سحابة الأمن Demystified

جدول المحتويات:

Anonim

أنظمة تكنولوجيا المعلومات القائمة على السحابة تفي بوظائف مهمة في كل صناعة حديثة تقريبًا. تستخدم الشركات والمؤسسات غير الربحية والحكومات وحتى المؤسسات التعليمية السحابة لتوسيع نطاق الوصول إلى الأسواق وتحليل الأداء وإدارة الموارد البشرية وتقديم خدمات محسنة. من الطبيعي أن تكون الحوكمة الأمنية السحابية الفعالة ضرورية لأي كيان يريد جني فوائد تكنولوجيا المعلومات الموزعة.

مثل كل مجال لتكنولوجيا المعلومات ، فإن الحوسبة السحابية لها مخاوف أمنية فريدة. على الرغم من أن فكرة الحفاظ على البيانات آمنة في السحاب تعتبر منذ فترة طويلة تناقضاً مستحيلاً ، إلا أن ممارسات الصناعة واسعة الانتشار تكشف عن تقنيات عديدة توفر الأمن السحابي الفعال. كما أثبت مقدمو الخدمات السحابية التجاريون مثل Amazon AWS من خلال الحفاظ على توافق FedRAMP ، فإن الأمان السحابي الفعال قابل للتحقيق وعملية في العالم الحقيقي.

$config[code] not found

رسم خريطة طريق أمنية ذات تأثير

لا يمكن لأي مشروع أمن تكنولوجيا المعلومات أن يعمل بدون خطة قوية. يجب أن تختلف الممارسات التي تشمل السحابة وفقًا للمجالات والتطبيقات التي تسعى إلى حمايتها.

على سبيل المثال ، لنفترض أن إحدى الهيئات الحكومية المحلية تعمل على جلب السياسة الخاصة بك أو BYOD. قد تضطر إلى تفعيل ضوابط رقابة مختلفة عما لو كانت تمنع موظفيها من الوصول إلى الشبكة التنظيمية باستخدام هواتفهم الذكية الشخصية وأجهزة الكمبيوتر المحمولة والأجهزة اللوحية. وبالمثل ، قد تحتاج الشركة التي تريد إتاحة الوصول إلى بياناتها إلى المستخدمين المصرّح لهم من خلال تخزينها في السحاب إلى اتخاذ خطوات مختلفة لمراقبة الوصول أكثر من الخطوات التي قد تتخذها إذا احتفظت بقواعد البيانات الخاصة بها والخوادم الفعلية.

هذا لا يعني ، كما اقترح البعض ، أن الحفاظ على أمان السحابة بنجاح أقل احتمالاً من الحفاظ على الأمان على شبكة محلية خاصة. لقد أظهرت التجربة أن فعالية تدابير الحماية السحابية المختلفة تعتمد على مدى التزامها بمنهجيات مؤكدة معينة. بالنسبة للمنتجات والخدمات السحابية التي تستخدم البيانات والأصول الحكومية ، يتم تعريف أفضل الممارسات هذه كجزء من البرنامج الفيدرالي لإدارة المخاطر والمخولة ، أو FedRAMP.

ما هو البرنامج الفيدرالي لإدارة المخاطر والتصريح؟

يعد برنامج إدارة المخاطر والتصريح الفيدرالي بمثابة عملية رسمية تستخدمها الوكالات الفيدرالية للحكم على كفاءة خدمات ومنتجات الحوسبة السحابية. في صميمها تكمن المعايير المحددة من قبل المعهد الوطني للمعايير والتكنولوجيا ، أو NIST ، في وثائق خاصة مختلفة ، أو SP ، ومعايير معالجة المعلومات الفيدرالية ، أو FIPS. تركز هذه المعايير على الحماية الفعالة القائمة على السحابة.

يوفر البرنامج إرشادات للعديد من مهام أمان السحابة الشائعة. ويشمل ذلك التعامل بشكل صحيح مع الحوادث ، باستخدام تقنيات الطب الشرعي للتحقيق في المخالفات ، والتخطيط للطوارئ للحفاظ على توافر الموارد وإدارة المخاطر. يتضمن البرنامج أيضًا بروتوكولات اعتماد لمنظمات اعتماد الجهات الخارجية ، أو 3 PAOs ، والتي تقوم بتقييم عمليات السحابة على أساس كل حالة على حدة. إن الحفاظ على الامتثال المعتمد بـ 3PAO هو علامة مؤكدة على أن مُكَوِّن أو مزود تكنولوجيا المعلومات جاهز للحفاظ على أمان المعلومات في السحابة.

الممارسات الأمنية الفعالة

إذن ، كيف تحافظ الشركات على سلامة البيانات مع مزودي الخدمات السحابية التجاريين؟ في حين أن هناك تقنيات مهمة لا حصر لها ، قليل منها جدير بالذكر هنا:

التحقق من مقدم الخدمة

تبنى علاقات العمل القوية على الثقة ، ولكن يجب أن تنشأ هذه النية الحسنة في مكان ما. مهما كان مزود الخدمة السحابية راسخًا ، من المهم أن يوثق المستخدمون ممارسات الامتثال والحوكمة لديهم.

