همانگونه که می دانیم، امروزه حتی ساده ترین اپلیکیشن های وب می توانند متکی بر ترکیب متنوعی از سرویس های آنلاین باشند. این سرویس ها از طیف وسیعی از عملکردهای بسیار مهم در اپلیکیشن های مدرن پشتیبانی می کنند، برای مثال در فیس بوک برای احراز هویت، در Box برای ذخیره سازی، در Twilio برای پیام رسانی، در Square برای پرداخت، در گوگل برای تبلیغات و ... شرکت IBM پیش بینی کرده است که روند پیوند سرویس های آنلاین بصورت اپلیکیشن های شبکه ای، با ادامه افزایش تعداد پلتفرم های ابری، باعث تسریع در رشد سرویس هایی مانند Amazon Web Services، Microsoft Azure، Google Cloud Platform، Heroku، IBM BlueMix، CloudFoundry و سرویس های دیگری که امروزه در دسترس هستند، خواهد شد. از طرف دیگر چالشی که شرکت ها با آن مواجه هستند این است که هر زمانی که آنها یک سرویس مبتنی بر ابر جدیدی را بر روی یک اپلیکیشن پیوند می زنند، در واقع داده ها و اجرای نرم افزار را به شخص ثالثی که به صورت بالقوه ناشناخته است می سپارند. به همین دلیل آنچه برای این شرکت ها مهم است امنیت محیط ابری است. اکنون متخصصین شبکه ی این شرکت، یک سیستم آزمایشی برای ارائه ی بهتر امنیت در دنیای بی قاعده ی ابری ایجاد کرده اند. با سکان آکادمی همراه باشید تا در مورد این سیستم بیشتر بدانید.

بنا به گفته ی کارشناسان شبکه، در دنیایی که سرویس های مختلف و گاه پراکنده (از لحاظ جغرافیایی) به طور منظم داده ها را به اشتراک می گذارند، رویکرد جدیدی برای امنیت اپلیکیشن ها مورد نیاز است.

به گفته ی محققین مرکز تحقیق واتسون IBM در دانشگاه کلرادو و دانشگاه پرینستون، "با وجود تغییر در چگونگی تفکیک اپلیکیشن ها، مدیریت امنیت بین سرویس ها و کاربران تا حد زیادی بدون تغییر باقی مانده و بر دفاع محیطی با پیکربندی امنیتی نسبتاً ثابتی متمرکز است."

با سرویس های ابری مختلفی که این اپلیکیشن ها را می سازند و داده و دستورات را مبادله می کنند، تشخیص حمله به اپلیکیشن ها می تواند سخت باشد، محققان دلیل این امر را "تکیه کردن مجرمان بر گمنامی نسبی برای عبور از محیط ابری می دانند."

در چنین سیستم پیچیده ای، به صورت گسترده از شبکه مبتنی بر نرم افزار (SDN - Software-Defined Networking- نوعی شبکه که در آن به جای اینکه سخت افزاری مانند سوئیچ تصمیم بگیرد که بسته دریافتی به کجا باید برود، با توجه به تعریفی که بوسیله نرم افزار بر روی آن انجام می شود، رفتار مختلفی را می توان بر روی بسته انجام داد.) و مجازی سازی عملکرد شبکه -Network Function Virtualization- برای اجرای سیاست های امنیتی در هنگام جریان ترافیک در شبکه، استفاده می شود.

در حالی که زیرساخت های قابل برنامه ریزی که SDN و NFV ارائه می دهند می تواند امنیت را برای این اپلیکیشن های شبکه ای تقویت کند، محققان معتقدند این سیستم های خودکار نیاز به هدایت بهتری دارند.

