تأمين أعباء العمل في AWS: دليل شامل لأفضل الممارسات

في عصر التحول الرقمي المتسارع، تتجه الشركات بشكل متزايد نحو الحوسبة السحابية لتحقيق الكفاءة التشغيلية وتوفير التكاليف. وتشير الدراسات إلى نمو ملحوظ في سوق خدمات السحابة العامة، حيث من المتوقع أن تصل إيراداتها إلى مستويات قياسية. ومع ذلك، فإن هذا التوسع يجلب معه تحديات أمنية متزايدة، فمع تطور التقنيات، يزداد قراصنة الإنترنت براعة في استغلال الثغرات للوصول إلى البيانات الحيوية. لقد شهدت الهجمات السحابية ارتفاعاً هائلاً، مما يؤكد الحاجة الملحة لسياسات أمنية قوية وممارسات فضلى للتعامل مع البيانات المخزنة في خدمات سحابية مثل AWS. مع انتقال ما يقرب من 83% من أعباء عمل الشركات إلى السحابة بحلول نهاية عام 2020، أصبح حماية هذه البيانات الحساسة أمراً بالغ الأهمية. في هذا المقال، سنستعرض مجموعة من أفضل الممارسات التي يجب على الشركات تطبيقها لحماية بياناتها المنتقلة إلى السحابة.

فهم نموذج المسؤولية المشتركة في AWS

توضح وثائق AWS بالتفصيل مسؤوليات العميل ومسؤوليات AWS ضمن نموذج المسؤولية المشتركة. ينص هذا النموذج على أن AWS مسؤولة عن حماية البنية التحتية التي تشغل الخدمات المقدمة على سحابة AWS. في المقابل، تشمل مسؤوليات العميل إعدادات الأمان وإدارة الخدمات التي يختار استخدامها. هذا يعني أن AWS تحمي “السحابة”، بينما أنت مسؤول عن “الأمان في السحابة”.

استخدام إدارة الهوية والوصول (IAM) بفعالية

تؤكد وثائق AWS بشكل قاطع على ضرورة استخدام العميل لأدوات إدارة الهوية والوصول (IAM) لحماية بياناته. تتيح أداة AWS IAM إدارة المستخدمين الذين سيتمكنون من الوصول إلى السحابة، وتسمح بالتحكم في الوصول إلى موارد معينة. كما تمكّن الأداة العملاء من إنشاء وإدارة مستخدمي ومجموعات AWS.

يتم توفير أذونات محددة تسمح أو تمنع الوصول إلى موارد AWS المختلفة. إذا كنت ترغب في تعيين أذونات لأي مورد، يمكنك إنشاء سياسات (policies) تتضمن العناصر التالية:

• Actions: تحديد إجراءات الخدمة المسموح بها.
• Resources: تحديد الموارد التي ستسمح بتنفيذ هذه الإجراءات عليها.
• Effect: تحديد ما إذا كنت تسمح بالوصول (allow) أو تمنعه (deny).
• Conditions: تحديد المتطلبات التي ستدخل بموجبها الإجراءات حيز التنفيذ.

يمكن لمسؤول موقعك (webmaster) إنشاء مستخدم أو أكثر من مستخدمي IAM في حساب AWS. يمكنك إنشاء المستخدمين عبر وحدة تحكم إدارة AWS (AWS Management Console)، ويمكنك إضافة ما يصل إلى عشرة مستخدمين في المرة الواحدة.

تفعيل المصادقة متعددة العوامل (MFA)

على الرغم من أن تخزين بياناتك على AWS آمن إلى حد كبير، إلا أنه يجب عليك اتخاذ احتياطات إضافية ضد الوصول غير المصرح به لتلك البيانات. كما تقترح AWS، يمكنك استخدام المصادقة متعددة العوامل (MFA) لطبقة أمان إضافية. قد لا يكون استخدام معرف المستخدم وكلمة المرور فقط آمناً بما يكفي، حيث طور المتسللون العديد من الطرق لاختراق كلمات المرور.

يمكنك أيضاً التحكم في الوصول إلى واجهات برمجة تطبيقات AWS (APIs) باستخدام MFA. يمكنك تمكين وإدارة جهاز MFA افتراضي لمستخدم IAM في حساب AWS. ما عليك سوى تسجيل الدخول إلى AWS Management Console وإضافة MFA بعد اختيار المستخدم.

