أمن الحوسبة السحابية

يمكن تعريفه بأنه مجموعة واسعة من السياسات والتقنيات والضوابط لحماية البيانات المنتشرة و التطبيقات و البنية التحتية المرتبطة بها والمكونة للحوسبة السحابية, أو بصورة أخرى هي تكامل واندماج أغلب مجالات أمن المعلومات مثل أمن الشبكات وأمن الأنظمة وأمن التطبيقات وغيرها في مجال جديد يعتمد كل جزء فيه على الجزء الآخر في تناغم تام. تنقسم التحديات الأمنية المتعلقة بالحوسبة السحابية إلى قسمين:

  • المصاعب والتحديات الأمنية التي تواجه مزود خدمة الحوسبة السحابية.
  • المصاعب والتحديات الأمنية التي تواجه مستخدم خدمة الحوسبة السحابية.

واجبات مزود خدمة الحوسبة السحابية

[عدل]

حماية البيانات

[عدل]

حماية البيانات data protection هي أن تكون البيانات محمية ومفصولة ومصانة عن الاختلاط بين المستخدمين، ويجب أن يتم التخزين بشكل آمن، وأن تكون البيانات قادرة على التحرك بشكل آمن من موقع إلى آخر، كذلك يجب أن تكون البيانات مشفرة وفق أفضل تقنيات التشفير.

الفصل بين الواجبات

[عدل]

يجب الفصل الصحيح والكامل بين الواجبات والوظائف (segregation of duties)، حتى يضمن أن خدمات كالمراقبة والرصد والتدقيق سواء أكانت من مزود الخدمات أو من المستخدمين أو من طرف ثالث تعاقد معه المزود أو المستخدم ولديه امتياز عن المستخدم العادي لأداء مهمته، يجب الفصل بينهم وتطبيق نظام متكامل لضمان عدم تسرب البيانات.

إدارة الهوية

[عدل]

توفير إدارة الهوية والتحكم بالدخول للمصادر المعلوماتية وموارد الخدمة، وفقا لإحتياجات المستخدم على أن تقبل هذه الأنظمة التكامل وقابلية الدمج والتطوير مع أنظمة إدارة الهوية (Identity management) الخاصة بالمستخدم سواء أكانت تقليدية أو أنظمة مقدمة من مزود آخر للخدمة فيما يعرف بعملية الاتحاد (federation services).

الأمن المادي (أمن الأجهزة والمعدات)

[عدل]

مزود الخدمة يجب أن يضمن أن الأجهزة والمعدات آمنة بشكل كاف، ولا يمكن الوصول إليها بأي شكل من الأشكال، ومقيدة بنظام دخول متكامل وموثق للرجوع إليه عند الحاجة، وقد يكون جزء من نظام إدارة الهوية في حالة المستخدمين ذوي الامتيازات الخاصة.

التوافرية

[عدل]

مزود الخدمة يضمن أن المستخدمين سوف يحصلون على توفيرية للخدمات، أو بصورة أخرى قابلية الوصول إلى البيانات و الأنظمة والتطبيقات الخاصة بهم بشكل منتظم، ومتاح طوال فترة الخدمة دون أي توقف.

أمن التطبيقات والأنظمة

[عدل]

مزود الخدمة لا بد أن يضمن أمن وسلامة التطبيقات والأنظمة المقدمة ضمن الخدمة، من خلال تنفيذ الاختبارات وتطبيق السياسات والإجراءات، ونظم الحماية متعددة الطبقات.

السرية

[عدل]

مزود الخدمة لابد أن يضمن السرية التامة للمستخدم للبيانات بكل أنواعها، وعدم السماح بالوصول لها إلا للأشخاص المخولين من قبل المستخدم.

حقوق مستخدم خدمة الحوسبة السحابية

[عدل]

لخصت مؤسسة "Gartner" حقوق المستخدم و المسؤليات الواقعة عليه في النقاط التالية:

  • الحق في الحفاظ على الملكية وإستخدامها والسيطرة على البيانات الخاصة.
  • الحق في الحصول على اتفاق مستوى الخدمة يتضمن الالتزامات التقنية والمادية والإجراءات العامة.
  • الحق في إستقبال الإخطار وحرية الاختيار للتعديلات التي تؤثر في العمليات التجارية للمستخدم.
  • الحق في معرفة القيود التقنية أو متطلبات الخدمة مسبقا.
  • الحق في معرقة المتطلبات القانونية للدول التي يعمل فيها مقدم الخدمة مقدما.
  • الحق في معرقة إجراءات وسياسة عملية الأمن التي يتبناها مزود الخدمة.
  • مسؤلية الفهم و الالتزام بمتطلبات ترخيص البرمجيات والنظم.

كل هذا يقود إلى أهمية أن تكون هناك معايير ومقاييس للحوسبة السحابية بصورة عامة، ولأمن الحوسبة السحابية بصورة خاصة، وهذا ما تقدمة عدد من المؤسسات والمنظمات مثل تحالف أمن الحوسبة السحابية.

مراجع

[عدل]