ما هو أمن الحوسبة السحابية؟
- مصطلحات إدارة الهوية والوصول
- ما هو أمن الحوسبة السحابية؟
كما يطلق على أمن الحوسبة السحابية أيضاً اسم أمن السحابة وهو مصطلح شامل يُشير إلى التقنيات والعمليات وأدوات التحكم المستخدمة لتأمين البنية التحتية والخدمات والتطبيقات الخاصة بالسحابة فضلاً عن البيانات المخزنة أو المعالجة في السحابة.
ما هي الحوسبة السحابية؟
قبل الخوض في خصائص أمن السحابة، يجب علينا أن نفهم أولاً ماهية الحوسبة السحابية.
في بيئة البيانات التقليدية، تمتلك المنظمات أجهزتها الخلفية وتشغلها مع البنية التحتية الأخرى، سواء أكان ذلك في الموقع أو في مركز البيانات (تعرف الأخيرة باسم "سحابة خاصة"). وهذا يعني أن المنظمة مسؤولة عن تهيئة كل شيء والحفاظ عليه وتأمينه ويشمل ذلك الخوادم والأجهزة الأخرى.
في بيئة الحوسبة السحابية، "تؤجر" منظمة البنية التحتية للسحابة بشكل أساسي من موفر خدمات السحابة. يمتلك موفر خدمات السحابة مركز البيانات ويقوم بتشغيل، وكل الخوادم والأجهزة الأخرى، وكل البنية التحتية الأساسية مثل الكابلات تحت سطح البحر. ويحرر هذا المنظمة من الحاجة إلى الحفاظ على البنية التحتية للسحابة وتأمينها ويوفر العديد من المزايا، مثل سهولة التوسع ونماذج الدفع أثناء الاستخدام.
لم يتم تصميم كل خدمات الحوسبة السحابية بشكل متساو، وهناك ثلاثة أنواع رئيسية لخدمات السحابة، وعادة ما تستخدم المنظمات الحديثة كل الأنواع بشكل مجتمع:
البرنامج كخدمة (SaaS) هو النوع الأكثر شيوعاً من خدمات السحابة. ويستخدم كل الأشخاص تقريباً تطبيقات البرنامج كخدمة (تطبيقات)، حتى وإن لم يعلموا. يتم تسليم البرنامج كخدمة عبر الإنترنت ويتم الوصول إليه عبر تطبيق على الهاتف الجوال، أو تطبيق لسطح المكتب، أو متصفح ويب. وتتضمن تطبيقات البرنامج كخدمة كل شيء من تطبيقات على مستوى المستهلك مثل Gmail ونتفليكس، لحلول الشركات مثل Salesforce ومجموعة تطبيقات Google Workspace.
البنية التحتية كخدمة(IaaS) هي خدمة سحابية تستهدف المنظمات بشكل أساسي، على الرغم من إمكانية شراء بعض المتحمسين التقنيين لخدمة البنية التحتية كخدمة لاستخدامهم الشخصي. ويقدم موفر الخدمات السحابية خدمات بنية تحتية مثل الخوادم والتخزين والشبكة والرؤية، بينما يتعامل العميل مع نظام التشغيل وأي بيانات وتطبيقات وبرنامج وسيط وأوقات التشغيل. وعندما يتحدث الأشخاص عن سحابة عامة"، فهم عادة يشيرون إلى البنية التحتية كخدمة. تشمل أمثلة موفري السحابة العامة أكير ثلاثة في المجال: خدمات أمازون ويب (AWS)، ومنصة جوجل السحابية (GCP)، وMicrosoft Entra ID (Azure).
المنصة كخدمة (PaaS) هي حلول تستهدف المطورين بشكل مباشر. ويعتني العميل بالتطبيقات والبيانات، ويتولى موفر السحابة كل شيء آخر بما في ذلك نظام التشغيل والبرنامج الوسيط ووقت التشغيل. بمعنى آخر تمنح حلول المنصة كخدمة المطورين بيئة فريدة حيث يمكنهم تصميم ونشر وإدارة التطبيقات من دون القلق بشأن تحديث نظام التشغيل أو البرنامج. تشمل أمثلة المنصة كخدمة AWS Elastic Beanstalk وHeroku وGoogle App Engine. وبشكل عام، يتم استخدام المنصة كخدمة بالتزامن مع النية التحتية كخدمة. على سبيل المثال قد تستخدم شركة ما خدمات أمازون ويب للاستضافة وAWS Elastic Beanstalk لتطوير التطبيقات.