بناء بنية أمنية متينة

يجب تشفير قواعد بيانات Amazon العلائقية ما لم تكن مشفرة بالفعل على مستوى التخزين. يجب تغيير مفاتيح IAM كل ثلاثة أشهر. يجب عليك أيضاً وضع علامات منطقية (tagging) على مثيلات EC2 الخاصة بك، حيث يمكن أن يوفر ذلك مزيداً من المعلومات حول موقع المثيل واستخدامه. كما يساعدك في الحفاظ على الاتساق في بيئتك.
يمكن أن يساعد وضع العلامات أيضاً في إدارة موارد Amazon بشكل أكثر فعالية. يمكن لمسؤول موقعك تحديد وتصنيف وتحديد الموارد لاحتياجاتهم المختلفة. يمكن أن يساعد التصفية (filtering) في العثور على معايير وضع العلامات المعتمدة في مؤسستك والتحقق منها. يمكنك استخدام أدوات آلية للمساعدة في عملية وضع العلامات. تتوفر واجهة برمجة تطبيقات Resource Groups Tagging API لمساعدتك في تصفية وإدارة والبحث عن العلامات.

تدريب الموظفين: خط الدفاع الأول

بينما تتخذ خطوات لتعزيز أمان أنظمتك على سحابة AWS، يجب عليك أيضاً تنظيم دورات تدريبية دورية لموظفيك. تظهر الدراسات أن المتسللين غالباً ما يستهدفون الموظفين للوصول إلى الشبكات المحمية. يمكن أن يؤدي أي إهمال بسيط في الدفاعات إلى اختراق محتمل للبيانات قد يضر بمؤسستك.
يجب أن يكون موظفوك على دراية ببروتوكولات الأمان التي تستخدمها لحماية بياناتك على AWS. إذا لم يكن الجميع في مؤسستك على دراية بهذه البروتوكولات، فقد تواجه مشكلات في تطبيقها. عند تقديم عمليات جديدة، يجب عليك تنظيم جلسة تدريب قصيرة لموظفيك. يمكنك أيضاً إنشاء مقاطع فيديو تعليمية ذاتية وإجراء اختبار في النهاية.

تطبيق التشفير الشامل (End-to-End Encryption)

يساعد التشفير الشامل في حماية بياناتك من الوصول غير المصرح به، كل ما عليك فعله هو تثبيت شهادة SSL على AWS. يمكن لوحدة تحكم إدارة AWS (AWS Management Console) استخدام شهادة SSL بين نقاط نهاية خدمة وحدة التحكم ومتصفح العميل. ستسمح شهادة SSL بالتفاعل المشفر بين المتصفح وخادم الويب. يمكن لمتصفح العميل مصادقة هوية نقطة نهاية خدمة التحكم.

يمكن أن يساعد استخدام بروتوكول HTTPS في حماية بياناتك الحساسة. ولكن يجب عليك أيضاً مراعاة متطلبات الموارد الإضافية عندما تتعامل خوادمك مع مئات من جلسات SSL/TLS. لتثبيت الشهادة، تحتاج إلى تحويل الشهادة والشهادات الوسيطة إلى تنسيق PEM. ثم، يجب عليك تحميلها إلى حساب AWS الخاص بك وتكوين مستمع HTTPS (HTTPS listener). دعنا نلقي نظرة على هذه العملية بمزيد من التعمق.

كيفية تثبيت شهادة SSL على خادم AWS الخاص بك

بمجرد إنشاء طلب توقيع الشهادة (CSR) وتقديمه إلى مرجع التصديق (certificate authority)، يتحقق مرجع التصديق من التفاصيل ويصدر شهادة SSL. يكون ملف المفتاح الخاص (private key file) وملف الشهادة (certificate file) كلاهما بتنسيق .CRT. بمجرد حصولك على هذين الملفين، تحتاج إلى تحميلهما إلى الخادم.

1. أولاً، قم بتسجيل الدخول إلى AWS ثم إلى AWS EC2.
2. بعد ذلك، تصفح قائمة التنقل (navigation menu) >> انقر على “Network Security” >> اختر “Load Balancers“.
3. تصفح الجزء الرئيسي (main pane) وحدد أيقونة Load Balancers أثناء تحميل الشهادة.
4. الآن، انقر على علامة التبويب “Listeners” ثم انقر على “Edit” و “Add“.
5. اختر HTTPS في عمود شهادة SSL وانقر على “change” في نفس العمود.
6. انقر على زر الاختيار (radio button) “Upload a new SSL certificate to AWS Identity and Access Management (IAM)“. يمكنك إعادة تسمية الشهادة هنا أيضاً.
7. في حقل المفتاح الخاص (private key field)، الصق المحتويات الكاملة للمفتاح الخاص في المربع المخصص “-----BEGIN RSA PRIVATE KEY-----” و “-----END RSA PRIVATE KEY-----“.
8. في شهادة المفتاح العام (public key certificate)، الصق تفاصيل الشهادة في الحقل المعني “-----BEGIN CERTIFICATE-----” و “-----END CERTIFICATE-----“.
9. أخيراً، الصق سلسلة الشهادات (certificate chain) أو CA Bundle.crt في العمود المعني “-----BEGIN CERTIFICATE-----” و “-----END CERTIFICATE-----“.
10. انقر على “Save” لإكمال عملية التثبيت.

