يتطلب الأمان السحابي الحقيقي فهمًا متعمقًا
كما هو الحال مع معظم المساعي، يعد دمج الأمان في العملية في أقرب وقت ممكن أمرًا ضروريًا عند إنشاء التقنيات أو الانتقال إليها مثل السحابة. سواء كنت تبدأ رحلتك لترحيل الخدمات الأساسية إلى السحابة أو إطلاق مشروع دائم الخضرة قائم على السحابة، فإن إشراك متخصصين في الأمان يتمتعون بفهم عميق لنموذج الأمان السحابي يعد أمرًا بالغ الأهمية. وهذا يضمن التنفيذ الناجح لنظام آمن وقوي.
نموذج المسؤولية المشتركة
إذا كنت في وقت مبكر من هذه العملية، كقائد في مجال التكنولوجيا، وفهم السحابة نموذج المسؤولية المشتركة حاسم. هناك عناصر لكل من الخدمات التي يقدمها مقدمو الخدمات السحابية المختلفون (CSPs) والتي تقع على عاتقهم مسؤولية المراقبة والدفاع والحماية، مثل البنية التحتية المادية وضوابط الوصول في مراكز البيانات، والنسخ الاحتياطية المرنة للطاقة، وما شابه ذلك. كل الأشياء التي تتوقع عادةً أن يقدمها مركز البيانات، سيوفرها مقدمو الخدمات السحابية، وبعد ذلك يتم ضبط بعضها جيدًا بفضل العمل على نطاق واسع حقًا.
الابتعاد عن المعدن
ويكمن التحدي في التفاصيل المطلوبة لاتخاذ قرارات مستنيرة بشأن الخدمات التي يجب استخدامها، مع الأخذ في الاعتبار عوامل مثل السعر والأمن والنفقات العامة والصيانة على المدى الطويل. وفي المناقشات مع الشركات في هذه الرحلة، أوصي بالابتعاد عن المعدن قدر الإمكان كلما كان ذلك ممكنًا. يتضمن ذلك الاستفادة من الخدمات الافتراضية والحاويات بدرجة عالية مثل Fargate وLambda من AWS، أو Cloud Run وCloud Functions من Google، أو Azure Containers وAzure Functions من Microsoft.
أحد الاعتبارات هنا هو أن هذه الخدمات المُدارة مُدارة بشكل جيد، ولذلك يتعين عليك دفع قسط أعلى مقابلها مقارنة بالعروض الأساسية. يستحق هذا مراجعة متأنية مع الأخذ في الاعتبار العدد الكبير من الموظفين الذين ستحتاج إلى توظيفهم وإدارتهم للقيام بنفس المستوى داخل الشركة.
بالإضافة إلى ذلك، ستحتاج إلى الاستثمار في مسار التعليمات البرمجية الخاص بك باستخدام التكامل المستمر و النشر المستمر (CI/CD) الذي يسمح لك بتشغيل عمليات النشر التي تواجه مجموعة من الاختبارات الآلية بسرعة قبل الموافقة على دفعها إلى الإنتاج. المفتاح هو العمليات المحددة جيدًا التي تفرض معايير جودة الخدمة والأمان والتعليمات البرمجية وتؤدي إلى نتائج قابلة للتكرار.
في العديد من الحالات، تعني هذه الخدمات المُدارة (مثل Lamdas وأنظمة الحاويات) أن CSP مسؤول عن بعض إجراءات مراقبة وإدارة الأمان حول هذه الأدوات، لذا بدلاً من أن تحتاج أنت وفريقك إلى تخصيص الموارد للبقاء على اطلاع دائم مع كل التصحيحات اللازمة لنظام التشغيل Linux، يقوم موفر الخدمة السحابية الخاص بك بإدارة ذلك نيابةً عنك. ملاحظة: تتغير الخدمات السحابية بانتظام، لذا يجب عليك التأكد من أن أي خدمة تستخدمها تتضمن التصحيح التلقائي وإصدار الإصدارات قبل البدء فيها.
الفكرة هنا هي أن AWS وGoogle وAzure غالبًا ما يكونون أفضل في بعض ممارسات إدارة الأمان والحفاظ على تحديث الأمور من معظم المؤسسات. هناك بعض الاستثناءات البارزة؛ على وجه الخصوص، تجدر الإشارة إلى أن مايكروسوفت مرت بعام سيئ للغاية فيما يتعلق بالأمن عبر منتجاتها. إذا لم تكن قد قرأته، فقم بإلقاء نظرة على تقرير مجلس مراجعة السلامة السيبرانية التابع للحكومة الأمريكية (CSRB). بشأن انتهاكات مايكروسوفت من العام الماضي. إنه تقييم واقعي جدًا لبعض الإخفاقات الأمنية الكارثية داخل الشركة.
تقييمات النضج ورؤية مجلس الإدارة
إذا كنت تستثمر بشكل كبير في البيئات السحابية، فمن الضروري إجراء تقييم للمخاطر الأمنية للبنية الأساسية السحابية لديك. التركيز على المجالات الرئيسية:
- إدارة الهوية والوصول: مراجعة وتأمين الوصول المميز للأجهزة والحسابات الجذرية من خلال المصادقة المستندة إلى مفتاح التشفير للأجهزة وMFA المدعومة بأجهزة FIDO2 للمستخدمين، وخاصة المميزين منهم.
- الأجهزة الافتراضية ونقاط النهاية: تأكد من أن عمليات التصحيح تغطي الكل CISA نقاط الضعف المستغلة المعروفة ضمن الأطر الزمنية الموصى بها. قم بقياس الوقت اللازم للتصحيح وتتبعه كمقياس أعمال تنفيذي.
- الوضع الأمني لإمكانية الوصول إلى الإنترنت: تأكد من رفض قواعد جدار الحماية افتراضيًا لمعظم الاتصالات الواردة والصادرة.
- التسجيل: تمكين التسجيل في كل مكان والحصول على سجلات مراجعة الفريق بانتظام.
- النسخ الاحتياطي والاستعادة: قم بتنفيذ عملية نسخ احتياطي واستعادة قوية، ومن الأفضل استخدام نسخ احتياطية مستقلة عن حساباتك السحابية الأساسية للحماية من اختراق الحساب الكارثي.
بمجرد إنشاء خط أساس لهذه المجالات الرئيسية للمخاطر والنضج، ابدأ في النظر في شراء الخدمات أو بناء القدرات اللازمة لك للحفاظ على مراقبتها، مع الرؤية وإعداد التقارير على أعلى المستويات في مؤسستك. تعد هذه خطوة لا تقدر بثمن للغاية لضمان أن فهم مخاطر الأمن السيبراني المرتبطة بتكنولوجيا المعلومات والسحابة لا يقتصر على فريق التكنولوجيا فحسب، بل على مجلس الإدارة أيضًا.
إليوت ويلكس هو CTO في أنظمة الدفاع السيبراني المتقدمة. يتمتع ويلكس، وهو قائد متمرس في مجال التحول الرقمي ومدير المنتجات، بأكثر من عشر سنوات من الخبرة في العمل مع كل من الحكومتين الأمريكية والبريطانية، وكان آخرها كمستشار للأمن السيبراني في الخدمة المدنية.