ما هو أمان البنية التحتية السحابية؟

يُقصد بأمان البنية التحتية السحابية مجموعة التقنيات والضوابط والسياسات التي تهدف إلى تقوية الوضع الأمني للبنية التحتية التي تقوم عليها خدمات السحابة. يسهم تعزيز أمان البنية التحتية السحابية في التصدي لتهديدات مثل هجمات DDoS وفقدان البيانات وسوء التهيئة التي قد تؤدي إلى مشكلات أمنية مفاجئة. يشكل أمان البنية التحتية السحابية جزءًا جوهريًا من منظومة أمان السحابة الشاملة.

يُعد نموذج المسؤولية المشتركة إطارًا يُحدد المسؤوليات المتعلقة بتدابير الأمن السيبراني بين مزود السحابة والمستخدم. قد تكون المسؤوليات منوطة بك، أو بمزود السحابة، أو قد تكون مشتركة بينكما بحسب الحالة.

إليك أبرز المهام الموكلة إلى كل طرف ضمن إطار نموذج المسؤولية المشتركة.

مسؤوليات مزود السحابة

تقع على عاتق مزود السحابة مسؤولية تأمين البنية التحتية المادية التي تدعم تشغيل خدماته السحابية. يتحمل مزود الخدمة السحابية مسؤولية الأجهزة، والبرمجيات، والبنية الشبكية، وأي مرافق مرتبطة بالخدمات المقدمة.

مسؤولياتك

تعتمد مسؤولياتك ضمن نموذج المسؤولية المشتركة على نوع خدمات السحابة التي تقوم باختيارها. تؤثر مجموعة هذه الخدمات مجتمعة على مقدار أعمال التهيئة التي تقع ضمن نطاق مسؤولياتك الأمنية. أنت مسؤول عن مهام مثل إدارة بياناتك، بما في ذلك خيارات التشفير، وتصنيف الأصول، واستخدام أدوات إدارة الهوية والوصول (IAM) لتطبيق الأذونات المناسبة.

المسؤوليات المشتركة

توجد ضوابط معينة تسري على كل من طبقة البنية التحتية الخاصة بالمزود وطبقة العميل، مع اختلاف السياق أو منظور التطبيق لكل منهما. في حالات المسؤولية المشتركة، يتولى مزود السحابة تنفيذ المتطلبات المتعلقة بالبنية التحتية، ويقوم العميل بتطبيق الضوابط داخل بيئة استخدامه لخدمات السحابة. من الأمثلة على ذلك: إدارة التهيئة، وزيادة الوعي، وبرامج التدريب.

نظرًا لأن البنية التحتية السحابية تدعم جميع خدمات السحابة، فإن تأمينها يُعد أمرًا جوهريًا لحماية مختلف أعباء العمل.

إليك بعض الأسباب التي تجعل من أمان البنية التحتية السحابية أمرًا ضروريًا لأعمال الشركات.

المساهمة في الحد من محاولات الوصول غير المصرح بها داخل بيئة السحابة

تجذب البيئات السحابية المهاجمين نظرًا لحجم البيانات الكبير الذي تتضمنه. يمكن أن تتسبب إعدادات التهيئة غير الصحيحة أو ضعف آليات الحماية أو وجود ثغرات في البنية التحتية السحابية في فتح المجال أمام جهات خارجية غير مصرح بها. ينبغي أن تركز إجراءات أمان البنية التحتية السحابية على كشف نقاط الدخول المحتملة والتحكم بها لضمان أمان بيانات الشركة والحفاظ على سريتها.

الحد من الانقطاعات التي قد تعيق استمرارية العمل

تهدف تهديدات إلكترونية محددة، مثل هجمات حجب الخدمة الموزعة (DDoS)، إلى تقليل قدرة المؤسسة على العمل بالشكل المتوقع. تسهم إجراءات الأمان في البنية التحتية السحابية، كاستخدام تقسيم الشبكة، في التصدي للتهديدات الداخلية والخارجية، مع دعم استمرارية العمليات بأداء موثوق.

الحفاظ على الثقة

في حال وقوع حادث سيبراني يمس بيانات العملاء المخزنة سحابيًا، فقد تتعرض المؤسسة لتضرر سمعتها أمام العملاء والشركاء. يسهم تأمين البنية التحتية السحابية في حماية الخدمات الافتراضية بشكل فعال، ما يدعم الحفاظ على خصوصية بيانات الشركة الحساسة.

غالبًا ما تكون حلول تأمين البنية التحتية السحابية مصممة خصيصًا لتعمل ضمن البيئة السحابية نفسها.

إليك العناصر الرئيسية التي تشكل أمان البنية التحتية في البيئة السحابية.

