تست نفوذ و بسترهای ابری

یک رویکرد جامع امنیتی شامل تست نفوذ هم می‌شود. با حرکت به سمت استفاده روز افزون از زیرساخت‌ها و برنامه‌های ابری، برخی مسائل حول و حوش تست‎های نفوذ در بستر ابر بوجود می‌آید. تعجبی ندارد که اکثر ارائه‌دهندگان خدمات ابری چندان توجهی به تست‎های نفوذ اعلام نشده در سامانه‌های خود ندارند و برخی سیاست‌های آن را منع می‌کنند.

مشکل
ارائه‌دهندگان خدمات ابری (CSP) همچون آمازون، آزور و گوگل امنیت و دسترسی زیرساخت‌های ابری خود را برای شرکت‌های بزرگ مدیریت می‎کنند و به بررسی و تحقیق رویدادهای امنیتی و حوادث می‌پردازند. این ارائه دهندگان نیاز دارند تا قادر باشند تا میان تست نفوذ به مشتری و یک حمله واقعی روی محیط کاری خود تفاوت قائل باشند. اگر این تمایز وجود نداشته باشد، ترافیک می‌تواند کاهش یابد، مسدود شود و یا توسط سامانه حفاظت در برابر DDOS و یا سامانه پیشگیری از نفوذ در طول مسیر تغییر مسیر داده شوند. نه تنها این کار موجب هدر رفتن هزینه و زمان می‌شود، بلکه خدمات و منابع به اشتراک گذاشته شده برای دیگر مشتریان را نیز تحت تأثیر قرار خواهد داد.

ارتباطات
راه‌حلی مبنی بر تست نفوذ برای ارائه به CSP به نظر آسان می‌رسد اما چند نکته در این زمینه وجدو دارد. ارتباطات در اینجا نقش کلیدی داشته و روش ارتباط از خود پیام ارسالی مهم‎تر است. ارائه دهنده خدمات نیاز دارد تا به موقع، به وضوح و به روشی دقیق خبردار شود. این اطلاع‌رسانی باید شامل زمان و دامنه تست برنامه‌ریزی شده باشد. تست واقعی نباید از این روش اطلاع‌رسانی منحرف شود.
بسیاری از ارائه‌دهندگان مانند آمازون و مایکروسافت، دارای دستورالعمل‌ها، محدودیت‌ها و فرم‌های درخواست مجوز در وب‌گاه خود برای انجام تست نفوذ هستند. گوگل در اینجا کمی متفاوت کار می‌کند. آن‎ها می‌گویند تا زمانی که تست کننده پایبند به شرایط و سیاست‌های پذیرفته شده این خدمات است نیازی به اطلاع دادن و تماس نیست. واضح است که این تست‎ها تنها از جهت تأثیر بر پروژه‌های مشتری‎های دیگر مجوز می‎گیرند.

محدودیت‌ها
مهمترین جنبه از محدودیت‌های تست‌های نفوذ خدمات ابری مسئولیت‌های مربوط به شروع و پایان آن است. به این معنا که مهم است که خدمات مورد هدف در داخل کدامیک از تنظیمات IaaS (زیرساخت به عنوان خدمات)، PaaS (بستر به عنوان خدمات) و یا SaaS (نرم‌افزار به عنوان خدمات) قرار داشته باشند. IaaS اجازه تست خیلی بیشتر و گسترده‌تری را از SaaS می‌دهد، چرا که سطح مسئولیت‌ها و شاید خطر مربوط به سامانه‌های مشترک مشتریان در آن‎ها تفاوت وجود دارد. برای مثال، در تنظیمات IaaS، سامانه‎عامل کارگزار هدف به مشتری واگذار شده و توسط او مدیریت می‌شود. در تنظیمات SaaS این موضوع وجود ندارد. یک تست نفوذ می‌تواند بر روی هدف اثر گذارد و شاید موجب قطعی دیگر مشتریانی شود که از سامانه‌های مشترک استفاده می‌کنند. در بدترین حالت، می‌تواند موجب نشت ناخواسته‌ی اطلاعات مشتریان دیگردر فضای ابری شود. تعیین مسئولیت‌ها برای تعیین دامنه‌ی تست کمک می‌کند.
جنبه دیگری که به نظر می‌رسد وجود دارد اینکه هنگامی که یک تست نفوذ بر روی یک سامانه روی بستر ابری برنامه‌ریزی می‌شود، آیا چرخش نیز نیاز است. چرخش یک تکنیک حمله معمول است که در آن یک سامانه از طریق دسترسی که بدست آورده به سامانه دیگری حمله می‎کند. برای مثال این کار می‎تواند موجب دور زدن فیلترهای موجود در دیواره‌های آتش شود. همچنین این کار به مهاجمان اجازه می‌دهد تا از خدمات قابل اعتماد میان دو میزبان استفاده کرده و یا از یک میزبان به شبکه‌ای دیگر همچون یک تونل vpn یا چندین واسطه شبکه پرش کنند. چرخش از یک میزبان مبتنی بر فضای ابری به یک سامانه‌ی غیر ابری معمولاً به وسیله‌‌ی ارائه کنندگان خدمات ابری اجازه داده نمی‌شود و این موضوعی است که باید در نظر داشت. خدمات ابری، تست کنندگان را محدود می‌کنند، اما برای مهاجمان واقعی این محدودیت‌ها وجود ندارند. همین امر نشان می‌دهد که تست نمی‌تواند کامل باشد.
همچنین امکان حمله منع سرویس توزیع‎شده (dDOS) هم معمولاً وجود ندارد. جداسازی چنین حملاتی از دیگر حملات غیرمجاز به خاطر ویژگی‌ توزیع‌شده‌ی آن‎ها بسیار سخت است. صدها هزار آدرس IP به صورت همزمان به پوشش حملات متعدد dDOS می‌پردازند و در اینجا نمی‌توان با اطمینان آن‎ها را جدا کرد. این کار می‌تواند موجب راه‌اندازی خودکار سامانه کاهش خطر شود و در نتیجه بر دیگر مشتریان استفاده کننده از منابع اشتراکی اغلب تأثیر منفی می‌گذارد.
تکنیک‌های تست نفوذ مبتنی بر فضای ابری
با وجو تمامی مشکلات و محدودیت‎هایی که برای تست نفوذ در بستر ابر مطرح شد، راه‌حل‌هایی در این زمینه ایجاد شده‌اند و ممکن است موفق نیز باشند. این کاملاً امری معمول برای ارائه‌کنندگان خدمات ابر است که دارای تیم تست نفوذ داخلی باشند و علاوه بر آن از یک نهاد ثالث برای تست نفوذ نیز بهره ببرند. مایکروسافت دارای یک تیم قرمز تهاجمی و یک تیم آبی دفاعی در بستر خدمات Azure خود است. سایر ارائه‌کنندگان خدمات بزرگ نیز به احتمال زیاد دارای سامانه‌های مشابهی هستند. در حالیکه این تلاش‌ها موجب ایمن‌تر شدن این بستر‌ها می‌شوند، اما سامانه‌های مشتریان و نرم‌افزارهای آن‎ها هنوز خارج از دامنه‌ی CSP قرار دارند. همانطور که قبلا ذکر شده با محدودیت‌های موجود، مسئولیت سامانه‌های مشتریان به طور طبیعی بر عهده خود آنها خواهد بود.