يُعد فهم مسؤوليات موفر السحابة ومسؤوليات عميل السحابة أمراً أساسياً لفهم أمن السحابة.
ما هو أمن السحابة؟
يعتمد أمن السحابة على ما يعرف باسم نموذج المسؤولية المشترك. في هذا النموذج:
- موفر السحابة مسؤول عن تأمين السحابة، بمعنى مركز البيانات المادي والأصول الأخرى مثل الكابلات تحت سطح البحر والبنية التحتية المنطقية للسحابة.
- منظمتك مسؤولة عن الأمن في السحابة، بمعنى التطبيقات والأنظمة والبيانات التي تضعها على السحابة.
فكر في الأمر على أنه يشبه تأجير وحدة تخزين ذاتية. تكون أنت مسؤولاً عن تأمين ممتلكاتك بداخل وحدتك، وهو ما يعني قفل باب الوحدة والحفاظ على مفتاحك بأمان. وتكون شركة التخزين الذاتي مسؤولة عن تأمين المجمع بالكامل من خلال أدوات تحكم مثل بوابات دخول والكاميرات والإضاءة الكافية في المناطق العامة وموظفي أمن. ويكون موفر التخزين الذاتي مسؤولاً عن تأمين مركز التخزين ولكنك تكون مسؤولاً عن تأمين وحدتك.
كيف يعمل أمن السحابة؟
سواء أكنا نتحدث عن تطبيق البرنامج كخدمة أو نشر البنية التحتية كخدمة أو منصة مطور المنصة كخدمة، فإن أمن السحابة يستند بشكل أساسي إلى إدارة الهوية والوصول (IAM)ومكافحة فقدان البيانات (DLP)؛ بمعنى آخر، منع الأطراف غير المأذون لها من الوصول إلى خدماتك السحابية وبياناتك.
شرحاً لمثال التخزين الذاتي الخاص بنا، إذا تركت مفتاح وحدة التخزين من دون عناية، قد يسرقه شخص ما ويستخدمه للوصول إلى وحدتك، وفي هذه الحالة لم تفشل أدوات تحكم الأمن من موفر التخزين، بل فشلت أدواتك. وبالمثل، إذا استخدمت كلمات مرور ضعيفة ويسهل تخمينها لتأمين حساب Gmail أو وحدة تحكم مسؤول GCP، واخترقتها جهة تهديد، فأن فشل الأمن كان من طرفك وليس من طرف جوجل.
فضلاً عن منع الوصول غبر المأذون وسرقة البيانات، يسعى أمن السحابة إلى منع فقدان أو تلف البيانات بشكل عرضي عبر الخطأ البشري أو الإهمال، وضمان استعادة البيانات إذا حدث فقدان في البيانات، وامتثال المستخدم لقوانين الخصوصية مثل HIPAA، وهو الذي يحظر الوصول غير المأذون إلى سجلات الصحة الخاصة. ويُعد أمن السحابة أمر أساسي لتأمين ردود الفعل العرضية والتعافي من الكوارث وتخطيط استمرار الأعمال.
تتضمن معايير أمن السحاب الشائعة ما يلي:
- أداوت إدارة الهوية والوصول مثل أدوات تحكم الوصول القائم على الأدوار (RBAC) والوصول بالحد الأدنى من الامتيازات، وهو ما يعني أن الموظفين لديهم وصولاً فقط للتطبيقات والبيانات التي يحتاجون إليها لأداء وظائفهم وليس أكثر من ذلك.
- أدوات تفادي فقد البيانات والتي تحدد البيانات الحساسة وتصنفها وتراقب استخدامها، مثل منع المستخدمين النهائيين من مشاركة المعلومات الحساسة خارج شبكات أعمال الشركة.
- تشفير البيانات أثناء نقلها وخلال السكون
- تأمين تهيئة وصيانة النظام
هل هناك مخاطر على أمن السحابة؟
فيما يلي بعض من أكبر التحديات والمخاطر المصاحبة لأمن السحابة.
