الهويات: النسيج الضام للأمان في السحابة

يمثل كل شيء تقريبًا في السحابة امتيازات مفرطة أو تكوينات غير صحيحة بعيدًا عن التعرض للمخاطر. ويمكن أن تساعد الإدارة السليمة لوضع السحابة والاستحقاقات على تخفيف المخاطر والتخلص من المجموعات الضارة.

عند تطبيق أحد حلول أمان السحابة وتكوينه، من السهل الشعور بالإرهاق أمام الكم الهائل من "الأمور" التي يجب مراقبتها. يتضمن ذلك تطبيقات الويب التي تعمل على البنية التحتية لنظام Kubernetes، بما في ذلك موارد البنية التحتية كخدمة (IaaS) والحاويات، والهويات الخاصة بكل من الإنسان والأجهزة، وغير ذلك. ويجب على فرق أمان السحابة إدارة الهوية الخدمية الخاصة بكل مورد، بالإضافة إلى فحصها بحثًا عن الثغرات الأمنية والتكوينات غير الصحيحة. ونظرًا لوجود الكثير من الأمور التي يجب مراقبتها، غالبًا ما تبحث المؤسسات عن أدوات وحلول مصممة لمشكلات محددة؛ من أجل المساعدة على مواجهة ناقلات التهديد هذه. وانتهى الأمر بالعديد من المؤسسات إلى أن يكون لديها وفرة من الاختصارات الأمنية في بيئاتها، ونتيجة لذلك، تكبدت تكاليف باهظة في محاولة تكوين كل هذه المنتجات المتباينة وتنفيذها. 

في كثير من الأحيان، تصدر كل أداة مجموعة كبيرة من النتائج الأمنية الخاصة بها، وتعمل من خلال مقاييس مختلفة لمدى الحالة الحرجة. لذلك، حتى مع وجود الأدوات المتقدمة تقنيًا، تتم إعادة فرق الأمن مرة أخرى إلى ويلات جداول البيانات؛ لمحاولة التوفيق بين جميع النتائج وتحديد أولوياتها. 

أهمية تأمين الهويات في السحابة 

لتنفيذ إستراتيجية أمنية أكثر فعالية، يجب أن تبدأ بعزل ما يحاول ممثلو التهديد تحقيقه عند اختراق البنية التحتية السحابية. وفي الآونة الأخيرة، أصبح من الواضح أن جميع عمليات اختراق السحابة تقريبًا تستفيد من الهويات والاستحقاقات التي تم تكوينها بشكل غير صحيح. وكشف الاستبيان الصادر من Identity Defined Security Alliance (تحالف الأمن المحدد بالهوية) بعنوان "اتجاهات عام 2022 في تأمين الهويات الرقمية" أن 84% من الشركات تعرضت لاختراق متعلق بالهوية، خلال الفترة التي تناولتها الدراسة البالغ مدتها 12 شهرًا. لماذا؟وليس فقط لأن الهويات مترابطة ترابطًا عميقًا في كل ما نقوم بتشغيله وإنشائه في السحابة، ولكن لأنها مشكلة معقدة للغاية يصعب حلها. وهناك العديد من المتغيرات المؤثرة عند محاولة التوصل إلى الفهم التام للمخاطر المرتبطة بإدارة الهويات.

بغض النظر عما إذا كان لديك مثيل EC2 عام لدى Amazon به ثغرات أمنية معروفة قابلة للاستغلال أو بنية تحتية مكوَّنة بشكل غير صحيح، ويتم تقديمها يدويًا أو عن طريق التعليمات البرمجية، عندما يتم استغلال حالات التعرض للمخاطر السحابية، يتعقب المهاجمون الهوية على الفور. ويقومون باختبار الاستحقاقات من أجل نقل الامتيازات أفقيًا أو تصعيدها في محاولة للوصول إلى البيانات الحساسة والموارد الأخرى. تشكل الهوية محيط السحابة، ونظرًا لتأثيرها بعيد المدى، يجب أن يمثل أمان الهوية والاستحقاق أساسًا لبرنامج أمان السحابة الشامل. 

فهم الهويات الخدمية مقابل الهويات البشرية

عند تأمين الهويات، من المهم فهم الفرق بين الهويات الخدمية والهويات البشرية، بالإضافة إلى الأساليب المختلفة لتأمينها؛ من أجل تحقيق مبدأ الامتيازات الأقل. وتهدف الهويات الخدمية إلى تيسير أعباء الأعمال والعمل على أساس متسق ويمكن التنبؤ به. يعد تقييم الأذونات التي تم تعيينها مقابل تلك المستخدمة بالفعل أمرًا مهمًا لفهم "الأذونات الفعالة". ونظرًا لأن الهويات الخدمية مبرمجة لغرض محدد ونادرًا ما تتغير متطلباتها، فمن الممكن تحديد حجم أذوناتها بالشكل الصحيح إلى الحد الأدنى بناءً على النشاط - وهو مبدأ الامتيازات الأقل. 

في المقابل، صُمِمت الهويات البشرية ليستخدمها أشخاص حقيقيون. مما يجعلها غير قابلة للتنبؤ بها، مما يصبح من الصعب الحصول على أذونات بالحجم المناسب لموارد وإجراءات محددة، خصوصًا عند ظهور مهام مخصصة. ومن أجل تنفيذ مبدأ انعدام الثقة، يعد تطبيق البرنامج المتكامل لخدمة الوصول في الوقت المناسب (JIT) أمرًا أساسيًا. ولا يمكن لأي مؤسسة أن تمنع تمامًا وصول المستخدمين البشريين إلى السحابة. فهذا أمر غير واقعي. وفيما يلي طريقة للحد بشكل كبير من المخاطر المرتبطة بالهويات البشرية: امنح فرق DevOps القدرة على طلب الوصول قصير المدى برمجيًا إلى السحابة لأداء مهام محددة في البيئات الحرجة وتأكد من دمج مهام سير العمل هذه المتعلقة بخدمة الوصول قصير المدى في أدوات الاتصال الحالية، مثل Slack وMicrosoft Teams وغيرهما. 