إدارة الهوية والوصول

تحتفظ المؤسسات ببيانات ومعلومات حساسة في البيئة السحابية، مع الحرص على تمكين الوصول إليها من قبل المستخدمين المخولين فقط. تقوم إدارة الهوية والوصول (IAM) بتحديد صلاحيات الأدوار المختلفة من حيث القدرة على الوصول إلى البيانات أو التفاعل معها. بالإضافة إلى أنظمة الصلاحيات، تتيح إدارة الهوية والوصول (IAM) تأكيد هوية أصحاب الحسابات السحابية من خلال المصادقة متعددة العوامل، مما يعزز الحماية من الوصول غير المصرح به.

التسجيل والقياس عن بعد

تسعى خدمات التسجيل والقياس عن بُعد إلى تسجيل الأنشطة والأحداث التي تقع ضمن النظام السحابي. عبر تتبع وتسجيل أحداث الوصول، وتحركات البيانات، والإجراءات الأمنية، تتمكن المؤسسات من تعزيز رؤيتها للبنية التحتية في البيئة السحابية. تصدر الأنظمة الحرجة بيانات تشغيلية تُستخدم لتكوين سجل معلومات يُعتمد عليه في أعمال المراجعة والتدقيق.

التحليلات

تستخدم حلول التحليلات القياسات التشغيلية وسجلات البيانات الحالية لاكتشاف أي خلل أو سلوك غير معتاد يتطلب المزيد من الفحص. تجمع أنظمة التحليلات مثل إدارة معلومات وأحداث الأمان (SIEM) نقاط البيانات لتنبيه وتتبع الأحداث الأمنية المحتملة والمساعدة في ضمان أن أنظمة مراقبة أمان البنية التحتية السحابية تعمل كما هو متوقع.

أمان الشبكة والجهاز

يقوم الموظفون بالوصول إلى بيئتك السحابية والموارد الموجودة فيها باستخدام أجهزة ومواقع متعددة. لمواجهة التهديدات المحتملة ضمن هذه السطحية الواسعة، يمكن استخدام مجموعة متنوعة من الحلول الأمنية. تتضمن هذه الحلول تأمين الشبكات والأجهزة بهدف تنظيم حركة البيانات الداخلة والخارجة، والتخلص من الحركة الضارة، بالإضافة إلى عزل أعباء العمل لضمان فصل الشبكات.

تشفير البيانات

يشير أمان البيانات إلى الإجراءات المتبعة لحماية البيانات، سواء كانت منقولة أو مخزنة، من أي وصول غير مصرح به. يُمكن لأمن البنية التحتية السحابية أن يستفيد من سياسات تصنيف البيانات لتحديد مدى حساسيتها وتطبيق التدابير الأمنية المناسبة لحمايتها. يسمح لك تشفير البيانات في حالة السكون وأثناء نقلها بضمان أن الوصول إلى المعلومات الحساسة يقتصر على الأطراف المخولة فقط. يتضمن أمان البيانات وضع وتطبيق إستراتيجيات لحماية البيانات من الفقدان بهدف تقوية أمن المعلومات.

إليك مجموعة من أفضل الممارسات التي تساهم في تقوية إستراتيجية الأمان السحابي وحماية البنية التحتية السحابية الأساسية.

إنشاء طبقات شبكة

عند إنشاء طبقات الشبكة، يتم ترتيب مكونات عبء العمل في مجموعات منطقية وفقًا لوظيفتها ومستوى حساسيتها، كخوادم الويب المواجهة للإنترنت أو قواعد البيانات الخلفية. عبر توزيع هذه المكونات على شبكات فرعية منفصلة، تساهم في تحديد حدود واضحة والتحكم في كيفية تدفق حركة البيانات فيما بينها.

يساهم هذا الأسلوب الطبقي في تطبيق إستراتيجية الدفاع المتعمق، إذ تمثل كل طبقة نقطة تفتيش أمنية. كمثال، ينبغي أن تُتاح موارد الطبقة الخارجية فقط للوصول من الإنترنت، بينما تبقى الأنظمة الحساسة كقواعد البيانات معزولة ومتاحة عبر الشبكات الداخلية فقط.

تساعد السُحُب الخاصة الافتراضية والبنية التحتية السحابية الخاصة في إنشاء شبكات وبُنى تحتية معزولة منطقيًا في السحابة. إن وضع سياسات أمان موحدة تُحدد كيفية تكوين الشبكات السحابية واستخدامها يُساهم في تعزيز الأمان في البيئة السحابية.

التحكم في تدفق حركة البيانات

يمكن أن يشمل تنظيم حركة المرور تقسيم البيئة بما يتيح الاتصالات الأساسية فقط بين أعباء العمل والمستخدمين والأنظمة الخارجية. يتضمن التحكم في حركة المرور إدارة الاتصالات بين شبكتك والإنترنت (حركة north-south)، وكذلك بين مكونات الشبكة الداخلية (حركة east-west).

أحد الأخطاء الشائعة هو الاعتماد الكلي على دفاعات المحيط أو الثقة المفترضة بين طبقات الشبكة. توصي أفضل الممارسات باتباع مبدأ الامتياز الأدنى، حيث يتم منح الصلاحيات على أساس محدد بين المستخدمين وأصول السحابة، مثل الخوادم السحابية. من خلال تنظيم حركة البيانات الواردة والصادرة بهذه الطريقة، يمكن تقليل أثر الاختراقات غير المصرح بها وتحسين سرعة اكتشاف الحوادث الأمنية والاستجابة لها.

