shadow cloud چیست و چه تاثیری روی امنیت دارد ؟ انتقال اطلاعات به سرور ابری به صورت گسترده در سراسر جهان همچنان ادامه دارد و سرور ابری با قابلیتهایی همچون تجزیه و تحلیل داده ها ، توان رایانشی در هر زمان که کاربر درخواست کند. و قابلیت توسعه ی سریع و چابک ، راههای جدیدی برای تحول در دنیای دیجیتال پیش روی کاربران گذاشته است.
اگر شما نیز فعالیتها و اطلاعات خود را به سرور ابری و سرور مجازی منتقل کرده باشید. می دانید که این کار مستلزم برنامه ریزیهای فراوان و تلاش هماهنگ گروهها و بخشهای مختلف از جمله متخصصان ماهر در زمینه ی امنیت سیستم ، اپلیکیشنها و سایر سیستمها است. این را هم احتمالاً می دانید که جریان حرکت به سمت استفاده از سرور ابری در حقیقت قبل از شروع رسمی فعالیت سازمان و به شکل پراکنده آغاز شده است. یک اپلیکیشن بازاریابی برای ردیابی و پیگیری گروهها و افراد پیشرو در بازار در یک قسمت ، یک سیستم پرداخت حقوق در قسمت دیگر و.. . و تیم شما عملاً قادر به بازرسی ،نظارت و کنترل امنیت این بخشهای پراکنده نبوده است.
تاثیر shadow cloud بر امنیت
در حقیقت اکثر شرکتها و سازمانها از تعداد زیادی ‘shadow cloud’ و یا سرویس های ابری ثبت نشده استفاده می کنند. که می توانند امنیت کل سیستم را به خطر بیندازند، زیرا جزء استراتژی کلی سازمان نبوده و از سوی بخش IT سازمان طراحی و نصب نشده اند.
تشخیص چرایی و چگونگی به وجود آمدن این مسئله ، کار چندان سختی نیست. شرکتهای مدرن و همچنین اقتصاد مدرن بر پایه ی داده ها اداره می شوند. بر اساس تحقیقات جدیدی که در مورد ارزش اقتصادی data در اروپا و G7 انجام شده است. ۴% از کل مشاغل در امریکا و ۵% از تولید ملی در اروپا به فعالیتهای مبتنی بر data مربوط می شوند. برای به دست آوردن این ارزش اقتصادی از data به سیستمی با انعطاف پذیری و قابلیت دسترسی و قدرت پردازش بالا نیاز داریم. نیاز به جمع آوری ، جمع بندی ، استخراج ، تجزیه و تحلیل ، پردازش و ذخیره ی داده هاست که سازمانها و شرکتها را به سوی استفاده از سرور ابری و سرور مجازی و جایگزینی سرور ابری به جای سیستمهای قدیمی سوق می دهد.
شرکت های پیشرو با استفاده از استراتژی های مناسب ( از قبیل تعیین اولویتها ، انتخاب برنامه ها و کارهایی که باید به سرور ابری منتقل شوند. انتخاب نمایندگی ها و فروشندگان و سپس انجام کار بر اساس برنامه ی تنظیم شده. ) برای مقابله با پیچیدگی و خطر احتمالی ، موفقیت جابجایی به سرور ابری را تضمین می کنند.
انتقال به سرور ابری نیز مانند همه ی موارد ارتقاء سیستم ها که در مقیاس وسیع انجام می شود ، به زمان احتیاج دارد. اگر واحدی که خواهان انتقال به سرور ابری است. شیوه های SaaS را که مدتها منتظرش بوده است در ردیفهای انتهایی اولویتهای سازمان ببیند. این بدان معنی است که سازمان قصد دارد همچنان فعالیت خود را به شیوه ی قدیمی ادامه دهد. و امیدوار است که با کسب نتایج برجسته و قابل قبول توجه و بودجه را به خود جذب کند.
خدمات سرور ابری به گونه ای طراحی شده است که به سادگی قابل استفاده باشد. و نیاز به سرمایه گذاری کلان نداشته باشد. واحدهای تجاری می توانند بدون هیچ مشکلی و بدون آنکه از مسیر معمول چرخه ی کاری تدارکات شرکت عبور کنند ، از خدمات سرور ابری استفاده کنند.
مشکل چیست؟
اگر بیشتر واحدها و یا مدیران عجول و هیجان زده باشند. ممکن است انتقال سازمان شما به خدمات سرور ابری سریع تر از آنکه متوجه شوید و یا پردردسرتر از آنچه که در ارزیابی خطر احتمالی پیش بینی و برنامه ریزی کرده اید ، اتفاق بیفتد. مشکل اینجاست که اطلاعات ارزشمند می توانند بدون اطلاع و نظارت شما به سیستم شما وارد و یا از آن خارج شوند. کلام آخر اینکه اگر مایل نیستید که پولتان بدینگونه از سیستم خارج شود. پس نمی خواهید که اطلاعاتتان هم بدین شکل از سیستم خارج شوند.
