در
سال 2006 هنگامي كه سايت آمازون سرويس جديد EC2 (سرنام Elastic Compute
Cloud) را معرفي كرد، گام بسيار بزرگي را در راستاي رسيدن به هدف نهايي اين
اقدام كه تبديلكردن توانپردازشي به ابزاري با قابليت دسترسي هميشگي بود،
به جلو برداشت. با معرفي اين فناوري هر فردي ميتوانست با استفاده از
امكانات يك منوي آنلاين و پرداخت مبلغي هزينه با استفاده از كارت اعتباري
خود، هر ميزان توان پردازشي موردنياز را دريافت كرده و هزينه آن را براساس
تعرفه ثابتي پرداختكند. اين تعرفه براي كار با سيستمعامل لينوكس معادل
ده سنت در ساعت و براي كامپيوترهاي ويندوز (در سال 2008) معادل 12,5 سنت
بود. اين سيستمها روي ماشينهاي مجازي اجرا ميشدند. بنابراين، در صورت
نياز در يك لحظه ايجاد و پيكربندي شده و پس از اتمام كار به همان سرعت
ناپديد ميشدند. كافي بود كاربران با افزايش نياز پردازشي خود مبلغ بيشتري
را پرداخت كنند تا در مقابل توان پردازشي بيشتري دريافت كنند و آمازون ساير
دردسرها شامل نگهداري از مراكز داده و شبكه را برعهده ميگرفت. البته،
ماشينهاي مجازي روي هزاران سرور واقعي كه درون مراكز داده آمازون در سراسر
جهان به صورت كلاستر نصب شده بودند، به اجرا درميآمدند. خدمات پردازش
ابري كارآمد، ارزان و در دسترس تمام كاربران، شركتها، آزمايشگاههاي
تحقيقاتي و سازمانهاي دولتي بود.
با
تمام اين اوصاف، خدمات پردازش ابري تهديد جديدي را به دنبال داشت. فناوري
EC2 نوعي فناوري را در اختيار عموم قرار داد كه در آن نرمافزارهايي موسوم
به هايپروايزر درايوها، شبكهها و فرآيندهاي مجازي را اغلب روي يك سرور
فيزيكي ايجاد و كنترلميكنند. فناوري مذكور پيش از معرفي EC2 تنها در
اختيار سيستمهاي IT سازماني بود. محققان امنيت كامپيوتري قبلاً ثابت
كردهاند كه هنگام اجراي همزمان دو نرمافزار روي يك سيستمعامل، يك مهاجم
با استفاده از ابزارهاي استراقسمع و تحليل نحوه بهاشتراكگذاري حافظه
توسط نرمافزارهاي مذكور ميتواند اطلاعات را سرقت كند. به اعتقاد آنها
ممكن است اجراي حملههاي مشابه روي ابرها و در هنگام فعاليت دو ماشين مجازي
روي يك سرور نيز امكانپذير باشد.
با
توجه به وسعت فوقالعاده يك ابر، احتمال اين كه يك مهاجم بتواند شرايط
مناسب را روي يك سرور مشخص بهدست آورد، بسيار اندك است. با وجود اين، در
سال جاري سه متخصص كامپيوتر در دانشگاه سنخوزه كاليفرنيا و يك متخصص
كامپيوتر در دانشگاه MIT توانستند اين كار را انجام دهند. آنها چند ماشين
مجازي را بهعنوان هدف و تعدادي را نيز به عنوان مهاجم به كار گرفته و سعي
كردند تمام ماشينهاي مجازي را روي سرورهاي يكساني از مراكز داده آمازون به
اجرا درآورند. در پايان آزمايش آنها تنها با صرف چند دلار موفق شدند، در
چهل درصد موارد ماشينهاي مجازي مهاجم را روي سرورهاي ميزبان ماشينهاي
مجازي هدف اجرا كنند. با وجود اين كه آنها براي سرقت اطلاعات اقدام
نكردند، معتقدند انجام چنين سرقتي از ديدگاه نظري امكانپذير است. همچنين
آنها نشان دادند، ممكن است بهرهمندي از مزاياي پردازش ابري (مانند دسترسي
آسان، قيمت مناسب، تمركز منابع و انعطافپذيري سيستم پردازش) به قيمت ظهور
نسل جديدي از تهديدات امنيتي تمام شود. شركت آمازون تأكيد ميكند، هنوز
هيچفردي نتوانسته به اين شيوه، حمله موفقيتآميزي را روي EC2 اجرا كند و
در حال حاضر تمام راههاي اجراي اين نوع حملهها توسط آمازون مسدود شده
است. اما مشكلي كه آمازون هنوز آن را حل نكرده (و در واقع هيچكس موفق به
حل آن نشده است) ضعف امنيتي محاسبات ابري به دليل ساختار و ابعاد بسيار
وسيع آن است.
