أمان البيانات في السحابة

لكي تكون البيانات آمنة حقاً، يتعين أن تكون متاحة فقط للأشخاص أو الكيانات التي يحق لها الحصول عليها. الأسباب التي تؤدي إلى مزيد من الاكتشافات حول ما ينطوي عليه أمان البيانات بالفعل. يحدث خرق البيانات عندما يصل طرف غير مسمى إلى البيانات. ولكن يمكن أن يكون الاختراق بسيطًا مثل الكشف العرضي عن أحد السجلات، والذي ربما لم يطلبه المستخدم وربما لم يضطر إلى "اختراق" النظام لاسترداده. قد يوفر الوصول إلى قاعدة بيانات أو دفق بيانات أو مستودع بيانات أو data lake بوسائل أخرى غير الأدوات المستخدمة عادةً للوصول إلى البيانات فرصة للمستخدم الضار لقراءة محتويات البيانات أو تغييرها.

ينبغي ألا يمكن الوصول إلى البيانات المخزنة في السحابة إلا من خلال مصادر مشروعة تؤدي إلى استعلامات قابلة للتحقق وقابلة للتدقيق. يتعين فحص التطبيقات لاستبعاد إمكانية استخدامها كمتجهات هجوم - على سبيل المثال، للتأكد من أنها لا تحتوي على ثغرات أمنية لحقن SQL تسمح للمهاجمين باسترداد البيانات التي لا يتم الكشف عنها عادةً. ينبغي أيضًا حماية البيانات بحيث لا يمكن الوصول إليها من قبل المستخدمين غير المصرح لهم. وأفضل طريقة لتحقيق هذه الحماية هي إقامة حواجز متعددة أمام الوصول غير المصرح به، واستخدام الأدوات والخدمات التي تراقب مصادر البيانات في الوقت الفعلي، وتسجيل الوصول إلى البيانات، والاستجابة للسلوك المشبوه أو غير المشروع.

أمان متعدد الطبقات

نظرًا لأنه لا يتم ضمان الأمان المطلق مطلقًا، فإن معظم المؤسسات تحمي البيانات المخزنة في السحابة باستخدام إستراتيجية أمان متعددة الطبقات يشار إليها أحيانًا باسم الدفاع العميق. المبدأ الأساسي هو أنه إذا اخترق المهاجم إحدى دفاعاتك، فقد يكون الدفاع التالي هو الذي يوقفه. كما توفر استراتيجية الأمان متعدد الطبقات الحماية من ناقلات الهجمات المختلفة وغير المرتبطة بها. على سبيل المثال، حماية قاعدة بيانات باستخدام IAM بحيث يمكن للمستخدمين المعينين فقط الوصول إليها من خلال مدخل السحابة التي لا تفعل شيئًا لحماية قاعدة البيانات إذا تمكن المهاجم من الوصول إلى الخادم الذي يستضيف قاعدة البيانات ويقوم بعمل نسخة من ملفات قاعدة البيانات. ومع ذلك، فإن القيام بالخطوة الإضافية لتشفير هذه الملفات قد يؤدي إلى حدوث ذلك.

يوضح الشكل 4 كيف يمكن هيكلة الأمان متعدد الطبقات لقاعدة بيانات سحابية. يتم تشفير البيانات في مكانها ("مشفرة في حالة الثبات") وتشفيرها باستخدام TLS عندما تنتقل عبر السلك ("مشفرة أثناء الحركة"). في الخارج توجد طبقة تسجل جميع عمليات الوصول إلى البيانات بحيث يتم الاحتفاظ بمسار تدقيق. قد تستضيف هذه الطبقة أيضًا عامل اكتشاف تهديدات نشط يراقب باستمرار الوصول إلى قاعدة البيانات وينبه المسؤولين إلى النشاط المشبوه. تستخدم الطبقة التالية IAM للتأكد من اتصال المستخدمين والتطبيقات المصرح لهم فقط بقاعدة البيانات. وأخيراً، تقيد الطبقة الخارجية الوصول إلى قاعدة البيانات عبر الشبكة. على سبيل المثال، قد يحدد أن قاعدة البيانات يمكن الوصول إليها فقط من VNet معين أو مجموعة من VNets، وقد يقيد الاتصالات من الخارج إلى مجموعة مسموح بها من عناوين IP.

