الأمن السحابي
كانت السحابة ضجة كبيرة في 2010-2011 ، لكنها أصبحت اليوم ضرورة. مع انتقال الكثير من المؤسسات إلى السحابة ، أصبحت الحاجة إلى الأمان السحابي الأولوية القصوى.
ولكن قبل ذلك ، أولئك الجدد في مجال الحوسبة السحابية ، دعونا نلقي نظرة سريعة على ماهية الحوسبة في السحاب ،
ما هي الحوسبة السحابية؟
غالبًا ما يشار إلى الحوسبة السحابية باسم 'السحابة' ، وتعني بعبارات بسيطة تخزين البيانات والبرامج الخاصة بك أو الوصول إليها عبر الإنترنت بدلاً من محرك الأقراص الثابتة الخاص بك.
دعونا نناقش أنواع السحب الآن:
ما هو بيئة تطوير متكاملة في جافا
السحابة العامة
في وضع نشر السحابة العامة ، تكون الخدمات المنشورة مفتوحة للاستخدام العام والخدمات السحابية العامة بشكل عام مجانية. من الناحية الفنية ، ربما لا يوجد فرق بين السحابة العامة والسحابة الخاصة ، لكن معايير الأمان مختلفة تمامًا ، نظرًا لأن السحابة العامة يمكن الوصول إليها من قبل أي شخص ، فهناك عامل خطر أكبر متورط في نفس الشيء.
سحابة خاصة
يتم تشغيل السحابة الخاصة لمؤسسة واحدة فقط ، ويمكن أن تقوم بها نفس المنظمة أو مؤسسة تابعة لجهة خارجية. ولكن عادةً ما تكون التكاليف مرتفعة عند استخدام السحابة الخاصة بك نظرًا لأنه سيتم تحديث الأجهزة بشكل دوري ، يجب أيضًا مراقبة الأمان نظرًا لظهور تهديدات جديدة كل يوم.
سحابة هجينة
تتكون السحابة المختلطة من وظائف السحابة الخاصة والعامة
كيف يختار العملاء بين السحب العامة والخاصة والمختلطة؟
حسنًا ، يعتمد ذلك على متطلبات المستخدم ، أي أنه إذا شعر المستخدم أن معلوماته حساسة جدًا بحيث لا يمكن وضعها على أي نظام بدلاً من نظامه ، فسيختار سحابة خاصة
قد يكون أفضل مثال على ذلك هو DropBox ، فقد بدأوا في أيامهم الأولى باستخدام AWS S3 كواجهة خلفية لتخزين العناصر ، لكنهم الآن ابتكروا تقنية التخزين الخاصة بهم والتي يراقبونها بأنفسهم.
لماذا فعلوا هذا؟
حسنًا ، لقد أصبحت كبيرة جدًا ، ولم يعد تسعير السحابة العامة منطقيًا بعد الآن. وفقًا لهم ، تعد تحسينات البرامج والأجهزة الخاصة بهم أكثر جدوى من الناحية الاقتصادية من تخزين الأشياء الخاصة بهم على Amazon S3.
ولكن إذا لم تكن شركة كبيرة مثل DropBox ، وما زلت تستخدم بنية تحتية خاصة ، فربما حان الوقت كما تعتقد ، لماذا لا تستخدم السحابة العامة؟
الآن لماذا يستخدم العميل السحابة العامة؟
بادئ ذي بدء ، الأسعار أقل بكثير ، مقارنة بالاستثمار الذي قد تحتاجه الشركة لإعداد خوادمها الخاصة.
ثانيًا ، عندما تكون مرتبطًا بموفر Cloud مشهور ، يصبح توفر ملفاتك على السحابة أعلى.
ما زلت مرتبكًا ما إذا كنت تريد تخزين ملفاتك أو بياناتك على السحابة الخاصة أو العامة.