همانطور که در مقاله سایه اطلاعات چیست؟ بیان شد. علاوه بر اطلاع از اینکه در هر لحظه اطلاعاتتان کجا هستند و چگونه به آنجا رسیده اند. Shadow Cloud می تواند یک مسئله ی کیفی قابل توجه باشد. شیوه های SaaS که شامل سرویسهای Shadow Cloud می شوند. نرم افزارهایی هستند که برای استفاده ی مصرف کننده و افزایش رضایت مشتری ساخته شده اند. و این بدان معنی است که تحت نظارت و تابع مسائل امنیتی سازمان یا شرکت نیستند.
نکته ی مهمی که باید به خاطر داشته باشید این است که امنیت سرور ابری بر اساس یک مدل تعهد دو طرفه ساخته شده است. مسئولیت حفظ بخشی از ویژگیهای امنیتی سیستم بر عهده ی سازنده و مسئولیت دیگر بخشها بر عهده ی مصرف کننده ( کاربر نهایی ) است. اگر تیم امنیتی شما مسئولیتهای مربوط به مصرف کننده را مدیریت و کنترل نکند. چه کسی این کار را انجام خواهد داد؟ آیا کاربر نهایی ( مصرف کننده ) دانش و مهارت کافی برای اتخاذ تصمیمهای امنیتی که ممکن است برای حفظ ، کنترل اطلاعات موجود در سیستم و رعایت قوانین امنیتی ، عواقبی داشته باشند ، را دارد؟
این عواقب احتمالی کدامند؟
سرویسهای Shadow در سرور ابری خطراتی ایجاد می کنند که می توانند عواقب قانونی ، مالی ، عملکردی داشته باشند. و یا سبب خدشه دار شدن وجهه ی سازمان شوند. در اغلب سازمانها و صنایع ، اگر نتوانید تشخیص دهید که اطلاعات هویتی و اطلاعات پزشکی شخصی افراد چگونه در سیستم گسترده ی شما جابجا و در کجا ذخیره می شوند. قوانین امنیتی را رعایت نکرده اید.
این امر می تواند در صورت خروج اطلاعات ( که بطور فزاینده ای در حال افزایش است)، سازمان را ، حتی اگر در سایر موارد برنامه امنیتی کارآمدی داشته باشد. به محاکم قضایی بکشاند و یا مجازاتهای قانونی برای سازمان داشته باشد. به همین ترتیب ، اگر شما برخی از خطرات احتمالی انتقال اطلاعات را تحت پوشش بیمه ی سایبری قرار داده باشید. اطلاعاتتان باید بر اساس روش پیش بینی شده ، منتقل و ذخیره شوند، در غیر اینصورت ، هر ادعایی که پس از نشت و خروج اطلاعات داشته باشید. مورد قبول قرار نخواهد گرفت.
با گذشت زمان ممکن است که اپلیکیشنهای سرویهای Shadow در سرور ابری ، بخش مهمی از برنامه های اجرایی شرکت شما را تشکیل دهند. اگر اطلاعات مربوط به کسب و کار شما از دسترستان خارج شوند و یا از بین بروند. چه اتفاقی خواهد افتاد؟ آیا شرکتی که سرویسهای ابری غیرمجاز را به کارگرفته است. بررسی های لازم را انجام می دهد و اقدامات لازم برای پشتیبانی و در صورت امکان بازیابی اطلاعات را انجام خواهد داد؟
چه می توان کرد؟
اگر این خطرات و عوامل ناشناخته زنگ های خطر را برای شما به صدا در آوردند. برای پر کردن این شکاف ، نکات زیر را در نظر داشته باشید:
-
شناسایی
از ابزاری برای شناسایی اپلیکیشن های Shadow Cloud که در حال اجرا در سازمان شما هستند ، استفاده کنید.
-
ارزیابی
با کاربران سرویسهای Shadow Cloud صحبت کنید تا مشخص شود که آیا این خدمات غیرمجاز ، نیازهای قانونی سازمان را برطرف می کنند ؟
-
تجزیه و تحلیل
اگر نیازهای قانونی سازمان را برطرف می کنند ، بررسی کنید که آیا سرویسی وجود دارد که در عین رعایت موازین امنیتی سازمان ، آن نیازها را برطرف کند. اگر چنین سرویسی وجود دارد ، برای رفع نیاز سازمان تنها از این سرویس مجاز استفاده کنید .
-
پیشگیری
زمانی که مشخص شد که : هیچ نیاز قابل توجیه سازمانی وجود ندارد ، گزینه ی قابل قبول سازمانی در دسترس نیست و یا احتمال بروز خطر بسیار بالاست ، با همکاری با یک تیم شبکه دسترسی آن سرویس غیرمجاز را مسدود کنید.
-
آموزش
بطور مستمر تلاش کنید تا از آگاهی تمام افراد سازمان در خصوص اهمیت اطلاعات و اقدامات لازم برای محافظت از آنها مطمئن شوید. به افراد سازمان در خصوص خطرات ذاتی اپلیکیشنهای ابری کنترل نشده و همچنین فرایندهای مناسب برای نصب و استفاده ی اپلیکیشن ها و سرویسهای ابری در سازمان ، آموزش دهید. سرویسهای Shadow Cloud دیگر امکان گسترش پیدا نمی کنند. زیرا افراد سازمان به خوبی معنای مشکلات و خطرات ناشی از آنها را می دانند. کارکنان می دانند که وظیفه ای دارند و سعی می کنند آن را به موثرترین شیوه انجام دهند.