برای کمک به تشخیص این که کدام سرویس ابری قابل اعتماد است، IBM و شرکای تحقیقی این شرکت یک سیستم آزمایشی به نام Seit طراحی کرده اند. Seit برای یکپارچه شدن با سیستم مدیریت ابری طراحی شده است تا به پیگیری اعتبار سرویس های مختلف کمک کند. Seit به سرویس های مبتنی بر ابر اجازه می دهد تا با مدیر اعتباری خود ارتباط داشته باشند، این مدیر به عنوان منبع اطلاعاتی برای رتبه ی سرویس های مبتنی بر ابر یا کاربر عمل می کند. این رتبه ها بر مبنای رفتار گذشته ی این سرویس ها هستند و بصورت اتوماتیک از هشدارها، وقایع، و آپدیت وضعیت اجزای زیرساختارهای ابری که این سرویس ها بر آنها متکی هستند، مانند فایروال ها، توزیع کننده های بار و کنترل کننده های شبکه تولید می شوند.

هنگامی که سرویس های آنلاینِ مختلف برای برقراری ارتباط آماده می شوند، آنها از Seit پرس و جو می کنند تا اعتبار یکدیگر را بر پایه ی اطلاعات جمعی بیابند. با استفاده از این اطلاعات هر سرویسی می تواند بر اساس انتظارات و اعتبار مربوطه تصمیم بگیرد که چگونه در تعامل باشد.

به گفته ی محققان، Seit ایزوله کردن سرویس های ابری و کاربرانی که به احتمال زیاد علت مشکلات هستند، را ساده کرده و ارتباطات بین سرویس ها را بهینه می کند.

از آنجایی که هر زمان سرویس های ابری یا کاربران با یکدیگر تعامل می کنند، وضعیت اعتبار آپدیت می شود، Seit در مواقع پدید آمدن رفتار مخرب و مشکل ساز هشدار می دهد. برای مثال، در حمله ی DoS -حمله ای که سعی می کند تا با ایجاد ترافیک ناخواسته، منابع شبکه را استفاده کرده و به این شکل سرویس را از دسترس خارج سازد- Seit اعتبار ماشین مجازی به خطر افتاده ای که میزان زیاد ترافیک DoS را ارسال می کند، کاهش می دهد.

محققان مثال های متنوعی از چگونگی استفاده از Seit را ارائه می دهند، مانند ایجادکنترلر SDN که ترافیک شبکه خروجی از ماشین مجازی با اعتبار پایین را بلوکه یا غربال می کند و به کارگزارِ سرویس ابری اجازه می دهد تا سرویس های ارائه شده در Cloud Foundry -که یک پلتفرم محاسبات ابری منبع باز است که به عنوان یک سرویس عمل می کند.- را با استفاده از وضعیت اعتبار و ساخت توزیع کننده های بار معتبر فیلتر کند.

بنا به گفته این محققان "با استفاده از محیط شبیه سازی شده ای، نشان داده شده است که Seit می تواند امنیت بهبود یافته ای را با ایزوله کردن کاربران مخرب ارائه دهد، هزینه ها را با تطبیق زیرساخت ها و بدون به خطر انداختن امنیت کاهش دهد، و درآمد ارائه دهندگان سرویسِ با کیفیت بالا را با فراهم کردن اعتبار برای آنها افزایش دهد."

IBM و شرکای این شرکت، Seit را با اجزای مختلف شبکه و محیط ابری از جمله کنترلر Floodlight SDN، CloudFoundry، توزیع کننده ی بار HAProxy، سیستم تشخیص نفوذ Snort و سیستم مونیتورینگ Nagios، آزمایش کرده اند. آنها در نظر دارند تا در آینده اجزای بیشتری را با Seit ادغام کنند و کارایی سیستم و چالش های مقیاس پذیریِ بررسی را به هنگام مدیریت تعداد زیادی از اجزا و کاربرانی که در سراسر ابرهای خودمختار در مکان های مختلف پخش شده اند بهبود بخشند. نظرات خود را در رابطه با این سیستم با خوانندگان سکان آکادمی در میان بگذارید.

ساخت سیستمی توسط شرکت IBM برای شناسایی سرویس های قابل اعتماد در محیط ابری