عناصر التحكم

يتحقق أمان مراكز بيانات AWS بفضل تصميمها وما بها من عناصر تحكم. قبل أن نبني مراكز البيانات، نقضي ساعات لا حصر لها في دراسة التهديدات المحتملة، وفي تصميم عناصر التحكم، وتنفيذها، واختبارها لضمان أن الأنظمة، والتكنولوجيا، والموظفين يجابهون المخاطر. لمساعدتك في تلبية متطلبات التدقيق والمتطلبات التنظيمية، نقدم لك أدناه معلومات حول بعض عناصر التحكم المادية وعناصر التحكم البيئية.

تصميم آمن

تحديد الموقع

قبل اختيار الموقع، تُجري AWS تقييمات بيئية وجغرافية مبدئية. يجري اختيار مواقع مراكز البيانات بعناية للتخفيف من المخاطر البيئية، مثل: الفيضانات، وظروف الطقس القاسية، والنشاط الزلزالي. تم تصميم مناطق توافر الخدمات بطريقة تكون فيها مستقلةً ومنفصلةً ماديًا عن بعضها.

التكرار

الغرض من تصميم مراكز البيانات هو توقع حالات الفشل والتعامل معها وفي الوقت نفسه الحفاظ على مستويات الخدمة. في حالة الفشل، تعمل العمليات الآلية على نقل حركة المرور بعيدًا عن المنطقة المتضررة. تُنشر التطبيقات الأساسية إلى معيار N+1؛ ولذا في حالة فشل أحد مراكز البيانات، توجد سعة كافية لتمكين حركة المرور من موازنة الحمل إلى المواقع المتبقية.

التوافر

حددت AWS مكونات النظام الأساسية المطلوبة للحفاظ على توافر نظامنا واستعادة الخدمة في حالة العطل. يتم دعم مكونات النظام الأساسية عبر مواقع متعددة ومعزولة تُعرف باسم مناطق توافر الخدمات. تم تصميم كل منطقة توافر خدمات بحيث تعمل بشكل مستقل وموثوقية عالية. تتصل مواقع توافر الخدمات ببعضها لتتيح لك سهولة تصميم تطبيقات تعمل تلقائيًا بين مواقع توافر الخدمات بدون انقطاع. تتسم الأنظمة وكذلك توافر الخدمات بالمرونة العالية وهذه سمة من سمات تصميم الأنظمة. من خلال استخدام مناطق توافر الخدمات وتكرار البيانات، يمكن لعملاء AWS تحقيق وقت تعافي قصير جدًا وأهداف نقطة التعافي، بالإضافة إلى أعلى مستويات توافر الخدمات.

تخطيط السعة

تراقب AWS بشكل مستمر استخدام الخدمات لنشر البنية الأساسية لدعم التزامات التوافر ومتطلباته. تحتفظ AWS بنموذج تخطيط للسعة يقيّم استخدام البنية الأساسية ومتطلباتها شهريًا على الأقل. يدعم هذا النموذج تخطيط الطلبات المستقبلية ويراعي اعتبارات، مثل: معالجة المعلومات، والاتصالات، وتخزين سجلات التدقيق.

استمرارية الأعمال والتعافي من الكوارث

خطة استمرارية الأعمال

تحدد خطة استمرارية الأعمال من AWS الإجراءات اللازمة لتجنب الاضطرابات البيئية والتخفيف من حدتها. تتضمن الخطة تفاصيل تشغيلية حول الخطوات المطلوب اتخاذها قبل الحدث، وأثنائه، وبعده. يجري دعم خطة استمرارية الأعمال من AWS باختبارات تتضمن عمليات محاكاة لسيناريوهات مختلفة. أثناء الاختبار وبعده، توثق AWS أداء الموظفين والعمليات، والإجراءات التصحيحية، والدروس المستفادة، وذلك بهدف التحسين المستمر.