يمكن أن تتسبب برامج الأمان التي لا تراعي هذه الفروق في حدوث صعوبات وخلافات بين فرق DevOps وفرق تكنولوجيا المعلومات. إن الوفاء بوعد DevSecOps يعني التأكد من تضمين الأمان في مهام سير العمل بطريقة قابلة للتوسع. وهنا يأتي دور الأدوات المتكاملة لإدارة استحقاقات البنية التحتية السحابية (CIEM) ومنصة حماية التطبيقات السحابية الأصلية (CNAPP). ويمكن أن يمنحك التكامل بين هذه الأدوات الرؤية والتحكم في البنية التحتية السحابية، وKubernetes، والحاويات، والبنية التحتية كتعليمة برمجية (IaC)، والهويات، وأعباء الأعمال، وغير ذلك.

يمكنك البحث عما يلي في الحلول الأمنية المتكاملة من منصة حماية التطبيقات السحابية الأصلية (CNAPP) وإدارة استحقاقات البنية التحتية السحابية (CIEM): 

• رؤية الاستحقاقات وتصورها: كما يقول المثل القديم في مجال الأمن، لا يمكنك تأمين ما لا يمكنك رؤيته. إن الرؤية الدقيقة للسُحُب المتعددة بشأن الموارد والأذونات وأنشطتها تمثل نقطة انطلاق أساسية. 
• تقييم المخاطر المستمر: يتعين عليك مراقبة البيئة السحابية باستمرار لاكتشاف عوامل الخطر وتقييمها، مثل تعرُّض الشبكة للمخاطر، والتكوينات غير الصحيحة، والأذونات المحفوفة بالمخاطر، والأسرار المعرَّضة للكشف، والتهديدات المتعلقة بالهوية، بما في ذلك الوصول غير المألوف إلى البيانات.
• إنفاذ مبدأ الامتيازات الأقل: يجب أن تتمكن الأدوات المتكاملة من تشغيل حواجز حماية الأذونات آليًا، من خلال سياسات الامتيازات الأقل.
• المعالجة المبسطة: إذا كنت تعرف مواطن المخاطر الكامنة، فلا بد أن يكون من السهل معالجتها في الأداة مع توفير إمكانية التشغيل الآلي، حيثما كان ذلك ملائمًا لإستراتيجيتك الأمنية. 
• التحكم بالوصول المرتكز على المطورين: يمكنك التنفيس عن الإحباط المكتنف حول مجال الأمن الذي يثقل كاهل فريق DevOps، من خلال تزويدهم بالأدوات اللازمة؛ لتمكينهم من دمج الأمان في مهام سير عملهم. 

التصدي للشعور بالإرهاق من التنبيهات من خلال السياق

بينما يعكف العديد من فرق الأمن على ضبط وحدات التحكم والسياسات؛ من أجل التصدي لعبء التنبيهات، تتمثل الطريقة الأفضل في دمج أدوات الأمان، مثل منصة حماية التطبيقات السحابية الأصلية (CNAPP) وإدارة استحقاقات البنية التحتية السحابية (CIEM) في منصة واحدة توفر سياقًا غنيًا عبر سطح الهجوم. وباستخدام أدوات الأمان المتكاملة، يمكنك توحيد المعنى الحقيقي لكلمة "حرجة"، وتحسين فهم مسارات الهجوم التي يمكن للمهاجمين الاستفادة منها لإحداث ضرر في بيئتك السحابية. إضافةً إلى ذلك، من الأسهل بكثير التحديث عند اكتشاف تهديدات جديدة وثغرات أمنية أولية مباغتة. 

فعلى سبيل المثال، قد يكون لديك 100 من أعباء الأعمال المتاحة للعامة والمنفذة في البيئة السحابية، ولكن 10 منها فقط بها ثغرات أمنية حرجة، وخمسة منها فقط بها ثغرات أمنية حرجة وامتيازات عالية. ويمنح هذا السياق فرق الأمن نظرة ثاقبة عن المواضع التي يجب أن يبذلوا جهودهم فيها، بناءً على ما يحتمل أن يتم استغلاله. وفي كثير من الأحيان، ينتهي الأمر بفرق الأمن إلى محاولة معالجة جميع أعباء العمل العامة البالغ عددها 100؛ لأن الحلول المصممة لمشكلة محددة تفتقر إلى السياق الذي يركز على الهوية والتكامل اللازم لمعالجة التهديدات بكفاءة. 

تعد الإمكانات المتكاملة لفهم المخاطر والتعرض لها أمرًا مهمًا. وتكون هذه الإمكانات مناسبة ليس فقط من ناحية البنية التحتية أو الثغرات الأمنية، ولكن باعتبارها أيضًا طريقة للنظر إلى كل ذلك معًا، وضبط عملية تقدير درجات المخاطر بشكل حيوي، بناءً على ما يحدث بالفعل في بيئتك. 

للاطلاع على مزيد من المعلومات عن تأمين الهويات في السحابة، شاهد الندوة عبر الإنترنت حسب الطلب "إدارة وضع الأمان والاستحقاقات في السحابة".