مسؤوليات أمان السحابة
- 15 دقائق
الأمن في أنظمة المعلومات، المعروف أيضًا باسم "الأمن السيبراني"، يتم إنشاؤه وإنتاجه وتوزيعه بواسطة الأشخاص. الأنظمة والبرامج التي يستخدمونها هي مجرد أدوات. ولا يمكن لأحد أن يصمم نظامًا للمعلومات آمناً بطبيعته. الأمان هو عملية تمكّن هذا النظام إما من العمل بطريقة آمنة، أو إعادة تطويره أو استبداله بنظام آخر يمكنه أن يكون كذلك.
تُعد الخدمات السحابية هي امتداد لمركز البيانات. إنها تمكن الوظيفة التي توفرها المؤسسة لعملائها ليتم خدمتهم من عدة مواقع. إنها تسمح بتوزيع هذه الوظيفة ومع ذلك تظل متماسكة وقابلة للتشغيل المتبادل. والأهم من ذلك بالنسبة لبعض الشركات، أنها توزع أيضًا المخاطر التي تنطوي عليها إدارة وتأمين الخدمات الموزعة بشكل كبير على المتخصصين خارج المؤسسة. توظف شركات مثل أمازون ومايكروسوفت جحافل من مهندسي أمن الشبكات على مستوى عالمي. تستفيد المؤسسات التي تستخدم أنظمة السحابة الأساسية العامة من خبرتها.
تقييم المخاطر وإدارتها
تتجلى المشكلة التي تواجهها المؤسسة على الفور عند إجراء أي مستوى من الاستثمار في الأصول المستندة إلى السحابة - البنية الأساسية أو الأنظمة الأساسية لنشر البرامج أو أدوات التطوير أو التطبيقات - في القدرة على التأثير بشكل مباشر على سلامة هذا الجزء على الأقل من أنظمة المعلومات الخاصة بها. هناك طرق لتلك المؤسسة لإرسال وكلاء برمجيات إلى نظام أساسي للسحابة لمراقبة وقياس أدائها، وسلامة نظامها. ولكن حتى ذلك الحين، فإنها تتنازل عن بعض أو كل مسؤولية الإشراف لموفر الخدمة الذي تختاره.
وقد اتخذت بعض المؤسسات قرارها الأولي بنقل بعض أو كل أصول المعلومات الخاصة بها إلى السحابة العامة بقصد صريح لتجاوز الممارسة أو البروتوكول الشامل لإدارة المخاطر الذي كانوا سيطلبونه لو بقوا محلياً بالكامل. ما سيكتشفونه قريبًا هو أن العمل في السحابة العامة يفرض في الواقع البروتوكول ذاته الذي حاولوا تجنبه، ولكن ليس للأسباب التي قد يفكر فيها المرء. إن متخصصي الأمن السحابي هم خبراء في إدارة المخاطر. عندما يتجاوز الترحيل إلى السحابة المستوى السطحي، يحتاج كلا الطرفين في المعاملة إلى فهم مقدار المخاطرة التي يرغب العميل في قبولها، ومقدار ما يتنازل عنه للسحابة، قبل أن يتقبل توقعات مستوى خدمة موفر الخدمة.
يُعرّف اتحاد شهادات أمن نظام المعلومات الدولي، الذي يشار إليه غالبًا باسم (ISC) 2، إدارة المخاطر على أنها "عملية تصميم العمليات والأنظمة التشغيلية وتطويرها واستدامتها وتعديلها مع إيلاء الاعتبار الواجب للمخاطر المطبقة على سرية الأصول وسلامتها وتوافرها ".21 إنها ليست حياة، كما فسرها البعض في سياق أنظمة المعلومات أو نظام دعم أو آلية للحفاظ على هذه الأنظمة في مواجهة التهديدات. بل هي العكس. تتطلب إدارة المخاطر أن تكون الأنظمة قابلة للتكيف والتعديل بشكل معقول. هذا ما يعنيه الجزء "قابل للتطبيق" هنا - إنه مقياس للعدالة.
