حلول أمان السحابة
يجب على المؤسسات التي تبحث عن حلول أمان السحابة مراعاة المعايير التالية لحل تحديات أمان السحابة الأساسية للرؤية والتحكم في البيانات السحابية.
الرؤية في البيانات السحابية
يتطلب العرض الكامل للبيانات السحابية الوصول المباشر إلى الخدمة السحابية، حيث يجب التحقق حلول أمان السحابة ذلك من خلال اتصال واجهة برمجة التطبيقات (API) بالخدمة السحابية، باستخدام اتصال (API)، كما يمكن عرض، ما هي البيانات المخزنة في السحابة، ومن يستخدم البيانات السحابية وأدوار المستخدمين الذين يمكنهم الوصول إلى البيانات السحابية، ومع من يشارك المستخدمون السحابي البيانات وأين توجد بيانات السحابة، وايضا من أين يتم الوصول إلى البيانات السحابية وتنزيلها، بما في ذلك من أي جهاز.
- “API” اختصار ل”Application Programming Interface”.
التحكم في البيانات السحابية
بمجرد أن يكون هناك رؤية للبيانات السحابية، يجب القيام بتطبيق عناصر التحكم التي تناسب المؤسسة بشكل أفضل، تشمل هذه الضوابط:
- تصنيف البيانات: تصنيف البيانات على مستويات متعددة، مثل حساسة أو منظمة أو عامة، كما يتم إنشاؤها في السحابة، بمجرد تصنيف البيانات،كما يمكن إيقافها من الدخول إلى الخدمة السحابية أو مغادرتها.
- منع فقدان البيانات (DLP): تطبيق حل (DLP) وهي أدوات تحمي البيانات من تسرب البيانات أو خروقات البيانات سحابي وتعطيل الوصول إلى البيانات ونقلها تلقائيًا عند اكتشاف نشاط مريب.
- “DLP” اختصار ل”Data Loss Prevention”.
- عناصر التحكم في التعاون: إدارة عناصر التحكم داخل الخدمة السحابية، مثل تخفيض أذونات الملفات والمجلدات لمستخدمين محددين إلى محرر أو عارض وإزالة الأذونات وإلغاء الروابط المشتركة.
- التشفير: يمكن استخدام تشفير البيانات السحابية لمنع الوصول غير المصرح به إلى البيانات، حتى إذا تم سرقة هذه البيانات أو سرقتها.
الوصول إلى البيانات والتطبيقات السحابية
كما هو الحال مع الأمن الداخلي، يعد التحكم في الوصول مكونًا حيويًا لأمن السحابة، حيث تشمل الضوابط النموذجية ما يلي:
- التحكم في وصول المستخدم: تنفيذ عناصر التحكم في الوصول إلى النظام والتطبيق التي تضمن وصول المستخدمين المصرح لهم فقط إلى البيانات والتطبيقات السحابية، كما يمكن استخدام وسيط أمان الوصول إلى السحابة لفرض ضوابط الوصول.
- التحكم في الوصول إلى الجهاز: حظر الوصول عندما يحاول جهاز شخصي غير مصرح به الوصول إلى البيانات السحابية.
- تحديد السلوك الضار: اكتشاف الحسابات المخترقة والتهديدات الداخلية باستخدام تحليلات سلوك المستخدم، بحيث لا يحدث سرقة البيانات الضارة.
الامتثال
- تقييم المخاطر: مراجعة وتحديث تقييمات المخاطر لتشمل الخدمات السحابية، حيث تحديد عوامل الخطر التي تقدمها البيئات السحابية ومقدمو الخدمة ومعالجتها، كما تتوفر قواعد بيانات المخاطر لمقدمي الخدمات السحابية لتسريع عملية التقييم.
اهم الركائز للأمان القوي على السحابة
بينما يقدم موفرو السحابة مثل (AWS) هي مجموعة خدمات للحوسبة البعيدة وتدعى أيضًا خدمات الويب، العديد من ميزات وخدمات الأمان السحابية الأصلية، فإن حلول الطرف الثالث التكميلية ضرورية لتحقيق حماية عبء العمل السحابي على مستوى المؤسسات من الاختراقات وتسريبات البيانات والهجمات المستهدفة في بيئة السحابة، كما توفر حزمة الأمان المتكاملة الخاصة بالسحابة الأصلية الطرف الثالث فقط الرؤية المركزية والتحكم الدقيق المستند إلى السياسة الضروريين لتقديم أفضل الممارسات الصناعية.
- “AWS” اختصار ل”Amazon Web Services”.
