معايير أمان السحابة: ISO، PCI، GDPR والسحابة الخاصة بك

ما هي معايير أمان السحابة؟

مع التحول نحو البنية التحتية السحابية، كان لا بد من تطور معايير الامتثال. تتطلب خدمات ومنصات السحابة الآن الحفاظ على الامتثال لمختلف القوانين واللوائح والمعايير الأمنية الفيدرالية والدولية والمحلية.

تتطلب معايير الامتثال مثل ISO و PCI DSS و HIPAA و GDPR متطلبات محددة للبيئات السحابية. وعندما يتعلق الأمر باللوائح الحكومية الإلزامية، قد تؤدي الانتهاكات إلى عقوبات قانونية مثل الغرامات.

بالإضافة إلى المعايير العامة للامتثال، تطورت معايير متخصصة يمكن أن تساعد المنظمات في تحقيق بيئة سحابية آمنة. تشمل هذه المعايير معايير مركز أمان الإنترنت (CIS) لأمان السحابة، ومصفوفة تحكم تحالف أمان السحابة (CSA)، وإطار عمل العمارة السحابية.

الحاجة إلى معايير أمان السحابة

بينما تواصل المؤسسات نقل أحمال العمل إلى السحابة، يجب عليها التأكد من أن الحوسبة السحابية هي البيئة المناسبة لتطبيقاتها. القلق الرئيسي هو الأمان وتقليل المخاطر. تقوم الشركات بتقييم ما إذا كانت البيانات الحساسة آمنة في السحابة وكيفية اعتماد خدمات السحابة مع البقاء متوافقة مع المعايير واللوائح.

السحابة، بطبيعتها، هدف جذاب للهجمات الإلكترونية، لأنها معرضة للشبكات العامة بشكل افتراضي وهي بيئة موثقة جيدًا يتعلم المهاجمون استغلالها. تكوينات السحابة معقدة، والعدد الكبير من الأجزاء المتحركة - مثل الآلات الافتراضية، الوظائف بدون خادم، الحاويات، ودلاء التخزين - يمثل كل منها سطح تهديد.

يجد كل من مقدمي الخدمات السحابية والمستخدمين صعوبة في تحديد ما يحتاجون إلى القيام به لضمان بيئة آمنة. هناك العديد من الهيئات البحثية وأفضل الممارسات الأمنية والمتطلبات التنظيمية، ولكن لا يوجد معيار واضح أو توافق حول ما يشكل بيئة سحابية آمنة حقًا.

هذا يجعل من المهم أكثر من أي وقت مضى أن تعتمد الشركات إطار عمل يساعدها في معالجة جميع جوانب أمان السحابة - بما في ذلك إدارة الهوية والوصول، أمان الشبكة، أمان الافتراضية، الوصول إلى الشبكة بدون ثقة، أمان النقاط النهائية، خصوصية البيانات وأمان المحتوى.

الامتثال السحابي: كيف تؤثر المعايير الرئيسية للامتثال على السحابة؟

إليك بعض القوانين الأمنية المهمة حول العالم، وكيف يمكن أن تؤثر على أمان السحابة.

معايير ISO

أنشأت المنظمة الدولية للتوحيد القياسي (ISO) 27001 معيارًا لمساعدة المؤسسات، مما يساعدها على حماية معلوماتها باستخدام أفضل الممارسات.

لقد أنشأت المنظمة الدولية للتوحيد القياسي (ISO) معايير للعديد من أنواع الأنظمة والتقنيات، مثل:

• ISO/IEC 17789 (2014)– يحدد هذا المعيار أنشطة الحوسبة السحابية، والمكونات الوظيفية، والأدوار، بما في ذلك الطريقة التي تتفاعل بها.
• ISO/IEC 19944-1 (2020)– يحدد هذا المعيار كيفية نقل البيانات عبر مراكز خدمات السحابة ومستخدمي خدمات السحابة.
• ISO/IEC Technical Specification 23167 (2020)– هذه المواصفة تحدد التقنيات والتكنولوجيات المستخدمة في الحوسبة السحابية، مثل الآلات الافتراضية، الحاويات، والهايبرفايزور.
• ISO/IEC 27018 (2019)– تصف هذه الوثيقة إرشادات مستندة إلى ISO/IEC 27002، مع التأكيد على حماية المعلومات الشخصية القابلة للتحديد (PII) ضمن السحابة العامة.

PCI DSS

معيار أمان بيانات صناعة بطاقات الدفع (PCI DSS) هو مجموعة من شروط الأمان للتجار الذين يقبلون بطاقات الخصم أو الائتمان. يتعلق معيار PCI DSS بالمنظمات التي تخزن أو تعالج بيانات حاملي البطاقات.