خدمات
و نرافزارهاي پردازش ابري كه از طريق اينترنت عرضه ميشوند، به سرعت نحوه
استفاده ما از كامپيوتر را متحول ميكنند. به عنوان مثال، سايت Gmail و
برخي از بزرگترين شبكههاي اجتماعي آنلاين، برنامههاي ابري محسوب
ميشوند. كارايي و هزينه اندك خدمات زيرساختي تحت وب مانند ابر محاسباتي
آمازون و نمونههايي كه توسط ساير توليدكنندگان مانند Rackspace عرضه
شدهاند، ارتشي از مشتريان سازماني و شركتي را بهخود جذب كردهاند. اكنون
نشريه نيويورك تايمز و شركت دارويي Pfizer از مشتريان خدمات ابري آمازون
هستند و انتظار ميرود مرورگر و سيستمعامل جديد گوگل (كه هردو با نام
Chrome عرضه ميشوند) دسترسي آسان به نرمافزارهاي ابري را فراهم كنند. حتي
سازمانهاي دولتي كه تحولات آنها حركت كندي دارد، نيز در حال ورود به اين
صحنه هستند. به عنوان مثال، شهرداري لوسآنجلس از خدمات Apps شركت گوگل
براي ايجاد ايميل و ساير خدمات مسيريابي بهره ميبرد و دولت ايالاتمتحده
به تازگي سايتي را بهمنظور تشويق سازمانهاي دولتي براي استفاده از خدمات
ابري راهاندازي كرده است.
به
اعتقاد ديل يورگنسن، يكي از اقتصاددانان هاروارد كه در زمينه نقش فناوري
اطلاعات در بهرهوري ملي فعاليت ميكند، خطوط هوايي، مؤسسات مالي و خرده
فروشيها نيز ميتوانند از خدمات پردازش ابري استفاده كنند. او در اينباره
ميگويد: «تمركز نوآوريهاي صنعت IT از تجهيزات سختافزاري به سمت
برنامههاي نرمافزاري تغيير جهت داده است. بسياري از اين برنامهها به
سرعت در حال توسعه هستند و محاسبات ابري به سرعت در حال تبديل شدن به يك
فناوري عمومي براي تمام افراد جامعه است.» البته،
هيچكدام از اين وقايع رخ نميدهد، مگر اينكه خدمات ابري امن شوند و اين
كار نيز بدون خطر نخواهد بود. كليد كارايي و مقرون به صرفه بودن خدمات ابري
در به اشتراكگذاري تجهيزات سختافزاري است و هنگامي كه هزاران مشتري
مختلف از تجهيزات سختافزاري يكسان در مقياس بزرگ استفاده ميكنند، هرگونه
خرابي و تهاجم به سيستم ميتواند براي تعداد زيادي از كاربران مخرب باشد.
رودو سيان يكي از متخصصان كامپيوتر در دانشگاه ايالتي نيويورك واقع در
Stony Brook ميگويد: «امروز تأمينكنندگان بسيار توانمندي براي خدمات ابري
وجود دارند كه ميزبان تعداد زيادي از شركتهاي كوچكتر هستند. اگر نتوانيد
تمام كاربران را به استفاده از خدمات ابري تشويق كنيد، نميتوانيد اين
خدمات را با قيمت ارزان ارائه كنيد. اما زماني كه تمام كاربران از خدمات
ابري بهره ميگيرند، ناگهان با تمام اين مشكلات امنيتي مواجه ميشويد كه
بايد آنها را حل كنيد.»
تهديدات امنيتي خدمات ابري
بهطور
كلي، پردازش ابري با چندين خطر امنيتي مجزا، اما مرتبط باهم مواجه است.
