Cloud Computing and CyberSecurity الحوسبة السحابية والأمن السيبراني
السحابة الالكترونية - مقدمة ماهي الحوسبة السحابية أو السحابة الالكترونية Cloud Computing Overview
Cloud Computing and CyberSecurity الحوسبة السحابية والأمن السيبراني
الحوسبة السحابية هي تقنية حديثة تعتمد على الإنترنت. يستخدم الإنترنت والخوادم البعيدة المركزية للحفاظ على البيانات والتطبيقات ، أو يمكنك القول ، إنه يستخدم موارد الكمبيوتر التي يتم تسليمها كخدمة عبر الإنترنت. يمكن تسمية الحوسبة السحابية بأنها المرحلة التالية في تطور الإنترنت.
أنواع السحابة المحوسبة
يمكن تقسيم الحوسبة السحابية إلى ثلاثة نماذج مختلفة: عامة ومختلطة وخاصة. في حين أن النماذج الثلاثة لها سمات مشتركة ، إلا أنها تتمتع أيضًا بميزات رئيسية مختلفة تجعل نموذجًا واحدًا خيارًا أفضل لتلبية احتياجات تكنولوجيا المعلومات للأعمال.
- السحابة الخاصة - السحابة الخاصة مخصصة للبنية التحتية الخاصة. يمكنك اعتبار إعداد مركز البيانات الشخصية الخاص بك بمثابة Private Cloud IaaS. ولكن ما لم تكن البنية التحتية السحابية (المحاكاة الافتراضية ، والتخزين ، والتكرار الشديد ، وما إلى ذلك) موجودة ، فإنها لا تعتبر سحابة ، ولكن المفهوم الأساسي هو نفسه. مثالان على حلول السحابة الخاصة هما VMware vCloud و Citrix VDI. وتسمى أيضًا "الحوسبة السحابية الداخلية" وهي الجيل التالي من المحاكاة الافتراضية.
- السحابة العامة - السحابة العامة مخصصة بالكامل للحلول المستضافة. هنا لا توجد أجهزة مستحقة للمستخدم. إنه النموذج التقليدي الذي يفكر فيه الجميع عندما يتصورون الحوسبة السحابية. يقوم البائعون بشكل ديناميكي بتخصيص موارد الحوسبة (مساحة محرك الأقراص الثابتة وذاكرة الوصول العشوائي وقوة المعالج) على أساس كل مستخدم من خلال تطبيقات الويب. Salesforce.com و ADP هما بائعان معروفان يقدمان خدمات الحوسبة السحابية العامة.
- السحابة المختلطة - تجمع السحابة المختلطة بين مفهوم كل من الخاص والعامة. تطورت معظم الشركات إلى هذا النوع من السحابة من بنية أساسية تقليدية خاصة للأجهزة إلى بنية أساسية قائمة على السحابة. بشكل عام ، ستتفاعل تطبيقات الأعمال مثل Exchange Server 2007 أو Microsoft Dynamics مع خدمة يستضيفها البائع. على سبيل المثال ، تقدم Cisco خدمة IronPort Email Security كحلها المختلط ، بينما تقدم Google ، المعروفة بالحل المستضاف ، أرشفة البريد الإلكتروني من Postini.
يعد المزج بين السحابة الخاصة والسحابة العامة الحل الأفضل لك ولعملائك. فهو يخلط بين خصوصية مركز البيانات التقليدي والبنية التحتية السحابية المستضافة. يمكن القول أن الشركات ستحول جهود استعادة البيانات إلى السحابة العامة مع الاحتفاظ بالإنتاج والعمليات داخل الشركة بواسطة سحابة خاصة.
توقع الخبراء والمحللون أنه بحلول نهاية عام 2012 ، سيكون حوالي 20٪ من الشركات موجودة بالكامل في السحابة العامة.
نماذج الخدمة السحابية
الشكل 2: نماذج السحابة
نماذج الخدمة السحابية الأساسية هي كما يلي
البنية التحتية كخدمة (IaaS) - البنية التحتية كخدمة (IaaS) هي ذلك الجزء من الحوسبة السحابية التي تسمح بتأجير وإدارة البنية التحتية للحوسبة لتلبية احتياجات الأعمال. يتكون هذا من أجهزة افتراضية (VMs) يتم تشغيلها كضيوف بواسطة برنامج Hypervisor ، مثل Xen أو KVM مع نظام التشغيل والبرامج الوسيطة والشبكة والتخزين والبيانات والتطبيقات.
