أساسيات أمان السحابة

أمان السحابة هو موضوع مقابلة حاسم. يغطي هذا الدرس نموذج المسؤولية المشتركة، مقارنات السحابة المتعددة، وخدمات الأمان الرئيسية.

نموذج المسؤولية المشتركة

أكثر أسئلة مقابلة أمان السحابة شيوعاً:

┌─────────────────────────────────────────────────────────────────┐
│                    مسؤولية العميل                                │
│  ┌──────────────────────────────────────────────────────────┐  │
│  │  البيانات، الهوية، التطبيقات، نظام التشغيل (IaaS)، التكوين │  │
│  └──────────────────────────────────────────────────────────┘  │
├─────────────────────────────────────────────────────────────────┤
│                    المسؤولية المشتركة                            │
│  ┌──────────────────────────────────────────────────────────┐  │
│  │  ضوابط الشبكة، اتحاد الهوية، مفاتيح التشفير              │  │
│  └──────────────────────────────────────────────────────────┘  │
├─────────────────────────────────────────────────────────────────┤
│                    مسؤولية المزود                                │
│  ┌──────────────────────────────────────────────────────────┐  │
│  │  المادية، البنية التحتية للشبكة، المشرف الافتراضي، الأجهزة │  │
│  └──────────────────────────────────────────────────────────┘  │
└─────────────────────────────────────────────────────────────────┘

المسؤولية حسب نموذج الخدمة

الطبقة	IaaS	PaaS	SaaS
البيانات	العميل	العميل	العميل
التطبيقات	العميل	العميل	المزود
وقت التشغيل	العميل	المزود	المزود
نظام التشغيل	العميل	المزود	المزود
الافتراضية	المزود	المزود	المزود
المادية	المزود	المزود	المزود

مقارنة مزودي السحابة

الميزة	AWS	Azure	GCP
الحصة السوقية	~30%	~20%	~13%
IAM	IAM، Organizations	Entra ID، RBAC	Cloud IAM، Resource Manager
اكتشاف التهديدات	GuardDuty	Defender for Cloud	Security Command Center
الأسرار	Secrets Manager	Key Vault	Secret Manager
التسجيل	CloudTrail	Activity Log	Cloud Audit Logs
أمان الشبكة	Security Groups، NACLs	NSGs، Firewall	VPC Firewall Rules
إدارة المفاتيح	KMS	Azure Key Vault	Cloud KMS

سؤال المقابلة

س: "كيف ستؤمن حساب AWS جديد من الصفر؟"

الإجابة:

1. حساب الجذر: تمكين MFA، إنشاء مستخدم IAM مشرف، لا تستخدم الجذر أبداً
2. المنظمات: إعداد AWS Organizations مع SCPs
3. IAM: فرض MFA، تنفيذ أقل الصلاحيات، استخدام الأدوار لا المستخدمين
4. التسجيل: تمكين CloudTrail في كل المناطق، الإرسال لـ S3 مع التشفير
5. المراقبة: إعداد GuardDuty، Config Rules، Security Hub
6. الشبكة: حذف VPC الافتراضي، VPCs مخصصة مع شبكات فرعية خاصة
7. التشفير: تمكين تشفير EBS/S3 الافتراضي

أفضل ممارسات IAM

مبدأ أقل الصلاحيات

// سيء: متساهل جداً
{
  "Effect": "Allow",
  "Action": "*",
  "Resource": "*"
}

// جيد: صلاحيات محددة
{
  "Effect": "Allow",
  "Action": [
    "s3:GetObject",
    "s3:PutObject"
  ],
  "Resource": "arn:aws:s3:::my-bucket/uploads/*",
  "Condition": {
    "StringEquals": {
      "aws:PrincipalTag/Department": "Engineering"
    }
  }
}

هيكل سياسة IAM

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowSpecificBucketAccess",
      "Effect": "Allow",
      "Action": ["s3:GetObject", "s3:ListBucket"],
      "Resource": [
        "arn:aws:s3:::company-data",
        "arn:aws:s3:::company-data/*"
      ],
      "Condition": {
        "IpAddress": {
          "aws:SourceIp": "10.0.0.0/8"
        },
        "Bool": {
          "aws:SecureTransport": "true"
        }
      }
    }
  ]
}

تعمق خدمات أمان السحابة

نتائج AWS GuardDuty

نوع النتيجة	الشدة	ما يكتشفه
UnauthorizedAccess:EC2	عالي	مثيل مخترق يتصل بـ C2
Recon:IAMUser	متوسط	استطلاع API مشبوه
CryptoCurrency:EC2	عالي	نشاط تعدين العملات المشفرة
Backdoor:EC2	عالي	مثيل يتصل بخادم خلفي
Impact:S3	متوسط	التلاعب بسياسة دلو S3

تنبيهات Azure Defender

{
  "alertType": "ALERTS_FILELESS_ATTACK_TECH",
  "severity": "High",
  "description": "Suspicious PowerShell activity",
  "remediationSteps": [
    "عزل الجهاز الافتراضي",
    "تشغيل فحص مضاد البرامج الضارة",
    "مراجعة شجرة العمليات"
  ]
}

تحديات أمان السحابة المتعددة

التحدي	الحل
IAM غير متسق	استخدام اتحاد الهوية (Okta، Microsoft Entra ID)
فجوات الرؤية	SIEM محايد للسحابة (Splunk، Chronicle)
انحراف السياسة	البنية التحتية ككود مع فحوصات الامتثال
إدارة المفاتيح	KMS مركزي أو Vault
تعقيد الشبكة	شبكة الخدمة، تجزئة متسقة

سؤال المقابلة

س: "ما هي أكبر تحديات الأمان في بيئات السحابة المتعددة؟"

الإجابة:

1. انتشار الهوية: نماذج IAM مختلفة، تحتاج مزود هوية مركزي
2. الرؤية: تسجيل ومراقبة موحدة عبر المزودين
3. انحراف التكوين: كل سحابة لها إعدادات أمان افتراضية مختلفة
4. فجوات المهارات: الفرق تحتاج خبرة عبر منصات متعددة
5. الامتثال: إثبات الامتثال عبر خدمات مختلفة

نصيحة المقابلة: عند مناقشة أمان السحابة، ارجع دائماً لنموذج المسؤولية المشتركة وأكد أن مزودي السحابة يؤمنون السحابة، لكن العملاء يجب أن يؤمنوا ما يضعونه في السحابة.

في الدرس التالي، سنغطي أمان الحاويات و Kubernetes. :::