يثير الأمان السحابي الكثير من المشاكل (لا أقصد التورية). إن الأمان السحابي ليس أفضل أو أسوأ من أي شيء آخر، ولكن قوته متروكة لك.
مع تزايد الاعتماد على السحابة، كيف يمكنك تأمين بياناتك المرتبطة بالسحابة؟ وعلى من تقع مسؤولية أمن بياناتك - على عاتق المزود أم عليك أم على عاتقك معًا؟ في رأيي، يتحمل مقدم الخدمة المسؤولية النهائية عن الشبكة والنظام والأمن المادي ولكنك تتحمل مسؤولية صيانة كلمة المرور وسلامة التطبيق والوصول إلى البيانات حماية. من الشائع أن يلقي العملاء اللوم على مقدمي الخدمة وأن يلقي مقدمو الخدمة اللوم على العملاء في حالة التسوية. لا أحد يريد الاعتراف بوجود تصحيح مفقود أو خلل برمجي سمح للمتسلل باقتحام البيانات وسرقةها. كيف ستتعامل مع الأمن ومسؤوليتك؟
يعد الأمان نقطة ألم رئيسية لمقدمي الخدمة وسيتحولون إلى التكنولوجيا. ينتشر FUD المرتبط بالسحابة على نطاق واسع - خاصة بين الأشخاص غير المطلعين. والسؤال هو: "هل السحابة أقل أمانًا بشكل افتراضي من التقنيات الأخرى بسبب حجمها؟"
الجواب هو "لا، ليس كذلك".
يوفر الحجم الهائل للحوسبة السحابية مساحة أكبر للهجوم، لكن هذا لا يعني بالضرورة أنها هدف أسهل. هناك خمسة أشياء يمكنك القيام بها لمنع التنازلات وتحذير واحد.
اختيار مزود
خطوتك الأولى في الحفاظ على الأمان هي اختيار مزود الخدمة الخاص بك بعناية ومدروس. يجب عليك قضاء بعض الوقت في إجراء مقابلة مع ممثل فني من قائمة مقدمي الخدمة التي تم اختيارها في الأسفل. اسأل عن الأمن المادي وأمن الشبكات وأمن النظام. اسأل عن دورات التصحيح. اسأل عن تحديثات البرامج الثابتة. واكتشف الإجراءات التي يتخذها مزود الخدمة الخاص بك للحفاظ على اليقظة الأمنية والتخفيف من المخاطر. يجب عليك أيضًا أن تسأل عن نوع التأمين الذي لديهم في حالة حدوث تسوية.
استمع إلى الإجابات وتأكد من أنك تفهم بالضبط ما هي مسؤوليات مقدم الخدمة. واكتشف ما إذا كان الموفر يحمل أي شهادات امتثال تنظيمية أو مستويات امتثال (HIPAA، SOX، PCI).
نصيحة: يجب أن يكون المزود متعاطفًا مع طلباتك ومنفتحًا بالمعلومات والبيانات المتعلقة بالأمن. إذا لم يكونوا كذلك، خذ عملك إلى مكان آخر.
البرمجة الآمنة
"تطبيقك غير آمن." إذا لم يجد مزود الخدمة لديك أي دليل على اختراق الشبكة أو النظام، فمن المحتمل أن تسمع هذا كسبب لسرقة معلوماتك أو اختراقها. ربما يكون الحل الوسط الذي يُلقى عليه اللوم في أغلب الأحيان في فقدان البيانات هو حقن SQL. يعتمد المتسللون على البرمجة البطيئة حتى يتمكنوا من إرسال سلسلة مشوهة إلى قاعدة بياناتك لمعالجتها. إذا حدث ذلك، فقد تفقد بيانات أو تزود المتسلل بقائمة بأسماء المستخدمين أو كلمات المرور أو أرقام حسابات بطاقة الائتمان أو المحتويات الكاملة لجدول أو قاعدة بيانات.
أمان التطبيق هو مسؤوليتك. إذا قام أحد المتسللين بسرقة البيانات من قاعدة البيانات الخاصة بك عن طريق حقن SQL، فلن تلوم أحدًا سوى نفسك (المبرمجين لديك). اختر مبرمجيك بعناية وتذكر أنك غالبًا ما تحصل على ما تدفع مقابله، والبرمجة ليست استثناءً. إن اختيار خيار العمالة الرخيصة ليس هو الأفضل لعملائك أو لطول عمر شركتك.
نصيحة: اطلب من جهة خارجية إجراء اختبار اختراق (بالقلم) على تطبيقاتك قبل نشرها ثم مرة أخرى بعد كل تحديث.
اتصال آمن
لا ينبغي أن تؤخذ هذه النقطة على محمل الجد من قبلك أو من قبل مقدم الخدمة الخاص بك. اشتراط أن يقوم أي شخص يتصل بالأنظمة أو البيانات المستندة إلى السحابة الخاصة بك بالقيام بذلك عبر اتصال آمن. يعد الاتصال الآمن ضرورة مطلقة لمنع هجمات الوسيط أو "التنصت على الأسلاك" التقنيات التي يستخدمها المتسللون للحصول على معلوماتك أثناء انتقالها من وإلى تلك السحابة البعيدة أنظمة. استخدم اتصال VPN والبروتوكولات الآمنة (SSH، SFTP، HTTPS) لنقل أي بيانات بينك وبين أنظمتك. وقم بتزويد عملائك بشهادة أصلية ومحدثة وHTTPS لمعاملات الويب.
