أساسيات أمان السحابة
معايير CIS وأطر الامتثال
4 دقيقة للقراءة
أطر الأمان توفر إرشادات منظمة لتكوينات السحابة. معايير مركز أمان الإنترنت (CIS) هي الأكثر اعتماداً، تقدم ضوابط توجيهية تتوافق مع المتطلبات التنظيمية.
فهم معايير CIS
معايير CIS هي إرشادات أمان مدفوعة بالمجتمع طورها آلاف محترفي الأمان حول العالم. تغطي 100+ تقنية عبر ثماني فئات:
| الفئة | أمثلة |
|---|---|
| مزودو السحابة | AWS, Azure, GCP, Alibaba Cloud |
| أنظمة التشغيل | Windows Server, Ubuntu, RHEL, macOS |
| منصات الحاويات | Docker, Kubernetes, EKS, AKS, GKE |
| قواعد البيانات | SQL Server, PostgreSQL, MongoDB |
| أجهزة الشبكة | Cisco, Palo Alto, Juniper |
| برمجيات سطح المكتب | Microsoft Office, Chrome, Edge |
| الأجهزة المحمولة | iOS, Android |
| برمجيات الخوادم | Apache, Nginx, IIS |
مستويات المعايير
معايير CIS تستخدم مستويين للأمان:
المستوى 1 - الأمان الأساسي:
- تقوية الأمان الأساسية
- تأثير ضئيل على الوظائف
- ضروري لجميع المؤسسات
- مثال: تفعيل MFA لحسابات root/admin
المستوى 2 - الدفاع في العمق:
- ضوابط أمان معززة
- قد تقلل الوظائف أو الراحة
- للمؤسسات المهتمة بالأمان
- مثال: تقييد كل الوصول العام افتراضياً
معايير CIS الأساسية الخاصة بالسحابة
معيار AWS الأساسي (v3.0.0)
فئات الضوابط الرئيسية:
| القسم | مجال التركيز | الضوابط الرئيسية |
|---|---|---|
| 1 | الهوية والوصول | MFA، سياسة كلمات المرور، مفاتيح الوصول |
| 2 | التخزين | الوصول العام لـ S3، التشفير |
| 3 | التسجيل | CloudTrail, Config, Flow Logs |
| 4 | المراقبة | تنبيهات CloudWatch، مرشحات المقاييس |
| 5 | الشبكات | مجموعات الأمان، سجلات تدفق VPC |
الضوابط الحرجة:
# CIS AWS 1.5 - تأكد من تفعيل MFA لحساب root
- Control: "1.5"
Description: "Hardware MFA لمستخدم root"
Severity: Critical
# CIS AWS 2.1.1 - تأكد من تشفير S3 buckets من جانب الخادم
- Control: "2.1.1"
Description: "تفعيل التشفير الافتراضي على كل buckets"
Severity: High
معيار Azure الأساسي (v2.1.0)
فئات الضوابط الرئيسية:
| القسم | مجال التركيز | الضوابط الرئيسية |
|---|---|---|
| 1 | الهوية والوصول | MFA، الوصول المشروط، PIM |
| 2 | Microsoft Defender | إعدادات Defender for Cloud |
| 3 | التخزين | النقل الآمن، التشفير |
| 4 | قاعدة البيانات | TDE، قواعد جدار الحماية |
| 5 | التسجيل | إعدادات التشخيص، Activity Log |
| 6 | الشبكات | NSGs، النقاط الطرفية الخاصة |
| 7 | الآلات الافتراضية | تشفير الأقراص، حماية النقاط الطرفية |
معيار GCP الأساسي (v2.0.0)
فئات الضوابط الرئيسية:
| القسم | مجال التركيز | الضوابط الرئيسية |
|---|---|---|
| 1 | الهوية والوصول | فرض مفتاح الأمان، مفاتيح API |
| 2 | التسجيل والمراقبة | Cloud Audit Logs، التنبيهات |
| 3 | الشبكات | قواعد جدار الحماية، الوصول الخاص |
| 4 | الحوسبة | Shielded VMs، المنفذ التسلسلي |
| 5 | التخزين | الوصول الموحد للـ bucket |
| 6 | Cloud SQL | عنوان IP العام، النسخ الاحتياطية |
| 7 | BigQuery | الوصول لمجموعة البيانات |
تعيين الامتثال
معايير CIS تتوافق مع الأطر التنظيمية الرئيسية:
| الإطار | المتطلب | تعيين CIS |
|---|---|---|
| PCI DSS | المتطلب 8 (المصادقة) | ضوابط CIS IAM |
| HIPAA | الضمانات التقنية | ضوابط CIS للتشفير والوصول |
| SOC 2 | CC6.1 (الوصول المنطقي) | قسم CIS IAM |
| NIST 800-53 | AC (التحكم بالوصول) | CIS IAM، ضوابط الشبكة |
| GDPR | المادة 32 (الأمان) | CIS للتشفير والتسجيل |
| FedRAMP | ضوابط متنوعة | توافق كامل مع معيار CIS |
تنفيذ معايير CIS
استخدام الأدوات الآلية
الامتثال اليدوي للمعايير غير عملي. استخدم هذه الأدوات:
# Prowler - فحص معيار AWS CIS
prowler aws --compliance cis_3.0_aws
# ScoutSuite - تقييم السحابة المتعددة
scout aws --report-dir ./output
# Trivy - فحص IaC ضد CIS
trivy config --compliance cis-1.23 ./terraform
امتثال البنية التحتية كرمز
ابنِ الامتثال في نشرك:
# Terraform - AWS S3 مع ضوابط CIS
resource "aws_s3_bucket" "compliant" {
bucket = "my-compliant-bucket"
}
resource "aws_s3_bucket_versioning" "compliant" {
bucket = aws_s3_bucket.compliant.id
versioning_configuration {
status = "Enabled" # CIS 2.1.3
}
}
resource "aws_s3_bucket_server_side_encryption_configuration" "compliant" {
bucket = aws_s3_bucket.compliant.id
rule {
apply_server_side_encryption_by_default {
sse_algorithm = "AES256" # CIS 2.1.1
}
}
}
resource "aws_s3_bucket_public_access_block" "compliant" {
bucket = aws_s3_bucket.compliant.id
block_public_acls = true # CIS 2.1.5.1
block_public_policy = true # CIS 2.1.5.2
ignore_public_acls = true # CIS 2.1.5.1
restrict_public_buckets = true # CIS 2.1.5.2
}
ما وراء CIS: أطر أخرى
| الإطار | التركيز | حالة الاستخدام |
|---|---|---|
| NIST CSF 2.0 | إدارة المخاطر | حوكمة المؤسسات |
| ISO 27001 | أمان المعلومات | الشهادة الدولية |
| SOC 2 | خدمات الثقة | مزودو SaaS |
| CSA CCM | ضوابط السحابة | حوكمة خاصة بالسحابة |
| AWS Well-Architected | أفضل ممارسات AWS | بيئات AWS |
بناء برنامج الامتثال
- تحديد المتطلبات: أي لوائح تنطبق؟
- التعيين إلى CIS: استخدم CIS كخط أساس، عيّن للمتطلبات المحددة
- أتمتة الفحص: مراقبة الامتثال المستمرة
- معالجة النتائج: رتب الأولويات حسب المخاطر
- توثيق الأدلة: حافظ على مسار التدقيق
- المراجعة بانتظام: المعايير تتحدث؛ وكذلك يجب ضوابطك
الوحدة التالية: سنغوص عميقاً في أمان IAM—المجال الأكثر أهمية لحماية السحابة. :::