الشركات التي تلجأ إلى خدمات استضافة لبنيتها الافتراضية تواجه مخاطر محتملة

دلت نتائج استطلاع أجرته شركة كاسبرسكي لاب على أن قرابة الثلث من إجمالي عدد الشركات نحتفظ بالخوادم الافتراضية في مقرها ويعمل على إدارتها كادر خبراء تقنية المعلومات. وشمل الاستطلاع 3 آلاف و900 خبير تقنية المعلومات من مختلف أنحاء العالم. نظرا لزيادة استخدام البنية التحتية الافتراضية في الخدمات المؤسسية الحساسة، أصبح الاعتماد على خدمات الإدارة والاستضافة الخارجية يثير القلق حيال شؤون الأمن وبخاصة لدى الشركات الصغيرة.

داخل أم خارج مقر الشركة: بحسب حجم الشركات

من بين أكثر من ألفي مشارك في الاستطلاع ممن يستخدمون الخوادم الافتراضية أكد نحو 29% أن الخوادم المادية تتمركز داخل الشركات ويديرها كادر الشركة الخاص. في المقابل، أشار 17% إلى أن شركاتهم تعتمد كليا على متعهدين خارج الشركة في استضافة وإدارة خوادمهم وخدماتهم الافتراضية. ويعتمد جزء كبير من الشركات (قرابة 50%) على خليط من خدمات الاستضافة والإدارة الداخلية والخارجية.

ولا عجب في أن الغالبية العظمى من الشركات تلجأ إلى خدمات استضافة لبنيتها الافتراضية بقدر معين. وتتجلى الفوائد من ذلك في انخفاض التكلفة والتعقيد بالنسبة لأغلب أقسام تقنية المعلومات في الشركات كما أنه باستطاعة موفري الخدمات إضافة قدرات إضافية إلى هذه البنية بسهولة بغرض دعم نشاط الشركات النامية. لدى تحليل الأجوبة انطلاقا من حجم الشركة، دلت المعطيات على أن الشركات الصغيرة ذات طاقم صغير من خبراء تقنية المعلومات وميزانية صغيرة هي أكثر من يلجأ إلى موفري خدمات الإدارة بينما تميل الشركات الكبرى إلى إدارة الخوادم والخدمات الافتراضية داخل الشركة. من الواضح أن الشركات الصغيرة هي الأكثر اعتمادا على موفري الخدمات في توفير وإدارة جميع احتياجاتها في الحوسبة السحابية.

والمثال على ذلك أن 41% من الشركات الصغيرة أكدت أنها تلجأ إلى خدمات شركات أخرى لتخزين جميع خوادمها الافتراضية خارج مقر الشركة مقابل 26% من الشركات الكبيرة. ويعتمد 33% من الشركات الصغيرة في إدارة الخوادم والخدمات الافتراضية كليا على شركات تقدم خدمات الاستضافة مقابل 18% من الشركات الكبيرة. والجدير بالذكر أن كلا من الشركات الصغيرة والكبيرة تستخدم خليطا من الموارد الداخلية والخارجية لتخزين الخوادم الافتراضية على نحو مماثل (23 للشركات الصغيرة و29% للمؤسسات الكبيرة) وكذلك في إدارة الخوادم (31% لكل من الشركات الصغيرة والمؤسسات الكبيرة).

تخزين البيانات المؤسسة الهامة للغاية بواسطة الحوسبة الالكترونية

نظرا لأن غالبية الشركات لا ترى ضيرا في تخزين البيانات خارج جدران مقرها، من الهام تفهم أنواع البيانات التي يمكن تأمين موفري الخدمات عليها. وقد أشارت كاسبرسكي لاب في السابق إلى أن البيئات الافتراضية أصبحت تستخدم بشكل يتعدى المهام الاعتيادية لقسم تقنية المعلومات، كون أن 52% من المشاركين في الاستطلاع اعتبروا أن البيئات الافتراضية أصبحت تستضيف الآن العناصر الأساسية من البنية التحتية لتقنية المعلومات. وتبين خلال الاستطلاع ماهية وظائف الشركة التي يتم تنفيذها عبر البنية التحتية الافتراضية ووجدت أن هذه الرؤية صحيحة في الواقع.