سيقوم IAM بالتحقق وتأكيد التثبيت بعد تحميل الشهادة. أعد تشغيل مثيل AWS EC2 الخاص بك لرؤية التغييرات.

وضع سياسة استرداد قوية للتعافي من الكوارث

يجب أن يكون لديك سياسة قوية للنسخ الاحتياطي والاسترداد (backup and recovery policy). حتى لو كان أمانك من الدرجة الأولى، فإن النسخ الاحتياطي والتعافي من الكوارث أمران حاسمان. يمكن أن يساعدك AWS Backup في العثور على الأدوات المناسبة لحل نسخ احتياطي واسترداد قابل للتطوير. تتيح لك عملية النسخ الاحتياطي المركزية الخاصة بهم أتمتة ومركزة النسخ الاحتياطي بسهولة.
يمكن لمسؤول موقعك مراقبة عملية النسخ الاحتياطي هذه بسهولة لعدد من موارد AWS. أيضاً، يمكنك إنشاء سياسات النسخ الاحتياطي في وحدة تحكم AWS Backup ببضع نقرات فقط.
لبدء النسخ الاحتياطي لـ AWS، يجب عليك تسجيل الدخول إلى حساب AWS الخاص بك وتشغيل وحدة تحكم AWS Backup. بعد ذلك، قم بإنشاء خطة نسخ احتياطي وتخصيص الموارد. سيتم نسخ الموارد احتياطياً بناءً على سياستك. بمجرد نسخ الموارد احتياطياً، يمكن للمستخدم مراقبتها أو استعادتها أو تعديلها حسب الضرورة.

خطوات أساسية لإنشاء خطة التعافي من الكوارث (DRP)

فيما يلي بعض الخطوات التي يجب اتخاذها لإنشاء خطة التعافي من الكوارث (DRP):

1. إنشاء مجموعة من التعليمات التي تحدد القواعد واللوائح المتعلقة بـ DRP. يسمى هذا “بيان الطوارئ لإدارة التعافي من الكوارث” (Disaster Recovery Management Contingency Statement).
2. إجراء تحليل تأثير الأعمال (business impact analysis) للحصول على فكرة عن تطبيقات ومكونات تكنولوجيا المعلومات الحرجة، بالإضافة إلى تأثير المخاطر المرتبطة بالأعمال.
3. اتخاذ تدابير تحكم وقائية وكشفية وتصحيحية تكتشف وتقلل من نسبة المخاطر لديك. أيضاً، حافظ على تحديث برامج الأمان، قم بتثبيت أجهزة إنذار الحريق، قم بتنظيم دورات تدريب للموظفين، وقم بتثبيت برامج مراقبة الشبكة والخادم.
4. تحديد أقسام التطبيقات والأعمال التي ستتأثر بشكل هامشي أثناء الفشل (low failure assurance).
5. إجراء اختبارات للتحقق مما إذا كانت التغييرات قد حدثت بعد كل عملية اختبار.
6. يجب تدريب الإدارة والموظفين على عملية التعافي من الكوارث.

الاستفادة من AWS CloudTrail للمراقبة والتدقيق

يساعد CloudTrail في التدقيق التشغيلي والمخاطر، بالإضافة إلى الامتثال والحوكمة لحساب AWS الخاص بك. تتيح خدماته لمسؤول موقعك مراقبة النشاط في حساب AWS الخاص بك بشكل مستمر. كما يحافظ على سجل لجميع الأنشطة عبر جميع خدمات AWS الخاصة بك.

سيساعدك CloudTrail في تتبع تغييرات الموارد، وتحليل بروتوكولات الأمان الخاصة بك، واكتشاف النشاط غير العادي في حسابك. يجب عليك تحديد البيانات الحرجة لأنشطتك. يمكنك تحليل سجلات CloudTrail لأنها تجمع بيانات حرجة حول استخدام حسابات AWS الخاصة بك. يجب تمكين CloudTrail عبر جميع المناطق الجغرافية لتزويدك بهذه الرؤى.

كيفية إعداد AWS CloudTrail

عند إنشاء مسار (trail) في حساب AWS الخاص بك، فإنه يسمح لك بالاستفادة من خدمات AWS الأخرى. بذلك، يمكنك التحقق من بيانات الأحداث المخزنة في سجلات CloudTrail. يأتي CloudTrail بشكل افتراضي عند إنشاء حساب AWS.

