ما هو الأمن السحابي؟

فئات الحوسبة السحابية

يختلف أمان السحابة بناء على فئة الحوسبة السحابية المستخدمة. هناك أربع فئات رئيسية من الحوسبة السحابية:

• الخدمات السحابية العامة ، التي يديرها مزود السحابة العامة - وتشمل هذه البرامج كخدمة (SaaS) والبنية التحتية كخدمة (IaaS) والنظام الأساسي كخدمة (PaaS).
• الخدمات السحابية الخاصة ، التي يديرها موفر سحابة عامة - توفر هذه الخدمات بيئة حوسبة مخصصة لعميل واحد ، يتم تشغيلها بواسطة طرف ثالث.
• الخدمات السحابية الخاصة ، التي يديرها الموظفون الداخليون - هذه الخدمات هي تطور لمركز البيانات التقليدي ، حيث يقوم الموظفون الداخليون بتشغيل بيئة افتراضية يتحكمون فيها.
• الخدمات السحابية المختلطة - يمكن الجمع بين تكوينات الحوسبة السحابية الخاصة والعامة ، واستضافة أعباء العمل والبيانات بناء على عوامل محسنة مثل التكلفة والأمان والعمليات والوصول. ستشمل العملية الموظفين الداخليين ، واختياريا مزود السحابة العامة.

عند استخدام خدمة الحوسبة السحابية التي يقدمها مزود سحابي عام ، يتم استضافة البيانات والتطبيقات مع طرف ثالث ، مما يمثل فرقا جوهريا بين الحوسبة السحابية وتكنولوجيا المعلومات التقليدية ، حيث تم الاحتفاظ بمعظم البيانات داخل شبكة ذاتية التحكم. إن فهم مسؤوليتك الأمنية هو الخطوة الأولى لبناء استراتيجية أمان سحابية.

تجزئة مسؤوليات أمن السحابة

يحاول معظم موفري الخدمات السحابية إنشاء سحابة آمنة للعملاء. يعتمد نموذج أعمالهم على منع الانتهاكات والحفاظ على ثقة الجمهور والعملاء. يمكن لموفري الخدمات السحابية محاولة تجنب مشكلات أمان السحابة مع الخدمة التي يقدمونها، ولكن لا يمكنهم التحكم في كيفية استخدام العملاء للخدمة، والبيانات التي يضيفونها إليها، ومن لديه حق الوصول. يمكن للعملاء إضعاف الأمن السيبراني في السحابة من خلال التكوين والبيانات الحساسة وسياسات الوصول. في كل نوع من أنواع الخدمات السحابية العامة، يتقاسم موفر السحابة وعميل السحابة مستويات مختلفة من المسؤولية عن الأمان. حسب نوع الخدمة ، هذه هي:

• البرمجيات كخدمة (SaaS) - يتحمل العملاء مسؤولية تأمين بياناتهم ووصول المستخدم.
• النظام الأساسي كخدمة (PaaS) - يتحمل العملاء مسؤولية تأمين بياناتهم ووصول المستخدم والتطبيقات.
• البنية التحتية كخدمة (IaaS) - يتحمل العملاء مسؤولية تأمين بياناتهم ووصول المستخدم والتطبيقات وأنظمة التشغيل وحركة مرور الشبكة الافتراضية.

ضمن جميع أنواع الخدمات السحابية العامة ، يتحمل العملاء مسؤولية تأمين بياناتهم والتحكم في من يمكنه الوصول إلى تلك البيانات. يعد أمان البيانات في الحوسبة السحابية أمرا أساسيا لاعتماد فوائد السحابة واكتسابها بنجاح. تحتاج المؤسسات التي تفكر في عروض SaaS الشائعة مثل Microsoft Office 365 أو Salesforce إلى التخطيط لكيفية الوفاء بمسؤوليتها المشتركة لحماية البيانات في السحابة. أولئك الذين يفكرون في عروض IaaS مثل Amazon Web Services (AWS) أو Microsoft Azure يحتاجون إلى خطة أكثر شمولا تبدأ بالبيانات ، ولكنها تغطي أيضا أمان التطبيقات السحابية وأنظمة التشغيل وحركة مرور الشبكة الافتراضية - كل منها يمكن أن يقدم أيضا إمكانات لمشكلات أمان البيانات.