يوفر البائع أيضًا واجهة إدارة يمكن من خلالها التفاعل مع الخدمات. تم الدفع مقابل موارد الحوسبة فيما يتعلق بعدد نظام المستخدم ، والمدة الزمنية (بشكل عام لكل ساعة) ، واستخدام النطاق الترددي (بشكل عام بالجيجابايت) ، والتخزين (بشكل عام بالجيجابايت) أو مجموعة من أي منها.
يوفر موفرو خدمات السحابة IaaS وموردوها الأجهزة المادية التي يمتلكونها ويديرونها في الخلف ، ويتم توفيرها عند الطلب من مجموعات كبيرة في مراكز البيانات. تتضمن أمثلة IaaS: Amazon CloudFormation (والخدمات الأساسية مثل Amazon EC2) و Rackspace Cloud و Terremark و Google Compute Engine. يقوم المستخدم بتثبيت صور نظام التشغيل على الأجهزة بالإضافة إلى البرامج التطبيقية المطلوبة. يتحمل المستخدم النهائي مسؤولية تصحيح أنظمة التشغيل وبرامج التطبيقات وصيانتها.
النظام الأساسي كخدمة (PaaS) - النظام الأساسي كخدمة عبارة عن منصات تطوير يتم استضافة أداة التطوير نفسها من أجلها في السحابة والوصول إليها من خلال متصفح. باستخدام PaaS ، يمكن للمطورين إنشاء تطبيقات ويب دون تثبيت أي أدوات على أجهزة الكمبيوتر الخاصة بهم ثم نشر هذه التطبيقات دون أي مهارات إدارة أنظمة متخصصة. يقدم مقدمو خدمات PaaS نظامًا أساسيًا للحوسبة مع نظام التشغيل وبيئة تنفيذ البرمجة وقاعدة البيانات وخادم الويب. يتم قياس موارد الكمبيوتر والتخزين تلقائيًا لمطابقة طلب التطبيق في PaaS.
يتمثل البديل لـ PaaS في تطوير تطبيقات الويب باستخدام أدوات تطوير سطح المكتب مثل Eclipse ، ثم نشر هذه التطبيقات يدويًا إلى موفر استضافة السحابة. تتطلب PaaS العناصر التالية كحد أدنى من المتطلبات
استوديو التطوير المستند إلى المستعرض - إذا كان عليك تثبيت شيء ما على جهاز الكمبيوتر الخاص بك لتطوير التطبيقات.
النشر السلس لبيئة وقت التشغيل المستضافة - من الناحية المثالية ، يجب أن يكون المطور قادرًا على نشر تطبيق PaaS بنقرة واحدة.
أدوات الإدارة والمراقبة - على الرغم من أن الحلول المستندة إلى السحابة فعالة للغاية من حيث التكلفة ، إلا أن إدارتها وقياسها صعب بدون أدوات جيدة. وبالتالي ، هناك حاجة إلى أدوات المراقبة لمراقبة التطبيقات السحابية.
الدفع الفوري للفواتير - أدى تجنب التكاليف المقدمة إلى جعل PaaS شائعًا لأن الدفع يعتمد على الاستخدام الفعلي للموارد.
تحتوي الأنظمة الأساسية PaaS أيضًا على اختلافات وظيفية عن منصات التطوير التقليدية. وتشمل هذه.
أداة تطوير متعددة المستأجرين: أدوات التطوير التقليدية هي مستخدم واحد - يجب أن يدعم الاستوديو القائم على السحابة عدة مستخدمين ، لكل منهم عدة مشاريع نشطة.
بنية النشر متعددة المستأجرين: غالبًا ما لا تكون قابلية التوسع مصدر قلق لجهود التطوير الأولية ويتم تركها بدلاً من ذلك للمسؤولين للتعامل معها عند نشر المشروع. في PaaS ، يجب أن تكون قابلية التوسع للتطبيق وطبقات البيانات مدمجة (على سبيل المثال ، موازنة التحميل ، يجب أن تكون تجاوز الفشل عناصر أساسية لمنصة التطوير نفسها).
الإدارة المتكاملة: لا يهتم حل التطوير التقليدي عادةً بمراقبة وقت التشغيل ، ولكن في PaaS ، يجب دمج قدرة المراقبة في منصة التطوير.
الفوترة المتكاملة: تتطلب عروض PaaS آليات للفوترة على أساس الاستخدام الفريد لعالم SaaS.
تعتمد مزايا PaaS على الأشخاص الذين يمكنهم تطوير تطبيقات الويب وصيانتها ونشرها. يتطلب بناء تطبيقات الويب مطورًا خبيرًا بثلاث مجموعات مهارات عالية التخصص
تطوير الخادم الخلفي (على سبيل المثال ، Java / J2EE)
تطوير عميل الواجهة الأمامية (على سبيل المثال ، Javascript / Dojo)
إدارة موقع الويب.
تتضمن أمثلة PaaS
App Engine من Google: يعتمد على Python و Django
com من SalesForce: استنادًا إلى البنية التحتية SalesForce SaaS ولغة Apex
Bungee Connect: استوديو تطوير بصري قائم على Java
الوثب الطويل: استنادًا إلى Java / Eclipse
Wave Maker: استوديو التطوير المرئي المستند إلى Java والمُستضاف على Amazon EC2
البرمجيات كخدمة - البرمجيات كخدمة (SaaS) ، تعمل كمورد للبرامج. إنه نموذج لتزويد البرامج حيث يتم استضافة البرامج والبيانات على السحابة. يتم الوصول إلى SaaS من قبل المستخدمين عبر متصفح الويب.
أصبحت SaaS في الصناعة التقنية الحالية نموذج تسليم شائع للعديد من تطبيقات الأعمال ، بما في ذلك المحاسبة والتعاون وإدارة علاقات العملاء (CRM) وأنظمة المعلومات الإدارية (MIS) وتخطيط موارد المؤسسات (ERP) والفواتير وإدارة الموارد البشرية (HRM ) ، وإدارة المحتوى (CM) وإدارة مكتب الخدمة. تتمثل إحدى أكبر نقاط البيع لهذه الشركات في إمكانية تقليل تكاليف دعم تكنولوجيا المعلومات عن طريق الاستعانة بمصادر خارجية لصيانة الأجهزة والبرامج ودعم مزود SaaS.
يعود تاريخ الاستضافة المركزية لتطبيقات الأعمال إلى الستينيات. ابتداءً من ذلك العقد ، أجرت شركة IBM وموفرو أجهزة الكمبيوتر المركزية الأخرى أعمال مكتب خدمات يشار إليها غالبًا باسم مشاركة الوقت أو حوسبة المرافق. تضمنت هذه الخدمات توفير قوة الحوسبة وتخزين قواعد البيانات للبنوك والمؤسسات الكبيرة الأخرى من مراكز البيانات العالمية الخاصة بها.
توسع البرمجيات كخدمة بشكل أساسي من فكرة نموذج ASP (مزود خدمة التطبيق). ومع ذلك ، فإن مصطلح البرمجيات كخدمة (SaaS) يستخدم بشكل شائع في إعدادات أكثر تحديدًا.
على عكس البرامج التقليدية التي تُباع كترخيص دائم بتكلفة مسبقة في السوق ، توفر SaaS تطبيقات أسعار باستخدام رسوم اشتراك ، غالبًا ما تكون رسومًا شهرية أو سنوية. عادةً ما تكون تكلفة الإعداد الأولية للبرامج SaaS أقل من تكلفة البرامج المكافئة الشائعة الاستخدام. عادةً ما يقوم بائعو SaaS بتسعير تطبيقاتهم على أساس معلمات الاستخدام.
في نموذج SaaS ، يتم توفير خدمة مجانية بوظائف محدودة ، ويتم فرض رسوم على الوظائف المحسنة. بعض تطبيقات SaaS الأخرى مجانية تمامًا للمستخدمين ، حيث يتم الحصول على إيرادات من مصادر بديلة مثل الإعلانات.
مع نموذج SaaS ، يتم استخدام إصدار واحد من التطبيق ، بتكوين واحد ، لجميع العملاء. في بعض الحالات ، يتم إعداد إصدار ثانٍ من التطبيق لتمكين مجموعة محددة من العملاء من الوصول إلى إصدارات ما قبل الإصدار من التطبيقات لأغراض الاختبار. هذه ميزة مع البرامج التقليدية ، حيث يتم تثبيت نسخ مادية متعددة من البرنامج ، كل منها من إصدار مختلف ، مع تكوين يحتمل أن يكون مختلفًا ، ومخصص في كثير من الأحيان ، عبر مواقع العملاء المختلفة.
تدعم تطبيقات SaaS تخصيص التطبيقات ، أي يمكن للمستخدمين تعيين التكوين الخاص بهم الذي يلبي وظائفهم ومظهرهم. يمكن لكل مستخدم أن يكون لديه إعداداته الخاصة لخيارات التكوين.
الأمن السحابي
أمن الحوسبة السحابية أو أمن السحابة هو جزء من أمن المعلومات. يشير إلى السياسات والتقنيات والضوابط المنشورة لحماية البيانات والتطبيقات وموارد الحوسبة السحابية التي تستخدمها المنظمة.
هناك عدد من مشكلات الأمان مع الحوسبة السحابية التي يواجهها مقدمو الخدمات السحابية أو عملائهم. يجب أن يتأكد مزود الخدمة السحابية من أن بنيته التحتية آمنة وأن بيانات العملاء وتطبيقاتهم محمية بينما يجب على العميل التأكد من أن المزود قد اتخذ تدابير الأمان المناسبة لحماية معلوماته.
التهديدات والقضايا الأمنية
- إساءة استخدام الحوسبة السحابية والاستخدام الشنيع
- واجهات برمجة التطبيقات غير الآمنة
- المطلعون الضارون
- نقاط ضعف التكنولوجيا المشتركة
- فقدان / تسرب البيانات
- سرقة الحسابات والخدمات وحركة المرور
- ملف تعريف مخاطر غير معروف
أشياء يجب أن تعرفها عن الأمن السيبراني في السحابة
1. المنظمة هي المسؤولة في نهاية المطاف عن أمن البيانات والمعاملات
يعرف موردو السحابة أنه يجب عليهم القيام بدورهم في مجال الأمن السيبراني ، ولكن في النهاية ، إذا تم اختراق بيانات العميل ، فستضطر المنظمة إلى الرد على هذا العميل أو دفع الغرامة. وبالمثل ، إذا وقعت منظمة ضحية لهجوم برامج الفدية ، فإن المنظمة هي التي يجب أن تدفع للهاكر. هذا يعني أنه لمجرد أنك تستخدم الحوسبة في السحاب ، فلا يمكنك أن تخذل حذرك. وفقًا لأحد المصادر ، هناك سببان شائعان لانتهاكات البيانات في السحابة هما قيود الوصول غير المهيأة على موارد التخزين والأنظمة المنسية أو المؤمنة بشكل غير صحيح ، وكلاهما من مسؤولية المؤسسة ، وليس مورد السحابة. لا يزال يتعين عليك جعل الأمن السيبراني أحد أعلى أولوياتك ، مما يضمن حصولك على موظفين مدربين وأن فريقك مواكب لأحدث التهديدات والتنبؤات.
2. يعمل موردو السحابة على زيادة الأمان وجعله أسهل للشركات
لقد استثمر بائعو السحابة بالفعل موارد هائلة في أمان منتجاتهم. عندما يشمل اللاعبون الرئيسيون Amazon (Amazon Web Services) ، و Microsoft (Azure) ، و Google (Google Cloud Platform) ، يمكنك التأكد من أن الأمان كان أحد أعلى الأولويات وقد تم تكليف بعض العقول الأكثر موهبة به— لأسباب تخدم الذات إذا لم تكن لغير ذلك. والآن حولوا اهتمامهم لمساعدة عملائهم على تحسين الأمان أيضًا. على سبيل المثال ، كما تم تلخيصه في مقال في Forbes ، تقدم Google مركز قيادة الأمان السحابي الذي يعمل بمثابة ماسح ضوئي للبحث عن نقاط الضعف ، وقد قامت كل من Amazon و Microsoft ببناء تطبيقات وبنى تحتية للمساعدة. إذا كنت تشك في مدى جودة تأمين الوصول والبيانات من جانبك ، فاتصل بالمورد للحصول على المساعدة.
3. الحوسبة السحابية يمكن أن تحسن الأمن
تقدم الحوسبة السحابية أحيانًا حلاً أمنيًا. الشركات الصغيرة والمتوسطة الحجم معرضة بشكل خاص للهجمات الإلكترونية مثل برامج الفدية لأنها لا تمتلك أو لم تنفق الموارد على تحسين أمنها الإلكتروني. يمكن أن يؤدي الانتقال إلى السحابة إلى تحسين الأمان العام لأن موردي السحابة - كما هو موضح أعلاه - يتمتعون ببعض من أقوى أمان في مجال تكنولوجيا المعلومات. في الواقع ، يجادل البعض بأن نقل البيانات إلى السحابة أكثر أمانًا من الاحتفاظ بها في الموقع ، على الرغم من أنه قد يكون من الصعب على بعض مديري تكنولوجيا المعلومات قبول ذلك ، نظرًا لميلهم الطبيعي للاحتفاظ بالبيانات حيث يتمتعون بأكبر قدر من التحكم فيها.
4. الأمن السحابي هو مشكلة أكبر مع اللائحة العامة لحماية البيانات
في مايو 2018 ، أصبح اللائحة العامة لحماية البيانات (GDPR) سارية المفعول. على الرغم من أنها تنطبق على المقيمين في الاتحاد الأوروبي (EU) والمنطقة الاقتصادية الأوروبية (EEA) ، إلا أن لها تأثيرات بعيدة المدى للمنظمات في جميع أنحاء العالم لأن مواطني هذه المناطق غالبًا ما يتعاملون مع كيانات خارج هذه المناطق. بعد القانون العام لحماية البيانات ، يجب على تلك الكيانات والمؤسسات التأكد من امتثال ممارسات البيانات الخاصة بهم. على الرغم من أن أفضل طريقة لضمان الامتثال هي من خلال المستشار القانوني ، إلا أن هذا يعني بشكل عام أن كل من مورد السحابة وعميل السحابة يجب أن يكونا متوافقين مع ممارسات حماية البيانات. بالنسبة للشركات التي تستخدم حلًا متعدد السحابة ، مع أكثر من مورد واحد ، يجب أن يتوافق كل حل أيضًا. قد يكون هذا الأمر معقدًا بعض الشيء ، لذا فهو شيء يجب أن تسعى جاهدة للبقاء على رأسه.
5. يتأثر أمان السحابة بالفعل بإنترنت الأشياء (IoT)
على الرغم من كل التقدم المحرز في تأمين الحلول السحابية ومراكز البيانات والبنية التحتية للشبكات ، إلا أننا على وشك التراجع عن الكثير من هذا التقدم بسبب إنترنت الأشياء (IoT). مع انفجار أجهزة إنترنت الأشياء ، يأتي انفجار في نقاط الضعف الأمنية ، لأن هذه الأجهزة غالبًا لا تتمتع بمستوى الأمان الذي ينبغي لها (حتى الآن). ونتيجة لذلك ، فإنهم يوفرون "طريقة" لبياناتك وحتى الحلول السحابية ، مما يقوض جهود الأمن الإلكتروني الأخرى. يتوقع أحد الخبراء أن الأمر سيكون سيئًا للغاية لدرجة أن العامين المقبلين سيبدو وكأنهما لعبة Whack-a-Mole حيث تتعامل الشركات مع هذه الانتهاكات الأمنية لمرة واحدة.
المصطلحات
- General Data Protection Regulation =GDPR
- European Union = EU
- European Economic Area = EEA
- Internet of Things= IoT
- Software as a Service =SaaS
- ASP=Application Service Provider
- content management =CM
- human resource management =HRM
- enterprise resource planning =ERP
- management information systems =MIS
- customer relationship management =CRM
- Platform as a Service =PaaS
- virtual machines =VMs
- Infrastructure as a Service =IaaS
اقرأ أيضا في دليل محلل الأمن السيبراني
تكنولوجيا الإنترنت
- الشبكات
- Wireless LAN Basics - CyberSecurity Analyst guide أساسيات الشبكة المحلية اللاسلكية - دليل محلل الأمن السيبراني
- Web Basics - CyberSecurity Analyst guide أساسيات الويب - دليل محلل الأمن السيبراني
- What is Website? - CyberSecurity Analyst guide? ما هو الموقع؟ - دليل محلل الأمن السيبراني؟
- What is Information Security? - CyberSecurity Analyst guide? ما هو أمن المعلومات؟ - دليل محلل الأمن السيبراني؟
- What is cryptography؟ CyberSecurity Analyst Guide ما هو التشفير؟ دليل محلل الأمن السيبراني
- What is meant PKI (public key infrastructure)?ما المقصود بـ PKI (البنية التحتية للمفتاح العام)؟ محلل الأمن السيبراني
- What are the differences between electronic signature, digital signature and digitized signature?ما الفرق بين التوقيع الإلكتروني والتوقيع الرقمي والتوقيع الرقمنة
- What means access management? ماذا تعني إدارة الدخول او الوصول؟ دليل مدير الأمن السيبراني
- What is a user access management? ما هي إدارة وصول المستخدم؟دليل محلل الأمن السيبراني