لا يمكنك أن تثق في أن كل عميل سيحصل على نظام محدث وخالي من الفيروسات وبرامج التجسس، لذا يتعين عليك بذل قصارى جهدك لمنع تسرب بياناته من خلال اتصال غير آمن.
نصيحة: قم بشراء الشهادات من هيئة شهادات SSL شرعية (Thawte، Network Solutions، Verisign، GoDaddy، وما إلى ذلك).
الأمن الجسدي
هذه النقطة لها مسؤولية مشتركة بينك وبين مزود الخدمة الخاص بك. إنهم يتحملون مسؤولية الحفاظ على الأمن المادي في مراكز البيانات التي يستخدمونها والتي تستخدمها أنت المسؤولية عن الأمن المادي لمكتبك ومنزلك وسيارتك وحقيبة ظهرك وحقيبة ظهرك حاسوب. تتوقع أن يضمن الموفر الأمان المادي. لا يقوم مقدم الخدمة بتقديم مثل هذا الطلب منك، على الرغم من أنه ربما ينبغي عليه ذلك، نظرًا لأن العديد من التنازلات تنشأ من جهاز مفقود أو مسروق.
تُعد أقفال النظام وتشفير القرص وأوقات الخمول القصيرة واليقظة الشخصية أمرًا أساسيًا لمنع السرقة وفقدان البيانات من الأنظمة المحمولة. يجب مسح أو تدمير محركات الأقراص الثابتة ومحركات الأقراص المحمولة وبطاقات SIM قبل التخلص منها.
نصيحة: يعد التدريب والتذكيرات الدورية من العوامل المهمة في منع الخسارة بسبب الإهمال أو الإهمال أو سرقة الجهاز.
كلمات المرور
كلمات المرور: لعنة وجودنا الحديث لا أحد يحب اختيار كلمة مرور يصعب كتابتها، في حين أنه من الأسهل بكثير استخدام اسم الطفل، اسم حيوان أليف أو رقم هاتف أو كلمة قاموس بسيطة يستغرق المتسلل أقل من دقيقة واحدة يخمن. لدينا الكثير من كلمات المرور. لا يمكننا استخدام نفس الحساب لمواقع أو حسابات متعددة. والآن لا يمكنك حتى استخدام تلك التي كان من المناسب استخدامها قبل عامين فقط.
الحل هو تحويل المستخدمين إلى مفتاح مصادقة ثنائي بحيث لا يتعين على المستخدم سوى تذكر كلمة مرور واحدة لكل شيء. تتغير كلمة المرور الفردية كثيرًا (شهريًا أو بشكل متكرر) ولكن المفتاح المرتبط يتغير باستمرار.
نصيحة: قبل التحول إلى تكنولوجيا أفضل، أفضل نصيحة للشركات هي إعداد سياسة كلمة المرور التي يتطلب من المستخدمين الالتزام ببرنامج صارم لصيانة كلمة المرور يتضمن الطول والتعقيد والدقة حياة.
التحذير
الآن، الجزء الممتع. بغض النظر عما تفعله، ستكون هناك تنازلات. عليك أن تتعلم قبول قدر معين من المخاطر. أنظمة التشغيل معرضة للخطر. الناس عرضة للخطر. وليس هناك نظام مثالي. إن التنازلات الكاملة نادرة، لكن المكالمات الوثيقة شائعة.
يفترض بعض الأشخاص أن البيانات أكثر أمانًا في مراكز البيانات أو غرف الخوادم الخاصة بهم، لكنهم مخطئون. تكون بياناتك معرضة للخطر عند تعرضها للإنترنت. حتى لو قمت بكل شيء بشكل صحيح، فأنت لا تزال محميًا بنسبة 80٪ فقط. المتبقي 20% هو الجزء الذي يجب أن تقلق بشأنه. اليقظة هي أفضل رادع بالنسبة للـ 20٪ المتبقية. لسوء الحظ، هذه هي أغلى 20% للحماية. هذه هي نسبة الـ 20% التي يستهدفها المتسللون.
وتشكل عمليات الاستغلال الجديدة ونقاط الضعف غير الموثقة والحوادث المؤسفة نسبة 20%. عليك أن تقبل ذلك.
السحابة، على عكس الفولكلور الشعبي، ليست أقل أمانًا من أي تقنية أخرى. الناس حساسون للقضايا الأمنية. منزلك ليس آمنًا بنسبة 100%. سيارتك ليست آمنة بنسبة 100%. كما أن بياناتك ليست آمنة بنسبة 100%، بغض النظر عن مكان وجودها. لن يكون كذلك أبدا. إنه أمر مؤسف ولكنه حقيقي.
ولكن، مثل معظم الناس، يهدف المتسللون إلى الحصول على الثمار القريبة. افعل كل ما بوسعك لإبقاء نقطة الضعف هذه بعيدة عن متناول اليد قدر الإمكان من خلال الالتزام بالتدابير الخمسة البسيطة التي قدمتها لك. إذا قمت بذلك، فيمكنك أن تشعر بالأمان وتضع ثقتك في السحابة.
كيف ستؤمن السحابة؟ التحدث مرة أخرى واسمحوا لي أن أعرف.