الأمان والتكلفة وأطر العمل المحكمة البناء
الامتثال والحوكمة
3 دقيقة للقراءة
يجب على مهندسي المؤسسات فهم متطلبات الامتثال وأطر الحوكمة. هذه المعرفة تُظهر الفطنة التجارية إلى جانب الخبرة التقنية.
أطر الامتثال
المعايير الشائعة
| المعيار | الصناعة | المتطلبات الرئيسية |
|---|---|---|
| SOC 2 | SaaS/التقنية | الأمان، التوافر، السرية |
| HIPAA | الرعاية الصحية | حماية PHI، مسارات التدقيق |
| PCI DSS | المالية | أمان بيانات حامل البطاقة |
| GDPR | بيانات الاتحاد الأوروبي | خصوصية البيانات، الموافقة، حق المحو |
| FedRAMP | الحكومة الأمريكية | ضوابط الأمان، المراقبة المستمرة |
| ISO 27001 | عالمي | إدارة أمن المعلومات |
برامج امتثال AWS
تحتفظ AWS بشهادات امتثال يمكن للعملاء وراثتها:
| الشهادة | الفائدة | مسؤولية العميل |
|---|---|---|
| SOC 1/2/3 | ضوابط مالية مدققة | ضوابط مستوى التطبيق |
| HIPAA | BAA متاح | سياسات التعامل مع PHI |
| PCI DSS Level 1 | البنية التحتية متوافقة | ضوابط PCI للتطبيق |
| ISO 27001 | إطار الأمان | تنفيذ الضوابط |
| FedRAMP High | معتمد حكومياً | ضوابط جانب العميل |
سؤال المقابلة: هندسة HIPAA
س: "صمم هندسة متوافقة مع HIPAA لتطبيق رعاية صحية."
ج: نهج امتثال متعدد الطبقات:
هندسة HIPAA
├── طبقة الشبكة
│ ├── شبكات فرعية خاصة لـ PHI
│ ├── VPN/Direct Connect فقط
│ └── لا وصول إنترنت عام لـ PHI
├── طبقة البيانات
│ ├── تشفير في حالة السكون (KMS)
│ ├── تشفير أثناء النقل (TLS)
│ └── تشفير على مستوى الحقل لـ SSN، DOB
├── طبقة الوصول
│ ├── وصول قائم على الأدوار (IAM)
│ ├── MFA مطلوب
│ └── إجراءات الطوارئ مسجلة
├── طبقة التدقيق
│ ├── CloudTrail (كل المناطق)
│ ├── VPC Flow Logs
│ └── سجلات تدقيق التطبيق
└── الإداري
├── BAA موقع مع AWS
├── تدريب الموظفين موثق
└── خطة الاستجابة للحوادث
أدوات حوكمة AWS
AWS Organizations
هيكل للحوكمة متعددة الحسابات:
جذر المنظمة
├── OU الأساسي
│ ├── حساب الأمان
│ ├── حساب التسجيل
│ └── حساب الشبكة
├── OU الإنتاج
│ ├── حساب الإنتاج A
│ └── حساب الإنتاج B
├── OU غير الإنتاج
│ ├── حساب التطوير
│ └── حساب المرحلة
└── OU التجريب
└── حساب التجريب
سياسات التحكم بالخدمة (SCPs)
| نوع SCP | الغرض | مثال |
|---|---|---|
| قائمة الرفض | حظر إجراءات محددة | رفض EC2 في مناطق غير معتمدة |
| قائمة السماح | السماح بمحدد فقط | السماح بالخدمات المعتمدة فقط |
| الحواجز | منع التغييرات الخطرة | منع تعطيل CloudTrail |
مثال: SCP تقييد المنطقة
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "*",
"Resource": "*",
"Condition": {
"StringNotEquals": {
"aws:RequestedRegion": [
"us-east-1",
"us-west-2",
"eu-west-1"
]
}
}
}
]
}
AWS Config
| الميزة | حالة الاستخدام |
|---|---|
| تسجيل التكوين | تتبع كل تغييرات الموارد |
| حزم المطابقة | قواعد امتثال مبنية مسبقاً |
| المعالجة | إصلاح تلقائي للموارد غير المتوافقة |
| التجميع | عرض امتثال متعدد الحسابات |
