نموذج المسؤولية المشتركة
الأمن والامتثال (Security and Compliance) عبارة عن مسؤولية مشتركة بين AWS والعميل. ونستطيع من خلال هذا النموذج المشترك التخفيف من العبء التشغيلي للعميل، حيث تقوم AWS بتشغيل المكونات وإدارتها والتحكم فيها من نظام التشغيل المستضيف وطبقة الوضع الظاهري وصولاً إلى الأمان المادي للمرافق التي تعمل بها الخدمة. يتولى العميل مسؤولية نظام التشغيل الضيف (بما في ذلك التحديثات وتصحيحات البرامج الأمنية)، وغيره من برامج التطبيقات ذات الصلة وإدارتها، بالإضافة إلى تكوين جدار حماية المجموعة الأمنية المقدمة من AWS. يجب على العملاء النظر بعناية في الخدمات التي يختارونها حيث إن مسؤولياتهم تختلف اعتمادًا على الخدمات المستخدمة، وتكامل هذه الخدمات مع بيئة تكنولوجيا المعلومات (IT) الخاصة بهم، والقوانين واللوائح المطبقة. توفر طبيعة المسؤولية المشتركة هذه أيضًا المرونة وتحكم العميل الذي يسمح بالنشر. كما هو موضح في الجدول أدناه، هذا التمايز في المسؤولية يشار إليه بشكل شائع بـ "أمن السحابة" مقابل "الأمن داخل السحابة".
مسؤولية AWS "أمن السحابة" - تتحمل AWS مسؤولية حماية البنية الأساسية التي تُشغِّل جميع الخدمات المتوفرة في سحابة AWS. تتألف هذه البنية الأساسية من الأجهزة والبرامج والشبكات والمرافق التي تشغل خدمات AWS السحابية.
مسؤولية العميل "الأمن داخل السحابة" – تتحدد مسؤولية العميل حسب خدمات AWS السحابية التي يختارها. وذلك يحدد مقدار أعمال التكوين التي يجب على العميل أداؤها كجزء من مسؤولياته الأمنية. على سبيل المثال، خدمة مثل Amazon Elastic Compute Cloud (Amazon EC2) مصنفة على أنها بنية أساسية كخدمة (IaaS)، ولهذا تطالب العميل بأداء كل مهام التكوين والإدارة الأمنية الضرورية. العملاء الذين ينشرون مثيل Amazon EC2 مسؤولون عن إدارة نظام التشغيل الضيف (بما في ذلك التحديثات وتصحيحات البرامج الأمنية)، وأي برنامج تطبيق أو أدوات مساعدة مثبتة على المثيلات من قِبل العميل، وتكوين جدار الحماية المقدم من AWS (يُسمى المجموعة الأمنية) على كل مثيل. بالنسبة للخدمات المجردة، مثل Amazon S3 وAmazon DynamoDB، تشغل AWS طبقة البنية الأساسية ونظام التشغيل والمنصات، ويصل العملاء إلى نقاط النهاية لتخزين البيانات واستعادتها. يتولى العملاء مسؤولية إدارة بياناتهم (بما في ذلك خيارات التشفير)، وتصنيف أصولهم، واستخدام أدوات IAM لتطبيق الأذونات المناسبة.
يمتد نموذج المسؤولية المشتركة للعميل/AWS أيضًا إلى عناصر تحكم تكنولوجيا المعلومات (IT). كما أن مسؤولية تشغيل بيئة تكنولوجيا المعلومات (IT) مشتركة بين AWS وعملائها، كذلك الإدارة والتشغيل والتحقق من عناصر تحكم تكنولوجيا المعلومات تكون مشتركة. تستطيع AWS المساعدة في تخفيف عبء تشغيل عناصر التحكم على العميل عن طريق إدارة عناصر التحكم هذه المرتبطة بالبنية الأساسية الفعلية المنشورة في بيئة AWS التي ربما كانت مُدارة سابقًا من العميل. لأن عبء كل عميل منشور بشكل مختلف في AWS، يستطيع العملاء الاستفادة من نقل إدارة بعض من عناصر تحكم تكنولوجيا المعلومات إلى AWS، وستنتج عن ذلك بيئة تحكم موزعة (جديدة). يستطيع العملاء بعد ذلك استخدام وثائق التحكم والامتثال الخاصة بـ AWS المتوفرة لتمكينهم من أداء تقييم لعناصر التحكم وإجراءات التحقق حسب الضرورة. فيما يلي أمثلة على عناصر التحكم المُدارة من AWS وعملاء AWS و/أو كليهما.
