پایان نامه ارشد درمورد معماری سرویس گرا، منابع اطلاعاتی

دانلود پایان نامه ارشد

ابرها، خاص منظوره اطلاق می شود.

2-5-10- آسیبپذیری، تهدید و خطر در محاسبات ابری
کلمات “آسیبپذیری”، “تهدید” و “خطر” اغلب با اینکه معنای متفاوتی دارند بیانگر موضوع مشابهی هستند. این مهم است که معانی این کلمهها را درک کنیم.
“آسیبپذیری” به یک نرمافزار، سختافزار یا رویهای ضعیف که ممکن است برای مهاجم یک درب باز را جهت ورود غیر مجاز به کامپیوتر و یا شبکه و دسترسی غیرمجاز به منابع را در محیط فراهم کند، اشاره میکند. آسیبپذیری عدم وجود و یا ضعف در حفاظت را که میتواند باعث سوء استفاده شود تعریف میکند. این آسیبپذیری ممکن است یک سرویس در حال اجرا بر روی یک سرور، برنامههای اصلاح نشده، و یا ورودیهای فیزیکی ناامن باشد.
“تهدید” هر گونه خطر بالقوه برای اطلاعات و یا سیستم را میگویند. این تهدید ممکن است کسی یا چیزی باشد که آسیبپذیری خاصی را شناسایی کرده و میخواهد از آن در برابر شرکت و یا فرد استفاده کند. تهدید به بهرهبرداری از آسیبپذیریهای موجود اشاره دارد. “عامل تهدید” فاعل است که از مزایای آسیبپذیری استفاده میکند. یک عامل تهدید میتواند یک مزاحم، فرآیند، یا یک کارمند که اشتباه غیرعمدی انجام داده (ممکن است اطلاعات محرمانهای را فاش و یا در معرض نابودی قرار دهد) باشد.
“خطر” احتمال استفاده یک عامل تهدید از آسیبپذیری و تاثیر آن بر روی کسب و کار مربوطه میباشد. به عنوان مثال اگر کاربران بر روی فرآیندها و روشها آموزشی ندیده باشند احتمال بالایی وجود دارد که کارمندان اشتباه عمدی و یا غیرعمدی داشته باشند که منجر به نابودی دادهها شود.در هر سازمانی، خطرات امنیت اطلاعات باید شناسایی، ارزیابی، تجزیه و تحلیل و درمان شده و به طور مناسب گزارش داده شود[51].

2-5-10-1- دسته بندیهای مرتبط با ریسکها، خطرات و امنیت در ابر
خطرات امنیتی در پردازش ابری از جمله موضوعات مربوط به تجزیه و تحلیل و ارزیابی است. یکی از بهترین تلاشها در این راستا توسط آژانس سیستمهای اطلاعات و شبکه اروپا (ENISA) صورت گرفته است[52]؛ و یک تحقیق جامع و مفصل در این رابطه انجام دادهاند. همچنین گروه دیگری مانند اتحادیهی امنیت ابر (CSA) که به طور حرفهای بر روی فناوری پردازش ابری و مسائل امنیت اطلاعات پرداخته و همچنین در این راستا نشریه هم دارند نیز بر روی این موضوع کار کردهاند[53].
طبق دستهبندی (ENISA) طبقهبندی خطرات پردازش ابری سه دستهی سازمانی، فنی و حقوقی میباشد. مدل تهدیدات CSA طبقه بندی انجام نداده است اما یک لیست مفصل از مسائل قابل توجهی که باید به درستی به آنها پرداخت تهیه کرده است.
از طرفی موسسه ملی استاندارد و تکنولوژی (NIST) [54] موضوعات کلیدی امنیت را در چند دسته کلی سازماندهی میکند: اعتماد، معماری، مدیریت هویت، جداسازی نرمافزار، حفظ داده و قابلیت دسترسی. در این فصل به تفسیر هر کدام از این دستهبندیها و موضوعات مرتبط با امنیت میپردازیم.