إحدى مؤسسات صناعة تكنولوجيا المعلومات الدولية التي سعت إلى الحفاظ على معيار الأسهم لتقييم المخاطر هي معهد FAIR. لقد طورت ما تسميه تحليل العوامل لمخاطر المعلومات، والهدف منه هو التأكد من مقدار الخسارة التي تكون المؤسسة على استعداد لتحملها في حالة تعرض أمن أصول المعلومات للخطر. تجمع FAIR الخسائر في ست فئات:
- الإنتاجية - قدرة المؤسسة على الاستمرار في إنتاج السلع أو الخدمات التي يعتبرها عملاؤها قيّمة
- الاستجابة - قدرة المؤسسة على تخفيف الضرر داخلياً أو خارجياً بسبب الخسارة
- الاستبدال - القيمة الثابتة الفعلية للأصول المعرضة للخطر
- الغرامات والأحكام - التكاليف القانونية والتنظيمية المتكبدة نتيجة للخسارة
- الميزة التنافسية - القدرة المتصورة للمؤسسة على الاستمرار في تمييز نفسها عن منافسيها في السوق
- السمعة - الضرر الذي لحق بالصورة التي يحتفظ بها العملاء للمؤسسة ، بغض النظر عن منافستها
في حالة حدوث خرق لقاعدة البيانات، على سبيل المثال، عندما تتعرض بيانات العملاء الشخصية والخاصة لجهات ضارة، فإن التقييم باستخدام FAIR سيقدر مقدار الخسارة التي قد تتعرض لها المؤسسة في جميع الفئات. قد يتم تعويض هذا المبلغ من خلال قدرة المؤسسة على الاستجابة بشكل فعال وتخفيف الضرر. لا تستطيع الخدمات السحابية تغير هذه المعادلة، لكنها تؤثر على عوامل التخفيف هذه - ربما للأفضل. يمكّن FAIR المؤسسة من وضع علامة سعر على المبلغ الذي ترغب في إنفاقه لتقليل المخاطر، مع الموازنة بين النفقات الفورية والتكاليف المحتملة على المدى الطويل. كما أنها عوامل في التكاليف التي قد تكون المؤسسة على استعداد لتحملها لامتلاك مستوى المخاطر الذي ترضى به بشكل أساسي عن طريق بوالص التأمين. ومن خلال نظام الأوزان والموازنة، تحدد FAIR القيمة السوقية العادلة لمخاطر الأمن السيبراني.
متخصصي أمان السحابة
الأشخاص المكلفون بالحفاظ على الأمان لموفرو الخدمات السحابية وعادة ما يكونوا متخصصون معتمدون. ولا تقتصر وظائفهم على حماية نظم والنظام الأساسي لأصحاب العمل، بل تشمل أيضاً خدمات عملائهم وزبائنهم، إلى الحد الذي تُوجّهه إليه اتفاقات مستوى الخدمة الخاصة بهم وتقصرهم عليها. وتحدد هذه الاتفاقات صراحة الطرف المسؤول - مقدم الخدمة أو العميل - الذي سيتحمل المخاطر بالنسبة لمختلف فئات الخدمة.
تحمل الشهادة في سياق الأمن السيبراني معنى مختلفًا عن الاعتماد التعليمي مثل الحصول على درجة من إحدى الجامعات. الشهادة عبارة عن بيان يتم تجديده بشكل متكرر يشهد على حقيقة أن حاملها قد أظهر الكفاءة في مجموعة معينة من المهارات. تدعم مؤسسة (ISC) 2 أكثر الشهادات المعترف بها في مجال الأمن: الشهادة المهنية لأمن أنظمة المعلومات المعتمدة (CISSP) 2>
لكي يصبح الشخص حاملاً لشهادة CISSP، يجب عليه إثبات الكفاءة في تأمين الشبكات، وتأمين البيانات أثناء الثبات والحركة، والحفاظ على بروتوكولات الأمان وأفضل الممارسات لتطوير البرامج. لكن أولاً وقبل كل شيء ، يركز هذا الاعتماد على موضوع إدارة المخاطر. على جانبي شراكة الخدمات السحابية، ينبغي أن يكون متخصص الأمن قادرًا على فهم، إن لم يكن تقييمًا مباشرًا، المخاطر التي ينطوي عليها نقل الأصول الهامة من البنية الأساسية المملوكة إلى المؤجرة.