اسمح لي أن أخبرك عن السحابة المختلطة ، باستخدام السحابة المختلطة ، يمكنك الاحتفاظ ببياناتك 'الأكثر قيمة' على البنية الأساسية الخاصة بك والباقي على السحابة العامة ، وستكون هذه 'سحابة مختلطة'
لذا في الختام ، كل هذا يتوقف على متطلبات المستخدم بناءً على أنه سيختار بين السحابة العامة والخاصة والمختلطة.
هل يمكن لأمان الحوسبة السحابية تسريع حركة العملاء إلى السحابة؟
نعم ، دعنا نلقي نظرة على بعض الأبحاث التي أجرتها شركة Gartner. يرجى الاطلاع على الإحصائيات أدناه:
المصدر: جارتنر
الآن تم إجراء هذا البحث للشركات التي لا ترغب في الانتقال إلى السحابة ، وكما ترى بوضوح في الصورة أعلاه ، فإن السبب الرئيسي هو الأمان.
الآن هذا لا يعني أن السحابة ليست آمنة ، ولكن الناس لديهم هذا التصور. لذلك ، إذا تمكنت من طمأنة الأشخاص إلى أن السحابة آمنة ، فقد يحدث بعض التسارع في التحرك نحو السحابة.
كيف يوفق مدراء تقنية المعلومات بين التوتر بين المخاطر والتكلفة وتجربة المستخدم؟
حسنًا ، قرأت هذا في مكان ما ، Cloud Security هو مزيج من العلم والفن.
مشوش؟ حسنًا ، إنه فن معرفة إلى أي مدى يجب أن تضع الأمان على خدمة حتى لا تتضاءل تجربة المستخدم.
على سبيل المثال: لنفترض أن لديك تطبيقًا ، ولجعله آمنًا ، فإنك تسأل عن اسم المستخدم وكلمة المرور في كل عملية ، وهو أمر منطقي فيما يتعلق بالأمان ، ولكنه يعيق تجربة المستخدم.
لذلك من الفن أن تعرف متى تتوقف ، ولكن في الوقت نفسه يعتبر علمًا ، لأنك تحتاج إلى إنشاء خوارزميات أو أدوات توفر أقصى قدر من الأمان لبيانات العميل.
الآن عندما يظهر أي شيء جديد في الصورة ، يشك الناس في ذلك.
هناك الكثير من 'المخاطر' التي يعتقد الناس أن الحوسبة السحابية بها ، فلنتحدث عن هذه المخاطر واحدة تلو الأخرى:
1. السحابة غير آمنة
في معظم الأوقات عندما تتحدث عن السحابة ، سيكون هناك الكثير من الناس يقولون ، أن البيانات أكثر أمانًا في البنية التحتية الخاصة بهم بدلاً من قول بعض خوادم AWS بأمان AWS.
حسنًا ، قد يكون هذا منطقيًا إذا كانت الشركة ستركز فقط على أمان السحابة الخاصة التي من الواضح أن الأمر ليس كذلك. ولكن إذا قامت الشركة بذلك ، فمتى سيركزون على أهدافهم الخاصة؟
دعنا نتحدث عن موفري السحابة ، لنقل AWS (أكبرهم جميعًا) ، ألا تعتقد أن الغرض الوحيد من AWS هو جعل بياناتك أكثر أمانًا؟ لماذا ، لأن هذا هو ما يدفع لهم من أجله.
حقيقة ممتعة أيضًا ، استضافت Amazon موقع التجارة الإلكترونية الخاص بها على AWS ، مما يوضح ما إذا كانت AWS موثوقة أم لا.
مزودو السحابة يعيشون ويأكلون ويتنفسون أمان السحابة.
2. هناك المزيد من الخروقات في السحابة
تُظهر دراسة من Spring Alert Logic Report لعام 2014 أن الهجمات الإلكترونية في 2012-2013 كانت تستهدف السحب الخاصة والسحب العامة ، لكن السحب الخاصة كانت أكثر عرضة للهجمات. لماذا ا؟ لأن الشركات التي تقوم بإعداد خوادمها الخاصة ليست مجهزة مقارنةً بـ AWS أو Azure أو أي مزود سحابي آخر لهذه المسألة.