الاستجابة للأوبئة

تُدخل AWS سياسات وإجراءات الاستجابة للأوبئة ضمن خططها الخاصة بالتعافي من الكوارث لتكون مستعدةً للاستجابة السريعة لتهديدات تفشي الأمراض المُعدية. تتضمن إستراتيجيات التخفيف نماذج توظيف بديلة لنقل العمليات الحيوية إلى موارد خارج المنطقة، وتفعيل خطة إدارة الأزمات لدعم العمليات المهمة للأعمال. تستند خطط التعامل مع الأوبئة إلى الهيئات واللوائح الصحية الدولية، بما في ذلك نقاط التواصل مع الهيئات الدولية.

الوصول المادي

وصول الموظفين إلى مركز البيانات

تتيح AWS الوصول المادي إلى مركز البيانات للموظفين المصرح لهم فقط. يجب على جميع الموظفين الذين في حاجة إلى الوصول إلى مركز البيانات التقدم أولاً بطلب للحصول على إمكانية وصول، ويجب عليهم تقديم مبرر أعمال وجيه لهذا الطلب. تُمنح هذه الطلبات بناءً على مبدأ الامتياز الأقل، حيث يجب أن توضح الطلبات بالتحديد أي طبقة من مركز البيانات يحتاج الفرد إلى الوصول إليها، ويجب أن يكون الطلب محددًا بوقت معين. تجري مراجعة الطلبات والموافقة عليها من قبل العاملين المخول لهم منح الموافقة، ويتم إلغاء الوصول بعد انتهاء الوقت المطلوب. بعد منح الدخول، يقتصر الأفراد على المناطق المحددة في الأذونات الممنوحة لهم.

وصول الجهات الخارجية إلى مراكز البيانات

يُطلب وصول الجهات الخارجية من قِبل موظفي AWS المصرح لهم الذين يجب عليهم التقدم بطلب للحصول على إمكانية وصول لطرف خارجي وتقديم مبرر أعمال وجيه لهذا الطلب. تُمنح هذه الطلبات بناءً على مبدأ الامتياز الأقل، حيث يجب أن توضح الطلبات بالتحديد أي طبقة من مركز البيانات يحتاج الفرد إلى الوصول إليها، ويجب أن يكون الطلب محددًا بوقت معين. تتم الموافقة على هذه الطلبات من قِبل العاملين المخول لهم منح الموافقة، ويتم إلغاء الوصول بعد انتهاء الوقت المطلوب. بعد منح الدخول، يقتصر الأفراد على المناطق المحددة في الأذونات الممنوحة لهم. يجب على أي شخص مُنح إمكانية وصول باستخدام شارة الزائر أن يقدم الهوية عند الوصول إلى الموقع، وتسجيل الدخول، ويجب أن يرافقه موظف معتمد.

الوصول إلى مركز بيانات AWS GovCloud

يقتصر الوصول المادي لمراكز البيانات في AWS GovCloud (US) على الموظفين الذين تم التحقق من أنهم مواطنون أمريكيون.

المراقبة والتسجيل

مراجعة الوصول إلى مركز البيانات

تجري المراجعة الدورية للوصول إلى مراكز البيانات. يتم تلقائيًا إلغاء الوصول عند إنهاء سجل الموظف في نظام الموارد البشرية في Amazon. بالإضافة إلى ذلك، عند انتهاء صلاحية وصول الموظف أو المتعاقد وفقًا لمدة الطلب المعتمد، يتم إلغاء وصول الموظف أو المتعاقد حتى وإن كان لا يزال موظفًا في Amazon.

سجلات الوصول إلى مركز البيانات

يتم تسجيل الوصول المادي إلى مراكز بيانات AWS، وتجري مراقبة هذا الوصول والاحتفاظ به. تربط AWS المعلومات المكتسبة من أنظمة المراقبة المنطقية والمادية لتعزيز الأمان حسب الحاجة.