تقدم (ISC) 2 شهادة أكثر تركيزًا على أمان السحابة من خلال الدورات التدريبية ولشهادة المهنية لأمن السحابة المعتمد (CCSP). من بين المواضيع الأولى أدوار ومسؤوليات العميل وموقر خدمة السحابة. يقدم تحالف أمن الحوسبة السحابية (CSA) شهادة خاصة به تسمى شهادة المعرفة الأمنية السحابية. وبالمقارنة مع CCSP، فإن CCSK تهتم بالتقنيات والمنهجيات أكثر من اهتمامها بالأشخاص، ولهذا السبب يرى الكثيرون أن الشهادتين متكاملتين. ومع ذلك، فإن CCSK تولي اهتماماً كبيراً على وجه الخصوص لمبادئ إدارة المخاطر، وخاصة كيف تغيرت المبادئ الموجودة من قبل بمجرد دخول السحابة العامة في المعادلة.
المسؤوليات المفوضة
تتطور الخدمات والأنظمة العامة للسحابة (على سبيل المثال، مستودع البيانات Redshift من Amazon AWS، وMicrosoft Azure Stream Analytics، وGoogle BigQuery، وRed Hat OpenShift) باستمرار. يقوم المطورون بدمج كود جديد في هذه الخدمات على أساس يومي من خلال عملية تعرف باسم التكامل المستمر و النشر المستمر (CI/CD). بحلول الوقت الذي يتم فيه "إصدار التعليمات البرمجية الجديدة في الإنتاج" (التي يصل إليها المستخدم النهائي)، تم اختبارها بالفعل في بيئات شبكة العمل. ومع ذلك، لا تزال بعض التعليمات البرمجية التي صدرت حديثاً قيد الاختبار. في الأنظمة الأساسية السحابية الحديثة، يمكن أن تتعايش التعليمات البرمجية الجديدة والتعليمات البرمجية القديمة فيما يسمى عمليات نشر A/B، مع قيام بعض العملاء بتشغيل التعليمات البرمجية الأحدث. تتم مقارنة أداء كلا الفئتين، وإذا تم تمرير التعليمات البرمجية الجديدة، فسيتم التخلص التدريجي من التعليمات البرمجية القديمة.
ما يعنيه ذلك من حيث الأمان هو أن سلوك الأنظمة المستندة إلى السحابة يتغير دائمًا. لذلك، سواء كانت الأصول المحلية للمؤسسة تخضع لنفس مقدار التغيير أم لا، ينبغي أن تتم مراقبة هذه الأصول بشكل صارم مثل أي بيئة قائمة على السحابة، إلى الحد الذي تتفاعل فيه مع السحابة العامة.
تتبع Azure وAWS وGoogle Cloud طواعية إطار سياسة يُسمى نموذج المسؤولية المشتركة (SRM). على الرغم من أن النموذج يحدد تفويضات مختلفة للمسؤولية عن مختلف فئات الخدمات، فإن مبدأه التكويني هو التالي: يتعهد موفر الخدمة بالمسؤولية عن الأمان لـ السحابة، في حين يعتبر العميل مسؤولاً عن الأمان في السحابة. فكر في صاحب فندق يتعهد بالأمن المادي لضيوفه ولكنه يتوقع أن يتصرف هؤلاء الضيوف بتأمين أنفسهم أثناء تواجدهم في غرفهم.
