أمان السحابة والبنية التحتية
أمان الشبكة والتجزئة
4 دقيقة للقراءة
يظل أمان الشبكة أساسياً لأي هندسة أمنية. يغطي هذا الدرس استراتيجيات التجزئة، مفاهيم جدار الحماية، وسيناريوهات المقابلة الشائعة.
استراتيجيات تجزئة الشبكة
التجزئة التقليدية مقابل الدقيقة
التجزئة التقليدية:
┌─────────────────────────────────────────────────────────────┐
│ شبكة الشركة │
│ ┌──────────────┐ ┌──────────────┐ ┌──────────────┐ │
│ │ VLAN 10 │ │ VLAN 20 │ │ VLAN 30 │ │
│ │ (المستخدمين)│ │ (الخوادم) │ │ (قاعدة البيانات)│ │
│ └──────────────┘ └──────────────┘ └──────────────┘ │
│ └──────────────┴──────────────┘ │
│ قواعد جدار الحماية │
└─────────────────────────────────────────────────────────────┘
التجزئة الدقيقة:
┌─────────────────────────────────────────────────────────────┐
│ البيئة │
│ ┌───────┐ ┌───────┐ ┌───────┐ ┌───────┐ ┌───────┐ │
│ │تطبيق A│ │تطبيق B│ │تطبيق C│ │ DB A │ │ DB B │ │
│ └───┬───┘ └───┬───┘ └───┬───┘ └───┬───┘ └───┬───┘ │
│ │ │ │ │ │ │
│ سياسات فردية لكل حمل عمل مع قواعد سماح صريحة │
└─────────────────────────────────────────────────────────────┘
نماذج التجزئة
| النموذج | الوصف | حالة الاستخدام |
|---|---|---|
| المحيط | جدار حماية واحد عند حافة الشبكة | البيئات القديمة |
| قائم على VLAN | VLANs تفصل أنواع الحركة | المؤسسات التقليدية |
| قائم على المناطق | مناطق ثقة مع قواعد بين المناطق | التطبيقات متعددة الطبقات |
| التجزئة الدقيقة | سياسات لكل حمل عمل | السحابة الأصلية، Zero Trust |
مفاهيم جدار الحماية
أنواع جدار الحماية
| النوع | طبقة OSI | القدرات |
|---|---|---|
| مرشح الحزم | 3-4 | تصفية IP والمنفذ |
| ذو الحالة | 3-4 | تتبع الاتصال |
| التطبيق (WAF) | 7 | فحص HTTP/HTTPS |
| الجيل التالي (NGFW) | 3-7 | DPI، IPS، وعي التطبيق |
قواعد مجموعة الأمان (مثال AWS)
{
"SecurityGroupRules": [
{
"Description": "السماح بـ HTTPS من موازن التحميل",
"IpProtocol": "tcp",
"FromPort": 443,
"ToPort": 443,
"SourceSecurityGroupId": "sg-loadbalancer"
},
{
"Description": "السماح بـ SSH من الحصن فقط",
"IpProtocol": "tcp",
"FromPort": 22,
"ToPort": 22,
"SourceSecurityGroupId": "sg-bastion"
}
]
}
سؤال المقابلة
س: "اشرح الفرق بين Security Groups و NACLs في AWS."
الإجابة:
| الجانب | Security Groups | NACLs |
|---|---|---|
| المستوى | المثيل/ENI | الشبكة الفرعية |
| الحالة | ذو حالة (حركة العودة مسموحة) | بدون حالة (قواعد صريحة في الاتجاهين) |
| القواعد | السماح فقط | السماح والرفض |
| التقييم | كل القواعد تُقيّم | القواعد تُقيّم بالترتيب |
| الافتراضي | رفض كل الوارد | السماح للكل |
| حالة الاستخدام | التحكم في الوصول الأساسي | طبقة إضافية، حظر على مستوى الشبكة الفرعية |
سيناريوهات هجوم الشبكة
Man-in-the-Middle (MITM)
التدفق الطبيعي:
العميل ────────────────────────────────▶ الخادم
هجوم MITM:
العميل ────────▶ المهاجم ────────▶ الخادم
اعتراض إعادة توجيه
وتعديل (أو إسقاط)
الوقاية:
- TLS في كل مكان (HSTS)
- تثبيت الشهادات لتطبيقات الجوال
- TLS المتبادل (mTLS) للخدمة للخدمة
- تجزئة الشبكة
انتحال ARP
# الاكتشاف: مراقبة تعيينات IP-MAC المكررة
def detect_arp_spoofing(arp_cache):
ip_to_macs = {}
for entry in arp_cache:
ip = entry['ip']
mac = entry['mac']
if ip in ip_to_macs and ip_to_macs[ip] != mac:
alert(f"انتحال ARP محتمل: {ip} لديه عدة MACs")