3. أنظمة المستأجر الفردي أكثر أمانًا من أنظمة المستأجرين المتعددين.
حسنًا ، إذا كنت تفكر بشكل منطقي ، ألا تعتقد أنه مع أنظمة المستأجرين المتعددين ، لديك طبقة إضافية من الأمان مرتبطة بها. لماذا ا؟ لأن المحتوى الخاص بك سيتم عزله منطقيًا عن باقي المستأجرين أو المستخدمين على النظام ، وهو أمر غير موجود إذا كنت تستخدم أنظمة المستأجر الفردي. لذلك ، في حالة رغبة أحد المتطفلين في المرور عبر نظامك ، يجب عليه المرور عبر طبقة أمان إضافية واحدة.
في الختام ، هذه كلها أساطير ، كما تفكر أيضًا في التوفير في الاستثمارات التي ستفعلها عند نقل بياناتك إلى السحابة وأيضًا الفوائد الأخرى ، فهي تفوق بكثير المخاطر التي ينطوي عليها أمان السحابة.
بعد قولي هذا ، دعنا ننتقل إلى محور مناقشة اليوم ، كيف يتعامل موفرو السحابة مع الأمان.
فلنأخذ مثالاً هنا ونفترض أنك تستخدم تطبيقًا للشبكات الاجتماعية. تنقر على رابط عشوائي ولا يحدث شيء. علمت لاحقًا أنه يتم إرسال رسائل البريد العشوائي من حسابك إلى جميع جهات الاتصال المتصلة بك على هذا التطبيق.
ولكن قبل أن تتمكن حتى من إرسال بريد إلكتروني أو تقديم شكوى إلى دعم التطبيق ، فإنهم يعرفون بالفعل المشكلة وسيكونون جاهزين للعمل لحلها. كيف؟ دعونا نفهم.
لذلك يتكون أمان السحابة بشكل أساسي من ثلاث مراحل:
- بيانات المراقبة
- اكتساب الرؤية
- إدارة الوصول
ال مراقبة السحابة الأداة التي تحلل باستمرار تدفق البيانات على تطبيقك السحابي ستنبهك بمجرد أن تبدأ بعض الأشياء 'الغريبة' في الحدوث على تطبيقك. كيف يقيمون الأشياء 'الغريبة'؟
حسنًا ، سيكون لأداة المراقبة السحابية خوارزميات متقدمة للتعلم الآلي تسجل سلوك النظام العادي.
لذا فإن أي انحراف عن سلوك النظام العادي سيكون بمثابة علامة حمراء ، كما يتم سرد تقنيات القرصنة المعروفة في قاعدة بياناته. لذا فإن أخذ كل هذا في صورة واحدة تثير أداة المراقبة الخاصة بك تنبيهًا كلما حدث شيء مريب.
الآن بمجرد أن تعرف أن هناك شيئًا 'غير طبيعي' يحدث ، تريد أن تعرف متى وأين ، تأتي المرحلة 2 ، اكتساب الرؤية .
يمكن القيام بذلك باستخدام الأدوات التي تمنحك رؤية للبيانات الواردة والصادرة من السحابة الخاصة بك. باستخدام هذه ، يمكنك تتبع ليس فقط مكان حدوث الخطأ ، ولكن أيضًا 'من' المسؤول عنه. كيف؟
حسنًا ، تبحث هذه الأدوات عن الأنماط ، وسوف تسرد جميع الأنشطة المشبوهة ، ومن ثم معرفة المستخدم المسؤول عن ذلك.
الآن يجب إزالة الفرد المسؤول أولاً من النظام ، أليس كذلك؟
تأتي المرحلة الثالثة ، إدارة الوصول.
الأدوات التي ستدير الوصول ، ستدرج جميع المستخدمين الموجودين على النظام. ومن ثم يمكنك تعقب هذا الشخص والقضاء عليه خارج النظام.