![الشكل 1: نموذج المسؤولية المشتركة لـ Azure. [Courtesy Microsoft]](../../cmu-cloud-admin/cmu-cloud-security/media/fig8-1.png)
الشكل 1: نموذج المسؤولية المشتركة لـ Azure. [بإذن من مايكروسوفت]
يوضح الشكل 1 كيف تمثل Microsoft هذا النموذج لعملاء Azure. وهو يصور درجة تفويض المسؤولية عن الأمن إلى موفر الخدمة مع كل مستوى تقدمي للخدمة. على سبيل المثال، فيما يتعلق بالنظام الأساسي لـ IaaS التي تستضيف خوادم الويب نيابة عن العملاء، يوضح الجدول التالي المسؤولية التي يتحملها موفر الخدمة السحابية (CSP) والعميل:
| النطاق | مسؤولية موفر الخدمة السحابية | مسؤولية العميل |
|---|---|---|
| تصنيف البيانات والمساءلة |
|
|
| حماية العميل ونقطة النهاية |
|
|
| إدارة الهوية والوصول |
|
|
| عناصر التحكم على مستوى التطبيق |
|
|
| عناصر التحكم في الشبكة |
|
|
| البنية الأساسية للمضيف |
|
|
| الأمان المادي |
|
|
أحد الأسئلة المهمة التي قد تطرح بعد إجراء فحص شامل لـ SRM: من هو المسؤول عن الخصوصية؟ هذا سؤال معقد، لأنه من وجهة نظر المستخدمين والزبائن الخاصين بالعملاء، فإن أي إساءة استخدام لمعلوماتهم الشخصية، بغض النظر عن إمكانية الحصول عليها، قد يمثل انتهاكًا لخصوصيتهم. إذا تسلل شخص ما إلى شبكة CSP، أو إذا تم الكشف عن البيانات من خلال خلل في البرنامج أو فتحة في جدران الحماية، أو إذا قام شخص ما باختراق جدران مركز بيانات CSP وسرقة محركات الأقراص الثابتة الخاصة به، تكون المعلومات الشخصية في خطر. يتم خرق خصوصية شخص ما، ولا يهتم المستخدمون النهائيون بكيفية ذلك. إنهم يهتمون بالسبب والضرر الذي قد ينتج عن ذلك.
هذا مبرر آخر لنموذج إدارة مخاطر FAIR. ويأخذ في الاعتبار العوامل المتعددة التي تشكل الخصوصية بشكل مشترك وتحسب كيف أن التعديلات على الأدوار والمسؤوليات لهذه العوامل قد يكون لها تأثير مباشر على خصوصية العميل. قد يكون فقدان الثقة أكبر خسارة يمكن أن تتكبدها المؤسسة.
كما هو الحال حالياً، يتجاهل SRM خيارًا مهمًا واحدًا: قد يعمل موفرو الخدمات السحابية أيضًا كموفري خدمات مُدارة (MSP)، مما يمنح العملاء خيار مسؤولية الاستعانة بمصادر خارجية (وبالتالي، المخاطرة) للأصول منخفضة المستوى مثل البنية الأساسية. عندما تقوم مؤسسة ببناء منصة سحابية في مبانيها الخاصة، كما هو ممكن مع OpenStack، الإصدارات الأخيرة من VMware vSphere، وAWS Outposts، فإن عقد MSP يعطي مسؤولية مصدر خارجي لدعم البنية الأساسية للعميل والحفاظ عليها.
المراجع
ماكمبر ، جون ، وآخرون (2018). معجم (ISC)2 للأمان عبر الإنترنت. https://blog.isc2.org/isc2_blog/2018/02/welcome-to-the-lexicon-project.html.
(ISC)2. مخطط تفصيلي لدورة CISSP التدريبية. https://www.isc2.org/Training/Courses/cissp-training-course.
اختبر معلوماتك
الملاحظات
هل كانت هذه الصفحة مفيدة؟
لا
هل تحتاج إلى مساعدة مع هذا الموضوع؟
هل تريد محاولة استخدام Ask Learn لتوضيح هذا الموضوع أو إرشادك خلاله؟