في الأيام الأولى للسحابة، كثر الارتباك حول نموذج المسؤولية المشتركة. كان من الشائع أن يفترض العملاء ببساطة أن وضع بياناتهم في السحابة يعني أن البيانات آمنة دون بذل أي جهد من جانبهم. واليوم، رغم أن هذا المفهوم الخاطئ لم يتم محوه بالكامل، إلا أنه أصبح أقل احتمالاً لتعثر الشركات.
يستمر الترحيل إلى السحابة ويختلف نضج السحابة اعتمادًا على المؤسسة. تحدث التكوينات الخاطئة، كما يحدث الخروقات. في الواقع، غالبية الخروقات (82%) البيانات المعنية في السحابة، وفقًا لتقرير تكلفة خرق البيانات لعام 2023 الصادر عن شركة IBM.
مع تبني المؤسسات بشكل متزايد لاستخدامها للخدمات السحابية المتعددة، ستستمر الجهات الفاعلة في مجال التهديد في استهدافها. إن فهم كيفية مسؤولية موفري الخدمات السحابية عن أمان السحابة وكيف يتحمل العملاء مسؤولية الأمان في السحابة يمكن أن يساعد المؤسسات على تجنب الأخطاء المحتملة.
من المسؤول عن ماذا؟
إن التعريف الواسع لنموذج المسؤولية المشتركة يعني أن مقدمي الخدمات السحابية (CSPs) مسؤولون عن تأمين البنية التحتية الأساسية للسحابة. مراكز البيانات والشبكات المادية هي مسؤوليتهم. يتحمل العملاء مسؤولية تأمين بيئتهم وبياناتهم في السحابة.
وفي حين أن هذا التعريف الواسع مقبول على نطاق واسع، إلا أن هناك مجالًا للفوارق الدقيقة بين مختلف مقدمي خدمات الاتصالات. “إنهم ينظرون إلى الأمر بنفس الطريقة على نطاق واسع، وبعد ذلك، ينظرون إليه بشكل مختلف عندما تدخل في خدمات معينة،” راندي أرمنشت، المدير الإداري للاستشارات السحابية العالمية في شركة استشارات عالمية. بروتيفيتي“، يقول InformationWeek.
ويقدم مقدمو خدمات الاتصالات الكثير من الخدمات المختلفة. “لدينا أكثر من 200 خدمة… لذا فإن هذا المعيار من جانب العملاء وجانب AWS يتغير قليلاً في اثنتين من الخدمات،” كلارك رودجرز، مدير استراتيجية المؤسسة في شركة الحوسبة السحابية خدمات الويب من أمازون (AWS)يقول.
يحتاج قادة المؤسسات إلى البحث في الوثائق الخاصة بكل خدمة سحابية يستخدمونها لفهم مسؤولياتهم التنظيمية ولتجنب الثغرات وسوء الفهم المحتملة.
على الرغم من وجود تقسيم محدد للمسؤوليات، إلا أن مقدمي خدمات الاتصالات يضعون أنفسهم عادةً كشركاء حريصين على مساعدة عملائهم في الحفاظ على الجزء الخاص بهم من الأمان السحابي. يقول أرمنشت: “إن مقدمي الخدمات السحابية مهتمون للغاية ويستثمرون في فهم عملائهم للنموذج”.
تختار Google، على سبيل المثال، الإشارة إلى نموذج المسؤولية المشتركة باعتباره واحدًا من “مصير مشترك“. “نحن نتجاوز حدود المسؤولية المشتركة هذه، ونتشارك مع عملائنا، ونقدم … المزيد من التوجيهات الإرشادية والقدرات والخدمات والفرق مثل فريقي، على سبيل المثال، لمساعدتهم في هذا الجزء من نموذج المسؤولية هذا”، يوضح نيك جودفري، كبير الموظفين المدير والرئيس العالمي، مكتب CISO في جوجل كلاود، مجموعة خدمات الحوسبة السحابية من Google.
