انتقال اطلاعات به سرور ابری به صورت گسترده در سراسر جهان همچنان ادامه دارد و سرور ابری با قابلیتهایی همچون تجزیه و تحلیل داده ها ، توان رایانشی در هر زمان که کاربر درخواست کند و قابلیت توسعه ی سریع و چابک ، راههای جدیدی برای تحول در دنیای دیجیتال پیش روی کاربران گذاشته است.
اگر شما نیز فعالیتها و اطلاعات خود را به سرور ابری و سرور مجازی منتقل کرده باشید ، می دانید که این کار مستلزم برنامه ریزیهای فراوان و تلاش هماهنگ گروهها و بخشهای مختلف از جمله متخصصان ماهر در زمینه ی امنیت سیستم ، اپلیکیشنها و سایر سیستمها است. این را هم احتمالاً می دانید که جریان حرکت به سمت استفاده از سرور ابری در حقیقت قبل از شروع رسمی فعالیت سازمان و به شکل پراکنده آغاز شده است _ یک اپلیکیشن بازاریابی برای ردیابی و پیگیری گروهها و افراد پیشرو در بازار در یک قسمت ، یک سیستم پرداخت حقوق در قسمت دیگر و…_ و تیم شما عملاً قادر به بازرسی ،نظارت و کنترل امنیت این بخشهای پراکنده نبوده است.
تاثیر shadow cloud بر امنیت
در حقیقت اکثر شرکتها و سازمانها از تعداد زیادی ‘shadow cloud’ و یا سرویس های ابری ثبت نشده استفاده می کنند که می توانند امنیت کل سیستم را به خطر بیندازند، زیرا جزء استراتژی کلی سازمان نبوده و از سوی بخش IT سازمان طراحی و نصب نشده اند.
تشخیص چرایی و چگونگی به وجود آمدن این مسئله ، کار چندان سختی نیست. شرکتهای مدرن و همچنین اقتصاد مدرن بر پایه ی داده ها اداره می شوند. بر اساس تحقیقات جدیدی که در مورد ارزش اقتصادی data در اروپا و G7 انجام شده است ، ۴% از کل مشاغل در امریکا و ۵% از تولید ملی در اروپا به فعالیتهای مبتنی بر data مربوط می شوند. برای به دست آوردن این ارزش اقتصادی از data به سیستمی با انعطاف پذیری و قابلیت دسترسی و قدرت پردازش بالا نیاز داریم. نیاز به جمع آوری ، جمع بندی ، استخراج ، تجزیه و تحلیل ، پردازش و ذخیره ی داده هاست که سازمانها و شرکتها را به سوی استفاده از سرور ابری و سرور مجازی و جایگزینی سرور ابری به جای سیستمهای قدیمی سوق می دهد.
شرکت های پیشرو با استفاده از استراتژی های مناسب ( از قبیل تعیین اولویتها ، انتخاب برنامه ها و کارهایی که باید به سرور ابری منتقل شوند ، انتخاب نمایندگی ها و فروشندگان و سپس انجام کار بر اساس برنامه ی تنظیم شده ) برای مقابله با پیچیدگی و خطر احتمالی ، موفقیت جابجایی به سرور ابری را تضمین می کنند.
انتقال به سرور ابری نیز مانند همه ی موارد ارتقاء سیستم ها که در مقیاس وسیع انجام می شود ، به زمان احتیاج دارد. اگر واحدی که خواهان انتقال به سرور ابری است ، شیوه های SaaS را که مدتها منتظرش بوده است در ردیفهای انتهایی اولویتهای سازمان ببیند ، این بدان معنی است که سازمان قصد دارد همچنان فعالیت خود را به شیوه ی قدیمی ادامه دهد و امیدوار است که با کسب نتایج برجسته و قابل قبول توجه و بودجه را به خود جذب کند.
خدمات سرور ابری به گونه ای طراحی شده است که به سادگی قابل استفاده باشد و نیاز به سرمایه گذاری کلان نداشته باشد. واحدهای تجاری می توانند بدون هیچ مشکلی و بدون آنکه از مسیر معمول چرخه ی کاری تدارکات شرکت عبور کنند ، از خدمات سرور ابری استفاده کنند.
مشکل چیست؟
اگر بیشتر واحدها و یا مدیران عجول و هیجان زده باشند ، ممکن است انتقال سازمان شما به خدمات سرور ابری سریع تر از آنکه متوجه شوید و یا پردردسرتر از آنچه که در ارزیابی خطر احتمالی پیش بینی و برنامه ریزی کرده اید ، اتفاق بیفتد. مشکل اینجاست که اطلاعات ارزشمند می توانند بدون اطلاع و نظارت شما به سیستم شما وارد و یا از آن خارج شوند. کلام آخر اینکه اگر مایل نیستید که پولتان بدینگونه از سیستم خارج شود ، پس نمی خواهید که اطلاعاتتان هم بدین شکل از سیستم خارج شوند.
