بينما تتسابق المؤسسات على تبني التكنولوجيا السحابية ، فإنها تواجه أيضًا مجموعة من التهديدات المحتملة الجديدة من النشر السريع وغير المنظم بشكل متكرر للتقنيات المختلفة القائمة على السحابة. قال شون ميتكالف ، مؤسس شركة الاستشارات الأمنية السحابية Trimark Technologies ، أمام الحضور في DEF CON Safe Mode الأسبوع الماضي ، إن مخاوف خاصة تحيط باعتماد ما يسمى بتقنيات السحابة الهجينة.
السحابة المختلطة هي مزيج من البنية التحتية المحلية جنبًا إلى جنب مع البنية التحتية المستضافة على السحابة (البنية التحتية كخدمة ، أو IaaS) والخدمات (البرمجيات كخدمة ، أو SaaS). عادةً ما يكون موفرو IaaS عمالقة مثل Amazon’s AWS أو Microsoft Azure أو Google Cloud Platform. قال ميتكالف إن توسيع مراكز البيانات المحلية في السحابة يعني بشكل أساسي أن السحابة تعمل بشكل فعال كمضيف افتراضي مثل VMware أو Microsoft Hyper V.
بسبب هذه المحاكاة الافتراضية الفعالة ، فإن أي هجمات مرتبطة بعناصر مركز البيانات السحابية هذه تشبه الطريقة التي ستهاجم بها VMware و Hyper V “ولكن مع النفقات الإضافية” حسنًا ، يتم استضافتها بواسطة Microsoft أو استضافتها بواسطة Amazon ، أو تستضيف Google “،” أخبر Metcalf CSO.
كل من هؤلاء العمالقة المضيفة لديهم قدرات وتكوينات مختلفة ، مما يجعل تأمينهم أكثر تعقيدًا للشركات. تنطبق هذه التعقيدات بشكل خاص على المؤسسات الكبيرة ، والتي غالبًا ما تحتوي على مثيلات جهاز افتراضي (VM) يتم تثبيتها عبر خوادم سحابية متعددة ، كما يقول Metcalf. يعد استخدام العديد من موفري السحابة أمرًا شائعًا بالنسبة للمؤسسات لأن “أي شخص لديه بطاقة ائتمان يمكنه التسجيل للحصول على اشتراك سحابي أو حساب سحابي ، مما يعني أنه يمكن لأي من وحدات الأعمال إعداد اشتراكها الخاص أو حسابها الخاص أو المستأجر” ، Metcalf يقول.
تزداد التحديات عند أخذ العناصر الأخرى للسحابة المختلطة في الاعتبار ، مثل تطبيقات SaaS مثل Salesforce أو Workday أو Office 365. لكل عنصر من عناصر SaaS متطلباته الخاصة ويستخدم أدوات المزامنة الخاصة به والتي تم تكوينها في البيئة المحلية . غالبًا ما ينتهي الأمر بكمية كبيرة من المعلومات من البنية التحتية المحلية ، الدليل النشط عادةً ، خدمة دليل لشبكات مجال Windows ، في بيئة السحابة.
يقول ميتكالف: “من المنطقي وجودها ، ولكن غالبًا ما تحتوي نقاط الاتصال هذه على بعض المقايضات الأمنية المثيرة للاهتمام ، والتي لا يتم فهمها جيدًا أو غالبًا”. على سبيل المثال ، يمكن للمهاجمين اختراق Active Directory لوحدات التحكم الرئيسية ، وهي الخوادم التي تستضيف هوية الدليل النشط ونظام المصادقة. “هذا هدف رئيسي للمهاجمين.”
الاندفاع إلى السحابة يشدد على الأمن وفرق تكنولوجيا المعلومات
وتزيد الوتيرة التي يدفع بها صانعو القرار في مجال الأعمال مؤسساتهم إلى السحابة من عبء فرق الأمان. يقول ميتكالف: “غالبًا ما يتم جر فرق العمليات وفرق الأمن في هذا النهج”. يقول قادة الأعمال ، “هذا هو ما نتجه إليه.” لذا ، فإن فرق العمليات وفرق الأمن هي التي يجب أن تلعب دور اللحاق بالركب “.
هناك مشكلة كبيرة أخرى في بيئة السحابة المختلطة وهي إدارة الهوية والوصول (IAM) ، مما يضمن وصول المستخدمين إلى عناصر النظام التي يجب أن يكون لديهم حق الوصول إليها فقط ، وهو تحد مزمن لجميع المؤسسات حتى في ظل أفضل الظروف. يقول Metcalf: “الشيء الآخر الذي لا يدركه الأشخاص غالبًا هو عندما يستضيفون مثيلات VM هذه ، فإن كل من أنشأ هذا المستأجر أو الاشتراك أو الحساب لأول مرة مع موفر السحابة هذا يحتفظ عادةً بحقوق المسؤول”.
