بشكل عام قإن الأصل Asset هو أي شيء ذو قيمة لأصحاب المصلحة. قد يكون الأصل ملموساً، مثل الأجهزة أو البرامج أو جهاز الشبكة أو أي مكون تكنولوجي آخر. أو غير ملموس. كالمعلومات أو البرامج أو القدرة أو الوظيفة أو الخدمة أو العلامة التجارية أو حقوق النشر أو براءة الاختراع أو الملكية الفكرية أو السمعة. يتم تحديد قيمة الأصل من قبل أصحاب المصلحة مع الأخذ في الاعتبار مخاوف الخسارة عبر دورة حياة النظام بأكملها. يناقش روبودين في هذا المقال بعض مفاهيم إدارة الأصول السحابية كما يعرض للأمن السحابي وأنواع الأجهزة الافتراضية VMs .
بنية السحابة
بنية تحتية: توجد الخوادم والشبكات ومجموعات التخزين في هذه الطبقة. هذه الطبقة مملوكة ومدارة من قبل مقدم الخدمة، ونحن تعمل فيه فحسب.
البنية الفوقية: في هذه الطبقة يمكنك إنشاء الأدوات الافتراضية المطلوبة لعالم السحابة. هنا يتم إجراء التكوين في مستوى الإدارة. يتم ذلك من خلال واجهة مستخدم رسومية (GUI)، أو واجهة سطر أوامر (CLI)، أو واجهة برمجة التطبيقات (API). يعتمد ذلك على ما يقدمه مزود الخدمات السحابية للتفاعل مع البنية التحتية الخاصة به.
ماذا تعرف عن الأصول السحابية؟
يتم إنشاء المزيد من أنواع الأصول السحابية cloud assets كل يوم. ومن المحتمل ألا يكون لدى الجميع كل هذه الأنواع من الأصول. لا تحتاج المؤسسة إلى تتبع كل هذه الأصول. الشيء المهم هو معرفة جميع الأصول ذات الصلة بأمنها. ليس من الضروري أن يكون لديها حل 100% لإدارة الأصول على الفور. لكن المطلوب التركيز على الأصول الأهم و منها تلك المتعلقة بتخزين البيانات وحساب الأصول. علماً أن العديد من الأصول السحابية يتم إنشاؤها وحذفها على مدار الساعة. يجعل ذلك إدارة الأصول أكثر صعوبة كما يقلل فعالية بعض الطرق الشائعة لتتبع الأصول، مثل التتبع عن طريق عنوان IP.
حساب الأصول
عادةً ما تأخذ أصول الحوسبة Compute assets البيانات وتعالجها لتؤدي غرضاً معيناً. على سبيل المثال، قد يأخذ مورد حوسبة بسيط بيانات من قاعدة بيانات ويرسلها إلى متصفح الويب عند الطلب. أو يرسلها إلى شريك أعمال، أو يجمعها مع بيانات في قاعدة بيانات أخرى. ليست فئات الأصول السحابية متفردة أو مستقلة بذاتها. قد تخزن الموارد الحاسوبية البيانات، وخاصة البيانات المؤقتة. لتجنب مخاطر عدم الامتثال، قد يكون من الضروري تتبع كل مكان يمكن أن تكون فيه البيانات حتى تلك المخزنة مؤقتاً.