ضوابط المصادقة والتحكم في المصادقة الدقيقة والمستندة إلى السياسة عبر البنى التحتية المعقدة
العمل مع المجموعات والأدوار بدلاً من مستوى (IAM) الفردي وهي عبارة عن خدمة ويب تساعد على الوصول للموارد الخاصة بالعملاء بأمان وسيطرة لتسهيل تحديث تعريفات (IAM) مع تغير متطلبات العمل، حيث يجب منح فقط الحد الأدنى من امتيازات الوصول إلى الأصول وواجهات برمجة التطبيقات الضرورية لمجموعة أو دور ما لتنفيذ مهامه، كلما زادت الامتيازات، زادت مستويات المصادقة، ولا تهمل نظافة (IAM) الجيدة، وفرض سياسات كلمات مرور قوية ومهلة الإذن، وما إلى ذلك.
- “IAM” اختصار ل”Identity and Access Management”.
ضوابط أمان الشبكة السحابية الخالية من الثقة عبر الشبكات المعزولة منطقيًا والقطاعات الصغيرة
نشر الموارد والتطبيقات المهمة للأعمال في أقسام معزولة منطقيًا من الشبكة السحابية للمزود، مثل السحابة الخاصة الافتراضية (AWS و Google)، استخدام الشبكات الفرعية لتقسيم أعباء العمل إلى أجزاء صغيرة من بعضها البعض، مع سياسات أمان دقيقة في بوابات الشبكة الفرعية، حيث ان استخدام روابط (WAN) وهي شبكة المناطق الواسعة المخصصة في البنى المختلطة، واستخدام تكوينات التوجيه الثابتة المحددة من قبل المستخدم لتخصيص الوصول إلى الأجهزة الافتراضية والشبكات الافتراضية وبواباتها وعناوين (IP) العامة.
- “WAN” اختصار ل” Wide Area Network”.
- “IP” اختصار ل” Internet Protocol”.
إنفاذ سياسات وعمليات حماية الخادم
مثل إدارة التغيير وتحديثات البرامج يوفر موردو الأمان السحابي إدارة قوية لوضع الأمان السحابي، ويطبقون باستمرار قواعد وقوالب الحوكمة والامتثال عند توفير الخوادم الافتراضية والتدقيق لانحرافات التكوين والمعالجة تلقائيًا حيثما أمكن ذلك.
حماية جميع التطبيقات
ان حماية جميع التطبيقات وخاصة التطبيقات الموزعة على السحابة الأصلية باستخدام الجيل التالي من جدار حماية تطبيقات الويب، سيؤدي هذا إلى فحص ومراقبة حركة المرور من وإلى خوادم تطبيقات الويب بشكل دقيق، وتحديث قواعد (WAF) تلقائيًا استجابة لتغيرات سلوك حركة المرور، ويتم نشرها بالقرب من الخدمات المصغرة التي تقوم بتشغيل أحمال العمل.
- “WAF” اختصار “web application firewall”.
حماية البيانات المحسنة
حماية محسّنة للبيانات مع التشفير في جميع طبقات النقل ومشاركة الملفات الآمنة والاتصالات وإدارة مخاطر الامتثال المستمرة والحفاظ على نظافة موارد تخزين البيانات بشكل جيد مثل اكتشاف الحاويات التي تم تكوينها بشكل غير صحيح وإنهاء الموارد المعزولة.
ذكاء التهديدات الذي يكتشف ويعالج التهديدات المعروفة وغير المعروفة في الوقت الفعلي
يضيف موردو الأمان السحابي من الجهات الخارجية سياقًا إلى التدفقات الكبيرة والمتنوعة لسجلات السحابة الأصلية من خلال الإحالة الذكية لبيانات السجل المجمعة مع البيانات الداخلية مثل أنظمة إدارة الأصول والتكوين والماسحات الضوئية للثغرات الأمنية، وما إلى ذلك، والبيانات الخارجية مثل التهديد العام موجز المعلومات الاستخبارية وقواعد بيانات تحديد الموقع الجغرافي وما إلى ذلك.
كما أنها توفر الأدوات التي تساعد في تصور مشهد التهديد والاستعلام عنه وتعزيز أوقات الاستجابة السريعة للحوادث، حيث يتم تطبيق خوارزميات الكشف عن الشذوذ المستندة إلى الذكاء الاصطناعي للقبض على التهديدات غير المعروفة، والتي تخضع بعد ذلك لتحليل الطب الشرعي لتحديد ملف المخاطر الخاص بها، كما تعمل التنبيهات في الوقت الفعلي بشأن عمليات التطفل وانتهاكات السياسة على تقصير أوقات الإصلاح ، بل وتؤدي أحيانًا إلى تشغيل عمليات سير عمل الإصلاح التلقائي.