الشكل 4: أمن البيانات متعدد الطبقات (الدفاع العميق)

الشكل 4: أمن البيانات متعدد الطبقات (الدفاع العميق).

يعد تشفير البيانات أثناء الثبات في السحابة مكونًا مهمًا لتأمين تلك البيانات. تدعم معظم الأنظمة السحابية العامة التشفير الشفاف للبيانات المخزنة في خدمات التخزين الخاصة بهم. في هذا السياق، يُقصد بكلمة "شفاف" أن البيانات يتم تشفيرها تلقائياً عند كتابتها في وحدة التخزين وفك تشفيرها تلقائياً عند قراءتها مرة أخرى. وبالتالي، لا يتعين على التطبيقات تشفير البيانات أو فك تشفيرها بأنفسهم (قد لا يعرفون حتى أنها مشفرة)، ولكن إذا سُرقت البيانات - على سبيل المثال، يحصل شخص ما على وصول غير مشروع إلى الخادم حيث يتم تخزين البيانات - يكون عديم الفائدة ما لم يمكن أيضًا استرداد مفتاح فك التشفير. عادةً ما يتم تخزين المفاتيح بشكل منفصل في مواقع آمنة للغاية تُدار بواسطة خدمات مثل Azure Key Vault أو AWS Key Management Service.

على سبيل المثال، يقوم Azure Storage تلقائياً وبشفافية بتشفير جميع البيانات التي يخزنها باستخدام تشفير AES-256. يمكن توفير المفاتيح المستخدمة للتشفير وفك التشفير بواسطة Azure أو توفيرها بواسطة العميل (من خلال Azure Key Vault). وبالمثل، تدعم قاعدة بيانات Azure SQL التشفير في الوقت الفعلي وفك تشفير قواعد البيانات والنسخ الاحتياطية المرتبطة بها وملفات سجل العمليات، وتقوم بذلك بشفافية دون الحاجة إلى إجراء تغييرات على التطبيقات التي تستخدمها. ويتم تقديم خيارات تشفير مماثلة بواسطة Amazon وGoogle.

لا يقتصر التشفير أثناء الثبات على خدمات التخزين وقواعد البيانات، وينطبق هذا أيضًا على الأقراص الثابتة الافتراضية التي تخدم الأجهزة الظاهرية. في Azure، على سبيل المثال، يمكن حماية الأجهزة الظاهرية بواسطة Azure Disk Encryption، الذي يستخدم تقنية Windows BitLocker للأجهزة الظاهرية التي تعمل بنظام التشغيل Windows و Linux DM-Crypt للأجهزة الظاهرية التي تعمل بنظام التشغيل Linux لتشفير أقراص نظام التشغيل وأقراص البيانات بالكامل. تقدم AWS خيارات مكافئة من خلال EC2 Instance Store Encryption.

النظم الأساسية لأمان البيانات

يمكن استكمال الأمان باستخدام النظم الأساسية لأمان البيانات (DSPs) للإشراف على تخزين البيانات واستخدامها. النظام الأساسي لأمان البيانات الكامل هو فئة من الأدوات التي ستمنح المؤسسة الفوائد التالية عند تنفيذها بشكل صحيح:

ضمان عزل كل tenant سحابة أو شبكة جنبًا إلى جنب مع مصادر البيانات التي مُنح الـ tenant حق الوصول إليها، إلى الحد الذي لا تتضمن فيه الشبكة من منظور tenant عناوين لمصادر البيانات التي لم يتم منح الوصول إليها أو التي تم حظر الوصول إليها.
تسجيل كافة أنشطة المسؤولين المتعلقة بالبيانات لأغراض التدقيق والامتثال
اكتشاف وتصنيف البيانات الحساسة والسرية تلقائياً بناءً على امتيازات التحكم في الوصول المعمول بها
تسجيل التغييرات في البنية الأساسية التي قد تؤثر على سلامة تخزين البيانات

