هندسة أمان السحابة

الأمان غير قابل للتفاوض في هندسة السحابة. يقيّم المحاورون قدرتك على تصميم أنظمة آمنة مع الحفاظ على قابلية الاستخدام والأداء.

نموذج المسؤولية المشتركة

فهم من يؤمّن ماذا هو أمر أساسي.

المسؤولية المشتركة في AWS

مسؤولية AWS	مسؤولية العميل
الأمن المادي	سياسات IAM
البنية التحتية للشبكة	مجموعات الأمان/NACLs
Hypervisor	ترقيع نظام التشغيل (EC2)
أمان الخدمات المُدارة	تشفير البيانات
البنية التحتية العالمية	أمان التطبيقات

حدود خاصة بالخدمة

نوع الخدمة	AWS تدير	العميل يدير
IaaS (EC2)	العتاد، hypervisor	نظام التشغيل، التطبيقات، البيانات
PaaS (RDS)	نظام التشغيل، محرك DB	البيانات، الوصول
SaaS (S3)	كل البنية التحتية	البيانات، الصلاحيات

إدارة الهوية والوصول

أفضل ممارسات IAM

مبدأ الحد الأدنى من الصلاحيات
- ابدأ بصفر صلاحيات
- أضف فقط ما هو مطلوب
- استخدم IAM Access Analyzer
الوصول القائم على الأدوار
- فضّل الأدوار على المستخدمين للخدمات
- استخدم الأدوار عبر الحسابات
- نفّذ بيانات الاعتماد المؤقتة
MFA في كل مكان
- حساب Root: MFA عتادي
- المستخدمون المسؤولون: MFA افتراضي كحد أدنى
- البرمجي: STS مع MFA

سؤال المقابلة: تصميم IAM

س: "صمم استراتيجية IAM لمنظمة AWS متعددة الحسابات."

ج: نفّذ نموذج المحور والأذرع:

جذر المنظمة
├── حساب الأمان (المحور)
│   ├── IAM Identity Center
│   ├── تجميع CloudTrail
│   └── أدوات الأمان
├── حساب الإنتاج
│   └── أدوار عبر الحسابات → الأمان
├── حساب التطوير
│   └── أدوار عبر الحسابات → الأمان
└── حساب التجريب
    └── وصول محدود عبر الحسابات

القرارات الرئيسية:

هوية مركزية في حساب الأمان
مجموعات الصلاحيات تُدار عبر IAM Identity Center
إجراءات طوارئ للحالات الطارئة
سياسات التحكم بالخدمة (SCPs) على مستوى OU

أمان الشبكة

الدفاع في العمق

الإنترنت
    ↓
[WAF] - تصفية الطبقة 7
    ↓
[CloudFront] - حماية DDoS
    ↓
[ALB في الشبكة الفرعية العامة] - إنهاء SSL
    ↓
[مجموعة الأمان] - جدار حماية ذو حالة
    ↓
[الشبكة الفرعية الخاصة] - طبقة التطبيق
    ↓
[NACL] - جدار حماية الشبكة الفرعية عديم الحالة
    ↓
[مجموعة الأمان] - وصول قاعدة البيانات
    ↓
[الشبكة الفرعية المعزولة] - طبقة البيانات

تصميم أمان VPC

المكون	الغرض	أفضل ممارسة
مجموعات الأمان	جدار حماية المثيل	أقل صلاحية، المرجع بـ SG ID
NACLs	جدار حماية الشبكة الفرعية	قواعد رفض صريحة، التسجيل
VPC Flow Logs	مراقبة الشبكة	تفعيل لكل الشبكات الفرعية
PrivateLink	اتصال الخدمات	تجنب الإنترنت العام
Transit Gateway	توجيه متعدد VPC	فحص مركزي

سؤال المقابلة: هندسة الثقة الصفرية

س: "كيف تنفذ الثقة الصفرية في AWS؟"

ج: مبادئ الثقة الصفرية في AWS:

التحقق الصريح
- مصادقة IAM لكل الطلبات
- نقاط نهاية VPC لوصول الخدمات
- mTLS للاتصال بين الخدمات
وصول الحد الأدنى من الصلاحيات
- سياسات IAM دقيقة
- تجزئة مجموعات الأمان الدقيقة
- بيانات اعتماد محدودة الوقت (STS)
افتراض الاختراق
- تجزئة الشبكة
- التشفير في كل مكان (TLS، KMS)
- المراقبة المستمرة (GuardDuty)

استراتيجية التشفير

التشفير في حالة السكون

الخدمة	افتراضي	موصى به	إدارة المفاتيح
S3	لا شيء	SSE-KMS	CMK العميل
EBS	لا شيء	مشفر KMS	CMK العميل
RDS	اختياري	التشفير مفعّل	CMK العميل
DynamoDB	لا شيء	تشفير KMS	AWS أو CMK العميل

التشفير أثناء النقل

الحركة الخارجية: TLS 1.2+ إلزامي
الحركة الداخلية: TLS بين الخدمات
قاعدة البيانات: اتصالات SSL مفروضة
S3: سياسة bucket تتطلب TLS

أفضل ممارسات KMS

تسلسل المفاتيح الهرمي
- مفاتيح منفصلة لكل بيئة
- مشاركة المفاتيح عبر الحسابات عبر السياسات
- تدوير المفاتيح التلقائي (سنة واحدة)
سياسات المفاتيح
- سماح صريح لمسؤولي المفاتيح
- فصل الاستخدام عن الإدارة
- تدقيق كل استخدام للمفاتيح

مراقبة الأمان

خدمات الكشف

الخدمة	نوع الكشف	حالة الاستخدام
GuardDuty	كشف التهديدات	النشاط الضار
Inspector	فحص الثغرات	EC2، Lambda، ECR
Macie	اكتشاف البيانات	PII في S3
Security Hub	التجميع	لوحة معلومات موحدة
Config	الامتثال	تكوين الموارد

الاستجابة للحوادث

التحضير:

كتيبات تشغيل للحوادث الشائعة
أدوار IAM للمستجيبين للحوادث
حساب الطب الشرعي للأدلة

الكشف ← التحليل ← الاحتواء ← الاستئصال ← التعافي

الرؤية الرئيسية: الأمان في السحابة يتعلق بالأتمتة. العمليات الأمنية اليدوية لا تتوسع—استخدم قواعد AWS Config والمعالجة الآلية والبنية التحتية كرمز.

بعد ذلك، سنستكشف استراتيجيات تحسين التكلفة. :::