مقدمة

  • 3 دقائق

أثناء دراستك لهذه الوحدة، تتعرض أنظمة المعلومات للهجوم. إنهم يتعرضون للهجوم من ماسحات المنافذ، والتي تبحث عن ثقوب تُركت مفتوحة دون قصد في جدران الحماية. نهم يتعرضون للهجوم من الروبوتات التي تبحث في مواقع الويب عن ثغرات أمنية لم يتم إصلاحها. ويتعرضون للهجوم من قبل قراصنة بشريين يبحثون عن كلمات مرور وأرقام بطاقات ائتمانية و "أسرار" أخرى يمكن تحقيق الدخل منها على شبكة الويب المظلمة. ليس هناك حد لما يحاول أن يفعله الأشرار لسرقة بياناتك وإحداث الفوضى في مؤسستك.

يقع على عاتق مسؤولي السحابة ومتخصصي الأمان السحابي إيقافهم. وتتطلب هذه المسؤولية فهم التهديدات التي يواجهونها والأدوات والتقنيات المستخدمة لإحباطها. الأمن في أنظمة المعلومات هو التأكيد على أن الخدمات والبيانات تُستخدم على النحو المقصود، من قبل الأشخاص والخدمات الأخرى المسموح بها صراحةً للقيام بذلك، وفقًا لنهج المؤسسات التي تدير تلك الأنظمة. الأمن ليس حصاراً. إنها عملية.

الأمن في السحابة هو شأن ثلاثي المحاور. أولاً، يتعين على مطوري البرامج التأكد من أن التعليمات البرمجية الخاصة بهم ليست عرضة للهجوم - على سبيل المثال، أن موقع الويب ليس عرضة لحقن SQL (تقنية تمكن المهاجمين من استغلال الثغرات الأمنية في التعليمات البرمجية لاستخراج المعلومات من قواعد البيانات الخلفية). ثانياً، يتعين على مسؤولي السحابة استخدام الأدوات المتاحة لهم لتأمين الموارد السحابية التي ينشرونها - على سبيل المثال، عن طريق تكوين قاعدة بيانات سحابية لتشفير البيانات المكتوبة إليها تلقائياً وتمكين الكشف النشط عن التهديدات لتنبيههم إذا واجهت قاعدة البيانات نسبة استخدام مشبوهة للشبكة. ثالثاً، يجب على موفر خدمة السحابة (CSP) ضمان أمان البنية الأساسية للسحابة التي يوفرها للعملاء. الأمن مسؤولية مشتركة. ما يتطلبه الأمر هو حلقة واحدة ضعيفة في السلسلة لتهديد جميع المعنيين.

بالنسبة لمسؤول السحابة، يتضمن تحقيق الأمان فهمًا كمياً للمخاطر، لا سيما مقدار المخاطر التي قد تحتفظ بها المؤسسة بشكل مناسب ومريح في عملية الحفاظ على نموذج أعمالها إلكترونياً. وبالتالي فإن الهدف الرئيسي لهذا الدرس هو المسؤوليات التي تقع على عاتق مسؤولي السحابة والآليات التي يستخدمونها للتخفيف من المخاطر وتأمينن البنية الأساسية.

نبدأ بمناقشة المسؤوليات المختلفة التي تنطوي عليها أي عملية أمن معلومات موزعة وتحديد الأطراف في علاقة العملاء/موفر خدمة السحابة المُكلف بهذه المسؤوليات. ثم نقوم بفحص بعض التهديدات الشائعة لأمان السحابة والدور الذي يلعبه التشفير والتقنيات الأخرى في التخفيف من حدة هذه التهديدات. وأخيراً، نتناول موضوع الامتثال التنظيمي والمسؤوليات الإضافية التيتم وضعها على عاتق المتخصصين في مجال السحابة. المجهول غير محمي. لنتخلص من "الجهل" من خلال الغوص في أمان السحابة.

الأهداف التعليمية

  • فهم أهمية تقييم المخاطر في تنفيذ الأمان السحابي
  • فهم كيفية مشاركة عملاء السحابة وموفري الخدمات السحابية في المسؤولية عن الأمان
  • سرد بعض التهديدات البارزة لأمان السحابة
  • فهم الدور الذي يلعبه التشفير في تأمين البيانات
  • فهم الفرق بين التشفير المتماثل والتشفير غير المتماثل
  • فهم كيف يقوم تشفير المفتاح العمومي بتسهيل تبادل آمن للبيانات
  • شرح مفهوم أمن البيانات متعدد الطبقات ولماذا هو من الضرورة بمكان؟
  • شرح بعض الخدمات التي تقدمها النظم الأساسية لأمن البيانات وخدمات الأمان المتكاملة التي يقدمها مزودو الخدمات السحابية

المتطلبات الأساسية

  • فهم ماهية حوسبة السحابة، بما في ذلك نماذج خدمة السحابة، وموفرو خدمات السحابة الشائعة
  • التعرف على الأنواع المختلفة من السحابة (العامة والخاصة والهجينة)
  • القدرة على تمييز نماذج خدمة السحابة، مثل خدمة تأجير البنية التحتية IaaS، والنظام الأساسي كخدمة PaaS، وخدمة تأجير البرامج SaaS والتفرقة بينهم
  • فهم كيف يتم تزويد موارد السحابة
  • معرفة كيفية عمل مراكز البيانات وكيفية تخزين البيانات في السحابة