سؤال المقابلة: الحوكمة على نطاق واسع
س: "كيف تنفذ الحوكمة لـ 100+ حساب AWS؟"
ج: نموذج حوكمة مركزي:
-
AWS Organizations
- هيكل OU حسب البيئة/وحدة الأعمال
- SCPs للحواجز
- فوترة موحدة
-
Control Tower
- أتمتة منطقة الهبوط
- مصنع الحسابات للتوفير
- الحواجز (وقائية + كشفية)
-
الخدمات المركزية
- تجميع Security Hub
- مجمع Config
- مسار CloudTrail للمنظمة
-
الأتمتة
- آلة بيع الحسابات
- CloudFormation StackSets الأساسية
- تقارير الامتثال الآلية
حوكمة البيانات
تصنيف البيانات
| التصنيف | أمثلة | الضوابط |
|---|---|---|
| عام | مواد التسويق | الحد الأدنى |
| داخلي | بيانات الموظفين | التشفير، التحكم بالوصول |
| سري | PII العملاء | التشفير، التدقيق، DLP |
| مقيد | بيانات الدفع، PHI | كل ما سبق + إضافي |
إقامة البيانات
| المتطلب | التنفيذ |
|---|---|
| تقييد المنطقة | SCPs، قواعد AWS Config |
| النقل عبر الحدود | مراجعة قانونية، التشفير |
| توطين البيانات | نشر منطقة واحدة |
| موقع النسخ الاحتياطي | سياسات نسخ احتياطي نفس المنطقة |
دورة حياة البيانات
الإنشاء → التصنيف → التخزين → الاستخدام → الأرشفة → الحذف
↓ ↓ ↓ ↓ ↓ ↓
الوسم تصنيف التدرج سجلات Glacier حذف
تلقائي (S3) الوصول (S3) آمن
(Macie)
التدقيق والتقارير
متطلبات مسار التدقيق
| نوع السجل | الخدمة | الاحتفاظ |
|---|---|---|
| استدعاءات API | CloudTrail | 7 سنوات (الامتثال) |
| الشبكة | VPC Flow Logs | سنة واحدة |
| التطبيق | CloudWatch Logs | حسب المتطلب |
| قاعدة البيانات | سجلات RDS/Aurora | حسب المتطلب |
تقارير الامتثال
| الأداة | الوظيفة |
|---|---|
| AWS Artifact | تنزيل تقارير الامتثال |
| Security Hub | لوحة معلومات نتيجة الامتثال |
| Config | جدول زمني للامتثال |
| Audit Manager | جمع الأدلة الآلي |
سؤال المقابلة: الجاهزية للتدقيق
س: "كيف تستعد لتدقيق SOC 2؟"
ج: نهج الامتثال المستمر:
-
جمع الأدلة (Audit Manager)
- جمع أدلة آلي
- ربط الضوابط بـ SOC 2
-
المراقبة المستمرة
- قواعد Config لكل ضابط
- Security Hub للوضع
- تنبيه آلي على الانحراف
-
التوثيق
- مخططات الهندسة حديثة
- كتيبات التشغيل موثقة
- سجلات إدارة التغيير
-
قبل التدقيق
- تقييم داخلي
- معالجة الفجوات
- جولة تدقيق تجريبية
أفضل ممارسات حوكمة السحابة
إطار الحوكمة
| المكون | التنفيذ |
|---|---|
| السياسات | مكتوبة، مُصدرة، متاحة |
| المعايير | المتطلبات التقنية موثقة |
| الإجراءات | كتيبات تشغيل خطوة بخطوة |
| الإرشادات | أفضل الممارسات، التوصيات |
إدارة التغيير
الطلب → المراجعة → الموافقة → التنفيذ → التحقق → الإغلاق
↓ ↓ ↓ ↓ ↓ ↓
تذكرة CAB أو سير عمل خط أنابيب فحوصات سجل
موافقة (SNS) CI/CD الاختبار التدقيق
تلقائية
الرؤية الرئيسية: الامتثال ليس إنجازاً لمرة واحدة—إنه مستمر. أتمت فحوصات الامتثال وجمع الأدلة والمعالجة للحفاظ على الجاهزية للتدقيق على نطاق واسع.
الوحدة التالية: استراتيجيات السلوك والتفاوض لمقابلات المهندسين المعماريين. :::