آموزش نفوذ اخلاقی- منابع (امنیت فناوری)
برخی از ارائه‌دهندگان خدمات ابری، خدمات تیم تست نفوذ داخلی خود را به مشتریان به عنوان یک خدمات پولی عرضه می‌کنند. این کار به خاطر میزان زیاد نگرانی‌های ارتباطی مشتریان صورت می‌گیرد و همچین میزان محدودیت‌های اجباری را در روش‌های تست کاهش می‌دهد. برای مثال در اینجا یک حمله dDOS می‌تواند به صورت مستقیم در یک سامانه از یک شبکه ابری داخلی صورت گیرد. این کار موجب کاهش تأثیر در پهنای باند و منابع سایر مشتریان خدمات خواهد شد. از آنجایی که ارائه دهنده خدمات، خود کنترل بسیار بیشتری روی تست‎های خود دارد، مواردی همچون حملات چرخشی نیز می‌تواند در میان سایر گزینه‌ها مطرح باشد.
برخی از سازمان‌های ثالث نیز در زمینه خدمات تست نفوذ ابری تخصص دارند. گروه NCC برای مثال نه تنها به ارائه‌ی خدمات تست نفوذ منظم به Azure و آمازون برای بسترهای واقعی آن‎ها می‌پردازد، بلکه برای کاربران ابری نیز که می‌خواهند به تست سامانه‌ها و نرم‌افزارهای خود بپردازند، خدمات ارائه می‌کند.
شرکت Nettitude هم نمونه‌ی دیگری از یک ارائه‌دهنده خدمات تست نفوذ ابری است، اما اکثر شرکت‌های امنیتی تخصصی بزرگتر می‌توانند این خدمات را تا سطح معینی ارائه کنند.
دیگر ارائه‌دهندگان خدمات تست نفوذ در واقع از انعطاف‌پذیری خدمات ابری بهره‌برداری می‌کنند. محصول Core CloudInspect از شرک امنیتی Core به ارائه‌ی تست نفوذ به عنوان یکی از خدمات می‌پردازد و از بستر خدمات اینترنتی آمازون AWS برای این کار استفاده می‌کند. کاربران AWS می‌توانند از این محصول برای اجرای آزمون امنیتی و صفحات اینترنتی خود استفاده کنند.

نتیجه‌گیری
در حالی‎که دنیای به هم متصل شده در دهه‌های گذشته، هر چه بیشتر به سمت راه‌حل‌های فضای ابری حرکت می‌کند، زمان برای امنیت سایبری ساکن نیست. چندین نفوذ بزرگ در سامانه‌های درونی شرکت‌های بزرگ، ثابت کرده‌ که امنیت فضای ابری ممکن است مورد بدی برای حملات بعدی مهاجمان نباشد. با حرکت به این سمت، تست نفوذ خود را با چالش‌های جدید سازگار می‌کند و راه‎کارهای جدید در این زمینه ارائه داده می‎شود. بسیاری از شرکت‎ها خدمات بیرونی جدید را ارائه می‎دهند و این خدمات هم در سمت ارائه‌کنندگان فضای ابری و هم در سمت مشتریان و شرکت‌های ثالث عرضه شده است.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.