إعداد CloudTrail لجميع المناطق (Regions)

قم بتسمية مسار CloudTrail الخاص بك واختر “Yes” لـ “Apply trail to all regions“. يجب عليك تطبيقه على جميع المناطق حتى لو كنت تتعامل مع بلد واحد فقط. يمكنك التحقق من نشاط المناطق الأخرى كمقارنة بنشاطك.

تحديد نوع سجل الأحداث (Event Log)

يمكنك تسجيل أحداث مختلفة مثل أحداث الإدارة (management events) والبيانات (data events) والرؤى (insight events). يجب عليك اختيار أنواع الأحداث بناءً على احتياجات مؤسستك.

تمكين التحقق من ملف السجل (Log File Validation)

يجب عليك تكوين السجلات على حزم S3 الخاصة بك، والتي يتم تشفيرها افتراضياً بتشفير SSE-S3. ضمن خيار موقع التخزين (storage location option)، يمكنك النقر على “Yes” لـ “Enable log file validation“.

تكوين تنبيهات CloudWatch (CloudWatch Alarms)

بمجرد إنشاء مسار في حساب AWS الخاص بك، يمكنك تكوين أمان CloudWatch بالنقر على زر “configure“. بعد ذلك، قم بتمكين IAM بالنقر على “Create CloudWatch Alarms for Security and Network related API activity using CloudFormation template“. عند القيام بذلك، ستتلقى إشعاراً بخصوص أي مكالمات أمان API. الآن يجب أن يكون CloudTrail جاهزاً تماماً.

الاستعانة بـ AWS Trusted Advisor لتحسين الأمان

يساعد AWS Trusted Advisor في مراقبة جميع جوانب خدماتك السحابية. يراقب البيئة السحابية والتطبيقات التي تعمل عليها. كما يسمح لك بفحص شبكاتك الداخلية ومقارنتها بمعايير AWS. يمكنك الوصول إلى AWS Trusted Advisor من AWS Management Console.
تتمتع جميع الحسابات بإمكانية الوصول إلى عدد قليل من الفحوصات (checks). يجب على الشركات الاشتراك في مستويات دعم AWS Business أو Enterprise للحصول على الوصول إلى جميع الفحوصات.

يمكنك الحصول على الفحوصات التالية عبر AWS بدون رسوم إضافية:

• فحص استخدام IAM (Check IAM use): يتحقق مما إذا كان العميل يلتزم بأفضل ممارسات الأمان وما إذا تم إنشاء المستخدمين والمجموعات والأدوار للتحكم في الوصول إلى موارد AWS.
• فحص حدود الخدمة (Service limits check): يتم فحص وضعك بالنسبة لحدود الخدمة الأساسية للمنتجات المختلفة.
• فحص MFA على الحساب الجذري (MFA on root account check): يتحقق مما إذا كنت تستخدم MFA.
• فحص المجموعات الأمنية (المنافذ المحددة غير المقيدة) (Security Groups (Specific Ports Unrestricted Check)): هذا الفحص ضروري، ويبلغ مسؤول الموقع إذا كان الوصول إلى مثيلات EC2 الخاصة بك متساهلاً للغاية. يساعد في منع هجمات حجب الخدمة (denial of service) أو الاختراق.

الخلاصة

مع انتقال المزيد والمزيد من الشركات ببياناتها إلى السحابة، يتعين عليها اتخاذ المزيد من الاحتياطات لإدارة تلك البيانات بأمان وفعالية. وقد أدت هذه الخطوة نحو السحابة إلى زيادة في خروقات البيانات، وأصبحت شهادات SSL ضرورية لخدمات AWS الآمنة. نأمل أن تكون قد تعلمت بعض أفضل الممارسات للمساعدة في إدارة خدمات AWS الخاصة بك في هذا المقال.

الخلاصة التقنية

يُعد تأمين أعباء العمل في بيئة AWS أمراً بالغ الأهمية في المشهد الرقمي الحالي. لا يقتصر الأمان على تطبيق التقنيات فحسب، بل يمتد ليشمل فهم المسؤوليات المشتركة، وتكوين السياسات الصحيحة، وتدريب العنصر البشري، ووضع خطط استجابة للكوارث. من خلال دمج أدوات مثل IAM وMFA، وتطبيق التشفير الشامل، والاستفادة من خدمات المراقبة مثل CloudTrail وTrusted Advisor، يمكن للمؤسسات بناء دفاعات قوية ضد التهديدات السيبرانية المتطورة. إن النهج الاستباقي والشامل للأمان هو المفتاح للحفاظ على سلامة البيانات واستمرارية الأعمال في السحابة.