أمن الحوسبة السحابية

يفتقر محتوى هذه المقالة إلى الاستشهاد بمصادر. فضلاً، ساهم في تطوير هذه المقالة من خلال إضافة مصادر موثوق بها. أي معلومات غير موثقة يمكن التشكيك بها وإزالتها. (يناير 2022)

يمكن تعريفه بأنه مجموعة واسعة من السياسات والتقنيات والضوابط لحماية البيانات المنتشرة و التطبيقات و البنية التحتية المرتبطة بها والمكونة للحوسبة السحابية, أو بصورة أخرى هي تكامل واندماج أغلب مجالات أمن المعلومات مثل أمن الشبكات وأمن الأنظمة وأمن التطبيقات وغيرها في مجال جديد يعتمد كل جزء فيه على الجزء الآخر في تناغم تام. تنقسم التحديات الأمنية المتعلقة بالحوسبة السحابية إلى قسمين:

• المصاعب والتحديات الأمنية التي تواجه مزود خدمة الحوسبة السحابية.
• المصاعب والتحديات الأمنية التي تواجه مستخدم خدمة الحوسبة السحابية.

حماية البيانات data protection هي أن تكون البيانات محمية ومفصولة ومصانة عن الاختلاط بين المستخدمين، ويجب أن يتم التخزين بشكل آمن، وأن تكون البيانات قادرة على التحرك بشكل آمن من موقع إلى آخر، كذلك يجب أن تكون البيانات مشفرة وفق أفضل تقنيات التشفير.

يجب الفصل الصحيح والكامل بين الواجبات والوظائف (segregation of duties)، حتى يضمن أن خدمات كالمراقبة والرصد والتدقيق سواء أكانت من مزود الخدمات أو من المستخدمين أو من طرف ثالث تعاقد معه المزود أو المستخدم ولديه امتياز عن المستخدم العادي لأداء مهمته، يجب الفصل بينهم وتطبيق نظام متكامل لضمان عدم تسرب البيانات.

توفير إدارة الهوية والتحكم بالدخول للمصادر المعلوماتية وموارد الخدمة، وفقا لإحتياجات المستخدم على أن تقبل هذه الأنظمة التكامل وقابلية الدمج والتطوير مع أنظمة إدارة الهوية (Identity management) الخاصة بالمستخدم سواء أكانت تقليدية أو أنظمة مقدمة من مزود آخر للخدمة فيما يعرف بعملية الاتحاد (federation services).

مزود الخدمة يجب أن يضمن أن الأجهزة والمعدات آمنة بشكل كاف، ولا يمكن الوصول إليها بأي شكل من الأشكال، ومقيدة بنظام دخول متكامل وموثق للرجوع إليه عند الحاجة، وقد يكون جزء من نظام إدارة الهوية في حالة المستخدمين ذوي الامتيازات الخاصة.

مزود الخدمة يضمن أن المستخدمين سوف يحصلون على توفيرية للخدمات، أو بصورة أخرى قابلية الوصول إلى البيانات و الأنظمة والتطبيقات الخاصة بهم بشكل منتظم، ومتاح طوال فترة الخدمة دون أي توقف.

مزود الخدمة لا بد أن يضمن أمن وسلامة التطبيقات والأنظمة المقدمة ضمن الخدمة، من خلال تنفيذ الاختبارات وتطبيق السياسات والإجراءات، ونظم الحماية متعددة الطبقات.

مزود الخدمة لابد أن يضمن السرية التامة للمستخدم للبيانات بكل أنواعها، وعدم السماح بالوصول لها إلا للأشخاص المخولين من قبل المستخدم.

لخصت مؤسسة "Gartner" حقوق المستخدم و المسؤليات الواقعة عليه في النقاط التالية:

• الحق في الحفاظ على الملكية وإستخدامها والسيطرة على البيانات الخاصة.
• الحق في الحصول على اتفاق مستوى الخدمة يتضمن الالتزامات التقنية والمادية والإجراءات العامة.
• الحق في إستقبال الإخطار وحرية الاختيار للتعديلات التي تؤثر في العمليات التجارية للمستخدم.
• الحق في معرفة القيود التقنية أو متطلبات الخدمة مسبقا.
• الحق في معرقة المتطلبات القانونية للدول التي يعمل فيها مقدم الخدمة مقدما.
• الحق في معرقة إجراءات وسياسة عملية الأمن التي يتبناها مزود الخدمة.
• مسؤلية الفهم و الالتزام بمتطلبات ترخيص البرمجيات والنظم.

كل هذا يقود إلى أهمية أن تكون هناك معايير ومقاييس للحوسبة السحابية بصورة عامة، ولأمن الحوسبة السحابية بصورة خاصة، وهذا ما تقدمة عدد من المؤسسات والمنظمات مثل تحالف أمن الحوسبة السحابية.