الآن كيف حصل هذا الشخص أو المخترق على وصول مسؤول إلى نظامك؟
على الأرجح ، تم اختراق كلمة مرور وحدة التحكم الإدارية الخاصة بك بواسطة المتسلل وأنشأ دورًا إداريًا لنفسه من أداة إدارة الوصول ، وأصبح الباقي محفوظات.
الآن ماذا سيفعل مزود السحابة الخاص بك بعد ذلك؟ سوف يتعلمون من هذا ويتطورون حتى لا يحدث مرة أخرى.
الآن هذا المثال هو فقط من أجل الفهم ، عادةً لا يستطيع أي متسلل الوصول إلى كلمة المرور الخاصة بك تمامًا مثل هذا.
الشيء الذي يجب التركيز عليه هنا هو أن الشركة السحابية تطورت من هذا الاختراق ، واتخذوا تدابير لتحسين أمان السحابة الخاصة بهم بحيث لا يمكن تكرار نفس الشيء.
الآن يتبع جميع موفري السحابة هذه المراحل. فلنتحدث عن أكبر مزود خدمات سحابية ، AWS.
هل تتبع AWS هذه المراحل لأمان سحابة aws؟ لنلقي نظرة:
بالنسبة للمراقبة السحابية ، تمتلك AWS كلاود ووتش
من أجل رؤية البيانات ، تمتلك AWS CloudTrail
ولإدارة الوصول ، تمتلك AWS سابقا
الجدول الدوري لأدوات devops
هذه هي الأدوات التي تستخدمها AWS ، دعنا نلقي نظرة فاحصة على كيفية عملها.
كلاود ووتش
يمنحك القدرة على تحليل البيانات الواردة والصادرة من موارد AWS الخاصة بك. يحتوي على الميزات التالية المتعلقة بأمان السحابة:
- مراقبة EC2 وموارد AWS الأخرى:
- بدون تثبيت برامج إضافية ، يمكنك مراقبة أداء EC2 باستخدام AWS CloudWatch.
- القدرة على مراقبة المقاييس المخصصة:
- يمكنك إنشاء مقاييس مخصصة ومراقبتها من خلال CloudWatch.
- مراقبة وتخزين السجلات:
- يمكنك مراقبة وتخزين السجلات المتعلقة بالأنشطة التي تحدث على موارد AWS الخاصة بك.
- ضبط المنبهات:
- يمكنك ضبط التنبيهات على مشغلات محددة ، مثل نشاط يحتاج إلى اهتمام فوري وما إلى ذلك.
- عرض الرسوم البيانية والإحصاءات:
- يمكنك تصور هذه البيانات في شكل رسوم بيانية وعروض مرئية أخرى.
- مراقبة التغييرات في الموارد والرد عليها:
- يمكن تهيئتها بطريقة تستجيب للتغيرات في توفر المورد أو عندما لا يعمل المورد بشكل صحيح.
CloudTrail
CloudTrail هي خدمة تسجيل يمكن استخدامها لتسجيل محفوظات مكالمات API. يمكن استخدامه أيضًا لتحديد أي مستخدم من AWS Management Console طلب الخدمة المعينة. بالرجوع إلى مثالنا ، هذه هي الأداة التي يمكنك من خلالها التعرف على 'المخترق' سيئ السمعة.
سابقا
تُستخدم إدارة الهوية والوصول (IAM) لمنح الوصول المشترك إلى حساب AWS الخاص بك. لديها الوظائف التالية:
- الأذونات الحبيبية:
- يمكن استخدامه لمنح حقوق الوصول لأنواع مختلفة من المستخدمين على مستوى خلوي للغاية. على سبيل المثال: يمكنك منح حق الوصول للقراءة لمستخدم معين ، ووصول للقراءة والكتابة لمستخدم آخر.
- الوصول الآمن إلى التطبيقات التي تعمل في بيئة EC2:
- يمكن استخدام IAM لمنح وصول آمن عن طريق جعل المستخدم يدخل بيانات الاعتماد ، للوصول إلى موارد EC2 ذات الصلة.
- مجاني للاستخدام:
- جعلت AWS خدمات IAM مجانية للاستخدام مع أي خدمة AWS تكون متوافقة.