في مركز البيانات الحديث، لا يمكن تحقيق أمن البيانات الحقيقي باستخدام نموذج "جدار الحصن" المبسط، حيث يتم حماية البيانات خلف كلمة مرور أو عن طريق تبادل الرموز المميزة. يحدد النظام الأساسي لأمان البيانات الحقيقي سياسات الوصول في جميع الظروف، بناءً على حساسية البيانات المطلوبة ومستوى التفويض للفرد أو الخدمة المقدمة للطلب.

عزل Tenant

أحد الأغراض الرئيسية لأي منصة سحابية، بما في ذلك السحابة الخاصة، هو تزويد العديد من tenants (أي مؤسسة معتمدة بحساب مسجل قابل للفوترة) بالوصول الظاهري إلى البنية الأساسية المشتركة. في أبسط هذه الأنظمة الأساسية، أصبح العزل بين cotenants ممكنًا بواسطة مكون برنامج hypervisor الذي يستضيف الأجهزة الظاهرية. يُعد برنامج Hypervisor هو طبقة التجريد التي تتوسط الوصول بين الأجهزة الظاهرية والخوادم الفعلية التي تستضيفها. على خادم واحد، يقسم كل برنامج Hypervisor الوصول إلى خدمات النظام الأساسية. وفي الوقت نفسه، في مجموعة الخوادم، توفر برامج Hypervisor المتعددة مجموعات من الوظائف الظاهرية التي تخفي تمامًا تكوينات الأجهزة التي تدعمها، ويكون ذلك عادةً بمساعدة network hypervisor الذي يجعل عناوين الشبكة ظاهرية.

في بيئة التعبئة في حاوية (على سبيل المثال، Docker أو Kubernetes) قد يكون هناك العديد من الكيانات الظاهرية أو حاويات في مجموعة خادم. تُدير كل حاوية عملياتها بمعزل عن الحاويات الأخرى. يكون لها مساحة اسم منفصلة خاصة بها، لذا لا يمكنها تعداد موارد الجيران، ناهيك عن الوصول إليها. ولكن، تشارك الحاوية بالفعل نظام تشغيل مضيف أو وكيل يعمل نيابة عن نظام التشغيل. نظريًا، توجد إمكانية لاستغلال هذا المسار، وللتعليمة البرمجية في حاوية واحدة للوصول إلى الموارد الخاصة بحاوية أخرى يستضيفها نفس نظام التشغيل.

في مساحة اسم حاوية أو جهاز ظاهري، قد يكون لمصدر البيانات أو وحدة التخزين عدة مستخدمين متزامنين. تقع مواقع هؤلاء المستخدمين في الشبكة خارج مساحة الاسم هذه، ويتم منح الوصول إليها من خلال المصادقة. مالك مساحة الاسم هذه هو الـ tenant. من السهل نسبيًا تمكين عزل tenant على شبكة سحابية بحيث لا يتمكن tenant من الوصول إلى موارد البنية الأساسية مثل الذاكرة أو قواعد البيانات المستخدمة بواسطة tenant آخر. قد يتضمن النظام الأساسي لأمان البيانات (DSP) أدوات لضمان عدم إجراء مثل هذه المحاولات.

الأمر الأكثر صعوبة هو تمكين عزل المستخدم، والتأكد من أن اتساع الشبكة المنطقية المرئية لكل مستخدم على حدة يقتصر فقط على تلك الموارد التي يحق للمستخدم الوصول إليها وتم منح حق الوصول إليها. تتيح بيئة vSphere الظاهرية الخاصة بـ VMware العزل على هذا المستوى باستخدام تقنية تسمى التجزئة الدقيقة¹. مثل جيش من جدران الحماية تم إطلاقه داخل مجموعة خادم أو مساحة اسم، تفرض أنظمة التجزئة الدقيقة سياسات الشبكة والأمان على أساس كل مستخدم. ونتيجة لذلك، تصبح الموارد غير المصرح بها غير مرئية داخل شبكة الخوادم التي يتصل بها المستخدم.