ip_to_macs[ip] = mac
الوقاية:
- فحص ARP الديناميكي (DAI)
- إدخالات ARP ثابتة للأنظمة الحرجة
- أمان المنفذ على المحولات
- تجزئة VLAN
انتحال DNS
الوقاية:
- التحقق من DNSSEC
- DNS عبر HTTPS (DoH) / DNS عبر TLS (DoT)
- خوادم DNS داخلية
- تسجيل ومراقبة استعلامات DNS
حماية DDoS
أنواع الهجمات
| النوع | الهدف | التخفيف |
|---|---|---|
| الحجمي | عرض النطاق | CDN، مراكز التنظيف |
| البروتوكول | حالة الاتصال | SYN cookies، تحديد المعدل |
| التطبيق | موارد L7 | WAF، التحقق من الطلبات |
الدفاع في العمق
┌─────────────────────┐
│ CDN / الحافة │ ← امتصاص الحجمي
│ (CloudFlare، إلخ) │
└─────────┬───────────┘
│
┌─────────┴───────────┐
│ موازن التحميل │ ← تحديد المعدل
│ + WAF │ ← تصفية L7
└─────────┬───────────┘
│
┌─────────┴───────────┐
│ خوادم │ ← التحقق من الطلبات
│ التطبيق │ ← التحجيم التلقائي
└─────────────────────┘
مراقبة الشبكة
ما يجب تسجيله
| المصدر | الأحداث الحرجة |
|---|---|
| جدار الحماية | الاتصالات المرفوضة، تغييرات القواعد |
| DNS | الاستعلامات للنطاقات المشبوهة |
| الوكيل | الطلبات المحظورة، User-Agents غير عادية |
| IDS/IPS | مطابقات التوقيع، الشذوذ |
| بيانات التدفق | أنماط الحركة غير العادية، تسريب البيانات |
سيناريو مقابلة أمان الشبكة
س: "مستخدم يبلغ أنه لا يستطيع الوصول لتطبيق داخلي. كيف تستكشف الخلل؟"
استجابة منظمة:
1. التحقق من المشكلة
└── هل يمكن لمستخدمين آخرين الوصول؟
└── ما الخطأ الذي يرونه؟
2. فحص مسار الشبكة
└── هل يمكن للمستخدم ping الخادم؟
└── هل DNS يحل بشكل صحيح؟
└── ماذا يُظهر traceroute؟
3. فحص ضوابط الأمان
└── قواعد مجموعة الأمان
└── NACLs على الشبكة الفرعية
└── جدار الحماية القائم على المضيف
└── مصادقة مستوى التطبيق
4. فحص التطبيق
└── هل الخدمة تعمل؟
└── هل هناك سجلات أخطاء؟
└── هل هناك مشكلة شهادة؟
5. التوثيق والحل
└── تحليل السبب الجذري
└── الإصلاح والتحقق
└── تحديث دليل التشغيل إذا لزم
أمان شبكة السحابة
أفضل ممارسات تصميم VPC
┌────────────────────────────────────────────────────────────────┐
│ VPC (10.0.0.0/16) │
│ │
│ ┌─────────────────────────┐ ┌─────────────────────────────┐ │
│ │ الشبكة الفرعية العامة │ │ الشبكة الفرعية العامة │ │
│ │ (AZ-1) 10.0.1.0/24 │ │ (AZ-2) 10.0.2.0/24 │ │
│ │ ├── ALB │ │ ├── ALB │ │
│ │ └── NAT Gateway │ │ └── NAT Gateway │ │
│ └─────────────────────────┘ └─────────────────────────────┘ │
│ │
│ ┌─────────────────────────┐ ┌─────────────────────────────┐ │
│ │ الشبكة الفرعية الخاصة │ │ الشبكة الفرعية الخاصة │ │
│ │ (AZ-1) 10.0.10.0/24 │ │ (AZ-2) 10.0.20.0/24 │ │
│ │ └── طبقة التطبيق │ │ └── طبقة التطبيق │ │
│ └─────────────────────────┘ └─────────────────────────────┘ │
│ │
│ ┌─────────────────────────┐ ┌─────────────────────────────┐ │
│ │ الشبكة الفرعية للبيانات │ │ الشبكة الفرعية للبيانات │ │
│ │ (AZ-1) 10.0.100.0/24 │ │ (AZ-2) 10.0.200.0/24 │ │
│ │ └── RDS (لا إنترنت) │ │ └── RDS (لا إنترنت) │ │
│ └─────────────────────────┘ └─────────────────────────────┘ │
└────────────────────────────────────────────────────────────────┘
نصيحة المقابلة: عند مناقشة أمان الشبكة، اذكر دائماً الدفاع في العمق - طبقات حماية متعددة تضمن أنه إذا فشلت واحدة، الأخرى لا تزال توفر الحماية.
في الوحدة التالية، سنغطي الكشف والاستجابة و GRC. :::