يقول مطور Linux kernel، ماثيو جاريت، أن هناك حاجة لاعتبارات أمنية مختلفة عند التشغيل البرمجيات في السحابة، لأن موفر السحابة الشرير أكثر خطورة من التجميع التقليدي الشرير يستضيف.
عند تشغيل برنامج في السحابة، لن يكون لديك فقط نفس المخاوف الأمنية التي تواجهها بنيات تكنولوجيا المعلومات التقليدية - الثقة في السيليكون، البرامج الثابتة، ونظام التشغيل، بالإضافة إلى المجموعة المعتادة من البرامج الخفية - ولكن عليك الآن أن تثق في برنامج Hypervisor وتقلق بشأن أمان ضيوف آخرون على نفس الجهاز، أخبر ماثيو جاريت، مطور Linux kernel ومطور الأمان السحابي في Nebula، جمهور Linux.conf.au أمس.
وفي كلمته الرئيسية يوم الخميس، قال غاريت إنه على الرغم من زيادة استخدام الحوسبة السحابية، وتزايد ثقة المستخدمين بها، إلا أن القليل منهم لا يزال لديه أدنى فكرة عن ماهيتها.
"هناك أشخاص يعتقدون أن السحابة هي مجرد مخزن بيانات بعيد، وهناك أشخاص يفكرون في الحوسبة السحابية من حيث الافتراضية، هناك أشخاص يعتبرون السحابة مجرد "حسنًا، هناك صندوق سحري في مكان ما يحتوي على بياناتي، ولا أعرف أين". هو قال.
"الأشخاص الذين يستخدمون أنظمة تشغيل الأجهزة اللوحية غالبًا لا يقومون بتشغيل أي شيء مثير للاهتمام بشكل خاص على الأجهزة اللوحية، وهذا يعني أن سطح الهجوم أصغر بكثير. إذا كانت جميع بياناتي الشخصية موجودة في السحابة بدلاً من ذلك، أليس هذا أفضل؟ لا داعي للقلق بشأن مدى الثقة في جهازي، كل ما علي فعله هو الثقة في السحابة."
وقال غاريت إن هذا خيار لن يتخذه شخصيًا، وأنه يجب على المستخدمين أن يكونوا على دراية بالمقايضة الأمنية من أجل الراحة إذا كانوا يقدمون بياناتهم إلى مزود السحابة، ويثقون في أن مقدمي الخدمة لن يسرقوا أو يفقدوا البيانات بيانات.
ركز موظف Red Hat السابق على أمان برنامج Hypervisor باعتباره مجالًا يحتاج إلى الفحص.
"في ميزان الاحتمالات، عليك أن تفترض أن برامج Hypervisor ربما تحتوي على ثغرات أمنية، أنها تحتوي على عيوب يمكن استغلالها للوصول والسماح للضيوف بالدخول إلى مراقب الأجهزة الافتراضية.
"إذا كنت تستضيف مع أمازون، فليس لديك أي فكرة عما يتم تشغيله على نفس الجهاز، وليس لديك طريقة لرؤية الضيوف الآخرين، وما هي الخدمات التي يقومون بتشغيلها؟ من الممكن أن تتم استضافة موقع الويب الشخصي الخاص بك على نفس قطعة الأجهزة مثل نظام معالجة بطاقة الائتمان."
قال غاريت إنه على الرغم من أن برنامج Hypervisor يجب أن يحمي أجهزة الضيوف الأخرى من الضيف المخترق، إلا أنه يجب على المستخدمين ذلك لا تزال تشعر بالقلق بشأن الاختراقات المحتملة لبرنامج Hypervisor، مما قد يسمح باختراق الضيوف المحميين.