يطبق النظام الأساسي الظاهري للشبكة مثل NSX من VMware التجزئة الدقيقة لأحمال العمل المادية، بما في ذلك مرافق "البيانات الضخمة" مثل Hadoop وApache Spark، باستخدام أجهزة التوجيه المنطقية (وهي أجهزة ظاهرية وليست مادية) لتقديم أجهزة ظاهرية مع عرض محدود على المكونات التي تشكل أحمال العمل تلك. يوضح الشكل 5 هذه العملية قيد التنفيذ. من منظور الجهاز الظاهري، تقتصر الشبكة على تلك المسارات الموجودة في مساحة الاسم الظاهرية التي تشكل حمل العمل.

الشكل 5: كيف يؤثر التجزئة الدقيقة على قابلية معالجة أحمال العمل المادية. [Courtesy VMware]

الشكل 5: كيف يؤثر التجزئة الدقيقة على قابلية معالجة أحمال العمل المادية. [بإذن من VMware]

يمكن للنظام الأساسي لأمان البيانات الحديثة أن ترتبط بخدمات التجزئة الدقيقة بحيث تكون قواعد البيانات التي يمكن لأي مستخدم الوصول إليها مقصورة على السجلات التي يمكن لهذا المستخدم الوصول إليها فقط. ثم تصبح قاعدة البيانات المرئية بعد ذلك طريقة عرض لقاعدة البيانات الفعلية التي تعمل كوكيل لها على الشبكة. لا يمكن للمستخدم الوصول عن طريق الخطأ أو عن قصد إلى السجلات غير الموجودة على شبكة هذا المستخدم.

اكتشاف البيانات وتصنيفها

يمكن حقن العوامل البعيدة في التطبيقات الموزعة وتطبيقات الويب لإجراء ملاحظات حول الفترات الزمنية بين المراحل الهامة. يقوم النظام الأساسي لاكتشاف البيانات مثل IBM Smart Data Discovery وVeronis وNetwrix بإجراء تحليل مماثل للأنماط التي يتم فيها الوصول إلى البيانات عبر شبكة المؤسسة. وفي كثير من الأحيان، يتضمن هذا التحليل إدخال بصمة قائمة على البيانات الوصفية في السجلات عند الوصول إليها حتى يمكن للنظام الأساسي وضع علامة على هذه السجلات وتتبعها.

من خلال تحليل سلوكي دقيق للسجلات ذات العلامات، يمكن للنظام الأساسي تحديد ما إذا كانت بعض السجلات أكثر حساسية أو تستحق حماية السرية أكثر من غيرها. قد يتم الوصول إلى بعض السجلات أو مصادر البيانات بواسطة عدد محدود من حسابات المستخدمين، وهو ما ينبغي أن يكون. ومع ذلك، إذا كانت هذه البيانات حساسة حقًا، فقد تتعرض لوصول غير مصرح به أو ضار إذا لم تكن محمية.

تدقيق تغيير البيئة

تتم استضافة معظم الموارد المستندة إلى السحابة حالياً ضمن شبكة ظاهرية، وهي عبارة عن تراكب فوق الشبكة المادية أو تراكب آخر من هذا القبيل. والغرض منه هو جعل الموارد أكثر قابلية للتوجيه بشكل مباشر إلى الموارد الموجودة في مساحة اسم المستخدم من خلال تخصيص عناوين IP لها تكون جوهرية وحصرية لمساحة الاسم المحلية.

