أمان السحابة والبنية التحتية
أساسيات أمان السحابة
4 دقيقة للقراءة
أمان السحابة هو موضوع مقابلة حاسم. يغطي هذا الدرس نموذج المسؤولية المشتركة، مقارنات السحابة المتعددة، وخدمات الأمان الرئيسية.
نموذج المسؤولية المشتركة
أكثر أسئلة مقابلة أمان السحابة شيوعاً:
┌─────────────────────────────────────────────────────────────────┐
│ مسؤولية العميل │
│ ┌──────────────────────────────────────────────────────────┐ │
│ │ البيانات، الهوية، التطبيقات، نظام التشغيل (IaaS)، التكوين │ │
│ └──────────────────────────────────────────────────────────┘ │
├─────────────────────────────────────────────────────────────────┤
│ المسؤولية المشتركة │
│ ┌──────────────────────────────────────────────────────────┐ │
│ │ ضوابط الشبكة، اتحاد الهوية، مفاتيح التشفير │ │
│ └──────────────────────────────────────────────────────────┘ │
├─────────────────────────────────────────────────────────────────┤
│ مسؤولية المزود │
│ ┌──────────────────────────────────────────────────────────┐ │
│ │ المادية، البنية التحتية للشبكة، المشرف الافتراضي، الأجهزة │ │
│ └──────────────────────────────────────────────────────────┘ │
└─────────────────────────────────────────────────────────────────┘
المسؤولية حسب نموذج الخدمة
| الطبقة | IaaS | PaaS | SaaS |
|---|---|---|---|
| البيانات | العميل | العميل | العميل |
| التطبيقات | العميل | العميل | المزود |
| وقت التشغيل | العميل | المزود | المزود |
| نظام التشغيل | العميل | المزود | المزود |
| الافتراضية | المزود | المزود | المزود |
| المادية | المزود | المزود | المزود |
مقارنة مزودي السحابة
| الميزة | AWS | Azure | GCP |
|---|---|---|---|
| الحصة السوقية | ~30% | ~20% | ~13% |
| IAM | IAM، Organizations | Entra ID، RBAC | Cloud IAM، Resource Manager |
| اكتشاف التهديدات | GuardDuty | Defender for Cloud | Security Command Center |
| الأسرار | Secrets Manager | Key Vault | Secret Manager |
| التسجيل | CloudTrail | Activity Log | Cloud Audit Logs |
| أمان الشبكة | Security Groups، NACLs | NSGs، Firewall | VPC Firewall Rules |
| إدارة المفاتيح | KMS | Azure Key Vault | Cloud KMS |
سؤال المقابلة
س: "كيف ستؤمن حساب AWS جديد من الصفر؟"
الإجابة:
- حساب الجذر: تمكين MFA، إنشاء مستخدم IAM مشرف، لا تستخدم الجذر أبداً
- المنظمات: إعداد AWS Organizations مع SCPs
- IAM: فرض MFA، تنفيذ أقل الصلاحيات، استخدام الأدوار لا المستخدمين
- التسجيل: تمكين CloudTrail في كل المناطق، الإرسال لـ S3 مع التشفير
- المراقبة: إعداد GuardDuty، Config Rules، Security Hub
- الشبكة: حذف VPC الافتراضي، VPCs مخصصة مع شبكات فرعية خاصة
- التشفير: تمكين تشفير EBS/S3 الافتراضي
أفضل ممارسات IAM
مبدأ أقل الصلاحيات
// سيء: متساهل جداً
{
"Effect": "Allow",
"Action": "*",
"Resource": "*"
}
// جيد: صلاحيات محددة
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject"
],
"Resource": "arn:aws:s3:::my-bucket/uploads/*",
"Condition": {
"StringEquals": {
"aws:PrincipalTag/Department": "Engineering"
}
}
}
هيكل سياسة IAM
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowSpecificBucketAccess",
"Effect": "Allow",
"Action": ["s3:GetObject", "s3:ListBucket"],
"Resource": [
"arn:aws:s3:::company-data",
"arn:aws:s3:::company-data/*"
],
"Condition": {
"IpAddress": {
"aws:SourceIp": "10.0.0.0/8"
},
"Bool": {
"aws:SecureTransport": "true"
}
}
}
]
}
تعمق خدمات أمان السحابة
نتائج AWS GuardDuty
| نوع النتيجة | الشدة | ما يكتشفه |
|---|---|---|
| UnauthorizedAccess:EC2 | عالي | مثيل مخترق يتصل بـ C2 |
| Recon:IAMUser | متوسط | استطلاع API مشبوه |
| CryptoCurrency:EC2 | عالي | نشاط تعدين العملات المشفرة |
| Backdoor:EC2 | عالي | مثيل يتصل بخادم خلفي |
| Impact:S3 | متوسط | التلاعب بسياسة دلو S3 |
تنبيهات Azure Defender
{
"alertType": "ALERTS_FILELESS_ATTACK_TECH",
"severity": "High",
"description": "Suspicious PowerShell activity",
"remediationSteps": [
"عزل الجهاز الافتراضي",
"تشغيل فحص مضاد البرامج الضارة",
"مراجعة شجرة العمليات"
]
}
تحديات أمان السحابة المتعددة
| التحدي | الحل |
|---|---|
| IAM غير متسق | استخدام اتحاد الهوية (Okta، Azure AD) |
| فجوات الرؤية | SIEM محايد للسحابة (Splunk، Chronicle) |
| انحراف السياسة | البنية التحتية ككود مع فحوصات الامتثال |
| إدارة المفاتيح | KMS مركزي أو Vault |
| تعقيد الشبكة | شبكة الخدمة، تجزئة متسقة |
سؤال المقابلة
س: "ما هي أكبر تحديات الأمان في بيئات السحابة المتعددة؟"
الإجابة:
- انتشار الهوية: نماذج IAM مختلفة، تحتاج مزود هوية مركزي
- الرؤية: تسجيل ومراقبة موحدة عبر المزودين
- انحراف التكوين: كل سحابة لها إعدادات أمان افتراضية مختلفة
- فجوات المهارات: الفرق تحتاج خبرة عبر منصات متعددة
- الامتثال: إثبات الامتثال عبر خدمات مختلفة
نصيحة المقابلة: عند مناقشة أمان السحابة، ارجع دائماً لنموذج المسؤولية المشتركة وأكد أن مزودي السحابة يؤمنون السحابة، لكن العملاء يجب أن يؤمنوا ما يضعونه في السحابة.
في الدرس التالي، سنغطي أمان الحاويات و Kubernetes. :::