يعد نجاح العملاء شعارًا شائعًا بين موفري الخدمات السحابية، على الرغم من أن الصياغة الدقيقة قد تكون مختلفة. “السحابة ليست مجرد تقنية. يقول ناتاراج ناجاراتنام، مدير التكنولوجيا التنفيذي للأمن السحابي في شركة التكنولوجيا: “إنها في النهاية شراكة بين المؤسسة ومزود الخدمة”. آي بي إم.
عندما يحدث سوء الفهم
يتحمل كلا الطرفين، العميل والمزود، مسؤولياتهما الأمنية، ولكن لا يزال من الممكن حدوث سوء فهم. في الأيام الأولى للسحابة، كان الافتراض الخاطئ للأمان التلقائي أحد أكثر المفاهيم الخاطئة شيوعًا لدى قادة المؤسسات حول السحابة. يقوم موفرو الخدمات السحابية بتأمين السحابة، لذا فإن أي بيانات مخزنة في السحابة تكون آمنة تلقائيًا، أليس كذلك؟ خطأ.
يوضح رودجرز: “بمجرد أن يقرر العميل التسجيل للحصول على حساب، والبدء في استخدام خدمات AWS، والبدء في إدخال البيانات هناك، تقع على عاتقه مسؤولية كيفية اختيار تكوين خدماتنا لتلبية احتياجاته المحددة فيما يتعلق بالأمان والامتثال والخصوصية”.
قد يقوم عملاء السحابة أيضًا عن طريق الخطأ بوضع افتراضات حول الامتثال للوائح مثل PCI أو HIPAA. “تمتلك Microsoft وAWS وغيرهما كافة إعدادات التكوين المتاحة والخدمات المتاحة لتكون متوافقة مع PCI، ولكن ببساطة [putting] بياناتك هناك لا تجعلك متوافقًا. يقول أرمكنخت: “عليك أن تقوم بتهيئة الأمور عمدًا لتكون متوافقة”.
اليوم، أصبح مقدمو الخدمات السحابية أقل عرضة للالتقاء بالعملاء الذين يقومون بهذا النوع من الافتراضات. “بمرور الوقت، أصبح هذا المفهوم الخاطئ بالتأكيد [been] يقول ناجاراتنام: “لقد انخفض، ولكن لسوء الحظ، لم يختف”.
حتى لو كان العملاء يفهمون مسؤولياتهم تمامًا، فقد يرتكبون أخطاء عند محاولتهم الوفاء بها. تعد التكوينات الخاطئة نتيجة محتملة للعملاء الذين يتنقلون بأمان السحابة. من الممكن أيضًا حدوث تكوينات خاطئة من جانب موفر السحابة.
“ثالوث وكالة المخابرات المركزية: السرية والنزاهة والتوافر. يقول أرمنشت: “في الأساس، فإن التكوين الخاطئ أو الافتقار إلى التكوين سيعرض أحد هذه الأشياء للخطر”. قد تؤدي التكوينات الخاطئة إلى مشكلات مثل انقطاع النظام أو الثغرات الأمنية القابلة للاستغلال.
يدرك مقدمو الخدمات السحابية أن المخاطر المحتملة والهدف يساعد العملاء على تجنب هذا المأزق. يقول جودفري: “إننا نبذل قصارى جهدنا لتوفير طبقات من الدفاع وعناصر تحكم متعددة بحيث يكون هناك انخفاض كبير في احتمال حدوث خطأ في التكوين يتسبب في هذا النوع من السيناريوهات الكابوسية”.
لكن التكوينات الخاطئة لا تزال تحدث. “حيث نجد أشخاصًا لديهم سوء الفهم هذا عندما يصل الأمر إلى مستوى الخدمة الواحد، وأعتقد عادةً أن ذلك نتيجة لانتقال فرق تكنولوجيا المعلومات والتطوير [too] يقول أركنخت: “بسرعة”. “لم يتحققوا من صحة افتراضهم لنموذج المسؤولية المشتركة لكل خدمة.”
