الركائز الخمس للأمن السحابي
يعد أمان السحابة مسؤولية مشتركة بين موفري الخدمات السحابية والمؤسسات الفردية، حيث يكون مقدمو الخدمات السحابية مسؤولين عن أمان السحابة وتكون المؤسسات مسؤولة عن أمان التطبيقات الموجودة في السحابة.
يتمتع كل موفر خدمة سحابية بمسؤوليته المشتركة، والتي تسمى أحيانًا أيضًا بالمسؤولية المشتركة، وهو نموذج يحدد فيه ما هو مسؤولية مؤسستك وما لا يقع عليها.
ومما يزيد الأمور تعقيدًا، أن لا أحد منهم هو نفسه.
على سبيل المثال، إذا فكرنا في تطبيق يعمل على خادم افتراضي في السحابة، فإن موفر السحابة يكون مسؤولاً عن تأمين الأجهزة المادية التي نقوم بتشغيل هذا الخادم عليها، بينما تكون المؤسسات مسؤولة عن تكوين نظام التشغيل وتصحيحه وتأمينه هو – هي.
إن مهمتنا هي تكوين تطبيقاتنا بطريقة آمنة وتكوين الشبكات التي تصل إلى هذا التطبيق بطريقة آمنة أيضًا.
كيف يختلف الأمن السحابي عن الأمن السيبراني؟
يجمع الأمن السيبراني بين الأدوات والسياسات لحماية الشبكات والأجهزة من الهجمات السيبرانية.
الأمان السحابي هو شكل من أشكال الأمن السيبراني الذي يركز على حماية البيانات داخل بيئات الحوسبة السحابية باستخدام أدوات التشفير واكتشاف التهديدات. الفرق الأكبر بين الاثنين هو في ملكية المسؤولية.
مع الأمن السيبراني، تمتلك كل منظمة ممارساتها وسياساتها. وقد يستعينون بطرف ثالث أو MSSP للمساعدة في تحقيق أهداف الأمن السيبراني الخاصة بهم، ولكن في نهاية المطاف، تمتلك المؤسسات تلك النتائج.
ومع ذلك، يعمل الأمان السحابي ضمن نموذج المسؤولية المشتركة بين المؤسسات ومقدمي الخدمات السحابية.
يتحمل مقدمو الخدمات مسؤولية أمان السحابة، بينما تركز المؤسسات على حماية الوصول إلى البيانات والتطبيقات داخل السحابة.
ما هي أهم المخاوف الأمنية السحابية؟
لقد تبنت المؤسسات الحوسبة السحابية بمعدلات قياسية في السنوات القليلة الماضية، وتستضيف الآن التطبيقات المهمة والبيانات الحساسة في البيئات السحابية.
لكن تأمين البيئات السحابية يختلف تمامًا عن تأمين البيئات المحلية، وقد بدأت العديد من المؤسسات في اللحاق بالركب الآن. إنهم يدركون الآن أنهم يواجهون بعض التحديات الصعبة لتأمين بيئاتهم السحابية الجديدة:
- لا يوجد عدد كافٍ من التقنيين المتمرسين في الحوسبة السحابية والأمن
- الحفاظ على الامتثال التنظيمي عبر جميع البيئات السحابية
- تتطلب نماذج المسؤولية المشتركة التي وضعها مقدمو الخدمات السحابية حلولاً وعمليات وأدوات أمنية جديدة تمامًا
- يؤدي التعقيد داخل البيئات الفردية أو متعددة السحابات إلى خلق فرص للتكوين الخاطئ ونقاط الضعف
- الاحتفاظ بسجلات متسقة ودقيقة للأصول والأذونات وبيانات الاعتماد المستندة إلى السحابة عبر جميع البيئات السحابية
- مراقبة أعباء العمل ونشاط المستخدم، بما في ذلك سجلات التدقيق، مع رؤية محدودة، خاصة في البيئات متعددة السحابية
كيف يمكنك تأمين السحابة؟
لكل حل سحابي، هناك خط أساسي لأفضل ممارسات الأمان التي يجب عليك اتباعها. هذه هي ممارسات الأمان التي اتفقت عليها AWS وAzure وGCP على أنها بالغة الأهمية لتأمين الحلول السحابية الخاصة بك:
- قم بحماية بيانات اعتمادك المميزة من خلال المصادقة متعددة العوامل
- البقاء على اطلاع على جميع أنظمة التشغيل وتصحيحات التطبيقات
- تقييد وصول الجمهور إلى ما هو مطلوب فقط
ما هي الركائز الخمس للأمن السحابي؟
بمجرد إنشاء خط الأساس الأمني الخاص بك، يمكنك البدء في بناء استراتيجية الأمان السحابية الخاصة بك حول هذه الركائز الأساسية الخمس:
- إدارة الهوية والوصول
- حماية البنية التحتية
- حماية البيانات
- ضوابط الكشف
- الاستجابة للحادث
1. إدارة الهوية والوصول
من السهل أن تنسى إيقاف تشغيل الحسابات إذا كنت لا تتابعها. يمكن أن يكون الأشخاص حقًا الحلقة الأضعف لدينا، وسوف يأخذون كل شبر تقدمه لهم.
