کردن، بنا به تعریف، برگشت ناپذیر است، اما روابطی مانند روابط اولیه-کلید خارجی بین جداول پایگاه داده را حفظ می کند. انواع معمولی پیاده سازی عبارتند از بهم زدن داده ها (به عنوان مثال، اختصاص IBAN به مشتریان مختلف، “اشتباه”)، جایگزینی داده ها با آیتم های داده جدید تولید شده، یا هش کردن. دو نکته حیاتی است. اول، سازگاری جایگزینها، مهم نیست که دادهها کجا هستند. اگر IBAN “قدیمی” CH249028899406 باشد، رخدادها در همه جداول و فایلها به IBAN CH32903375 جدید “ناشناس” تبدیل میشوند. دوم، نباید نقشهبرداری از قدیم به جدید وجود داشته باشد. اگر چنین جدولی در طول ناشناس سازی ضروری باشد، برای اطمینان از برگشت ناپذیری، جدول باید پس از آن حذف شود.
- نام مستعار داده های حساس را در سیستم ها و پایگاه های داده خاص با توکن ها جایگزین می کند. سیستمها، مهندسان و کاربرانی که توکنها را میبینند، نمیتوانند دادههای اصلی را بازسازی کنند. فقط یک جزء اختصاصی میتواند دادهها را نام مستعار و نام مستعار کند.
شکل 3 این مفاهیم را نشان می دهد. در سمت چپ، IBAN ها خارج می شوند. در وسط، IBAN ها با مقادیر تصادفی جایگزین می شوند. در سمت راست، شناسه های مصنوعی جایگزین IBAN های اصلی می شوند. یک جدول نقشه برداری که مهندسان و کاربران به آن دسترسی ندارند، با شناسه های اصلی و مصنوعی مطابقت دارد.
شکل 3 – پوشاندن، ناشناس سازی، و نام مستعار همگی به ایمن سازی داده های حساس در ابر کمک می کنند.
در حالی که از نظر فناوری مشابه هستند، این الگوها برای محافظت از داده ها در ابر موارد استفاده متفاوتی را ارائه می دهند. ماسکینگ یک عامل توانمند برای برون سپاری یا برون سپاری است. این داده های حساس را بدون نیاز به تغییر برنامه با پوشاندن برخی ویژگی ها در نمای پایگاه داده پنهان می کند. همچنین، هنگام کپی کردن پایگاه های داده تولید برای آزمایش و توسعه سیستم ها برای مهندسی و تضمین کیفیت، حداقل برای موارد ساده، کمک می کند.
با این حال، الگوی استاندارد برای داده های آزمون، ناشناس سازی است. ناشناسسازی وابستگیهای بین جدولی مانند روابط اولیه-کلید خارجی را حفظ میکند. آنها برای سیستم های پر داده مانند نرم افزار حسابداری بسیار مهم هستند. در نهایت، نام مستعار هنگام پردازش دادهها آنقدر حساس است که پنهان کردن آنها در چشمانداز کامل برنامه شما ضروری است. اجزای اختصاصی داده های اصلی و نام مستعار را در نقاط ورودی و خروجی تعریف شده به کنگلومراهای راه حلی مبادله می کنند که فقط داده های شناسایی شده را پردازش می کنند (شکل 4).
شکل 4 — الگوی نام مستعار
همه ارائه دهندگان ابر بزرگ از پوشاندن، ناشناس سازی و نام مستعار برای کمک به ایمن سازی داده های حساس پشتیبانی می کنند. با این حال، اصطلاحات و نام های دقیق متفاوت است. AWS Data Migration Service یا Static Data Masking برای Azure SQL Database میتواند دادهها را در طول فرآیند کپی (مثلاً از تولید به پایگاههای آزمایشی) تغییر دهد. برای برون سپاری و برنامه های کاربردی قدیمی، زمانی که فقط چند ویژگی در یک رابط کاربری گرافیکی باید در جریان پنهان شوند، راه حل هایی مانند GCP BigQuery Dynamic Data Masking مناسب تر هستند.
این مثالها نشان میدهد که ابرهای عمومی ویژگیهای پوشاندن و ناشناسسازی را برای خدمات انتخابی پردازش داده یا ذخیرهسازی PaaS فراهم میکنند، اما ویژگیها از ابری به ابر دیگر و حتی بین سرویسهای همان ابر متفاوت است. با این حال، ابرها مفاهیم پوششدهی و ناشناس یا الگوهایی را که مشتریان میتوانند مستقیماً در مناظر ابری سازمانی خود اعمال کنند، ارائه نمیکنند.
کارگزار امنیتی پیشگیری از از دست دادن داده و دسترسی ابری
آخرین تکه های پازل حفاظت از داده های ابری هستند پیشگیری از از دست دادن داده (DLP)، کارگزاران امنیت دسترسی ابری (CASB)و پراکسی ها (شکل 1، E). در مقابل کنترل دسترسی، تمرکز این گروه از ابزارها و روشها بر این نیست که چه کسی میتواند به دادهها دسترسی داشته باشد. در عوض، آنها به جلوگیری از سوء استفاده و نفوذ دادهها توسط کاربرانی که نیاز قانونی به دیدن و کار با دادهها دارند، کمک میکنند.
پروکسی ها امنیتی به سبک پتک هستند: URL ها را به طور کامل مسدود کنید تا از انتقال داده ها به سرویس های ابری مانند DropBox جلوگیری شود. CASB ها نوع اسکالپل هستند. آنها هنگام تصمیم گیری در مورد اجازه یا مسدود کردن ترافیک (مثلاً با در نظر گرفتن کاربر مشخص) اطلاعات زمینه را ترکیب می کنند. شبکه DLP به ترافیک از لپتاپ یا سرورها به ابر نگاه میکند. در محل کار، ایمیل DLP نامه های خروجی را بررسی می کند.
همه ابزارهایی که ترافیک خروجی را کنترل می کنند در محل کار محبوب هستند تا از استخراج داده ها توسط کاربران تجاری یا مهندسانی که روی لپ تاپ کار می کنند جلوگیری کنند. در ابر، آنها یک قطعه ضروری نیز هستند. آنها می توانند مهندسان و مدیرانی که با منابع ابری کار می کنند را از استخراج داده ها از ماشین های مجازی ابری یا سرویس های ذخیره سازی ابری و پایگاه داده PaaS به اینترنت باز دارند.
نتیجه گیری: روش های مختلف دهه قبل از عصر ابری و همچنین ویژگی ها و ابزارهای جدید در ابر عمومی (جدول 1، بالا) به شرکت ها کمک می کند تا داده های حساس را ایمن کنند. کنار هم قرار دادن این خدمات و الگوهای ابری معمای بزرگی به نام معماری امنیت ابری است. این یک هنر خلاقانه و پیچیده است و همچنان ادامه دارد.