الحديث عن المسؤولية المشتركة
كيف يجب على العملاء التحدث مع مقدمي خدمات الاتصالات حول المسؤولية المشتركة؟
“سأنظر بكل تأكيد إلى طبيعة الدعم والخدمات التي يقدمها مزود الخدمة السحابية للعميل. أود أن أطرح أسئلة حول فلسفتهم ونهجهم للتأمين [by] يقول جودفري: “الافتراضي والآمن وفقًا لمبادئ التصميم”. “أود أن أسأل عن الدعم فيما يتعلق بتوفير الأسس والمخططات والإرشادات … لتمكين العميل من عدم الاضطرار إلى اكتشاف كل شيء بنفسه.”
يمكن للمحادثات حول التوقعات والدعم المتوفر أن تزود عملاء المؤسسات بمزيد من الوضوح. بمجرد التسلح بهذه المعرفة، تحتاج فرق المؤسسة – التي غالبًا ما تقودها الجهود المنسقة لكل من CIO وCTO وCISO – إلى العمل الداخلي لدعم مسؤولياتهم الأمنية السحابية.
يقول جودفري: “غالبًا ما يكون هناك ميل إلى افتراض أن العلاقة بين CISO وCTO أو CIO هي علاقة عدائية أو مليئة بالتحديات لأنهما يريدان أشياء مختلفة”. “نعتقد في الواقع أنهم ربما يريدون نفس الأشياء تمامًا، وهي سحابة آمنة ومرنة تمكن الشركة من القيام بالأعمال بالسرعة التي تريدها مع كل المرونة التي يمكن أن تقدمها السحابة.”
اعتمادًا على مدى نضج المؤسسة، قد تكون أو لا تكون لديها هذه الأدوار أو الموارد اللازمة لإدارة المسؤوليات المشتركة المرتبطة بالسحابة بشكل صحيح.
“ليس كل العملاء متشابهين. ليس لديهم نفس الموارد. يقول رودجرز: “ليس لديهم نفس طاقم العمل أو مجموعة المهارات داخليًا”. “قد ينضم العملاء إلى MSSP [managed security service provider] … واستخدامها أثناء قيامهم بتحسين مهارات موظفيهم، ثم في النهاية يتخلصون من MSSP حيث يكتسبون المزيد من الألفة والوظائف داخل AWS.
تعقيد السحابة المتعددة
مع استفادة المؤسسات بشكل متزايد من فوائد السحابة، فقد تجد أنه من المفيد العمل مع مقدمي خدمات مختلفين واعتماد خدمات مختلفة لدعم مجموعة متنوعة من وظائف الأعمال. يقول رودجرز: “يستخدم غالبية العملاء الذين التقيت بهم أكثر من سحابة واحدة، أو يستخدمون خدمات SaaS”.
يمكن أن يصبح الحفاظ على نصف نموذج المسؤولية المشتركة أكثر تعقيدًا بالنسبة للعملاء من هذا النوع. تحتاج فرق المؤسسة إلى فهم كيفية تحول مسؤولياتها، اعتمادًا على الموفر والخدمة المحددة. “لذا، لدى الفريق المزيد للقيام به؛ يقول أرمكنشت: “سوف يستغرق الأمر وقتًا أطول”. ويشير أيضًا إلى أن الفرق قد تفهم إحدى البيئات السحابية ولكنها تواجه صعوبة في التعامل مع أخرى. “ربما يخطئون في تحديد الضوابط اللازمة للوفاء بمسؤوليتهم المشتركة.”
على الرغم من تزايد تعقيدات البيئات السحابية المتعددة والهجينة، إلا أن هناك بعض الطرق التي يمكن من خلالها أن تصبح إدارة المسؤولية المشتركة أسهل. ويشير ناجاراتنام إلى أنه “يمكن جعل هذه المسؤوليات أكثر قابلية للمعالجة باستخدام تقنيات مثل الذكاء الاصطناعي والأتمتة”.
مع استمرار التكنولوجيا والمخاطر في التغير، ماذا يعني ذلك بالنسبة لنموذج المسؤولية المشتركة؟
يقول جودفري: “أعتقد أن التعريفات الخاصة بالمكان الذي يقع فيه التحديد فعليًا من الناحية الفنية ستستمر في التطور مع استمرار تطور المنتجات السحابية”. “لكنني لا أعتقد أن نموذج المسؤولية المشتركة في هذا النوع من التحديد التعاقدي والقانوني سوف يختفي”.