2-5-10-2- ریسکهای سازمانی، فنی، حقوقی
طبقهبندی ریسکهای سازمانی شامل تمام خطرات که ممکن است بر روی ساختار سازمان یا کسب و کار تاثیر بگذارد، میباشد. نمونههایی از خطرات مذکور شامل از دست دادن شهرت کسب وکار به دلیل فعالیتهای مشترک شرکاء و هرگونه تغییر سازمانی که میتواند برای ارائه دهندهی ابر به عنوان یک سازمان کسب وکار اتفاق بیافتد. مانند، شکست، فسخ و یا استفاده.
طبقهبندی ریسکهای فنی شامل مشکلات یا شکست در ارتباط با خدمات ارائه شده و یا فناوریهای مرتبط با فراهمکنندهی خدمات ابر میباشد. به عنوان مثال، مشکلات مربوط به جداسازی به اشتراک گذاری منابع، حملات مخرب در ارائهدهندهی ابر، و هرگونه احتمال نشت اطلاعات بر اثر دانلود و آپلود از طریق کانالهای ارتباطی.
طبقهبندی خطرات قانونی اشاره به مسائلی دارد که داده را در سرتاسر کشورهای متعدد که رد و بدل داده دارند احاطه کند.
قوانین و مقررات مربوط به دادهها، پیمایش دادهها، حفاظت و الزامات و قوانین حفظ حریم خصوصی را شامل میشود که در بین کشورهای مختلف قوانین مختلفی برای آنها وجود دارد. نمونههایی از این خطرات عبارتند از خطرات ناشی از تغییرات احتمالی صلاحیت این دادگاهها و مسئولیت یا تعهد فروشنده در مورد از دست دادن دادهها و یا وقفه در کسب و کار.
محاسبات ابری مبتنی بر یک استفاده جدید از فناوری است که مبتنی بر خطرات بسیاری است، شامل خطراتی که دیگر تکنولوژیها را هم تهدید میکنند و مخصوص ابر نیستند نیز میباشد. خطراتی مانند مهندسی اجتماعی، امنیت فیزیکی، از دست دادن و یا به سرقت بردن فایلهای پشتیبان، و از دست دادن و یا به خطر افتادن لیستهای امنیتی، نمونههایی از این خطرات میباشند.
اتحادیه امنیت ابر (CSA) تهدیدات زیر را به عنوان خطرات مرتبط با محاسبات ابری که بر اساس تحقیقات اخیر خود به آن دست یافتهاند، بیان نمودهاست. خودیهای مخرب، از دست دادن و یا نشت دادهها، سوء استفاده و یا استفاده نادرست از محاسبات ابری و آسیب پذیریهای فناوری به اشتراک گذاری.

2-5-10-3 – آسیب پذیریهای خاص ابر
دیگر محققان ترجیح میدهند که بر روی آسیب پذیریهای خاص ابر بدون تمرکز زیاد بر روی تهدیدات و خطرها تمرکز کنند. بنابر چنین تحقیقاتی، یک آسیب پذیری خاص که میتواند مخصوص محاسبات ابری باشد میتواند مطابق هر یک از مطالعات ذیل باشد[54]:
• آسیب پذیریهایی که مربوط به ذات و اصل هسته فناوری پردازش ابری است، مانند مجازی سازی، مبتنی بر سرویس، معماری، رمز نگاری
• آسیب پذیریهایی که علت ریشهای در یکی از ویژگیهای صرفی ابر مانند قابلیت انعطاف، ادغام منابع، مدل پرداخت به میزان مصرف میباشد.
• آسیب پذیریهایی که ناشی از نوآوریهای ابر که سبب ایجاد از کنترل خارج شدن امنیت و یا غیر ممکن و سخت شدن پیاده سازی آن میشود.
• به دلیل وجود تکنولوژی جدید ابر شایع است.