AWS Shield
إنها خدمة رفض DDOS مُدارة. دعونا نلقي نظرة سريعة ، ما هو DDoS؟
يؤدي DDoS بشكل أساسي إلى زيادة التحميل على موقع الويب الخاص بك بحركة مرور غير ملائمة بهدف إزالة موقع الويب الخاص بك. كيف يعمل؟ قراصنة يقومون بإنشاء شبكة بوت عن طريق إصابة العديد من أجهزة الكمبيوتر المتصلة بالإنترنت ، كيف؟ هل تتذكر رسائل البريد الإلكتروني الغريبة التي تتلقاها أحيانًا على بريدك؟ اليانصيب والمساعدات الطبية وما إلى ذلك بشكل أساسي تجعلك تنقر على شيء ما ، والذي يقوم بتثبيت برنامج ضار على جهاز الكمبيوتر الخاص بك ، والذي يتم تشغيله بعد ذلك لجعل جهاز الكمبيوتر الخاص بك ، بالإضافة إلى واحد ، في حركة المرور غير ذات الصلة.
غير آمن بشأن تطبيق الويب الخاص بك؟ لا تكن AWS Shield هنا.
يقدم نوعين من الخدمات:
- اساسي
- المتقدمة
ال اساسي الحزمة مجانية لجميع المستخدمين ، ويتم تغطية تطبيق الويب الخاص بك على AWS تلقائيًا بهذه الحزمة افتراضيًا. يتضمن الميزات التالية:
- كشف سريع
- يكتشف حركة المرور الضارة أثناء التنقل باستخدام خوارزميات الشذوذ.
- هجمات التخفيف المضمنة
- تم تضمين تقنيات التخفيف التلقائية في AWS Shield مما يمنحك الحماية من الهجمات الشائعة.
- أضف قواعد مخصصة لدعم تطبيقك.
ليس كافي؟ هناك المتقدمة الحزمة أيضا. بتكلفة إضافية قليلة ، يمكنك تغطية موارد Elastic Load Balancers و Route 53 و CloudFront.
كل ما هو مدرج؟ لنلقي نظرة:
- كشف محسن
- يتضمن تقنيات إضافية مثل المراقبة الخاصة بالموارد ، ويوفر أيضًا اكتشافًا دقيقًا لهجمات DDoS.
- تخفيف الهجوم المتقدم
- عمليات تخفيف تلقائية أكثر تعقيدًا.
- إخطار الرؤية والهجوم
- إشعارات في الوقت الحقيقي باستخدام CloudWatch.
- دعم متخصص
- دعم 24 × 7 من فريق استجابة DDoS خاص.
- حماية تكلفة DDoS
- يمنع ارتفاع التكلفة من التحميل الزائد بواسطة هجمات DDoS.
في الختام ، يتبع أي مزود خدمة سحابية لتحقيق النجاح أعلى المعايير في Cloud Security ، وتدريجيًا إن لم يكن على الفور ، فإن الأشخاص الذين لا يزالون لا يؤمنون بالسحابة سوف يفهمون أنه من الضروري المضي قدمًا في ذلك.
هذا كل ما في الأمر يا رفاق! أتمنى أن تكون قد استمتعت بهذه المدونة على Cloud Security. الأشياء التي تعلمتها في مدونة Cloud Security هذه هي أكثر مجموعات المهارات المطلوبة التي يبحث عنها القائمون على التوظيف في AWS Solution Architect Professional. إليك مجموعة من لمساعدتك في التحضير لمقابلة العمل التالية في AWS. لمعرفة المزيد حول AWS ، يمكنك الرجوع إلى مدونة. لقد توصلنا أيضًا إلى منهج يغطي بالضبط ما قد تحتاجه لاجتياز اختبار مهندس الحلول! يمكنك إلقاء نظرة على تفاصيل الدورة لـ تدريب.لديك سؤال لنا؟ يرجى ذكر ذلك في قسم التعليقات في مدونة Cloud Security وسنعاود الاتصال بك.