كيفية التأكد من استخدام الخدمات السحابية العامة بسلامة وأمان
ال السحابة العامة هو نموذج للحوسبة السحابية يمكّن من الوصول إلى الموارد مثل التطبيقات وتخزين البيانات والأجهزة الافتراضية عن بعد وعند الطلب. على الرغم من كونه فائدة إلى حد كبير، إلا أنه يترك المؤسسات مفتوحة أيضًا الأمن السحابي العام المخاطر، خاصة عندما تسمح للمستخدمين بالوصول إلى الخدمات عند الطلب من مواقع مختلفة باستخدام أجهزة مختلفة.
يتكون الأمن السحابي من التكنولوجيا والتقنيات المصممة لمنع وتخفيف التهديدات التي يتعرض لها الأمن السيبراني للمؤسسة. يجب على الشركات تنفيذ أمان الحوسبة السحابية لدعم كل من التحولات الرقمية واستخدام الأدوات المستندة إلى السحابة لحماية الأصول. يعمل الأمن السحابي من خلال الجمع بين العديد من التقنيات، وكلها مصممة لتشديد الدفاعات السيبرانية للبيانات والتطبيقات خارج مقر العمل.
فيما يلي بعض العناصر الأساسية التي تجعل الأمان السحابي يعمل:
- أمن البيانات: في السياق السحابي، يتكون أمن البيانات من حماية والحفاظ على سلامة البيانات السحابية للمؤسسة. تتضمن هذه البيانات عادةً ما يلي:
- بيانات الشركة، بما في ذلك معلومات الملكية والحساسة
- الملكية الفكرية
- بيانات الموظف
- بيانات العميل
- البيانات المستخدمة بواسطة تطبيقات الويب
- إدارة الهوية والوصول (IAM): يتضمن ذلك التأكد من أن موظفيك يمكنهم الوصول إلى الحلول الرقمية التي يحتاجونها لأداء واجباتهم. باستخدام IAM، يمكنك إدارة التطبيقات التي يمكن للمستخدمين الوصول إليها لضمان حصول المستخدمين الحاليين على الامتيازات التي يحتاجون إليها وإنهاء وصول الموظفين السابقين، مما يساعد في التحكم في سطح الهجوم الخاص بك.
- الحكم: يتضمن ذلك فرض سياسات داخلية لإدارة البيانات بطريقة تحمي وتمكن الأنظمة وتحمي المعلومات الحساسة.
- استمرارية الأعمال (BC) والاحتفاظ بالبيانات (DR): يركز هذا على النسخ الاحتياطي للبيانات لاستعادة الأنظمة المهمة في حالة وقوع كارثة أو خرق أو مسح النظام.
- الامتثال القانوني: يركز الامتثال القانوني على التأكد من توافق بيانات المؤسسة مع المعايير المنصوص عليها في قوانين البلد الذي توجد فيه شركتك، بالإضافة إلى تلك التي قد تتعامل معها.
بعض المخاطر الأمنية المرتبطة بالسحابة العامة هي:
- خروقات البيانات: تتزايد كمية البيانات المخزنة على السحابة العامة باستمرار، مما يجعلها هدفًا أكثر جاذبية وربحًا للمتسللين. يمكن أن يؤدي الفشل في حماية البيانات بشكل مناسب إلى انتهاكات مكلفة للبيانات يمكن أن تؤدي بدورها إلى فرض غرامات وإجراءات قانونية وحتى اتهامات جنائية ضد المؤسسة. تتسبب خروقات البيانات أيضًا في أضرار باهظة الثمن للسمعة ويمكن أن تؤدي إلى فشل الشركات في الالتزام بلوائح خصوصية البيانات الصارمة بشكل متزايد.
- المصادقة الضعيفة: تعتمد حماية البيانات السحابية العامة على نشر أساليب وعمليات مصادقة قوية، مثل المصادقة متعددة العوامل (MFA).
- عدم وجود التشفير: تشفير البيانات يجعلها غير قابلة للقراءة لأي شخص غير مصرح له بالوصول إليها. لذلك، حتى لو تمكن المهاجمون من الوصول إلى النظام، فلن يتمكنوا من قراءة البيانات المشفرة، مما يجعلها عديمة الفائدة بالنسبة لهم. يضمن التشفير بقاء البيانات سرية ويعزز سلامة البيانات المستندة إلى السحابة.
- التهديدات الداخلية: تحدث هذه الهجمات بواسطة أشخاص يعملون في مؤسسة ما (أي موظفين حاليين أو سابقين) أو لديهم إمكانية الوصول إلى شبكات الشركة وأنظمتها. عادة ما يكون الدافع وراء الهجوم الداخلي ماليًا. ويمكن أن تكون أيضًا نتيجة لسعي الموظف للانتقام من مؤسسة ما أو لسرقة الملكية الفكرية (IP). بالإضافة إلى ذلك، يمكن أن تنتج التهديدات الداخلية عن خطأ بشري وثغرات في أمان السحابة العامة، مثل فشل متخصص تكنولوجيا المعلومات في إلغاء وصول المستخدم عندما يغادر الموظف المؤسسة أو يتغير دوره الوظيفي.
- سرقة هوية المستخدم: بدون الأمان الكافي، يمكن للمهاجمين التنصت والتطفل على البيانات وتعديلها وسرقتها بسهولة نسبية. يستخدم مجرمو الإنترنت البيانات الحساسة بشكل متزايد لارتكاب سرقة الهوية. يتضمن ذلك استخدام نواقل الهجوم المختلفة، مثل سرقة بطاقات الائتمان، وانتهاكات البيانات، والبرامج الضارة، وهجمات رفض الخدمة الموزعة (DDoS) لسرقة البيانات الشخصية.
تتضمن بعض الطرق لضمان استخدام الشركات للخدمات السحابية العامة بأمان وأمان ما يلي:
- التشفير: استخدم تشفير البيانات للحفاظ على البيانات الحساسة آمنة من الاستخدام غير المصرح به.
- خطة بديلة: قم بتنفيذ خطة النسخ الاحتياطي للبيانات للحفاظ على الأمان في السحابة.
- ضوابط وصول المستخدم: إدارة عناصر التحكم في وصول المستخدم.
- المصادقة متعددة العوامل (MFA): تطبيق وزارة الخارجية.
- تدريب الموظفين: ينبغي توفير قدر كاف من تدريب المستخدم (سواء على مستوى المستخدم النهائي أو على مستوى المسؤول) للقوى العاملة لمساعدتهم على فهم بيئتهم بشكل أفضل.
- جدران الحماية: استخدم جدران الحماية للمساعدة في الحفاظ على أمان أعمالك من الهجمات الإلكترونية والمساعدة في الامتثال لمعايير الأمان.
- إدارة الضعف: استخدم إدارة الثغرات الأمنية السحابية لتحسين أمان النظام الأساسي السحابي والتطبيقات التي تستخدمه والبيانات التي يتم تخزينها وتسليمها بواسطتها.
- إدارة الشهادات: الإصرار على شهادات الامتثال الصارمة.
- اختبار الضعف والاختراق السحابي: استخدم اختبار الاختراق السحابي لتحديد أي نقاط ضعف في الأنظمة المستندة إلى السحابة.
بيجي يعقوب عضو في إيساكا مجموعة عمل الاتجاهات الناشئة.