علاوه بر اين كه ممكن است اطلاعات ذخيره شده، توسط مهاجمان به سرقت رفته يا
در اثر خرابي سيستم از بين برود، ممكن است تأمين كننده خدمات ابري نيز از
اين اطلاعات سوء استفاده كند يا در اثر فشارهاي دولت آن را افشا كند. واضح
است كه اين خطرات امنيتي پيامدهاي وخيمي را درپي دارند. در سال 2008 تنها
يك بيت اطلاعات معيوب در پيغامهايي كه بين سرورهاي مورد استفاده خدمات S3
آمازون (سرنام Simple Storage Service) ردوبدل ميشد، به خاموشي سيستم براي
چندين ساعت منجر شد. خدمات مذكور، فضاي ذخيرهسازي آنلاين را در مقياس
گيگابايت در اختيار كاربران قرار ميدهند. در اوايل سال 2009 يك هكر با حدس
زدن پاسخ سؤال امنيتي ايميل شخصي يكي از كارمندان توييتر توانست تمام
اسناد موجود در حساب Google Apps را كه توسط وي مورد استفاده قرار ميگرفت،
به دست آورد و بخشي از اين اسناد را براي رسانهها ارسال كند. مدتي بعد يك
اشكال نرمافزاري محدوديتهاي به اشتراكگذاري اسناد برخي از كاربران
Google Docs را حذف كرد. به اين ترتيب، هريك از كاربراني كه سندي را با
آنها به اشتراك گذاشته بوديد ميتوانست تمام اسناد مشترك شما و ساير
كاربران را ببيند. در ماه اكتبر و در پي خرابي يكي از سرورهاي بخش Danger
از شركت مايكروسافت كه تأمينكننده فضاي ذخيرهسازي است، اطلاعات يك ميليون
گوشي هوشمند T-Mobile Sidekick از دست رفت. البته بخش زيادي از اين
اطلاعات بعدها بازيابي شد. پيتر مل، رهبر يك گروه امنيتي خدمات ابري در
مؤسسه ملي استاندارد و فناوري (NIST) ايالات متحده واقع در Githersburg از
ايالت مريلند ميگويد: «حيطه حملهها به نرمافزارهايي كه توسط ابرهاي
عمومي عرضه ميشوند، بسيار گستردهتر است. تمام مشتريان به تمام ابزارهاي
موجود در نرمافزار ابري دسترسي دارند. اگر اين نرمافزارها تنها يك
نقطهضعف داشته باشند، يك مهاجم ميتواند به تمام اطلاعات آنها دست
يابد.»
پاسخ
صنعت پردازش ابري به تمام نظريههاي مذكور چنين است: «اكنون ابرها از
هرچيز ديگري كه شما استفاده ميكنيد امنتر هستند.» ارن فيگنبام مدير بخش
امنيت Google Apps ميگويد، تأمينكنندگان خدمات ابري در مقايسه با
ميليونها كاربر و شركت مستقل كه از ديتاسنتر اختصاصي استفاده ميكنند،
ميتوانند به نحو بسيار مؤثرتري امنيت اطلاعت را تأمين كنند. او درباره موج
تبليغاتي مشكل پيش آمده در خدمات Google Docs ميگويد، اين اتفاق كمتر از
0,05 درصد اسنادي را كه گوگل ميزباني ميكند، تحت تأثير قرار داده است. وي
ميگويد: «يكي از مزاياي استفاده از محاسبات ابري اين بود كه توانستيم
باروش سريع ويكسان به تمام موارد آسيب ديده واكنش نشان دهيم. اين مشكل بدون
نياز به نگهداري از سرورها و حتي بدون نياز به نصب نرمافزار روي سيستم
كاربران برطرف شد.» به راههاي مختلف بروز تهديدات امنيتي در رويكردهاي
قديمي فكر كنيد. حدود دو سوم افرادي كه در نظر سنجي شركت كردند حافظه USB
خود را (كه اغلب حاوي اطلاعات خصوصي سازماني است) در مكانهاي مختلف جا
گذاشتهاند؛ در سال 2008 حداقل دو ميليون لپتاپ در ايالات متحده به سرقت
رفته است؛ نصب بستههاي امنيتي ضروري در سازمانها و شركتها به دليل ترس
از بروز اشكالات امنيتي جديد در اثر نصب بستههاي مذكور، با تأخير سه تا شش
ماهه انجام ميپذيرد. او ميگويد: «نميتوان امنيت را به صد درصد رساند و
درعين حال از تمام قابليتهاي سيستم بهرهگرفت. اگر يك سيستم كاملاً امن
ميخواهيد، بايد يك كامپيوتر را انتخاب كرده، آن را از تمام منابع خارجي
جدا كنيد، به هيچوجه به شبكهاي متصل نشويد، از پنجره دور نگهداريد و آن
را درون يك گاوصندوق قرار دهيد.» اما هر كسي نميتواند اين تدابير را
بهكار گيرد. در يك كنفرانس امنيتي كامپيوتر كه بهار سال گذشته برگزار شد،
جان چمبرز، مديرعامل شركت سيسكو پردازش ابري را يك «كابوس امنيتي» خطاب كرد