في كثير من الأحيان، نمنحهم أذونات أكثر مما يحتاجون إليه ونسمح لهم بالوصول للقيام بأشياء لا يفهمونها تمامًا.
تضمن إدارة الهوية والوصول (IAM) أن يتمكن جميع المستخدمين والمكونات من الوصول إلى الموارد السحابية بالطريقة المقصودة فقط.
استخدم الامتياز الأقل لمنح المطورين إمكانية الوصول فقط إلى الخدمات التي يحتاجونها لنشر تطبيقاتهم.
تساعد عناصر التحكم في الوصول المستندة إلى الدور المعينة لوظائف الوظيفة في تحديد الوصول إلى الموارد السحابية. التسجيل هو ما يتيح لك مراقبة كل شيء للتأكد من تطبيق سياسات IAM الخاصة بك.
ما هي أدوات IAM المتوفرة؟
- AWS: إدارة الهوية والوصول، وCloudTrail، وسجلات CloudWatch
- Azure: Azure Active Directory، وسجلات تدقيق Azure، ومراقب Azure، وتقارير الحالات الشاذة
- GCP: إدارة الهوية والوصول، والموصي، وسجلات تدقيق السحابة، ومراقبة السحابة
2. حماية البنية التحتية
لا يمكننا أبدًا إزالة المخاطر التي تتعرض لها تطبيقاتنا تمامًا لأنها لا تزال بحاجة إلى التحدث مع عملائنا وشركائنا والجهات الخارجية. إنها لا توجد في عزلة، ولهذا السبب تعتبر Zero Trust رائعة من الناحية النظرية وإشكالية في التنفيذ.
وبدلا من ذلك، ينبغي لنا أن نركز على فكرة الثقة المتغيرة. بمن نثق للوصول إلى شبكاتنا وبياناتنا؟ ما الذي يُسمح لهم بفعله بمجرد منحهم حق الوصول؟
عندما يتعلق الأمر بحماية البنية التحتية، نريد الدفاع بعمق. إنها الطريقة التي نتحكم بها في الوصول إلى الشبكات التي نبنيها في السحابة بشكل مشابه لما نفعله عند إنشاء التطبيقات في مركز البيانات.
نريد حماية نقاط الدخول والخروج لدينا. يقدم جميع موفري الخدمات السحابية الرئيسيين أدوات مثل ملفات تطبيقات الويب (WAF) وخدمات حماية DDoS لهذا الغرض.
يمكنك أيضًا الاستفادة من الخدمات المُدارة لخدمات DNS أو موازنة التحميل أو شبكات توصيل المحتوى.
ستجد عمومًا أن الخدمات المُدارة تتمتع بمرونة مدمجة وتكامل ملفات تطبيقات الويب وبروتوكولات الأمان الأخرى حتى تتمكن من إلغاء تحميل بعض مسؤوليات الأمان لهذه الخدمات المُدارة.
ما هي أدوات حماية البنية التحتية المتوفرة؟
- AWS: مجموعات الأمان، وقوائم ACL للشبكة، وAWS WAF، وAWS Shield
- Azure: جدار حماية Azure وAzure WAF وحماية Azure DDoS
- GCP: جدار حماية Google Cloud وCloud Armor
3. حماية البيانات
حماية البيانات هي كل شيء عن التشفير. هناك نوعان مختلفان من التشفير يجب أن تستخدمهما كل مؤسسة: البيانات أثناء النقل والبيانات غير النشطة.