وفقا لأجوبة ممثلي الشركات التي تستخدم بعض أنواع البيئات الافتراضية، فيما يلي نرد معدل استخدام الخدمات/التطبيقات على البنية التحتية الافتراضية مقارنة بالبيئات المادية:

• البريد الالكتروني وتطبيقات التواصل (Microsoft Exchange على سبيل المثال) – 68% تستخدم البيئات الافتراضية
• تطبيقات قاعدة البيانات (Microsoft SQL Server وOracle على سبيل المثال) – 65% تستخدم البيئات الافتراضية
• منصات إدارة العلاقات مع العملاء (CRM مثلا) – 65 % تستخدم البيئات الافتراضية
• تطبيقات الإدارة / الحسابات المالية –  58% تستخدم البيئات الافتراضية

من الجلي أن الشركات ترغب بشدة في نشر البيانات المؤسسة ذات الأهمية الفائقة في البيئات الافتراضية وبالمقابل تسلّم إدارة هذه البيئات الافتراضية لأطراف ثالثة.  والسؤال المطروح هنا: هل هذه الشركات تهتم بما يقوم به موفرو الخدمة وهل ما يقومون به يكفي لضمان أمن أهم أصول الشركات؟ وهذا السؤال تحديدا هو ما يثير قلق ثلث الشركات المتوسطة والصغيرة التي تفتقد إلى الموارد والحرفية في تنفيذ الإجراءات الأمنية الخاصة بها وتقييم الإجراءات التي يتخذها موفرو الخدمات.

فيما يلي نقدم الخطوات الأساسية التي يمكن للشركات المتوسطة والصغيرة اتخاذها لضمان أمن الشبكات الافتراضية من جانبها وتفحص الإجراءات الأمنية التي يقدمها موفرو الخدمات:

• الاطلاع على الموارد التي يقدمها الخبراء حول إدارة السحابة الالكترونية. ننصح بالاطلاع على مقال (The Notorious Nine: Cloud Computing Top Threats in 2013) من ائتلاف أمن السحابة الالكترونية كونه الأفضل للبدء بجمع المعلومات حول التهديدات التي تتعرض لها البيانات ضمن السحابة الالكترونية.
• إجراء تقييم دقيق للإجراءات الأمنية التي يتبناها موفر الخدمات للبيئات الافتراضية وضمان أنها تتفق مع المعايير القياسية المعمول بها مثل ISO 27001 و
• تثبيت حزمة أمنية متعددة الطبقات تقدم حماية مكافحة للفيروسات مبنية على التحليل التجريبي والسلوكي للبرمجيات الخبيثة، نظام منع اختراق الموقع المضيف والحماية من استغلال الثغرات على كل محطة عمل ضمن الشبكة
• ضمان أن البيانات المتمركزة على البنية التحتية في مقر الشركة ترسل عبر قنوات اتصال آمنة أو عبر الشبكة الخصوصية الافتراضية إلى مستخدمي الأجهزة المحمولة.

لضمان أن الشركات نفسها لن تصبح "الحلقة الأضعف" في البيئة الافتراضية، تواصل كاسبرسكي لاب العمل على ابتكار تقنيات جديدة يمكن للشركات استخدامها في نشر الحماية لتشمل البيانات المخزنة خارج الشركة. ولقد أمضت كاسبرسكي لاب سنوات في العمل مع موفري الخدمات الافتراضية الرواد لتطوير حلول أمنية متخصصة لتلبية المتطلبات الأمنية والأدائية للبيئات الافتراضية. ويمكنك الاطلاع على المعلومات حول Kaspersky Security for Virtualization إلى جانب العديد من الموارد تتضمن شرحا لمختلف أنواع أمن البيئات الافتراضية على موقع (Kaspersky Lab’s business center).

وتتوفر الموارد حول النزعات الراهنة في قطاع الأعمال واستخدام البيئات الافتراضية وأمنها تطرق إليها استطلاع كاسبرسكي لاب العالمي على الرابط التالي: 2014 IT Security Risks for Virtualization summary report.