“عندما يقومون في البداية بتدوير كل شيء والوقوف على هذه البيئة ، يحصل مسؤولو الخادم عادةً على الحقوق الكاملة لكل شيء. غالبًا ما يكون هناك هذا الاندفاع نحو “فلننجز ذلك لأن لدينا جدولًا زمنيًا ونحتاج إلى إنجازه” ، كما يضيف ، موضحًا أن AWS و Azure و Google Cloud Platform يديران أدوار الوصول بشكل مختلف. “هناك فرصة لارتكاب أخطاء في ذلك لأنه عادةً ما يتم تجاوز هذه الأدوار.”
تحتاج الفرق الفنية إلى الدعم لفهم السحابة المختلطة
بالإضافة إلى كل هذه المزالق الأمنية المحتملة ، فإن قلة قليلة من الناس يفهمون بيئة السحابة. يقول ميتكالف: “عندما نتحدث عن السحابة وننتقل إلى السحابة ، يكون الأمر في المقام الأول أمرًا معقدًا للغاية لأن السحابة جديدة لكثير من الأشخاص”. “يتغير كل أسبوع أو كل شهر. مواكبة ذلك مهمة واسعة النطاق بحد ذاتها ، أو على الأقل يمكن أن تكون كذلك “.
لهذا السبب توصي Metcalf المؤسسات بضمان حصول الموظفين والموظفين التقنيين والعمليات والأمان على الدعم الذي يحتاجون إليه لفهم بيئة السحابة بشكل أفضل. جنبًا إلى جنب مع تقديم هذا الدعم ، “تأكد من أن جميع حسابات المسؤول لديها مصادقة متعددة العوامل تم تكوينها من خلال موفر السحابة” أو أي نظام ذي صلة ، يقترح Metcalf. ويشير إلى البيانات التي جمعها في عام 2019 والتي توضح أن أقل من 8٪ من جميع المسؤولين يستخدمون المصادقة متعددة العوامل للوصول إلى السحابة. “إذا لم يكن متوفرًا ، فاطلب بشدة من المورد أن يكون متاحًا لأن هذه طريقة رائعة للتخفيف من احتمالية سيطرة المهاجم على هذا الحساب.”
احتفظ بإدارة السحابة بعيدًا عن محطات عمل الإنتاج
نصيحة رئيسية أخرى هي التأكد من عدم تنفيذ أي أنشطة أو مهام إدارية باستخدام محطة عمل مستخدم عادية في البيئة. وبهذه الطريقة يصعب على المهاجم انتزاع أو التنازل عن الهوية التي يتم استخدامها لتشكيل الإدارة. محطات العمل النموذجية التي تم تكوينها في معظم الشركات ليست محمية بشكل كافٍ ضد أي مهاجم يفسدها. علينا التأكد من أن بيانات الاعتماد المميزة هذه محمية جيدًا ومعزولة عن الطريقة العادية التي يقوم بها المستخدمون بالأنشطة على أنظمتهم “.
غالبًا ما تتضمن إدارة السحابة متصفح الويب. يقول ميتكالف: “نحن نعلم أن متصفح الويب ليس التطبيق الأكثر أمانًا في معظم الأنظمة.” “ولكن غالبًا ما يستخدم المسؤولون بوابات الويب هذه ، مما يعني أنه من المحتمل أن يقوموا فقط بفتح Firefox أو Chrome ويقومون بالإدارة وهو بجوار Facebook ، بجوار Google مباشرةً. هناك مخاطرة كبيرة في ذلك “.
على الرغم من أن معظم المخاطر في بيئة السحابة المختلطة تتدفق من التحديات التقنية المعقدة التي تواجهها المؤسسات ، إلا أن موفري السحابة أنفسهم ليسوا في مأمن من المخاطر الأمنية. بينما كان يراجع بيئات Active Directory المُدارة لموفري السحابة الثلاثة الكبار [Amazon, Microsoft and Google]، اكتشف ميتكالف ثغرة في إحداها. وقال: “لا تزال قيد التنفيذ” ، مما يعني أن مزود الخدمة الذي لم يذكر اسمه يعمل على إصلاحه.
أخيرًا ، تتطلب سرعة التغيير في بيئة السحابة بشدة الاجتهاد المستمر لإحباط الجهات الضارة. “أحد الأشياء المثيرة للاهتمام حول السحابة من منظور الأمان هو أنه مع إضافة هذه الميزات الجديدة ، لا يعرف العميل في كثير من الأحيان ، ولكن من المرجح جدًا أن يكون المهاجمون هم أول من يحدد ذلك ويبدأ في الاستفادة منه ،” ميتكالف يقول. “هناك بالتأكيد أشياء توفر القدرة التي يحبها المهاجمون ويمكن أن تكون مفيدة جدًا للمستخدمين أو المؤسسة من خلال مهام سير عمل تكنولوجيا المعلومات الخاصة بهم. حتما يمكن لأي من هذه القوة أن تذهب في كلا الاتجاهين إذا لم تكن هناك سيطرة أو إدارة مناسبة “.
حقوق النشر © 2020 IDG Communications، Inc.
