تسعى الشركات إلى الاستفادة من عمليات مراقبة الأمان السحابي لتأمين فرص مذهلة للنمو و التوسع . نظرت الشركات ذات التفكير المستقبلي منذ بدايتها إلى السحابة كوسيلة لتوسيع حدود الحوسبة ، و تمكينها من التوسع و الابتكار . تستفيد الفرق اليوم من ميزات السرعة الكبيرة لتحسين عمليات النشر و تقديم خدمات جديدة و فعالة .
و كما يعلم أي مسؤول سحابي أو خبير أمان سحابي ، فأن السحابة محفوفة بتعقيدات لم يسمع بها العالم من قبل . مع عدد لا يحصى من التكوينات و خيارات النشر ، لا تُعرف السحابة بزيادة الشفافية أو قابليتها للمراقبة . لم تتحسن حالات التشويش ، بل ازدادت البيئات السحابية تعقيداً بإضافة ميزات أكثر مما يمكن لأي فريق خبراء تقنيين (DevOps) تتبعه .
تساعد عمليات التدقيق في تحديد الرؤية و مراقبة بيئات السحابة و التحكم بها ، مما يؤدي إلى فهم أفضل لمستوى الأمان الحالي . في حين يعد التعقيد و السرعة من العوامل الرئيسية التي تدفع المؤسسات إلى إجراء عمليات تدقيق منتظمة . إلا أن هناك بعض حالات الاستخدام الأخرى التي لا يتم استكشافها و لكنها مقنعة بنفس القدر . إليك بعض المعلومات عن عمليات التدقيق بحالاتها المختلفة :
عمليات الاندماج و الشراء : الجانب الخطير من الاندماج
إن عمليات الاندماج و الاستحواذ هي شؤون معقدة و دقيقة . عندما تقوم شركة بشراء شركة أخرى أو عندما يتم دمج الشركتين ، يجب أن تتشابه بيئتا تكنولوجيا المعلومات الخاصة بهما أيضاً . وقد يكون من الصعب تحليل و تقدير المخاطر التي قد تصاحب البيئة الجديدة .
حتى عندما يستخدم كلا الطرفين البنية التحتية القائمة على السحابة ، فإنهم بجميع الحالات يقومون باستخدام مزودي خدمات سحابية مختلفين . يؤدي هذا إلى بيئة متعددة الأوساط السحابية . في هذه الحالة ، ستفتقر الشركة المستحوذة إلى الأدوات و المعرفة لتقييم المشكلات الأمنية التي قد تنشأ نتيجة التكامل .
حتى في أفضل الحالات عندما يستخدم الطرفان نفس مزود السحابة ، فمن المحتمل أن يستخدموا منهجيات و بنيات مختلفة . و عندما تكون إحدى البيئات في مكان العمل ، فإنها تمثل مشكلة أكبر .
يمكن أن تؤدي عمليات الاندماج والشراء أيضاً إلى كوابيس التوافق السحابي ، اعتماداً على سياسات كل مؤسسة . بالإضافة إلى الصناعات المعنية و مدى التنظيم الشديد الذي قد تكون عليه أولاً . تتوقع السلطات أن يتم دمج الشركة التي تم الاستحواذ عليها في أقرب وقت ممكن . لكن قد يكون من الصعب البقاء في الجانب الصحيح من الامتثال عندما يكون الحصول على رؤية عبر البيئة أمراً مستحيلاً .
مخاطر استخدام DevOps كخدمة
مع التسارع الكبير في التحول الرقمي و خاصةً في عصر Covid-19 ، أصبح استخدام DevOps كخدمة أمراً شائعاً . يمكن أن يكون هذا مكسباً كبيراً عندما يتعلق الأمر بالحصول على أفضل الخدمات و الأدوات ، خاصةً في الشركات غير القادرة على تحمل تكاليف التوظيف أو العثور على عددٍ كافٍ من موظفي DevOps .