البيانات التي يتم نقلها هي البيانات التي يتم نقلها عبر شبكتك، بينما البيانات غير النشطة هي البيانات التي يتم الاحتفاظ بها في وحدة تخزين دائمة.
بالنسبة للتشفير أثناء النقل، يدعم جميع موفري الخدمات السحابية الرئيسيين معيار الصناعة Transport Layer Security (TLS) وIPsec.
يعمل هذان البروتوكولان للأمان السحابي على حماية بياناتك أثناء انتقالها من مكان إلى آخر، سواء كان ذلك داخل السحابة أو أثناء التنقل بين مركز البيانات المحلي والموارد السحابية.
يحمي التشفير أثناء النقل مؤسستك من هجمات الوسيط، والتي يمكن أن تؤدي إلى سرقة بيانات الاعتماد أو سرقة البيانات أو تلف البيانات.
يعمل التشفير في حالة عدم النشاط على حماية البيانات الموجودة داخل المجموعات أو قواعد البيانات أو بحيرات البيانات داخل موفر السحابة.
يدعم جميع موفري الخدمات السحابية تشفير AES 256 بت القياسي في الصناعة. يعني هذا النوع من التشفير أن المهاجم لا يمكنه الوصول إلى بياناتك أو قراءتها بدون مفتاح تشفير.
(لا يمكنك ذلك أيضًا، لذا كن حذرًا في مكان وكيفية تخزين مفاتيح التشفير الخاصة بك.)
ما هي أدوات حماية البيانات المتاحة؟
- AWS: خدمة إدارة المفاتيح (KMS)، وCloud HSM، وMacie
- Azure: Azure Key Vault وAzure Dedicated HSM
- GCP: Cloud KMS وCloud HSM
4. ضوابط الكشف
تحدد عناصر التحكم في الاكتشاف العيوب في أمان مؤسستك أو تطبيقك حتى تتمكن من التصرف بناءً عليها. الهدف هو تحديد التهديدات ونقاط الضعف ونقاط الضعف والحوادث.
من المقبول على نطاق واسع أن التكوينات الخاطئة هي السبب الرئيسي لانتهاكات البيانات.
والخبر السار هو أن جميع موفري الخدمات السحابية يقدمون أدوات أصلية للبحث بشكل فعال عن الثغرات الأمنية والتكوينات الخاطئة والأنشطة المشبوهة والحالات المخترقة.
ستعلمك العديد من هذه الأدوات أيضًا إذا كان هناك مثيل يتصل بشبكة سيئة معروفة، أو يتصل بخادم الأوامر والتحكم، أو يتصرف بشكل غريب.
ما هي ضوابط الكشف المتاحة؟
- AWS: GuardDuty وInspector وSecurity Hub
- Azure: MS Defender لاكتشاف السحابة وAzure
- GCP: مركز قيادة أمان السحابة، وتحليلات الصحة الأمنية، وماسح الأمان
5. الاستجابة للحوادث
عندما يتعلق الأمر بالاستجابة للحوادث، فإن الهدف هو الأتمتة قدر الإمكان.
يتمتع كل من موفري الخدمات السحابية بوظائف بدون خادم يمكنها، على سبيل المثال، معالجة السيناريوهات الشائعة برمجيًا مثل مثيل EC2 المخترق.
باستخدام تقنية بدون خادم وبنية تعتمد على الأحداث، يمكنك عزلها عن الشبكة وإرسال إشعار إلى الفريق المناسب.
تسمح أتمتة مهام الإصلاح الأساسية لفريق الأمان لديك بالتركيز على الحوادث الفريدة والحساسة التي لا يمكن إلا للبشر إدارتها بدقة.
في هذا الصدد، من الصعب تمييز النقاط الأمنية العمياء عندما نفكر جميعًا بنفس الطريقة، لذا قم ببناء فريق يتمتع بثقافات وخبرات وخلفيات متنوعة، وخاصة فريق الاستجابة للحوادث.