2-5-10-4 – موضوعات کلیدی امنیت
اگرچه ضرورت محاسبات ابر یک توسعهی جدید است ولی بینشها در مورد جنبههای بحرانی از امنیت میتوانند از تجربیات گزارش شده و همچنین تحلیل و آزمایش محققان جمعآوری شود. موضوعات کلیدی امنیت میتوانند در چند دسته کلی سازماندهی شوند: اعتماد، معماری، مدیریت هویت، جداسازی نرم افزار، حفظ داده و قابلیت دسترسی[54]. به این علت که محاسبات ابر آمیزشی از تکنولوژیها شامل معماری سرویس گرا، مجازی سازی، وب 2، و محاسبات همگانی است، بسیاری از موضوعات امنیتی میتوانند به عنوان مشکل در این محیط جدید مطرح شوند. از آنجا که این خطرات و ریسکها را نمیتوان به طور کامل حذف کرد، نیاز داریم که آنها را تا سطح قابل قبولی کاهش دهیم. خطرات قابل قبول خطراتی هستند که کسب و کار تصمیم میگیرد تا با آنها کنار آید، چرا که ارزیابی مناسب برای این خطرات و یا هزینههای درمان آنها ممکن است از مزایای آن بیشتر شود.

اعتماد در رایانش ابری
بر اساس الگوی محاسبات ابر، یک سازمان کنترل مستقیماش را بر روی بسیاری از جنبههای امنیتی رها میکند. در انجام این کار، یک سطح بی نظیری از اعتماد را به فراهم کننده سرویس میسپارد.
دسترسی کارمندان داخلی: تهدیدات مرتبط با میزان دسترسی کارمندان برای اغلب سازمانها یک موضوع شناخته شده میباشد. این گونه تهدیدات برتر از موضوعاتی است که مرتبط با کارکنان سابق یا جاری آشنا با سازمان، پیمانکاران، و سایر بخشهایی که دسترسی به شبکههای سازمان، سیستمها و دادهها برای انجام یا تسهیل عملیات دارند میباشد. در واقع این تهدیدات ممکن است شامل انواع مختلفی از فریبها، خرابکاری در منابع اطلاعاتی، و دزدی اطلاعات باشد.این حوادث ممکن است حتی به صورت ندانسته و ناخواسته انجام شود.
حرکت دادهها و برنامههای کاربردی به یک محیط محلسباتی خارجی ریسک را در چنین موردی بالا میبرد. زیرا در چنین محیطهایی نتیجهی این گونه تهدیدات تنها برای سازمان فراهم کنندهی سرویس نبوده و به طور خاص بر روی سایر مشتریانی که از این سرویس استفاده میکنند موثر میباشد.
سرویسهای مرکب: سرویسهای ابر میتوانند به صورت تودرتو و لایهای با سایر سرویسهای ابر ترکیب شوند. برای مثال یک فراهم کننده SaaS میتواند سرویسهایش را بر روی PaaS و IaaS یک فراهم کنندهی دیگر بسازد. هنگامی که یک فراهم کننده سرویس برخی از سرویسهایش را از یک سازمان ثالث میگیرد باید نگرانیهایش را در ارتباط با برخی مسائل بالا ببرد، مسائلی همچون محدودهی کنترل بر سازمان ثالث، ضمانتهای موجود و میزان قابل دسترس بودن منابع هنگام بروز مشکل. به همین علت لازم است توافقاتی میان فراهم کنندگان سرویس آشکار و بیان شود و در مدت همکاری این توافقات اجرا شده و نگهداری شوند. ضمانتهای مسئولیتی و اجرایی میتوانند یک سری موضوعات را در ارتباط با سرویسهای ترکیبی ابر به وجود آورند. به عنوان مثال Linkup یک سرویس حافظه آنلاین بود که بعد از از دست دادن دسترسی 20000 مشتریاش به مقدار قابل توجهی از دادهها تعطیل شد، به همین دلیل شرکت دیگری به نام Nirvanix میزبان دادههای Linkup شد و شرکت دیگری با نام Savvis برنامههای کاربردی و پایگاه داده آن را میزبان شد، در چنین شرایطی مسئولیت مستقیم عدم موفقیت ناواضح بود[52].