يميل تراكب الشبكة الظاهرية إلى إخفاء التغييرات في الشبكة المادية الأساسية التي يتم تعيين عناوينها إليها. وغالبًا ما تكون هذه التغييرات المادية نتيجة لتطور الحل والشبكة المادية التي تربط مكوناته. وقد يكون تدهور الأداء والتعديلات في ملف تعريف التهديد الخاص بالشبكة دليلاً على وجود تناقضات في تراكب الشبكة الظاهرية التي قد تؤدي إلى ثغرة أمنية، وفي أسوأ الحالات، الاستغلال.

إلى جانب سجلات نشاط الأداء، تساعد سجلات السلاسل الزمنية التي تم إنشاؤها بواسطة نظام أساسي لتدقيق التغيير مثل Netwrix مسؤول تكنولوجيا المعلومات على ربط الانحرافات أو التدهور في الأداء بأحداث تغيير البنية الأساسية المحددة. بالنسبة للبنية الأساسية المستندة إلى السحابة، حيث لا تكون المعلومات المتعلقة ببناء وتكوينات موفر خدمة السحابة معروفة للجمهور، ويمكن أن تساعد هذه الفئة من الأدوات المؤسسات في اكتشاف وقت تغيير البنية الأساسية السحابية. يساعدهم هذا الدليل على تحديد وقت ومكان إجراء تغييرات على التكوينات الخاصة بهم للتعويض.

أدوات الأمان المتكاملة

يمكن استخدام DSP لحماية البيانات المخزنة في السحابة العامة ولكنها مفيدة مع مخازن البيانات المحلية. يقدم موفرو خدمة السحابة أدوات أمان بيانات متكاملة تؤدي العديد من الوظائف نفسها مثل DSPs. على سبيل المثال، يمكن للأشخاص الذين يديرون مثيل قاعدة بيانات Azure SQL استخدام ميزة اكتشاف البيانات وتصنيفها في مدخل Azure لفحص قاعدة البيانات بحثًا عن أعمدة تحتوي على بيانات يحتمل أن تكون حساسة مثل أرقام بطاقات الائتمان وأرقام الضمان الاجتماعي وبيانات اعتماد تسجيل الدخول (الشكل 6). كما يوفر Azure أيضًا خدمة مجانية لتقييم الثغرات الأمنية تفحص قاعدة البيانات بحثًا عن الثغرات الأمنية المحتملة وتوفر خطوات قابلة للتنفيذ لحلها.

الشكل 6: اكتشاف البيانات وتصنيفها في قاعدة بيانات AZURE SQL.

الشكل 6: اكتشاف البيانات وتصنيفها في قاعدة بيانات AZURE SQL.

واليوم، تقوم جميع خدمات التخزين السحابية تقريبًا بإنشاء مسارات تدقيق لتوثيق عمليات الوصول إلى البيانات، كما يدعم العديد منها - وخاصة خدمات قواعد البيانات - الاكتشاف النشط للتهديدات أيضًا. بالإضافة إلى ذلك، يقدم كبار مزودي الخدمات السحابية مثل Microsoft و Amazon و Google خدمات شاملة للكشف عن التهديدات قادرة على مراقبة مجموعة واسعة من الموارد السحابية التي لا تقتصر على مخازن البيانات. في AWS، على سبيل المثال، يمكن لـ Amazon GuardDuty أن يراقب النشاط الضار والسلوك غير المصرح به باستمرار لحماية حسابات AWS وأحمال العمل والبيانات. فهو يجمع بين مجموعات القواعد المُدارة والتعلم الآلي استنادًا إلى مليارات الأحداث التي تحدث عبر AWS لاكتشاف التهديدات في الوقت الفعلي، ويتكامل مع خدمات أخرى مثل Amazon CloudWatch لتشغيل التنبيهات وحتى تنفيذ الإجراءات العلاجية (عبر AWS Lambda) عند اكتشاف التهديدات .

المراجع

مكدس الذاكرة المؤقتة الجديد. التجزئة الدقيقة: كيفية معالجة برنامج VMware لمشكلة أمان الحاوية. https://thenewstack.io/microsegmentation-how-vmware-addresses-the-container-security-issue/.