تحديات أمان السحابة

نظرا لأن البيانات الموجودة في السحابة العامة يتم تخزينها بواسطة طرف ثالث والوصول إليها عبر الإنترنت ، تنشأ العديد من التحديات في القدرة على الحفاظ على سحابة آمنة. هذه هي:

• الرؤية في البيانات السحابية - في كثير من الحالات ، يتم الوصول إلى الخدمات السحابية خارج شبكة الشركة ومن الأجهزة التي لا تديرها تكنولوجيا المعلومات. هذا يعني أن فريق تكنولوجيا المعلومات يحتاج إلى القدرة على رؤية الخدمة السحابية نفسها للحصول على رؤية كاملة للبيانات ، على عكس الوسائل التقليدية لمراقبة حركة مرور الشبكة.
• التحكم في البيانات السحابية - في بيئة موفر خدمة سحابية تابع لجهة خارجية، تتمتع فرق تكنولوجيا المعلومات بوصول أقل إلى البيانات مما كانت عليه عندما كانت تتحكم في الخوادم والتطبيقات في أماكن العمل الخاصة بها. يتم منح عملاء السحابة تحكما محدودا بشكل افتراضي ، ولا يتوفر الوصول إلى البنية التحتية المادية الأساسية.
• الوصول إلى البيانات والتطبيقات السحابية - يمكن للمستخدمين الوصول إلى التطبيقات والبيانات السحابية عبر الإنترنت ، مما يجعل عناصر التحكم في الوصول المستندة إلى محيط شبكة مركز البيانات التقليدي غير فعالة. يمكن أن يكون وصول المستخدم من أي مكان أو جهاز، بما في ذلك تقنية إحضار جهازك الخاص (BYOD). بالإضافة إلى ذلك ، يمكن أن يتجاوز الوصول المميز من قبل موظفي موفر السحابة عناصر التحكم الأمنية الخاصة بك.
• الامتثال - يضيف استخدام خدمات الحوسبة السحابية بعدا آخر للامتثال التنظيمي والداخلي. قد تحتاج بيئة السحابة الخاصة بك إلى الالتزام بالمتطلبات التنظيمية مثل HIPAA و PCI و Sarbanes-Oxley ، بالإضافة إلى متطلبات الفرق الداخلية والشركاء والعملاء. يتم أيضا تضمين البنية التحتية لمزود السحابة ، بالإضافة إلى الواجهات بين الأنظمة الداخلية والسحابة في عمليات الامتثال وإدارة المخاطر.
• الخروقات السحابية الأصلية - تختلف خروقات البيانات في السحابة عن الخروقات المحلية ، حيث تحدث سرقة البيانات غالبا باستخدام الوظائف الأصلية للسحابة. خرق السحابة الأصلية هو سلسلة من الإجراءات التي يقوم بها ممثل معاد حيث "يهبطون" هجومهم من خلال استغلال الأخطاء أو نقاط الضعف في نشر السحابة دون استخدام البرامج الضارة ، و "توسيع" وصولهم من خلال واجهات ضعيفة التكوين أو محمية لتحديد موقع البيانات القيمة ، و "تسلل" تلك البيانات إلى موقع التخزين الخاص بهم.
• التكوين الخاطئ - غالبا ما تقع الانتهاكات السحابية الأصلية على عاتق عميل السحابة مسؤولية الأمان ، والتي تشمل تكوين الخدمة السحابية. تظهر الأبحاث أن 26٪ فقط من الشركات يمكنها حاليا تدقيق بيئات IaaS الخاصة بها بحثا عن أخطاء التكوين. غالبا ما يعمل التكوين الخاطئ ل IaaS كباب أمامي لخرق السحابة الأصلية ، مما يسمح للمهاجم بالهبوط بنجاح ثم الانتقال لتوسيع البيانات واستخراجها. تظهر الأبحاث أيضا أن 99٪ من التكوينات الخاطئة تمر دون أن يلاحظها أحد في IaaS من قبل عملاء السحابة. فيما يلي مقتطف من هذه الدراسة يوضح هذا المستوى من قطع الاتصال الخاطئ:

• التعافي من الكوارث - هناك حاجة إلى تخطيط الأمن السيبراني لحماية آثار الانتهاكات السلبية الكبيرة. تتضمن خطة التعافي من الكوارث سياسات وإجراءات وأدوات مصممة لتمكين استعادة البيانات والسماح للمؤسسة بمواصلة العمليات والأعمال.
• التهديدات الداخلية - الموظف المارق قادر على استخدام الخدمات السحابية لتعريض المؤسسة لخرق الأمن السيبراني. كشف تقرير McAfee الأخير لاعتماد السحابة والمخاطر عن نشاط غير منتظم يشير إلى وجود تهديد داخلي في 85٪ من المؤسسات.