معايير أمن تكنولوجيا المعلومات الحكومية عادة ما تتضمن استراتيجيات التدقيق والتسجيل. يُعد التحقق من الأداء السابق لمقدم السحابة وسيلة جيدة لاكتشاف ما إذا كانت جديرة بأعمالك المستقبلية أم لا. يمكن للأفراد الذين يحملون عناوين البريد الإلكتروني.gov و.mil أيضًا الوصول إلى حزم أمان FedRAMP المرتبطة بموفرين مختلفين لتأكيد مطالبات الامتثال الخاصة بهم.

افترض دورًا استباقيًا

على الرغم من أن الخدمات مثل Amazon AWS و Microsoft Azure تدعي التزامها بالمعايير المعمول بها ، إلا أن السلامة الشاملة للسحابة تأخذ أكثر من طرف واحد. استنادًا إلى حزمة الخدمات السحابية التي تشتريها ، قد تضطر إلى توجيه تنفيذ مزودك لميزات رئيسية معينة أو إعلامه بأنه يحتاج إلى اتباع إجراءات أمان محددة.

على سبيل المثال ، إذا كنت مصنِّعًا لأجهزة طبية ، فإن قوانين مثل قانون قابلية التأمين الصحي وقابلية التأمين ، أو قانون إخضاع التأمين الصحي لقابلية التأمين الصحي ، قد تطلب منك اتخاذ خطوات إضافية لحماية بيانات صحة المستهلك. غالبًا ما توجد هذه المتطلبات بشكل مستقل عن ما يجب على مزوّدك فعله للاحتفاظ بشهادتهم في برنامج إدارة المخاطر والتصريح الفيدرالي.

في الحد الأدنى ، ستكون مسؤولاً فقط عن الحفاظ على ممارسات الأمان التي تغطي تفاعلك التنظيمي مع أنظمة السحاب. على سبيل المثال ، تحتاج إلى وضع سياسات كلمة مرور آمنة لموظفيك وعملائك. إسقاط الكرة على طرفك يمكن أن يضر حتى بتنفيذ الحماية السحابية الأكثر فعالية ، لذا تحمل المسؤولية الآن.

يؤثر ما تفعله مع الخدمات السحابية في نهاية المطاف على فعالية ميزات الأمان الخاصة بهم. يمكن لموظفيك الدخول في ممارسات تكنولوجيا معلومات الظل ، مثل مشاركة المستندات عبر Skype أو Gmail ، لأسباب تتعلق بالملاءمة ، ولكن هذه الأعمال التي تبدو غير حميدة قد تعرقل خطط الحماية السحابية المحددة بعناية. بالإضافة إلى تدريب الموظفين على كيفية استخدام الخدمات المعتمدة بشكل صحيح ، تحتاج إلى تعليمهم كيفية تجنب المخاطر التي تنطوي على تدفقات غير رسمية للبيانات.

فهم شروط خدمة السحابة الخاصة بك للتحكم في المخاطر

لا يمنحك بالضرورة استضافة بياناتك على السحاب نفس البدلات التي تتمتع بها التخزين الذاتي. يحتفظ بعض مقدمي الخدمة بالحق في نقل المحتوى الخاص بك حتى يمكنهم عرض الإعلانات أو تحليل استخدام منتجاتهم. قد يحتاج الآخرون إلى الوصول إلى معلوماتك أثناء تقديم الدعم الفني.

في بعض الحالات ، لا يمثل تعرض البيانات مشكلة كبيرة. على الرغم من أنك تتعامل مع معلومات مستهلكات أو بيانات الدفع التي يمكن التعرف عليها شخصيًا ، إلا أنه من السهل معرفة كيف يمكن لجهة خارجية الوصول إلى الكارثة.

قد يكون من المستحيل منع كل الوصول إلى نظام بعيد أو قاعدة بيانات. ومع ذلك ، فإن العمل مع مزودي الخدمة الذين يقومون بإصدار سجلات التدقيق وسجلات الوصول إلى النظام يبقيك على اطلاع حول ما إذا كان يتم الاحتفاظ ببياناتك بشكل آمن أم لا. هذه المعرفة تقطع شوطا طويلا نحو مساعدة الكيانات على تخفيف الآثار السلبية لأي خروقات تحدث.

أبدا افترض الأمن هو قضية لمرة واحدة

معظم الأشخاص الأذكياء يغيرون كلمات مرورهم الشخصية بشكل منتظم. ألا يجب أن تكون مجتهدًا بشأن أمن تكنولوجيا المعلومات المستند إلى السحابة؟

بغض النظر عن عدد المرات التي تملي فيها سياسة امتثال مقدم الخدمة إجراء المراجعة الذاتية ، يلزمك تحديد أو اعتماد مجموعة المعايير الخاصة بك لإجراء التقييمات الروتينية. إذا كنت مُلزمًا أيضًا بمتطلبات الامتثال ، فسيكون عليك تنفيذ نظام صارم يضمن لك الوفاء بالتزاماتك حتى إذا فشل مقدم الخدمة السحابي في القيام بذلك باستمرار.

إنشاء تطبيقات الأمان السحابية التي تعمل

أمان السحابة الفعال ليس مدينة غامضة تقع إلى الأبد بعد الأفق. كعملية راسخة ، فهي في متناول معظم مستخدمي ومقدمي خدمات تكنولوجيا المعلومات بغض النظر عن المعايير التي تتوافق معها.

من خلال تكييف الممارسات الموضحة في هذه المقالة مع أغراضك ، من الممكن تحقيق والحفاظ على معايير الأمان التي تحافظ على أمان بياناتك دون زيادة التشغيل التشغيلي بشكل كبير.

الصورة: SpinSys

1 تعليق ▼