إذا كانت منظمتك تحتفظ وتعالج تفاصيل بطاقات الدفع الحساسة في السحابة، فإن من مسؤوليتك تزويد فريق تكنولوجيا المعلومات لديك بخبرة متقدمة في السحابة لإنشاء وصيانة بيئة السحابة الخاصة بك بأمان. إذا لم تلتزم بإرشادات PCI DSS للحوسبة السحابية، فقد تفقد قدرتك على معالجة معاملات بطاقات الدفع.

قانون نقل التأمين الصحي المسؤولية (HIPAA)

لحماية البيانات الصحية للأفراد، يتضمن قانون قابلية نقل التأمين الصحي والمساءلة (HIPAA) أقسامًا تتعلق مباشرة بأمن المعلومات.

قانون HIPAA هو قانون يتعلق بالمنظمات التي تتعامل مع المعلومات الطبية القابلة للتحديد الشخصي. من حيث أمان المعلومات، فإن قاعدة أمان HIPAA (HSR) هي الأكثر تطبيقًا. توفر HSR إرشادات للحفاظ على سلامة التفاصيل الصحية الإلكترونية للفرد. يشمل ذلك المعلومات التي تستخدمها أو تنشئها أو تحافظ عليها أو تتلقاها الكيانات المشمولة.

إذا كانت منظمتك تستخدم خدمات سحابية (IaaS، PaaS، SaaS) للإشراف على المعلومات الصحية ونقلها، فإن مهمتك هي التأكد من أن مزود الخدمة متوافق مع قانون HIPAA. كما يجب عليك تنفيذ أفضل الممارسات لإدارة تكوينات السحابة.

اللائحة العامة لحماية البيانات (GDPR)

أحد أكثر قوانين خصوصية المعلومات صرامة وشمولية على مستوى العالم هو اللائحة العامة لحماية البيانات (GDPR). الهدف المركزي منها هو حماية المعلومات الشخصية للأفراد والشركات في الاتحاد الأوروبي.

"أحد الفصول الـ 11 من تنظيمات GDPR، "الفصل 4: المتحكم والمعالج"، يتضمن مواد تؤثر على فرق الأمن وتكنولوجيا المعلومات التي تتعامل مع بيئات السحابة العامة التي تعالج وتدير بيانات المستخدمين. على سبيل المثال:"

• المادة 25: حماية البيانات من خلال التصميم والإعدادات الافتراضية– يشير إلى أنه يجب تنفيذ تدابير بحيث لا يتم جعل المعلومات الشخصية متاحة بشكل افتراضي لعدد غير محدد من الأفراد الطبيعيين دون تدخل الشخص المعني. تساعد أذونات الدليل النشط من مايكروسوفت وسياسات AWS IAM في ضمان أن مدى الوصول إلى المعلومات محدود.
• المادة 30: سجلات أنشطة المعالجة– تشير إلى أن معالجي البيانات يجب أن يحتفظوا بسجلات حول معالجة المعلومات. يسمح مراقبة واجهة برمجة التطبيقات من خلال Azure Monitor أو AWS CloudTrail، مع نقل السجلات إلى دلاء تخزين S3 أو Blobs، للمنظمات بتلبية هذا المتطلب.
• المادة 32: أمان العملية– تشير إلى أنه يجب تشفير المعلومات الشخصية. قد تنفذ فرق الأمان وتقنية المعلومات استراتيجيات لتشفير البيانات أثناء النقل وفي حالة السكون.

تقارير نظام وضوابط المنظمة (SOC)

معيار تقارير SOC طوعي. تقوم المنظمات بتنفيذ شهادة SOC لإظهار التزام كبير بأمان البيانات، وللتأكد من أن لديها استراتيجيات الأمان الصحيحة.

كل واحدة من الفئات الخمس لثقة SOC 2 تتكون من تسع فئات فرعية. في معايير الأمان، تشمل هذه المبادئ المتعلقة بالثقة التي تهم فرق الامتثال والأمان التي تدير البنية التحتية السحابية العامة:

• CC2.0: التواصل والمعلومات– يتعامل مع كيفية إدارة المنظمات للتواصل الخارجي والداخلي وتدفقات البيانات.
• CC5.0: الأنشطة الرقابية– تتناول كيف تأخذ مساعي الرقابة في المنظمة بعين الاعتبار التكنولوجيا وإدارة المخاطر.
• CC6.0: التحكم في الوصول المنطقي والفيزيائي– يتناول كيفية تمكين المؤسسات من التحكم في الوصول المنطقي إلى بيانات الاعتماد والأنظمة. يغطي التحكم في الدخول الفيزيائي إلى المنشآت، والمعايير الأمنية لمنع واكتشاف الوصول غير المصرح به.
• CC7.0: عمليات النظام– تتعامل مع كيفية تحكم المنظمة ومراقبتها للأنظمة لرصد الأحداث المحتملة، والأنماط غير الطبيعية، وتغييرات التكوين التي قد تجلب معها مخاطر أمنية. كما تحدد أيضًا تدابير الاستجابة للحوادث لمعالجة، واحتواء، وإعلان الحوادث الأمنية.
• CC8.0: إدارة التغيير– يتناول كيفية قياس المنظمات وتحديد التعديلات المطلوبة في بياناتها وبنيتها التحتية وإجراءاتها وبرمجياتها. وهذا يسمح لها بإجراء التغييرات اللازمة بأمان مع منع التغييرات غير المصرح بها.

