الأمن السحابي يبث الخوف في قلب CISOs وممارسي المخاطر على حد سواء. لسنوات كانت هناك تحذيرات مثيرة للقلق “السحابة هي مجرد جهاز كمبيوتر لشخص آخر”، “بمجرد أن تصبح في السحابة، فهي لم تعد ملكك”، “أنت لا تعرف أين توجد بياناتك” وما إلى ذلك. في حين أن بعض هذه التحذيرات تحمل بعض الحقيقة، والحقيقة هي أن الحوسبة السحابية توفر إمكانات إضافية للمراقبة. تتمثل قوة واجهة برمجة التطبيقات (API) في ضرورة مصادقة كل إجراء والترخيص به وتدقيقه، مما يعني أن المؤسسات لديها تحكم دقيق معزز في الوصول البرمجي إلى بياناتها واستخدامها في مسار تدقيق واحد.
مثل السحابة العامة نظرًا لأن السحابة مقبولة على نطاق واسع باعتبارها القاعدة، فإن المزيد والمزيد من المؤسسات تتطلع إلى الاستفادة، ليس فقط من المرونة والقدرة ونموذج الدفع أولاً بأول، ولكن أيضًا من المزايا الأمنية والحماية التي توفرها السحابة.
إن قدرة البنية التحتية على الاستجابة تلقائيًا للتهديدات والدفاع ضدها في الوقت الفعلي عبر مجموعات التكنولوجيا المختلفة والصوامع يمكن أن تحد من التأثير المحتمل للتسوية من ساعات/أيام/أسابيع إلى مجرد ثوانٍ.
ولكن كيف تتأكد المؤسسات من حماية بياناتها وخدماتها وكيف تتحقق من مستوى الضمان الذي يقدمه مزود الخدمة السحابية الخاص بها؟
كن واضحا بشأن موقع البيانات والوصول إليها: لفترة طويلة، قدم موفرو الخدمات السحابية إمكانية تخزين بيانات العملاء ومعالجتها عبر المناطق والمناطق التي اختارها العملاء. وقد وفر هذا بعض الضمانات بأن البيانات ستبقى ضمن الحدود الجغرافية التي طلبها العميل. ولكن ماذا عن الوصول؟ عندما أقوم بالمصادقة، أين تذهب بيانات الاعتماد الخاصة بي؟ هذه مشكلة أصعب، ولم يتمكن بعض مقدمي الخدمة إلا مؤخرًا من تقديم حل إقليمي لتقييد المصادقة على المناطق الجغرافية التي يحددها العميل. إذا كانت بيانات الاعتماد السحابية وفرق الدعم موجودة خارج مناطق العملاء، فما هي المخاطر التي ينطوي عليها ذلك؟ يعد فهم كيفية التحكم في وصول الموفر إلى بياناتك السحابية والرؤية التي تتمتع بها لهذا الوصول أمرًا أساسيًا.
ماذا التشفير متاح ولماذا تحتاج إلى إدارة المفاتيح؟ وحدات أمن الأجهزة (HSMs) يصعب إدارتها. والأكثر من ذلك عند تطبيقها على البنية التحتية السحابية نظرًا لأنها مصممة محليًا ولا تتحدث السحابية (لا تستخدم واجهات برمجة التطبيقات). وهذا يعني أن إدارتها في السحابة أمر معقد ويستغرق وقتًا طويلاً ويمكن أن يؤدي إلى عالم من الألم إذا تم إجراؤه بشكل غير صحيح. يعد استخدام خدمات مثل AWS KMS لإدارة المفاتيح المدعومة بوحدات HSM هو أفضل طريقة لتشفير البيانات وإدارة المفاتيح دون تكبد عناء إدارة وحدات HSM.
كيف يمكنني التحقق مما يخبرني به مزود الخدمة السحابية الخاص بي؟ يقدم العديد من موفري الخدمات السحابية التحقق المستقل من التأكيدات التي يقدمونها، وشهادات الامتثال AKA. إن الامتثال في حد ذاته ليس استراتيجية أمنية، ولكن هذه على الأقل تظهر مراجعة مستقلة للضوابط والأدلة على فعاليتها. من المفيد أيضًا التفكير في إجراء تدقيق من طرف ثالث إما من خلال تدقيق جماعي (مجتمع المصالح) أو 1-1 مع موفر السحابة.
من خلال الاستفادة من حلول الأمان السحابية الأصلية، يمكن للمؤسسات تجربتها قبل الشراء والتأكد من قدرتها على تحقيق أهدافها التجارية والأمنية. وهذا يسهل أيضًا اتباع أفضل نهج في فئته للسماح للمؤسسات باختيار الحل الأمني المناسب، بدلاً من الحل المجاني أو الذي يقدمه مزود السحابة.
ستيفن ماكديرميد هو المدير التنفيذي لأوروبا والشرق الأوسط وأفريقيا في اوكتا