كه «نميتوان آن را با روشهاي متداول مهاركرد.» در همان كنفرانس ران
ريوست، متخصص علوم كامپيوتر در MIT كه الگوريتم رمزگذاري كليد عمومي RSA را
(اغلب در تجارت الكترونيك كاربرد دارد) ابداع كرده است، گفت، بهتر است
عبارت «پردازش ابري» (Cloud Computing) با عبارت «پردازش باتلاقي»
(Swamp
Computing) جايگزين شود. او بعدها توضيح داد، مفهوم جمله فوق اين بوده كه
كاربران بايد مشكلات امنيتي بهظاهر ساده اين صنعت را موشكافانه بررسي
كنند. او در اينباره گفت: «قصد من اين نبود كه بگويم پردازش ابري واقعاً
پردازش باتلاقي است، بلكه از اين عبارت بهعنوان ابزاري براي تشريح نحوه
تأثيرگذاري آن بر ادراك و انتظارات كاربران استفاده كردم. بنابراين، اگر
به جاي استفاده از عبارت پردازش ابري بگوييم پردازش باتلاقي، ممكن است نسبت
به خدمات و تضمينهاي امنيتي كه تأمينكنندگان پردازش باتلاقي در اختيار
ما ميگذارند، حساستر و كنجكاوتر شويم.»تلاش
مؤسسه NIST براي توصيف ماهيت و ارزيابي امنيت پردازش ابري، ديدگاه مشابهي
را با رنگ و لعاب كمتر بيان ميكند؛ پيتر مل ميگويد: «در اين رابطه همه
كمي گيج شدهاند.» مؤسسه NIST پانزدهمين نگارش از اسناد توصيف كننده
پردازش ابري را منتشر كرده است. مل در اينباره ميگويد: «تعريف متداول ابر
به قدري مبهم است كه تمام فناوريهاي مدرن IT را دربرميگيرد و تشخيص
موضوعات امنيتي منحصر به فرد براساس اين تعريف دشوار است.» مؤسسه NIST
اميدوار است، معرفي شفافتر اين موضوعات بتواند صنعت IT را در بهبود
استانداردهاي متداول براي امنسازي بيشتر اطلاعات ياري كند. همچنين اين
مؤسسه در تلاش است تا امكان تعامل بين ابرها را فراهم كند تا كاربران به
سادگي بتوانند اطلاعات خود را از يك ابر به ابر ديگر منتقل كنند و در نتيجه
كارايي كل سيستم افزايش يابد.
با
توجه به رشد سريع صنعت پردازش ابري، نارسايي استانداردهاي فعلي اين صنعت و
آمار شكست شركتهاي فعال در اين زمينه، دور از انتظار نيست كه بسياري از
شركتها هنوز درباره انتقال اطلاعات حساس خود به ابرها ترديد دارند. لري
پترسن، يكي از متخصصان علوم كامپيوتر در دانشگاه پرينستون كه وظيفه اداره
يك پلتفرم آزمون اينترنت موسوم به
PlanetLab Consortium را برعهده دارد، معتقد است، با وجود اين كه در حال
حاضر ابرها امنيت مناسبي دارند، تأمينكنندگان خدمات ابري بايد قابليت
اطمينان خود را در درازمدت ثابت كنند. او در اينباره ميگويد: «ممكن است
تأمين كننده خدمات ابري مكانيزمهاي امنيتي مناسب را در اختيار داشته باشد.
اما آيا ميتوان به آن براي محافظت از اطلاعات در برابر افراد متفرقه
اعتماد كرد و مطمئن بود كه اطلاعات خصوصي و حساس را فاش نميكند و در عين
حال ميتوان از فعال بودن آن مؤسسه در طول پنج يا ده سال آينده اطمينان
حاصل كرد؟ در اينجا بعضي از مسائل امنيتي وجود دارند كه بايد مورد توجه
قرار گيرند. بهرهمندي صرف از فناوري كافي نيست؛ زيرا ممكن است استفاده از
اين فناوري دشوار بوده و با مسائل امنيتي متعدد همراه باشد.»
بهعنوان
نمونه ملموسي از عدم اعتماد مورد نظر پترسن ميتوان به يك مركز داده
مستقر در منطقه Somerville از ايالت ماساچوست و در حاشيه شهر بوستون اشاره
كرد. اين مركز داده متعلق به يك شركت كوچك به نام 2N+1 است كه فضاي مجهز به
سيستم خنككننده، امنيت، توان الكتريكي و امكانات اتصال به شبكه را در
اختيار سايرين ميگذارد. در طبقه نخست اين مركز داده مجموعهاي از دوازده
قفسه سياه رنگ حاوي سرورها به چشم ميخورد. وينستن بونو، يكي از
بنيانگذاران شركت 2N+1 تشريح ميكند كه اين سرورها متعلق به نخستين مشتري
شركت وي هستند كه يك بانك ملي است. اين بانك ترجيح ميدهد، به جاي استفاده
از خدمات ابري، از سرورهاي اختصاصي بهره بگيرد. بانك مذكور براي تأمين
امنيت سرورهاي خود روشي كاملاً محسوس در پيش گرفته است: يك حصار سيمي
فولادي.