مراقبة الوصول إلى مركز البيانات

نراقب مراكز البيانات باستخدام مراكز عمليات الأمان العالمية، وهي مسؤولة عن مراقبة برامج الأمان وفرزها وتنفيذها. توفر مراكز البيانات دعمًا عالميًا على مدار الساعة طوال أيام الأسبوع من خلال إدارة أنشطة الوصول إلى مراكز البيانات ومراقبتها، وتجهيز الفرق المحلية وغيرها من فرق الدعم للاستجابة للحوادث الأمنية عن طريق فرز الاستجابات، والاستشارات، وتحليلها، وإرسالها.

المراقبة والاكتشاف

CCTV

يجري رصد نقاط الوصول المادية إلى غرف الخوادم بواسطة كاميرا تلفزيونية ذات دائرة مغلقة (CCTV). يتم الاحتفاظ بالصور وفقًا للمتطلبات القانونية ومتطلبات الامتثال.

نقاط الدخول إلى مراكز البيانات

يتولى موظفو الأمن المحترفون مسؤولية التحكم في الوصول المادي عند نقاط الدخول إلى المباني باستخدام أنظمة المراقبة والكشف وغيرها من الوسائل الإلكترونية. يستخدم الموظفون المصرح لهم آليات مصادقة متعددة العوامل للوصول إلى مراكز البيانات. يتم تأمين مداخل غرف الخوادم بأجهزة تُصدر إنذارات صوتية لبدء الاستجابة للحوادث، إذا تم فتح الباب قسرًا، أو إذا تُرِك مفتوحًا.

كشف التسلل

يتم تثبيت أنظمة إلكترونية تختص بكشف التسلل داخل طبقة البيانات، حيث تقوم هذه الأنظمة تلقائيًا برصد الحوادث الأمنية، واكتشافها، وتنبيه العاملين المعنيين بها. يتم تأمين نقاط الدخول والخروج إلى غرف الخوادم بأجهزة تتطلب من كل فرد توفير مصادقة متعددة العوامل قبل منحه الدخول أو الخروج. تُصدر هذه الأجهزة إنذارات صوتية، إذا تم فتح الباب قسرًا بدون مصادقة، أو إذا تم تركه مفتوحًا. يتم أيضًا تكوين أجهزة الإنذار التي عند الأبواب بحيث تكتشف هذه الأجهزة الحالات التي يخرج فيها الفرد من طبقة البيانات، أو يدخل إليها بدون توفير مصادقة متعددة العوامل. تُرسل الإنذارات على الفور إلى مراكز عمليات أمان AWS المتاحة على مدار الساعة طوال أيام الأسبوع لتسجيل الإنذارات فورًا وتحليلها والاستجابة لها.

إدارة الأجهزة

إدارة الأصول

تتم إدارة أصول AWS مركزيًا من خلال نظام إدارة مخزون يخزن ويتتبع المالك، والموقع، والحالة، والصيانة، والمعلومات الوصفية للأصول المملوكة لـ AWS. بعد الشراء، يجري فحص الأصول وتتبعها، ويتم فحص الأصول التي تخضع للصيانة ومراقبتها من حيث الملكية والحالة والدقة.

تدمير الوسائط

تصنف AWS أجهزة تخزين الوسائط المستخدمة في تخزين بيانات العملاء على أنها وسائط بالغة الأهمية، ويجري التعامل معها وفقًا لذلك؛ أي أنها وسائط ذات تأثير كبير طوال دورة حياتها. تفرض AWS معايير صارمة حول كيفية تركيب الأجهزة وصيانتها وتدميرها في النهاية، عندما تصبح بلا فائدة. عندما تنتهي صلاحية جهاز التخزين، توقِفُ AWS تشغيل الوسائط باستخدام تقنيات واردة بالتفصيل في NIST 800-88. لا تخرج الوسائط التي تُخزّن بيانات العملاء عن سيطرة AWS إلا بعد أن يتم إيقافها بشكل آمن.