حلول الأمن السحابي

يجب على المؤسسات التي تبحث عن حلول أمان سحابية مراعاة المعايير التالية لحل تحديات أمان السحابة الأساسية المتمثلة في الرؤية والتحكم في البيانات السحابية.

• الرؤية في البيانات السحابية - يتطلب العرض الكامل للبيانات السحابية وصولا مباشرا إلى الخدمة السحابية. تحقق حلول أمان السحابة ذلك من خلال اتصال واجهة برمجة التطبيقات (API) بالخدمة السحابية. باستخدام اتصال API ، من الممكن عرض:
  • ما هي البيانات المخزنة في السحابة.
  • من يستخدم البيانات السحابية؟
  • أدوار المستخدمين الذين لديهم حق الوصول إلى البيانات السحابية.
  • مع من يشارك مستخدمو السحابة البيانات.
  • حيث توجد البيانات السحابية.
  • المكان الذي يتم الوصول إلى البيانات السحابية وتنزيلها منه، بما في ذلك من أي جهاز.
• التحكم في البيانات السحابية — بمجرد الحصول على رؤية لبيانات السحابة، قم بتطبيق عناصر التحكم التي تناسب مؤسستك على أفضل وجه. تتضمن هذه الضوابط:
  • تصنيف البيانات — لتصنيف البيانات على مستويات متعددة، مثل المستويات الحساسة أو المنظمة أو العامة، عند إنشائها في السحابة. بمجرد تصنيفها ، يمكن إيقاف البيانات من الدخول إلى الخدمة السحابية أو مغادرتها.
  • Data Loss Prevention (دلب) — تنفيذ حل DLP سحابي لحماية البيانات من الوصول غير المصرح به وتعطيل الوصول إلى البيانات ونقلها تلقائيا عند اكتشاف نشاط مشبوه.
  • عناصر التحكم في التعاون — لإدارة عناصر التحكم داخل الخدمة السحابية، مثل الرجوع إلى إصدار أقدم من أذونات الملفات والمجلدات لمستخدمين محددين إلى محرر أو عارض، وإزالة الأذونات، وإبطال الروابط المشتركة.
  • التشفير - يمكن استخدام تشفير البيانات السحابية لمنع الوصول غير المصرح به إلى البيانات ، حتى إذا تم تسريب هذه البيانات أو سرقتها.
• الوصول إلى البيانات والتطبيقات السحابية- كما هو الحال مع الأمان الداخلي ، يعد التحكم في الوصول مكونا حيويا لأمن السحابة. تتضمن عناصر التحكم النموذجية ما يلي:
  • التحكم في وصول المستخدم — تنفيذ عناصر التحكم في الوصول إلى النظام والتطبيقات التي تضمن وصول المستخدمين المصرح لهم فقط إلى البيانات والتطبيقات السحابية.  ACloud Access Security Broker(CASB) يمكن استخدامها لفرض ضوابط الوصول
  • التحكم في الوصول إلى الجهاز — حظر الوصول عندما يحاول جهاز شخصي غير مصرح به الوصول إلى بيانات السحابة.
  • تحديد السلوك الضار — لاكتشاف الحسابات المخترقة والتهديدات الداخلية باستخدام تحليلات سلوك المستخدم (UBA) حتى لا يحدث استخراج البيانات الضارة.
  • منع البرامج الضارة — امنع البرامج الضارة من دخول الخدمات السحابية باستخدام تقنيات مثل فحص الملفات والقائمة البيضاء للتطبيقات واكتشاف البرامج الضارة المستندة إلى التعلم الآلي وتحليل حركة مرور الشبكة.
  • الوصول المميز — حدد جميع أشكال الوصول الممكنة التي قد تتمتع بها الحسابات المميزة إلى بياناتك وتطبيقاتك، وضع عناصر تحكم للتخفيف من التعرض.
• امتثال — ينبغي تعزيز متطلبات وممارسات الامتثال الحالية لتشمل البيانات والتطبيقات الموجودة في السحابة.
  • تقييم المخاطر — مراجعة تقييمات المخاطر وتحديثها لتشمل الخدمات السحابية. تحديد ومعالجة عوامل الخطر التي تقدمها البيئات السحابية ومقدمو الخدمات. تتوفر قواعد بيانات المخاطر لموفري الخدمات السحابية لتسريع عملية التقييم.
  • تقييمات الامتثال - مراجعة وتحديث تقييمات الامتثال ل PCI و HIPAA و Sarbanes-Oxley والمتطلبات التنظيمية الأخرى للتطبيقات.