من السهل معرفة السبب وراء إمكانية أن تؤدي الاستعانة بمصادر خارجية لخدمات DevOps إلى بعض العواقب غير المقصودة و الخطيرة. إن البنية التحتية الخاصة بك هي العمود الفقري لمؤسستك ، يجب أن يتم تسليمها لطرف ثالث بحذر شديد ، أو سينتهي الأمر بفقدان كامل للرؤية في البنية التحتية للشركة . رأينا في LightSpin مراراً و تكراراً شركات كبيرة لديها نقاط مبهمة ضخمة في عمليات تدقيق أمان السحابة ، نتيجة لاستخدام DevOps كخدمة .
إن الافتقار إلى الشفافية المرافق لاستخدام DevOps كخدمة أمر مقلق . لقد شهدنا ظهور عشرات الآلاف من المشكلات ، حيث كان لدى إحدى الشركات التي قابلناها أكثر من 12000 حاوية غير مستخدمة تم نشرها بواسطة DevOps كمزود خدمة . يمكن أن يخلق هذا تهديداً حقيقياً لأي منظمة . نعتقد أننا سنرى في السنوات العشر القادمة زوال ما لا يقل عن 5% من الشركات القائمة على السحابة التي تستخدم DevOps كخدمة . ذلك بسبب مشكلات الأمان و الامتثال التي لم تتم معالجتها ، و الناجمة عن نقص الرؤية .
ثغرات الأمان السحابي بسبب البائعين الخارجيين
تستخدم كل الأعمال التجارية على هذا الكوكب اليوم شكلاً من أشكال أدوات الطرف الثالث أو البائعين . سواء كانت تلك الأدوات أداة للتسويق الآلي أو أداة تحسين سحابية أو منصة أمان ، تعتبر جميعها جزءاً من سلسلة التوريد التجارية . منذ ظهور خرق شركة SolarWinds الذي لا يزال قيد الاكتشاف ، نفهم جيداً كيف يمكن لموردي الجهات الخارجية أن يضعوا أساس أي شركة في خطر .
و الأسوأ من ذلك أن العديد من هذه الخدمات تمنح أذونات مفرطة ، يمكن أن تعرض الشركة في حد ذاتها لتهديدات خطيرة . في النهاية و نظراً لطلب العميل ، انتقلوا إلى نموذج الوصول الأقل امتيازاً . لكن لو تم اختراقهم في تلك الفترة ، كان من الممكن أن يمنح المهاجمون أذونات لحسابات المستخدمين .
حتى وقت قريب ، لم تعتبر العديد من المؤسسات الأطراف الثالثة الموثوق بها على أنها مخاطر . لكن نأمل أن يتغير هذا في أعقاب خرق SolarWinds . في الوقت نفسه ، يمكن لهؤلاء البائعين إنشاء نقاط مبهمة ضخمة بهدف الاستغلال فقط .
تحقيق الرؤية الكاملة هو الأساس في عمليات تدقيق الأمان السحابي
عندما تنتقل الشركات إلى السحابة ، فعادةً ما يكون ذلك مع إدراك أن هذه البنية التحتية الجيدة ستكون مختلفة تماماً عن البنية التحتية المحلية . ما لا يدركونه هو أن تواتر التكوينات و تعقيدها ، بالإضافة إلى أذونات الوصول المعقدة ، تخلق أرضية خصبة و مثالية للتهديدات .
مع تشغيل جميع السحب المختلفة في كل مؤسسة ، و ميزاتها و أدواتها التي لا حصر لها ، هناك العديد من الطرق لظهور نقاط مبهمة غير متوقعة . يُعد إجراء عمليات تدقيق الأمان السحابي المنتظمة (المطلوبة بموجب القانون في كثير من الحالات) هو الأمر الأساسي لاكتساب رؤية حقيقية و فهم عميق للوضع الأمني لبيئة السحابة الخاصة بك .
اقرأ أيضا :كيف تختار مزود التخزين السحابي الأفضل لك ؟