أنظمة الدعم التشغيلية

الطاقة

تم تصميم أنظمة الطاقة الكهربائية في مراكز البيانات لتكون زائدةً عن الحاجة ويمكن صيانتها على مدار الساعة بدون التأثير على العمليات. تضمن AWS أن تكون مراكز البيانات مزودةً بمصدر طاقة احتياطي لضمان توفر الطاقة للحفاظ على استمرار عمليات الأحمال الحرجة والأساسية في المنشأة في حالة حدوث عطل كهربائي.

المناخ ودرجة الحرارة

تستخدم مراكز بيانات AWS آليات للتحكم في المناخ والحفاظ على درجة حرارة تشغيل مناسبة للخوادم والأجهزة الأخرى لمنع ارتفاع درجة الحرارة، وتقليل احتمالية انقطاع الخدمة. يراقب الموظفون والأنظمة درجة الحرارة والرطوبة، ويتم التحكم فيهما عند مستويات مناسبة.

كشف الحرائق وإخمادها

تم تجهيز مراكز بيانات AWS بمعدات للكشف عن الحرائق وإخمادها تلقائيًا. تستخدم أنظمة كشف الحرائق أجهزة استشعار تكتشف وجود الدخان في الأماكن التي بها شبكات، أو أجهزة ميكانيكية، أو بنية أساسية. تكون هذه المناطق محميةً أيضًا بأنظمة إخماد.

كشف التسرب

لاكتشاف وجود تسرب بالمياه، تزود AWS مراكز البيانات بوظائف تختص باكتشاف وجود المياه. وعند اكتشاف وجود مياه، توجد آليات لإزالة المياه لمنع أي ضرر آخر ينتج عن المياه.

صيانة البنية الأساسية

صيانة المعدات

تُجري AWS المراقبة وتقوم بالصيانة الوقائية للمعدات الكهربائية والميكانيكية للحفاظ على استمرار قابلية تشغيل الأنظمة داخل مراكز بيانات AWS. تُنفذ إجراءات صيانة المعدات من قبل أشخاص مؤهلين لذك، وتتم الصيانة وفق جدول زمني موثق.

إدارة البيئة

تراقب AWS الأنظمة والمعدات الكهربائية والميكانيكية لتمكين اكتشاف المشكلات فور حدوثها. يتم تنفيذ ذلك من خلال استخدام أدوات التدقيق المستمر والمعلومات المقدمة من خلال إدارة المباني وأنظمة المراقبة الكهربائية. يتم إجراء الصيانة الوقائية للحفاظ على استمرار قابلية التشغيل للمعدات.

الحوكمة والمخاطر

الإدارة المستمرة لمخاطر مركز البيانات

ينفذ مركز عمليات أمان AWS مراجعات دورية لمراكز البيانات لمعرفة التهديدات ونقاط الضعف. يتم إجراء التقييم المستمر والتخفيف من نقاط الضعف المحتملة من خلال أنشطة تقييم مخاطر مراكز البيانات. يتم إجراء هذا التقييم بالإضافة إلى عملية تقييم المخاطر على مستوى المؤسسة المستخدمة لتحديد المخاطر التي تتعرض لها الأعمال وإدارتها ككل. تأخذ هذه العملية أيضًا في الاعتبار المخاطر التنظيمية والبيئية الإقليمية.

تصديق الأمان من الجهات الخارجية

تؤكد اختبارات الجهات الخارجية التي تخضع لها مراكز بيانات AWS، كما هو موثق في تقارير الجهات الخارجية التي لدينا، على أن AWS تنفذ التدابير الأمنية المطلوبة وفقًا للقواعد المعمول بها اللازمة للحصول على شهادات الأمان. واعتمادًا على برنامج الامتثال ومتطلباته، يجري المدققون الخارجيون اختبار التخلص من الوسائط، ويراجعون لقطات كاميرات الأمن، ويراقبون المداخل والممرات في جميع أنحاء مركز البيانات، ويختبرون أجهزة التحكم في الوصول الإلكتروني، ويفحصون معدات مركز البيانات.