قابلیت دید: مهاجرت به سرویسهای ابر کنترل فراهم کنندهی سرویس را جهت ایجاد امنیت سیستمها بر روی دادهها و برنامههای کاربردی از بین میبرد. برای جلوگیری از چنین شکافهایی در امنیت باید مدیریت، رویهها و تکنیکهای کنترلی به طور مناسب با سیستمهایی که در داخل سازمان استفاده میشوند درخواست شود. این وظیفه تا زمانی که معیارها برای مقایسه امنیت میان دو سیستم کامپیوتری که در مرحلهی تحقیق و پیشرفت هستند مشکل است. علاوه بر این، سطح نظارت شبکه و سیستم توسط کاربر خارج از محدودهی اغلب مقدمات سرویس میباشد که محدودیت نظارت جهت رسیدگی به عملها به طور مستقیم را ایجاد میکند. برای تضمین این موضوع که سیاستها و فرایندها در میان چرخه حیات سیستم اجرا میشوند، مقدمات سرویس باید شامل برخی امکانات جهت به دست آوردن قابلیت دید به کنترلهای امنیتی و فرایندهای به کار گرفته شدهی فراهم کننده سرویس در هر زمان باشد[54].
مدیریت ریسک: با سرویسهای مبتنی بر ابر برخی از زیر سیستمها یا مولفههایی از آنها خارج از کنترل مستقیم سازمانی است که صاحب اطلاعات بوده و اجازهی استفاده از سیستم را دارد. بسیاری از مردم احساس میکنند زمانی که کنترل بیشتری بر روی فرایندها و تجهیزاتشان دارند نسبت به ریسک آسوده خاطرتر خواهند بود. در انتخاب میان یک راه حل داخلی و پیاده سازی مبتنی بر ابر، نیاز است تا ریسکهای وابسته در جزئیات مشخص شوند. تشخیص و مدیریت ریسک در سیستمهایی که از سرویس ابر استفاده میکنند میتواند یک چالش به حساب آید. به طور کلی سطحی از اعتماد مبتنی بر میزان کنترلی است که سازمان قادر است به طور مستقیم بر روی فراهم کننده سرویس خارجی نسبت به به کارگیری کنترلهای امنیتی جهت حمایت از سرویسهایش اعمال نماید.
معماری رایانشابری
معماری سیستمهای نرمافزاری استفاده شده جهت تحویل سرویسهای ابر شامل سخت افزار و نرم افزار مستقر در ابر میباشد. مکان فیزیکی این زیر ساخت توسط فراهم کننده سرویس تعیین میشود تا منطق مقیاس پذیری و اعتبار را برای چارچوب پشتیبانی اصولی پیاده سازی نماید. ماشینهای مجازی نوعا ً به عنوان واحد انتزاعی گسترش به کار میروند و دارای اتصال ضعیف با معماری حافظه ابر میباشند. برنامههای کاربردی بر روی واسطهای برنامه نویسی از سرویسهای قابل دسترس در اینترنت ساخته میشوند و نوعا ً شامل مولفههای ابری هستند که چند ارتباطی میباشند.
سطح حمله: یک هایپروایزر یا نظارت ماشین مجازی یکه لایهی اضافی نرم افزاری میان یک سیستم عامل و پلتفرم سخت افزاری است، که به عمل ماشینهای مجازی چند مستاجری و برنامههای کاربردی که پس از آن میزبان میشوند نیاز دارد.علاوه بر منابع مجازی، هایپروایزر سایر واسطهای برنامه نویسی را پشتیبانی میکند تا عملیات مدیریتی مانند شروع کردن، مهاجرت و پایان دادن به نمونههای ماشین مجازی را هدایت نماید. در مقایسه با پیاده سازیهای غیر مجازی، یک هایپروایزر اضافی میتواند باعث

پایان نامه
Previous Entries پایان نامه ارشد درمورد محیط رایانش ابری، پایگاه داده ها، مدیریت ارتباط با مشتری، ارتباط با مشتری Next Entries پایان نامه ارشد درمورد دسترسی به اطلاعات، منابع اطلاعاتی