تشجع ثقافة التنوع خبرائك على التشكيك في الوضع الراهن وتحدي المعايير أو القواعد لتحسين وضع الأمان السحابي لديك.
ما هي أدوات الاستجابة للحوادث المتاحة؟
- AWS: تكوين AWS وEventBridge
- Azure: Microsoft Sentinel لوظائف SIEM وAzure
- GCP: مركز قيادة الأمان – أتمتة الأمان والوظائف السحابية
المكافأة: الممارسة تجعلها مثالية
لا تزال أفضل خطة أمان سحابية بحاجة إلى الاختبار، وذلك جزئيًا للتأكد من أن كل فرد في فريقك يعرف دوره ويمكنه الاستجابة بسرعة وثقة في حالة وقوع حادث أمني.
ولكن أيضًا لأن التكنولوجيا ليست معصومة من الخطأ. يجب عليك إجراء اختبار بانتظام للتأكد من أن أدواتك وعمليات التشغيل الآلي الخاصة بك تعمل بشكل صحيح.
إذا قمت ببناء هذه الركائز الخمس وقمت بإجراء اختبارات منتظمة، فإن استراتيجية الأمان السحابية الخاصة بك في حالة جيدة حقًا.
كيفية تقييم أمان مزود الخدمة السحابية
يقوم موفرو الخدمات السحابية “الثلاثة الكبار” – AWS، وAzure، وGCP – بوضع معايير أمان السحابة.
إذا اخترت أحد قادة الحوسبة السحابية هؤلاء لبيئتك السحابية (وفهمت نماذج المسؤولية المشتركة الخاصة بهم)، فيمكنك التأكد من حصولك على أفضل أمان متاح في السوق.
هل هذا يعني أنهم مثاليون دائمًا؟ لا، لكن فيما بينهم، ينفقون مليارات الدولارات كل عام لتأمين منصاتهم السحابية بشكل استباقي.
لقد تساءل القادة في كثير من الأحيان عما إذا كانت السحابة آمنة. إنهم يسألون السؤال الخطأ.
يجب أن يسألوا “هل نستخدم السحابة بشكل آمن؟” إن الخطر الأكبر في البيئات السحابية الخاصة بك ليس ما إذا كان مقدمو الخدمة يقومون بعملهم أم لا؛ الخطر الأكبر هو التكوين الخاطئ لحلولك داخل الأنظمة الأساسية السحابية.
ومع ذلك، لا يزال يتعين عليك فحص موفري الخدمات السحابية بشكل مستمر لضمان تلبية احتياجاتك.
قم بمراجعة سياسات الأمان والخصوصية الخاصة بهم، والتي يجب أن تكون متاحة من خلال موقعهم على الويب.
قم بإجراء العناية الواجبة الخاصة بك وابحث عن مراجعات الطرف الثالث من محللي الصناعة والتقارير والمنشورات.
اطلع على اتفاقية مستوى الخدمة (SLA) الخاصة بالموفر باستخدام مشط دقيق للحصول على تفاصيل حول المسؤوليات الأمنية التي تقع على عاتقك والتي يمتلكونها.
ثم اطلب دليلاً على التزامهم بالمعايير الشائعة مثل ISO-27001 وISO-27002 وISO-27017 وISO-27018 للتأكد من أنهم يتبعون أفضل الممارسات الأمنية، ويسعون جاهدين لتقليل المخاطر، وحماية معلومات التعريف الشخصية.
إذا كنت تعمل في صناعة خاضعة للتنظيم، فاطلب دليلاً على أنها تلبي جميع البروتوكولات الحكومية والتنظيمية مثل اللائحة العامة لحماية البيانات (GDPR)، وCCPA، وHIPAA، وPCI DSS.
يعد الأمان السحابي بمثابة جهد مشترك بينك وبين أي من موفري الخدمات السحابية الذين تتعامل معهم. إنها ليست مسؤوليتهم بالكامل، وليست مسؤوليتك بالكامل.
مثل أي شراكة تجارية أخرى، تأكد من أنك تعرف ما ستدخل فيه قبل التوقيع على الخط المنقط. ومن ثم عقد نهاية الصفقة الخاصة بك.
المصدر: pluralsight
قد يهمك:
