تكنولوجيا

ما هي تحديات الأمن السحابي؟

ما هي تحديات الأمن السحابي؟

أصدرت Check Point و Cybersecurity Insiders تقرير أمان السحابة العالمي لعام 2020، حيث تم التركيز على تحديات أمان السحابة التي تواجهها أنظمة أمان الأعمال في حماية البيانات وأعباء العمل في أنظمة السحابة العامة الخاصة بهم.

وفقًا للتقرير، كشف 75٪ من المشاركين أنهم “قلقون للغاية” بشأن أمن السحابة العامة حيث لا يزال يمثل تحديًا كبيرًا بالنسبة لهم.

التحديات في الأمن السحابي

  1. تسلل البيانات / الخروقات

    إحدى المشكلات والتحديات الحالية لأمان الحوسبة السحابية التي تؤثر على الأمن السحابي في عام 2020 هي مشكلة خرق البيانات. لخرق البيانات عدة عواقب، بعضها يشمل:

    • الطب الشرعي للحوادث والاستجابة التي تؤدي إلى نفقات مالية
    • العواقب القانونية والتعاقدية
    • الآثار السلبية على العلامة التجارية والتي يمكن أن تؤدي إلى انخفاض القيمة السوقية للأعمال بسبب جميع الأسباب المذكورة
    • الخسارة المالية التي قد تكون ناجمة عن الآثار التنظيمية
    • فقدان الملكية الفكرية (IP) للمنافسين، مما قد يؤثر على إطلاق المنتجات.
    • يمكن أن يؤثر على سمعة العلامة التجارية وثقة العملاء أو الشركاء في العمل.
  2. التكوين غير الصحيح والتحكم غير المناسب في التغيير

    يعد هذا أحد أكثر تحديات الأمان السحابية انتشارًا التي تواجه التكنولوجيا السحابية في عام 2020. على سبيل المثال، سربت حاوية التخزين السحابية AWS Simple Storage Service (S3) بيانات دقيقة وحساسة لحوالي 123 مليون أسرة أمريكية في عام 2017.

    كانت مجموعة البيانات مملوكة لـ Experian، وهو مكتب ائتمان شارك في بيع البيانات إلى مؤسسة تسويق عبر الإنترنت وتحليل البيانات تسمى Alteryx. تم الكشف عن الملف بواسطة Alterx. يمكن أن يكون لمثل هذا الحدوث عواقب مميتة.

  3. عدم توفر هيكل وتكتيكات أمان السحابة

    في جميع أنحاء العالم، تقوم العديد من الشركات بنقل أجزاء من البنية التحتية لتكنولوجيا المعلومات إلى السحابة العامة. تتمثل إحدى المشكلات الرئيسية في هذا الترحيل في دمج الهياكل الأمنية المناسبة لمعالجة التهديدات الإلكترونية.

    لكن التحدي يكمن في أن معظم الشركات لا تزال تجد أنه يكاد يكون من المستحيل تنفيذ هذه العملية. تكون مجموعات البيانات عرضة للعديد من الهجمات عندما تفترض الشركات أن الانتقال إلى السحابة هو مهمة “سهلة التنفيذ” تتمثل فقط في ترحيل نظام تكنولوجيا المعلومات الحالي وبنية الأمان إلى بيئة سحابية. عامل آخر يساهم أيضًا في الافتقار إلى فهم نموذج دور الأمان المشترك.

  4. الوصول غير الكافي، والاعتمادات، والهوية، وإدارة المفاتيح

    تأتي مع الحوسبة السحابية العديد من التغييرات على ممارسات إدارة النظام الداخلي النموذجية المرتبطة بإدارة الهوية والوصول (IAM). على الرغم من أن هذه ليست تحديات أمان سحابية جديدة حقًا، إلا أنها تمثل تحديات أكثر أهمية عند العمل في بيئة قائمة على السحابة.

    هذا لأن الحوسبة السحابية لها تأثيرات كبيرة على إدارة الهوية وبيانات الاعتماد والوصول. في كل من بيئات السحابة الخاصة والعامة، هناك حاجة لمقدمي خدمات الحوسبة السحابية ومستخدمي السحابة لإدارة IAM دون الإضرار بالأمن.

  5. حساب قرصنة

    اختطاف الحسابات هي مشكلة تتميز بالوصول إلى الحسابات التي تحتوي على تفاصيل حساسة للغاية أو خاصة وإساءة استخدامها من قبل المهاجمين الضارين. عادةً ما تكون الحسابات الأكثر تهديدات في البيئات السحابية هي الاشتراكات أو حسابات الخدمة السحابية.

    هذه الحسابات عرضة للتنازل نتيجة لبيانات الاعتماد المسروقة واستغلال الأنظمة المستندة إلى السحابة وهجمات التصيد الاحتيالي.

  6. الخروقات الداخلية

    وفقًا لتقرير Netwrix Cloud Security لعام 2018، تشير 58٪ من المؤسسات إلى أن المطلعين هم سبب الانتهاكات الأمنية. وبالتالي، فإن معظم الحوادث الأمنية ناتجة عن الإهمال من الداخل.

    أشار التقرير الصادر عن دراسة تكلفة التهديدات الداخلية التي أجراها معهد بونيمون لعام 2018 إلى أن 13٪ من الحوادث التي تم الإبلاغ عنها كانت بسبب سرقة بيانات الاعتماد، و 23٪ كانت مرتبطة بمطلعين جنائيين، و 64٪ كانت نتيجة إهمال الموظف أو المقاول.

    بعض السيناريوهات الشائعة المذكورة هي: وقوع الموظفين أو غيرهم من الموظفين الداخليين ضحايا لرسائل البريد الإلكتروني المخادعة التي أدت إلى هجمات ضارة على الأصول التجارية، وحفظ الموظفين لبيانات الشركة الخاصة على أنظمتهم أو أجهزتهم الشخصية غير الآمنة بشكل جيد، والخوادم السحابية التي تم تكوينها بشكل غير مناسب .

  7. واجهات API مع أمان ضعيف

    من أجل تمكين المستهلكين من إدارة واستخدام الأنظمة السحابية، يقوم موفرو الحوسبة السحابية بإصدار مجموعة من واجهات مستخدم البرامج (UIs) وواجهات برمجة التطبيقات. واجهات برمجة التطبيقات هذه هي التي تحدد مدى أمان وتوافر خدمات الخوادم السحابية الشاملة.

    من إدارة الوصول والمصادقة إلى التحكم في النشاط والتشفير، من الضروري أن تكون هذه الواجهات مصممة للحماية من المحاولات الخبيثة والعرضية للتسلل إلى سياسة الأمن. يمكن أن تكون الآثار المترتبة على واجهات برمجة التطبيقات غير الآمنة هي إساءة استخدام مجموعة البيانات أو – والأسوأ من ذلك – خرقها.

    نتج عدد من خروقات البيانات الرئيسية عن واجهات برمجة التطبيقات (API) المخترقة أو المكشوفة أو المعطلة. في الأساس، يصبح من الضروري للشركات أن تفهم ميزات الأمان التي تميز تصميم وعرض هذه الواجهات على الإنترنت.

  8. طائرة تحكم غير فعالة

    يخلق الانتقال من منصة البيانات إلى بيئة السحابة مشكلات معينة لإنشاء بروتوكول تخزين وحماية بيانات مناسب. من المهم الآن للمستخدم إنشاء عمليات جديدة لنسخ البيانات وترحيلها وتخزينها.

    تصبح هذه العملية أكثر تعقيدًا إذا كان المستخدم سيستخدم Multi-cloud. يجب حل هذه المشكلات بواسطة مستوى تحكم. هذا لأنه يوفر التكامل والأمان اللذين سيكملان مستوى البيانات الذي يحقق الاستقرار ووقت تشغيل البيانات.

    يشير مستوى التحكم غير الفعال إلى أن الشخص المسؤول – سواء كان مهندس DevOps أو مهندس نظام – ليس لديه سيطرة كاملة على التحقق والأمان والمنطق الخاص بالبنية التحتية للبيانات.

    في هذا النوع من المواقف، لا يكون أصحاب المصلحة الرئيسيون على دراية بكيفية تدفق البيانات، وتكوين الأمان، ومواقف / مناطق نقاط الضعف الهيكلية والنقاط العمياء. نتيجة لهذه التحديات في الأمان السحابي، قد تواجه الشركة تسرب البيانات أو عدم توفرها أو تلفها.

  9. أخطاء بنية التطبيق والهيكل الأساسي

    بين الحين والآخر، يكشف مقدمو الخدمات السحابية عن العمليات وبروتوكولات الأمان اللازمة لدمج وحماية أنظمتهم بنجاح. في معظم الحالات، يتم الكشف عن هذه المعلومات عبر استدعاءات واجهة برمجة التطبيقات (API) ويتم دمج وسائل الحماية في الهيكل الأساسي لـ CSP.

    يُنظر إلى الهيكل الأساسي على أنه خط العميل / CSP لترسيم الحدود، ويسمى أيضًا خط الماء. في هذا النموذج، تتميز عدة مستويات باحتمالات الخطأ. على سبيل المثال، التكامل غير المناسب لواجهة برمجة التطبيقات من قبل CSP يجعل من السهل على المهاجمين إعاقة عملاء السحابة من خلال قطع النزاهة والسرية وتوافر الخدمة.

  10. الرؤية المقيدة لاستخدام السحابة

    الرؤية المقيدة لاستخدام السحابة هي نتيجة عدم قدرة الشركة على تصور وتحليل أمان الخدمة السحابية المستخدمة داخل المؤسسة وتحليلها. هناك نوعان من التحديات الرئيسية لأمان السحابة في هذا المفهوم.

    الأول هو استخدام التطبيق بدون عقوبات. يحدث هذا عندما يستخدم الموظفون الأدوات والتطبيقات السحابية دون الحصول على إذن محدد من تكنولوجيا المعلومات والأمان في الشركة. هذا، بالتالي، يؤدي إلى نموذج المساعدة الذاتية المعروف باسم Shadow IT.

    يعد نشاط الخدمات السحابية غير الآمن أمرًا محفوفًا بالمخاطر عندما لا يتوافق مع إرشادات الشركة، لا سيما عند دمجها مع بيانات الشركة الحساسة. وفقًا للتوقعات التي قدمتها شركة Gartner، بحلول عام 2020، سيكون ⅓ من جميع عمليات التسلل الأمني ​​الناجحة في الشركات مدفوعة بأنظمة وموارد الظل لتكنولوجيا المعلومات.

    ثانيًا، يُعاقب على إساءة استخدام التطبيق. عادة ما يكون من الصعب على الشركات إجراء تحليل حول كيفية الاستفادة من التطبيقات المعتمدة من قبل المطلعين الذين يستخدمون التطبيق الخاضع للعقوبات.

    في أغلب الأحيان، يحدث هذا الاستخدام دون الحصول على إذن محدد من المنظمة، أو عن طريق وكلاء التهديد الخارجي الذين يستهدفون الخدمة من خلال طرق مثل هجمات نظام اسم المجال (DNS)، وحقن لغة الاستعلام الهيكلية (SQL)، وسرقة بيانات الاعتماد، وغيرها.

  11. إساءة الاستخدام والاستخدام الإجرامي للخدمات السحابية

    قد يستفيد المهاجمون الضارون من موارد الحوسبة السحابية لاستهداف موفري السحابة، بالإضافة إلى مستخدمين أو مؤسسات أخرى. من الممكن أيضًا للجهات الضارة استضافة برامج ضارة على الخدمات السحابية.

    قد يبدو أن البرامج الضارة التي تتم استضافتها على الخدمة السحابية تتمتع بشرعية أعلى لأن البرامج الضارة تستخدم مجال CSP. بالإضافة إلى ذلك، يمكن أن تستخدم البرامج الضارة المستندة إلى السحابة موارد مشاركة السحابة مثل ناقل الهجوم لنشر نفسها بشكل أكبر.

  12. نمو السحابة المختلطة يتجاوز القدرة على الحفاظ عليها

    وفقًا لمسح، أكد حوالي 60٪ من المستجيبين أو يتأكدون بشدة من أن إطلاق خدمات الأعمال في السحابة قد تجاوز قدرتهم على صيانتها بشكل فعال في الوقت المناسب. ظل هذا الرقم كما هو منذ الإبلاغ عنه. هذا يعني أنه لم يكن هناك تقدم في هذا الجانب. مع تزايد معدل اعتماد السحابة العامة، من الآمن استنتاج أن الأرضية ضاعت.

  13. هجمات رفض الخدمة (DOS)

    الهدف الأساسي لهجمات DoS هو تعطيل نظام أو شبكة أو جهاز بحيث يتعذر على المستخدمين المقصودين الوصول إليه. إن تطور ونمو العملات المشفرة مثل الريبل والبيتكوين يجعل من السهل حدوث هجمات DoS بشكل أكبر.

    باستخدام العملة المشفرة، لم يعد من الضروري لمجرمي الإنترنت اكتساب المهارات المطلوبة أو التحكم في الروبوتات. كل ما يحتاجون إليه هو توظيف متسلل آخر عبر خيارات التمويل هذه لتنفيذ العمل نيابة عنهم.

  14. قفل البائع

    من حيث ميزات الأمان، تم تحديد “قفل البائع” كعامل خطر. إنه مقيد للغاية أن يقتصر على خيار واحد فقط من حلول الأمان المتوافقة لخدمة السحابة. يمكن أن يكون تأثير ذلك انخفاض عائد الاستثمار للأمان.

    هذا لأن البائع المحبوس لا يحتاج إلى التنافس مع البائعين الآخرين. إنهم مع شركتك لأنك خيارهم الوحيد إذا كنت ترغب في خدمة وظيفية دون البدء من الصفر.

    وبالتالي، من الضروري أن تتأكد من مدى فعالية الانتقال من مزود خدمة معين إلى آخر عند اختيار الخدمات المستندة إلى السحابة. من المناسب أن تضع في اعتبارك عوامل معينة قبل اختيار خدمة الحوسبة السحابية لتجنب قفل البائع (إما للخدمة السحابية نفسها أو لحلول الأمان الخاصة بك). ضع في اعتبارك هذه العوامل:

    • هل تقدم الخدمة السحابية مجموعة متنوعة من واجهات / تكامل العديد من الخدمات وميزات الأمان؟
    • هل يقدم مزود الخدمة السحابية أدوات تصدير للمساعدة في الترحيل إلى نظام آخر؟
    • أخيرًا، هل تم تخزين بياناتك بتنسيق سهل التصدير إلى نظام جديد؟
  15. التنبيهات والإشعارات

    يعد الوعي بمخاطر الأمان والتواصل المناسب معها جانبًا مهمًا من جوانب أمان الشبكة، فضلاً عن أمان السحابة. يجب أن يكون الحل الأمني ​​الشامل قادرًا على تنبيه موقع الويب أو مديري التطبيق المعنيين فور إدراكه وجود تهديد أمني.

    بدون اتصال واضح وسريع، لن تتمكن الكيانات المناسبة من تخفيف التهديد بسرعة واتخاذ الخطوات المناسبة التي من شأنها تقليل التهديد.

افكار اخيرة

بشكل عام، على الرغم من أن جميع المشكلات التي تمت مناقشتها أعلاه تشكل تهديدًا لأمن السحابة، إلا أنها ليست مستعصية على الحل. من خلال النهج المناسب والتكنولوجيا والشركاء، يمكن للشركات التغلب على تحديات أمان السحابة والبدء في التمتع بالمزايا الوفيرة للتكنولوجيا السحابية.

حول الكاتب

رائد الأعمال العربي

فريق متخصص في البحث والدراسة في عدة مجالات ضمن نطاق ريادة الأعمال، ومن أهم المجالات التي نتخصص في الكتابة عنها هي: كيفية إنشاء المشاريع بالسعودية، الإدارة، القيادة، إدارة الموارد البشرية...