علاوه بر اطلاع از اینکه در هر لحظه اطلاعاتتان کجا هستند و چگونه به آنجا رسیده اند ، Shadow Cloud می تواند یک مسئله ی کیفی قابل توجه باشد. شیوه های SaaS که شامل سرویسهای Shadow Cloud می شوند ، نرم افزارهایی هستند که برای استفاده ی مصرف کننده و افزایش رضایت مشتری ساخته شده اند و این بدان معنی است که تحت نظارت و تابع مسائل امنیتی سازمان یا شرکت نیستند.
نکته ی مهمی که باید به خاطر داشته باشید این است که امنیت سرور ابری بر اساس یک مدل تعهد دو طرفه ساخته شده است ، مسئولیت حفظ بخشی از ویژگیهای امنیتی سیستم بر عهده ی سازنده و مسئولیت دیگر بخشها بر عهده ی مصرف کننده ( کاربر نهایی ) است. اگر تیم امنیتی شما مسئولیتهای مربوط به مصرف کننده را مدیریت و کنترل نکند ، چه کسی این کار را انجام خواهد داد؟ آیا کاربر نهایی ( مصرف کننده ) دانش و مهارت کافی برای اتخاذ تصمیمهای امنیتی که ممکن است برای حفظ ، کنترل اطلاعات موجود در سیستم و رعایت قوانین امنیتی ، عواقبی داشته باشند ، را دارد؟
این عواقب احتمالی کدامند؟
سرویسهای Shadow در سرور ابری خطراتی ایجاد می کنند که می توانند عواقب قانونی ، مالی ، عملکردی داشته باشند و یا سبب خدشه دار شدن وجهه ی سازمان شوند. در اغلب سازمانها و صنایع ، اگر نتوانید تشخیص دهید که اطلاعات هویتی و اطلاعات پزشکی شخصی افراد چگونه در سیستم گسترده ی شما جابجا و در کجا ذخیره می شوند ، قوانین امنیتی را رعایت نکرده اید.
این امر می تواند در صورت خروج اطلاعات ( که بطور فزاینده ای در حال افزایش است)، سازمان را ، حتی اگر در سایر موارد برنامه امنیتی کارآمدی داشته باشد ، به محاکم قضایی بکشاند و یا مجازاتهای قانونی برای سازمان داشته باشد. به همین ترتیب ، اگر شما برخی از خطرات احتمالی انتقال اطلاعات را تحت پوشش بیمه ی سایبری قرار داده باشید ، اطلاعاتتان باید بر اساس روش پیش بینی شده ، منتقل و ذخیره شوند، در غیر اینصورت ، هر ادعایی که پس از نشت و خروج اطلاعات داشته باشید ، مورد قبول قرار نخواهد گرفت.
با گذشت زمان ممکن است که اپلیکیشنهای سرویهای Shadow در سرور ابری ، بخش مهمی از برنامه های اجرایی شرکت شما را تشکیل دهند. اگر اطلاعات مربوط به کسب و کار شما از دسترستان خارج شوند و یا از بین بروند ، چه اتفاقی خواهد افتاد؟ آیا شرکتی که سرویسهای ابری غیرمجاز را به کارگرفته است ، بررسیهای لازم را انجام می دهد و اقدامات لازم برای پشتیبانی و در صورت امکان بازیابی اطلاعات را انجام خواهد داد؟
چه می توان کرد؟
اگر این خطرات و عوامل ناشناخته زنگ های خطر را برای شما به صدا در آوردند ، برای پر کردن این شکاف ، نکات زیر را در نظر داشته باشید:
- شناسایی- از ابزاری برای شناسایی اپلیکیشن های Shadow Cloud که در حال اجرا در سازمان شما هستند ، استفاده کنید.
- ارزیابی – با کاربران سرویسهای Shadow Cloud صحبت کنید تا مشخص شود که آیا این خدمات غیرمجاز ، نیازهای قانونی سازمان را برطرف می کنند ؟
- تجزیه و تحلیل – اگر نیازهای قانونی سازمان را برطرف می کنند ، بررسی کنید که آیا سرویسی وجود دارد که در عین رعایت موازین امنیتی سازمان ، آن نیازها را برطرف کند. اگر چنین سرویسی وجود دارد ، برای رفع نیاز سازمان تنها از این سرویس مجاز استفاده کنید .
- پیشگیری – زمانی که مشخص شد که : هیچ نیاز قابل توجیه سازمانی وجود ندارد ، گزینه ی قابل قبول سازمانی در دسترس نیست و یا احتمال بروز خطر بسیار بالاست ، با همکاری با یک تیم شبکه دسترسی آن سرویس غیرمجاز را مسدود کنید.
- آموزش – بطور مستمر تلاش کنید تا از آگاهی تمام افراد سازمان در خصوص اهمیت اطلاعات و اقدامات لازم برای محافظت از آنها مطمئن شوید. به افراد سازمان در خصوص خطرات ذاتی اپلیکیشنهای ابری کنترل نشده و همچنین فرایندهای مناسب برای نصب و استفاده ی اپلیکیشن ها و سرویسهای ابری در سازمان ، آموزش دهید. سرویسهای Shadow Cloud دیگر امکان گسترش پیدا نمی کنند ، زیرا افراد سازمان به خوبی معنای مشکلات و خطرات ناشی از آنها را می دانند ؛ کارکنان می دانند که وظیفه ای دارند و سعی می کنند آن را به موثرترین شیوه انجام دهند.