نصائح من الخبير

ستيف مور هو نائب الرئيس ورئيس استراتيجيات الأمن في إكزبيم، يساعد في تقديم الحلول لاكتشاف التهديدات وتقديم المشورة للعملاء بشأن برامج الأمن والاستجابة للاختراقات. وهو مضيف بودكاست "The New CISO Podcast"، و عضو في Forbes Tech Council، ومؤسس مشارك لـ TEN18 at Exabeam.

نصائح من الخبير

من خلال تجربتي، إليك نصائح يمكن أن تساعدك في تبني وتنفيذ معايير أمان السحابة بشكل أفضل:

توحيد تقارير الامتثال عبر السحب
إذا كنت تستخدم استراتيجية متعددة السحب، قم بتوحيد تقارير الامتثال الخاصة بك عبر جميع المنصات. استخدام أداة أو إطار موحد مثل شهادة تحالف أمان السحابة (CSA) STAR سيسهل عمليات التدقيق وإدارة الأمان.

أعطِ الأولوية للمعايير الخاصة بكل منطقة
تمتلك المناطق المختلفة متطلبات تنظيمية فريدة (مثل GDPR في أوروبا، وCCPA في كاليفورنيا). تأكد من أن استراتيجية أمان السحابة الخاصة بك تأخذ هذه الأمور في الاعتبار، خاصة إذا كنت تعمل على مستوى عالمي. أعطِ الأولوية لأتمتة الامتثال عبر مناطق متعددة لتقليل التعقيد.

قم ببناء الامتثال في خط أنابيب DevOps الخاص بك
قم بتضمين ضوابط الأمان وفحوصات الامتثال في خط أنابيب CI/CD الخاص بك. هذا يضمن أن تظل عمليات النشر متوافقة مع معايير أمان السحابة مثل ISO أو PCI DSS طوال دورة حياة تطوير البرمجيات.

استفد من تدقيقات الامتثال السحابية الآلية
استخدم أدوات سحابية أصلية أو من طرف ثالث يمكنها إجراء فحوصات امتثال مستمرة وتوليد تقارير في الوقت الحقيقي. تقلل هذه الأتمتة من الوقت المستغرق في التدقيقات اليدوية وتساعد في اكتشاف المشكلات قبل المراجعات التنظيمية.

توظيف تدريب المسؤولية المشتركة
تثقيف كل من فرق تكنولوجيا المعلومات والأمن حول نموذج المسؤولية المشتركة. يمكن أن يؤدي سوء فهم الحدود بين مسؤوليات مزود الخدمة السحابية وعميلها إلى ثغرات في الامتثال، خاصة في مجالات مثل تشفير البيانات وإدارة الهوية.

أطر ومعايير الأمان الخاصة بالسحابة

إليك بعض الأطر لمساعدة المنظمات في الحفاظ على مستوى عالٍ من أمان السحابة.

معايير أمان السحابة من CIS

تعتبر معايير CIS Foundations Benchmarks جزءًا من معايير الأمن السيبراني التي يشرف عليها مركز أمن الإنترنت (CIS). وتعد معايير CIS إرشادات لتكوين آمن تعتمد على توافق الآراء وغير مرتبطة بمورد معين، وتستهدف أكثر التقنيات والأنظمة شيوعًا.

يوجد أكثر من 100 معيار من CIS متاحة مجانًا تتعلق بالعشرات من مجموعات منتجات البائعين، بما في ذلك الخوادم وأنظمة التشغيل والأجهزة المحمولة ومقدمي الخدمات السحابية والأجهزة الشبكية وبرامج سطح المكتب. تقدم معايير CIS Foundations المساعدة للبيئات السحابية العامة على مستوى الحساب.

تتناول معايير مؤسسات CIS ما يلي:

• بنية تحتية سحابية من أوراكل
• سحابة آي بي إم
• خدمات شبكة أمازون
• مايكروسوفت أزور
• منصة جوجل السحابية
• علي بابا كلاود

توفر معايير CIS إرشادات لتكوين الأمان بناءً على أفضل الممارسات، وهي معتمدة من قبل الأعمال والحكومة والأكاديميا والهيئات الصناعية. تم تصميم معايير CIS Foundations لمشرفي التطبيقات والأنظمة، وخبراء الأمن، والمدققين، بالإضافة إلى موظفي نشر المنصات، ومراكز الدعم، والأفراد في مجال DevOps الذين يرغبون في إنشاء أو نشر أو تأمين أو تقييم الحلول ضمن السحابة. وهي متاحة مجانًا ويمكن تنزيلها كوثائق PDF.