عناصر التحكم الموروثة – عناصر تحكم يحصل عليها العميل بالكامل من AWS.
- عناصر التحكم الفعلية والبيئية
عناصر التحكم المشتركة – عناصر التحكم التي تنطبق على كل من طبقة البنية الأساسية وطبقات العميل ولكن تكون في سياقات أو منظورات منفصلة تمامًا. في وحدة التحكم المشتركة، توفر AWS المتطلبات للبنية الأساسية، ويجب على العميل الاعتماد على آليته الخاصة لتطبيق عناصر التحكم في نطاق استخدامه لخدمات AWS. تشمل الأمثلة:
- إدارة تصحيحات البرامج – تتولى AWS مسؤولية تصحيح البرامج وإصلاح العيوب في البنية الأساسية، ولكن يتولى العملاء مسؤولية تصحيح نظام التشغيل الضيف والتطبيقات لديهم.
- إدارة التكوين - تحافظ AWS على تكوين أجهزة البنية الأساسية الخاصة بها، ولكن يتولى العميل مسؤولية تكوين أنظمة التشغيل الضيف وقواعد البيانات والتطبيقات لديه.
- الوعي والتدريب - تقوم AWS بتدريب موظفيها، ولكن يجب على العميل تدريب موظفيه.
خاصة بالعميل – عناصر تحكم يتولى العميل مسؤوليتها بالكامل استنادًا إلى التطبيق الذي ينشره ضمن خدمات AWS. تشمل الأمثلة:
- "حماية الخدمات والاتصالات" أو "أمن المنطقة" الذي قد يتطلب من العميل إرسال البيانات أو تخصيص نطاق لها ضمن بيئات أمنية محددة.
التطبيق العملي لنموذج المسؤولية المشتركة الخاص بـ AWS
بمجرد أن يفهم العميل نموذج المسؤولية المشتركة الخاص بـ AWS وكيفية تطبيقه بشكل عام على التشغيل داخل السحابة، يجب عليه أن يحدد بنفسه كيفية تطبيقه على حالة استخدامه الخاصة. تختلف مسؤولية العميل حسب العديد من العوامل، بما في ذلك خدمات AWS والمناطق التي يختارها، وتكامل هذه الخدمات مع بيئة تكنولوجيا المعلومات الخاصة به، والقوانين واللوائح المطبقة على المنظمة وعبء العمل لديه.
يمكن أن تساعد الممارسات التالية العملاء على تحديد توزيع المسؤولية القائمة على حالة استخدام محددة:
حدد المتطلبات والأهداف الخارجية والداخلية للأمن والامتثال ذي الصلة، وخذ في اعتبارك أطر عامة محددة حسب الصناعة، مثل: "الإطار العام للأمن السيبراني من NIST" (Cybersecurity Framework, CSF) والمنظمة الدولية للمعايير (ISO).
فكِّر في توظيف أفضل ممارسات AWS Cloud Adoption Framework (CAF) وWell-Architected للتخطيط للتحوُّل الرقمي وتنفيذه على نطاق واسع.
راجع الوظائف الأمنية وخيارات التكوين لخدمات AWS الفردية ضمن الفصول الأمنية لوثائق خدمة AWS.
قيِّم خدمات الأمن والهوية والامتثال من AWS لفهم كيفية استخدامها للمساعدة على تحقيق أهداف الأمن والامتثال الخاصة بك.
راجع وثائق تصديق تدقيق الأطراف الثالثة لتحديد عناصر التحكم الموروثة ومعرفة عناصر التحكم المطلوبة التي ربما يتبقى لك تطبيقها بنفسك في بيئتك.
زوِّد فرق التدقيق الداخلية والخارجية الخاصة بك بفرص تعلم خاصة بالسحابة عن طريق الاستفادة من البرامج التدريبية في Cloud Audit Academy.
قم بإجراء التقييم Well-Architected Review لأعباء عمل AWS الخاصة بك من أجل تقييم مدى تطبيق أفضل ممارسات الأمن والموثوقية والأداء.
استكشف الحلول المتاحة في AWS Marketplace وهو عبارة عن كتالوج رقمي يضم الآلاف من قوائم البرامج من موردي برامج مستقلين، ويتيح لك إمكانية البحث عن البرامج التي تعمل على AWS واختبارها وشرائها ونشرها.
استكشف AWS Security Competency Partners التي توفر خبرات وحلول ثبت نجاحها مع العملاء فيما يتعلق بتأمين جميع مراحل اعتماد السحابة، بداية من الترحيل الأولي وصولاً إلى الإدارة اليومية المستمرة.