- تنشئ السحابة سطح هجوم شديد التوسع ومن دون محيط شبكة. وواحد من أكبر أخطاء المنظمات عند الانتقال إلى السحابة هو التفكير أنه يمكن نقل كل أدوات وسياسات أمن السحابة الخاصة بهم حالياً. بينما تنعكس العديد من جوانب أمن السحابة على نظرائها في المقر، إلا إن تأمين بيئة السحابة يختلف كثيراً عن تأمين جهاز داخل المقر، حيث لا تمتلك السحابة محيط شبكة محدداً.
- قد يكون هناك ضعف رؤية في السحابة، خاصة في بيئات البيانات شديدة التعقيد الحالية. ومن النادر وجود منظمة تستخدم سحابة عامة واحدة. حيث تستخدم معظم المنظمات سحابتين عامتين على الأقل (يُطلق عليهما اسم بيئة متعددة السحابة) أو دمج سحب عامة مع بنية تحتية في المقر (تعرف باسم بيئة سحابة مختلطة). وللأسف، تأتي كل بيئة مع أدوات المراقبة الأصلية الخاصة بها، وهو ما يُصعب الأمر على مسؤولي تكنولوجيا المعلومات وموظفي DevOps للحصول على الصورة الأكبر لما يتم في بيئة البيانات بالكامل.
- يُعد امتداد عبء العمل مشكلة أخرى من مشاكل الرؤية، حتى للمنظمات التي تستخدم سحابة عامة واحدة فقط. حيث يسهل تدوير الآلات الافتراضية (VM) والحاويات وهو ما يعني أنه يمكن أن تتكاثر. فضلاً عن تهديد الأمن، فأن الآلات الافتراضية والحاويات غير المستخدمة تضيف إلى فاتورة خدمات السحابة الخاصة بك.
- Shadow IT أو الموظفين الذين يستخدمون تطبيقات لم يتم فحصها من جانب موظفي الأمن هي مشكلة أخرى للسحابة.
- قد تواجه الشركات مشاكل في الامتثال مع الأنظمة والبرامج القديمة في تطبيقات خط الأعمال (LOB) والتي لا يمكن استبدالها أو إعادة تصميمها للسحابة.
- كما تسبب التكوينات غير الصحيحة للسحابة مشكلات مثل إعداد مجلد سحابة ما ليكون مرئي بشكل عام وهو يحتوي على بيانات حساسة.
أفضل ممارسات أمن الحوسبة السحابية
تأكد من فهمك لنموذج المسؤولية المشتركة ولما يقع ضمن مسؤولية شركتك وما يقع خارجها بشكل كامل. قد يبدو هذا واضحاً ولكن معرفة من المسؤول عن ماذا قد يكون أمر مخادع وخاصة في البيئات المختلطة.
تتمثل إحدى مزايا الحوسبة السحابية في إمكانية الوصول للمصادر من أي مكان ومن على أي جهاز. ولكن من منظور أمني، ويعني هذا وجود المزيد من نقاط النهاية التي تحتاج إلى تأمين. سيمكنك أمن نقطة النهاية وأدوات إدارة الهاتف الجوال من فرض سياسات وصول ونشر حلول تحقق عند الوصول وجدر حماية وبرامج مكافحة فيروسات وتشفير القرص وغيرها من أدوات الأمن. وتتضمن أفضل ممارسات الحوسبة السحابية الأخرى ما يلي:
- تشفير كل البيانات التي تخزنها أو تعالجها على السحابة في النقل وأثناء السكون
- مسح بيئتك بحثاً عن مواطن الضعف وتصحيح أي نتائج في أسرع وقت ممكن.
- إجراء عمليات نسخ احتياطي دورية للبيانات في حالة وقوع هجوم برامح فدية ضارة أو كارثة.
- تسجيل ومراقبة كل أنشطة المستخدمين والشبكة عبر بيئة بياناتك.
- تكوين إعدادات سحابتك بحرص شديد، قاعدة جيدة من التجربة هو أنك نادراً ما تريد ترك إعدادات افتراضية كما هي. استفد بالقدر الأكبر من إعدادات أمن وأدوات موفر السحابة وجاري الأدوات الجديدة والتحسينات.
- تنفيذ سياسة أمن قائمة على مبدأ انعدام الثقة كاملة مع تصنيف الشبكة وأدوات إدارة الهوية والوصول (IAM)، مع أدوات تحكم تشمل وصول قائم على الأدوار ووصول بالحد الأدنى من الامتيازات وكلمات مرور قوية وموافقة الجهاز والمصادقة متعددة العوامل (MFA).