إدارة الأصول السحابية – الأجهزة الافتراضية
الأجهزة الافتراضية (VMs) هي أكثر أنواع الأصول السحابية شيوعاً وتعمل عليها أنظمة التشغيل والعمليات لتحقيق وظائف العمل. تشبه الأجهزة الافتراضية في البيئات السحابية نظيراتها المحلية. تتألف الأجهزة الافتراضية من نظام تشغيل يتضمن kernel. بالإضافة إلى حزمة برامج للمستخدم. لكن يمكن لبعض المخدمات أداء جميع وظائفها باستخدام البرنامج الذي يتم شحنه كجزء من نظام التشغيل فقط. ومع ذلك، تحتوي معظم الأجهزة الافتراضية على برامج إضافية مثبتة، مثل برامج النظام الأساسي/البرامج الوسيطة. و نظراً لأن الجهاز الافتراضي يضم العديد من المكونات، فإنه يجب توخي الحذر بشأن إدارة الثغرات الأمنية وإدارة الوصول وإدارة التكوين لكل طبقة من الطبقات المختلفة للمخدم. قد يتمكن المهاجمون من الوصول إلى أي بيانات يمكن للجهاز الافتراضي الوصول إليها. قد يستخدم المهاجمون أيضاً هذا الجهاز الافتراضي المخترق لمهاجمة بقية البنيةالتحتية أو المؤسسات الأخرى (مما قد يؤدي إلى الإضرار بالسمعة). فيما يلي بعض الأمثلة على المكونات التي يجب على إدارة الأصول السحابية اتباعها فيما يتعلق بالأجهزة الافتراضية:
- اسم نظام التشغيل وإصداره. يدعم موردو أنظمة التشغيل الإصدارات التي تحتوي على إصلاحات أمنية لفترة زمنية محدودة فقط. لذلك من المهم أن تظل محدثاً بشكل معقول وأن تستخدم إصدار مدعوم من نظام التشغيل.
- أسماء وإصدارات أي منصة أو برنامج وسيط. قد يكون هذا برنامجاً مثل خوادم الويب أو خوادم قواعد البيانات. من المهم تتبع هذا البرنامج لأغراض إدارة الثغرات الأمنية (في حالة إصدار إرشادات أمنية) وكذلك لإدارة الترخيص.
- عناوين IP الخاصة بالجهاز الافتراضي والشبكة السحابية الخاصة الافتراضية الموجودة فيه، إن أمكن.
سرعة و مرونة
يستغرق إنشاء الأجهزة الافتراضية السحابية بشكل عام دقيقة أو دقيقتين فقط، مما يعني أنه يمكن إنشاؤها وحذفها حسب الحاجة. يوفر ذلك مرونة ولكنه قد يجعل إدارة الأصول أكثر صعوبة. لهذا السبب، نحتاج إلى استخدام وكلاء agents مثبتين على أجهزة VM أو نظام جرد inventory من مزود السحابة لجمع كل المعلومات ذات الصلة تلقائياً.
بالإضافة إلى تتبع الأجهزة الافتراضية نفسها، من المهم تتبع “النسخ images” أو القوالب templates التي يتم نسخها لإنشاء أجهزة افتراضية جديدة. يوفر العديد من موفري الخدمات السحابية أجهزة افتراضية “مخصصة” تتبع ذات طريقة إنشاء الأجهزة الافتراضية العادية، باستثناء أنه لن يضع المزود أي أجهزة افتراضية خاصة بعميل آخر ، مما قد يقلل المشاكل الأمنية.
مفهوم الأمن السحابي
على الرغم من أن الخدمات السحابية يتم تقديمها للمستخدمين بتنسيق سهل الاستخدام، إلا أن التنفيذ المطلوب لدعم ما يصل إلى مليون عميل خلف الكواليس يختلف تماماً عما اعتاد عليه حتى متخصصو تكنولوجيا المعلومات الأكثر خبرة. يقوم موفر الخدمة السحابية (CSP) بإنشاء وإدارة مجموعات من الموارد (الحوسبة والشبكة والتخزين) التي يتم الوصول إليها عبر وحدات التحكم التي تتواصل باستخدام واجهات برمجة التطبيقات (APIs). ومن خلال هذه المجمعات والوصول إلى واجهة برمجة التطبيقات (API)، يمكن تحقيق العديد من الخصائص الأساسية للسحابة.