تنفيذ الحماية القائمة على التفتيش

يتضمن تطبيق حماية قائمة على الفحص مراقبة حركة المرور عند انتقالها بين طبقات الشبكة بطريقة دقيقة ومفصلة. كمثال، يشمل ذلك فحص محتوى البيانات المتنقلة وبياناتها الوصفية وسلوكها خلال التنقل بين الشبكات. تسمح الحماية القائمة على الفحص بالتعرف على السلوكيات غير الطبيعية أو محاولات الوصول غير المصرح بها باستخدام معلومات تهديدات فورية. تستطيع وضع قواعد تعتمد على سياق التطبيق أو هوية المستخدم أو التهديدات المعروفة، مع تطبيق سياسات أكثر صرامة في المناطق القريبة من أعباء العمل الحساسة.

أتمتة حماية الشبكة

إن أتمتة أمان الشبكات من خلال ممارسات DevOps مثل استخدام البنية التحتية كتعليمة برمجية (IaC) ومسارات CI/CD يمكّن المؤسسات من تطبيق تكوينات شبكة آمنة ومتسقة وقابلة للتكرار. عند وقوع تغيير، تقوم المسارات المؤتمتة بتشغيل عمليات الاختبار والنشر بشكل تلقائي. تُنشر التغييرات مبدئيًا في بيئة إعداد لاختبارها والتأكد من أنها تعمل بالشكل المطلوب قبل تنفيذها في بيئة الإنتاج.

AWS Well-Architected Framework

يقدم AWS Well-Architected Framework إرشادات تشمل أفضل ممارسات الأمان وتصميم الحلول السحابية لحماية أعباء العمل على AWS. توفر ركيزة الأمان في هذا الإطار توجيهات عملية لتعزيز حماية الأنظمة والبيانات والمعلومات باستخدام طبقات أمان قوية وتدابير استباقية في البيئة السحابية.

عبر المراجعة المتكررة لإرشادات Well-Architected، تستطيع المؤسسات تعزيز وضعها الأمني في السحابة وضمان بقاء إستراتيجيات أمان البنية التحتية فعالة.

يشكل أمان السحابة أولوية قصوى لدى AWS، وتعزز بنيتنا التحتية العالمية المصممة بعناية استمرارية العمليات. نُعزز الثقة مع العملاء والشركاء عبر تقديم الأدوات والخدمات المطلوبة للمساهمة في حماية التطبيقات والبيانات وأعباء العمل على نطاق واسع. تغطي بنية AWS التحتية العديد من المناطق الجغرافية ومناطق التوافر، حيث تم تصميم كل منطقة بطبقات من الضوابط المادية والمنطقية. تعتمد هذه التدابير على نمذجة تهديدات مستمرة واختبارات صارمة تُجرى خلال كامل دورة حياتها.

توفر AWS مجموعة متنوعة من خدمات أمان البنية التحتية السحابية لدعم حماية أمان البنية التحتية الخاصة بمؤسستك على AWS.

• توفر Amazon GuardDuty حماية لحسابات مستخدمي AWS وأعباء العمل والبيانات عبر آليات ذكية لاكتشاف التهديدات.
• تعمل "إدارة الهوية والوصول ‏(IAM) في AWS" على إدارة وتوسيع نطاق عبء العمل والوصول إلى القوى العاملة بشكل آمن لدعم سرعتك وابتكارك في AWS.
• يكتشف Amazon Inspector تلقائيًا أعباء العمل مثل مثيلات Amazon Elastic Compute Cloud‏ (Amazon EC2)، وصور الحاويات، ووظائف AWS Lambda، بالإضافة إلى مستودعات التعليمة البرمجية، ويفحصها بحثًا عن ثغرات البرامج والتعرضات غير المقصودة للشبكة.
• تكتشف Amazon Macie البيانات الحساسة باستخدام تعلّم الآلة ومطابقة الأنماط، وتوفّر معلومات حول مخاطر أمان البيانات، وتتيح الحماية الآلية ضد هذه المخاطر.
• توفّر AWS Security Hub إمكانية تحديد أولويات المشكلات الأمنية المهمة والاستجابة لها على نطاق واسع لتعزيز حماية بيئتك. يعمل هذا الحل على اكتشاف المشكلات الحرجة من خلال ربط الإشارات وإثرائها لتوفير رؤى قابلة للتنفيذ، مما يسهل عملية الاستجابة. توفر AWS Security Hub إمكانات إدارة وضع أمان السحابة (CSPM) لتحديد وفهم الوضع الأمني الحالي لديك.

ابدأ باستخدام أمان البنية التحتية للسحابة على AWS من خلال إنشاء حساب مجاني اليوم.