مصفوفة تحكم CSA

تقدم هذه المجموعة من ضوابط الأمان، التي نفذتها جمعية أمان السحابة (CSA)، مخططًا أساسيًا لموردي الأمان، مما يزيد من قوة بيئات ضوابط الأمان ويسهل عمليات التدقيق. كما يساعد هذا الإطار العملاء المحتملين في تقييم وضع المخاطر لمزودي خدمات السحابة المحتملين.

أنشأت رابطة أمان السحابة مبادرة شهادات تُعرف بشهادة STAR. تُظهر شهادة CSA STAR موقفًا استثنائيًا في أمان السحابة، والذي يحظى باحترام العملاء. يمكن أن تكون هذه المجموعة من المعايير هي الأصول الرئيسية للعملاء الذين يقيمون التزام البائع بالأمان، وهي ضرورية لكل منظمة تسعى لضمان ثقة العملاء.

يسرد سجل STAR الضوابط المتعلقة بالخصوصية والأمان التي تقدمها ميزات الحوسبة السحابية الشائعة، حتى يتمكن عملاء السحابة من تقييم مزودي الأمان لديهم لتكوين خيارات شراء قوية.

أطر العمارة السحابية

يمكن اعتبار هذه الأطر كإرشادات لأفضل الممارسات لمهندسي السحاب، الذين يتعاملون بانتظام مع الأمان التشغيلي والكفاءة وتحليل التكلفة والقيمة. إليك ثلاثة أطر عمل يجب أن يكون مهندسو السحاب على دراية بها:

• إطار عمل AWS Well-Architected– يساعد مهندسي خدمات شبكة أمازون في إنشاء التطبيقات والأحمال في سحابة أمازون. يحدد هذا الإطار أسئلة لتقييم بيئات السحابة ويقدم للعملاء موردًا موثوقًا لتحليل الهندسة المعمارية. خمسة مبادئ أساسية توجه مهندسي أمازون — الأمان، التميز التشغيلي، كفاءة الأداء، الاعتمادية، وتحسين التكاليف.
• إطار عمل مصمم من قبل جوجل السحابية– يقدم أساسًا لتعزيز وبناء ميزات جوجل السحابية. يساعد هذا الإطار المعماريين من خلال التعامل مع أربعة مبادئ مركزية — الأمان والامتثال، التميز التشغيلي، تحسين تكلفة الأداء، والموثوقية.
• إطار عمل Azure المعماري– يساعد المعماريين على تطوير ميزات قائمة على السحابة في Microsoft Azure. يساعد هذا الدليل في تحسين أعباء العمل المعمارية ويستند إلى مبادئ مشابهة لتلك الموجودة في Google Cloud وAWS، مثل أمان البيانات، وتحسين التكاليف، والموثوقية، وكفاءة الأداء، والتميز التشغيلي، والتي يمكن أن تساعد المنظمات في الحفاظ على وظائف النظام والتعافي من الحوادث.

إكزابيم: تعزيز كشف التهديدات من خلال تحليلات أمنية متقدمة.

منصة عمليات الأمن من Exabeam تقدم مزيجًا قويًا من SIEM، وتحليلات سلوكية، وأتمتة، ورؤية الشبكة لتحويل كيفية اكتشاف المنظمات للتهديدات والتحقيق فيها والاستجابة لها. من خلال ربط سجلات جدران الحماية مع بيانات من نقاط النهاية، والبيئات السحابية، وأنظمة الهوية، ومصادر الأمان الأخرى، توفر Exabeam رؤى أعمق حول التهديدات المتطورة التي قد تظل غير مكتشفة.

تمكن التحليلات المدفوعة بالسلوك Exabeam من تجاوز القواعد الثابتة والتوقيعات، حيث تحدد الأنشطة الشاذة التي تشير إلى إساءة استخدام بيانات الاعتماد، والتهديدات الداخلية، أو الحركة الجانبية عبر الشبكة. من خلال تحليل سلوك المستخدمين والكيانات العادية على مر الزمن، تكشف Exabeam عن الأنشطة عالية المخاطر التي قد تتجاهلها أدوات الأمان التقليدية.

تعمل التحقيقات الآلية على تبسيط عمليات الأمن من خلال ربط نقاط البيانات المتفرقة في خطوط زمنية شاملة للتهديدات، مما يقلل من الوقت الذي يقضيه المحللون في تجميع الحوادث يدويًا. وهذا يسمح للفرق بتحديد السبب الجذري للهجوم بسرعة والاستجابة بدقة.

تعرف على المزيد حول إكسيبيم SIEM