عندما يفكر معظم الناس في السحابة، فإنهم يفكرون في مدى “رخصها” مقارنة ببنية تكنولوجيا المعلومات التقليدية (IT). وفي حين قد تكون الحوسبة السحابية أرخص (غالباً) فإنه يجب على مستخدمي السحابة أن يدركوا أن المزود لا يستطيع تلبية الاحتياجات الأمنية للجميع. ونتيجة لذلك، يجب أن يكونوا على دراية بالمسؤوليات المشتركة التي ترافق أي توفير محتمل في التكاليف. يمنحنا مزود الخدمات السحابية بعض عناصر التحكم الأمنية، لكن يبقى تنفيذ عناصر التحكم الأخرى مسؤوليتنا. إذا فإن فكرة أن مزود الخدمة السحابية يعتني بكل شيء نيابةً عنك هي مغالطةآن لها أن تنتهي.
توفر الحوسبة السحابية فوائد هائلة من ناحية المرونة و التوفير وتقليل وقت التوقف عن العمل. أما بالنسبة للأمن على مستوى مقدم الخدمة، فإنه يتطلب وجود ضوابط قوية للغاية إذا أراد مقدم الخدمة أن يظل في السوق.
إدارة الأصول السحابية – التوازن بين التوفير و السيطرة
تعتبر الخدمات السحابية غير مكلفة ويسهل توفيرها، مما يزيد احتمالية وجود عدد كبير من الأصول المعلوماتية المنسية. كل من هذه الأصول يشبه قنبلة موقوتة، تنتظر أن تنفجر وتتحول إلى حادث أمني. لتقليل هذه المخاطر، يحتفظ موفرو الخدمات السحابية بقائمة بالأصول المعلوماتية المستضافة لديهم كما يوفرون واجهات برمجية لعرض هذه القائمة للمستخدمين و أحياناً يكون لديهم تطبيقات متخصصة للمساعدة في إدارة تلك الأصول.
أحد الاختلافات المهمة بين حماية الأصول التقليدية و السحابية هي نقل مسؤولية الحماية إلى مزود الخدمات السجابية مما يوفر نكاليف مراكز البيانات وضوابط الأمن المنطقي و الفيزيائي المرتبطة بها. كما أن هناك اختلاف مهم آخر يكمن في مشاركة فريق تكنولوجيا المعلومات في عملية توفير الأصول السحابية. في بيئة تكنولوجيا المعلومات التقليدية، غالباً ما ييستغرق إنشاء مخدم واحد وقتاً طويلاً. يتم ذلك عادة عبر طلب لفريق الـ IT يتبعه شراء متطلبات المخدم و تنصيب الأدوات المطلوبة والاحتفاظ بسجلات توثق هذا النغيير مما يقلل فرصة أن هناك مخدم منسي في مكان ما أو أن أحدهم قد أضاف مثل هذا المخدم إلى بيئة الشركة بدون علم فرييق تكنولوجيا المعلومات.
تتمثل إحدى الفوائد المهمة للحوسبة السحابية في استبدال هذه النفقات الكبيرة بنفقات شهرية، ونقل مسؤولية توفير الموارد إلى مزود IaaS. يبدو ذلك أمراً جيداً ولكنه يعني أيضاً ضعفاً في السيطرة المركزية لفريق الـمؤسسة على عملية إنشاء الأصول المعلوماتية و إدارتها في السحابة. يمكن لأي شخص في أي مجال من مجالات العمل توفير مثل هذه الأصول بسهولة باستخدام بطاقة ائتمان فقط (وأحياناً بدونها). يزيد ذلك من احتمالية الـ Shadow IT.
كلمة أخيرة
قد يظن البعض أن الطريقة الأسهل لاعتماد الخدمات السحابية هو ببساطة ترحيل المخدم بطريقة P2V لإنشاء نفس النظام التقليدي في بيئة سحابية. ولكن بذلك فإن كل ما فعلته هو نقل مخدم لدينا سيطرة فعلية عليه إلى بيئة السحابة التي ليس لدينا سيطرة كاملة عليها. لكن تتجلى القوة الحقيقية للسحابة عندما نفهم النماذج السحابية المتوفرة و نبني أنظمتنا بالاستفادة منها بدلاً من أن نجعلها نسخاً افتراضية من أحطائنا.