"قد لا يكون لهؤلاء الضيوف أي علاقة ببعضهم البعض، ولكن هل يمكنك الوثوق بهم؟" هو قال. "ماذا لو كان شخص ما يقوم بتشغيل ضيف ضار بشكل نشط على نفس قطعة الأجهزة الموجودة على موقع الويب الخاص بك؟
"هل من المؤكد تمامًا أنه إذا قام شخص ما باختراق ضيف على نفس الجهاز الذي تستخدمه، فهذا أمر مؤكد لن يتمكن الضيف المخترق بعد ذلك من اقتحام برنامج Hypervisor، ثم من اختراق برنامج Hypervisor نظامك؟"
وبالتالي، قال غاريت إن هناك عددًا من الأسئلة الأمنية الصعبة التي يجب طرحها على موفري الخدمات السحابية حول ما يُستخدم لعزل الضيوف؛ إذا تم العثور على مشكلة أمنية في برنامج Hypervisor، فكيف يستجيب الموفر، وما هي الآليات المستخدمة لاكتشاف الاختراقات، وهل يمكن للسحابة يقول مقدم الخدمة على وجه اليقين أن الجهاز المضيف قد تم اختراقه بشكل أساسي، وما هي الأدوات التي يستخدمونها لإجراء ذلك تحليل؟
وقال غاريت: "لكي نكون منصفين، هذه أسئلة صعبة للغاية".
"لا أحد ينشر تطبيقاته الأمنية علنًا؛ عليك فقط أن تأخذنا على الثقة. إن البيان العام الكامل من أمازون حول أمن الضيوف هو أن "برنامج Hypervisor يحمي الضيوف من التدخل مع بعضهم البعض".
أصبحت القدرة على الثقة بمزود الخدمة الخاص بك أكثر أهمية من أي وقت مضى، نظرًا لأن السحابة تسمح بالتسوية بشكل أسهل من الأنظمة المعدنية التقليدية.
قال غاريت: "يمكن لموفر السحابة الشرير أن يلحق بك ضررًا أكبر بكثير من موفر الاستضافة الشرير". "يمكنهم إحداث نفس القدر من الضرر، لكن يمكنهم القيام بذلك بشكل لا يمكن اكتشافه، في حين أنهم تقليديون شريرون موفر الاستضافة، ربما ستلاحظ أن نظامك اختفى لمدة 20 دقيقة ثم جاء خلف... من السهل إجراء فحص وقت التشغيل على الأجهزة الافتراضية. يمكن لموفر الخدمة السحابية تسجيل الدخول إلى برنامج Hypervisor الخاص به ثم قراءة كل ذاكرة ضيوفك الجاري تشغيلهم. يمكنهم سحب نسخة طبق الأصل من نظام التشغيل دون أن تتمكن من رؤية ذلك.
"كل من يملك برنامج Hypervisor من المحتمل أن يمتلك الضيوف، وموفر السحابة الخاص بك يمتلك برنامج Hypervisor. عليك أن تثق بمزود الخدمة السحابية الخاص بك ليظل جيدًا، لسوء الحظ."
وقال غاريت إنه لا ينبغي طرح الأسئلة على مقدمي الخدمات السحابية فحسب، بل يجب أيضًا طرحها على أي شركة تستضيف في السحابة ويمكن للمستخدمين التعامل معها.
"إذا كنت تتعامل مع شركة تستضيف خدمات سحابية، فيجب عليك أن تسألها ما هي الأسئلة التي طرحتها على موفر الخدمة السحابية؟ ما هي الضمانات التي لديهم بأن الأجهزة الافتراضية الخاصة بهم آمنة؟ ما هي السياسات التي [يستخدمونها] من أجل مراقبة سلوك أجهزتهم الافتراضية وتقليل احتمالية تعرضها للخطر من قبل قوى خارجية؟"
للمضي قدمًا، قال غاريت إنه يجب على جميع الأطراف أن تكون أكثر جرأة بشأن تأمين كل طبقة من الأنظمة. ولكن افعل ذلك بطريقة تسمح للمستخدمين بتعديل نظامهم وعدم جعلهم يختارون بين الأمان والحماية حرية.
"يحتاج بائعو السحابة إلى طرح أسئلة صعبة. من غير المقبول ألا يكون لدى بائع السحابة سياسة أمان، ومن غير المقبول أن يكون موفر السحابة غير قادر أو غير راغب في إخبارك بما يفعله للحفاظ على أمان السحابة الخاصة به. ولا يمكننا أن نسمح باستمرار ذلك".