Geekly articles weekly

كتاب Microsoft Azure Security Infrastructure

يوفر هذا الكتاب معلومات عامة ، واعتبارات التصميم ، وسيناريوهات النشر ، وأفضل الممارسات ، ونتائج المسح التكنولوجي ، وإرشادات لمساعدتك في تجميع عرض تقديمي شامل حول قدرات أمان Azure.

لا يلزم معرفة خبراء Azure أو PowerShell. من المفترض أيضًا أن القارئ لديه خبرة في تكنولوجيا المعلومات على مستوى المؤسسة ومستوى كافٍ من المؤهلات للعمل في مركز البيانات.

ننشر اليوم جزءًا من الفصل الأول من هذا الكتاب. يمكنك تنزيل النسخة الكاملة مجانًا هنا .


جدول المحتويات


  • الأمن السحابي - 1 ؛
  • حماية الهوية في أزور - 19 ؛
  • Azure Network Security - 53 ؛
  • أمن البيانات والتخزين - 85 ؛
  • حماية الأجهزة الافتراضية من البرامج الضارة - 103 ؛
  • إدارة المفاتيح في Azure باستخدام Key Vault - 119 ؛
  • أمن إنترنت الأشياء - 155 ؛
  • رصد البيئات الهجينة - 175 ؛
  • التشغيل والإدارة في السحابة - 191 ؛

الأمن السحابي


قبل أن تبدأ في التفكير في الموضوع الرئيسي لهذا الكتاب ، ألا وهو البنية الأساسية لأمان Microsoft Azure ، من المهم فهم مستوى الأمان الذي يمكن توفيره في السحابة. لمعرفة سبب موثوقية نظام Azure السحابي حقًا ، عليك التفكير في عدد من العوامل المهمة التي تؤثر على أمان الحلول في السحابة. الأمان في السحابة هو نتيجة جهد تعاوني بين شركتك ومزود الخدمة السحابية. يناقش هذا الفصل العوامل الحاسمة التي ستساعدك على فهم قيود ومسؤوليات وقدرات التكنولوجيا السحابية لاستخدامها لاحقًا كمنصة موثوقة لعملك.

العوامل الهامة التي تؤثر على أمان السحابة


قبل الشروع في تنفيذ واسع النطاق للأنظمة السحابية ، من المهم للموظفين المسؤولين في المؤسسة فهم كيفية عمل الأمان داخل نموذج السحابة. يجب تطوير هذا الفهم قبل الشروع في التخطيط. إذا لم يكن المشاركون على دراية كافية بميزات الأمان في السحابة ، فقد يكون نجاح مشروع نشر السحابة بالكامل في خطر.

عند التخطيط لتنفيذ تقنيات السحابة ، من المهم تقييم الجوانب التالية لأمنها:

  • الامتثال
  • إدارة المخاطر
  • إدارة الهوية والوصول
  • عملية الأمن
  • حماية نقطة النهاية
  • حماية البيانات

يحتاج كل من هذه الجوانب إلى الاهتمام. يعتمد العمق المطلوب لدراسة القضايا الفردية على خصائص شركتك: على سبيل المثال ، يمكن أن تختلف أولويات المؤسسة الطبية ومؤسسة التصنيع بشكل كبير. في الأقسام التالية ، سندرس كل جانب من هذه الجوانب بمزيد من التفصيل.

الامتثال


لكل منظمة متطلبات معينة ، وعند الانتقال إلى السحابة ، من المهم عدم انتهاكها. قد يكون مصدر هذه المتطلبات قواعد داخلية أو خارجية - على سبيل المثال ، معايير الصناعة الإلزامية. يجب أن يكون مقدمو الخدمات السحابية على استعداد لمساعدة العملاء على تلبية متطلبات نشر السحابة. في كثير من الحالات ، يجب على العملاء الاعتماد على مزود الخدمة السحابية لتلبية المتطلبات.

من أجل مساعدة العملاء على تلبية المتطلبات الحالية ، تستخدم Microsoft المنهجيات الثلاثة التالية.

  • المحاسبة الأولية للمتطلبات المطلوبة
    • تقنية موثوقة
    • الاستثمار في عمليات الامتثال
    • شهادة الطرف الثالث
  • مساعدة العملاء على الامتثال
    • الشفافية
    • الاختيار
    • المرونة
  • التعاون مع الشركات الرائدة في مختلف الصناعات
    • تطوير المعايير
    • التعاون مع الهيئات التشريعية والتنظيمية

من المستحسن أن تعمل عن كثب مع مزود الخدمة السحابية لديك لتحليل المتطلبات التي يجب أن تلبيها مؤسستك ومدى ملاءمة عروض مزود الخدمة السحابية لها. من المهم أيضًا التأكد من أن مقدم الخدمة السحابية لديه بالفعل خبرة في تنفيذ الخدمات السحابية الأكثر أمانًا وموثوقية والتي توفر أعلى سرية وحماية لبيانات العميل.
اقرأ المزيد: لمزيد من المعلومات حول كيفية مساعدة Microsoft للعملاء في تلبية متطلبات الامتثال ، راجع هذه المقالة .

إدارة المخاطر


من أجل التنفيذ الناجح للأنظمة السحابية ، من المهم جدًا أن يثق العميل في نظام أمان البنية التحتية للمورد. يجب على موفر الخدمة السحابية تنفيذ سياسات وبرامج إدارة مخاطر أمان الإنترنت وإنفاذها بصرامة. عند إدارة المخاطر في بيئة سحابية ، من المهم مراعاة مستوى ديناميكيتها.

توفر Microsoft بنجاح للعملاء خدمات عبر الإنترنت لسنوات عديدة. خلال هذا الوقت ، تم تطوير عمليات عالية الكفاءة تسمح لك بالتحكم في هذه المخاطر الجديدة. كجزء من إدارة المخاطر ، يجب أن يقوم مزود الخدمة السحابية بالمهام التالية:

  • تحديد نقاط الضعف البيئية والتهديدات لها.
  • التحليل الكمي للمخاطر.
  • نشر البيانات حول المخاطر على السحابة.
  • إدارة المخاطر على أساس تحليل النتائج المحتملة وتأثيرها على الأعمال.
  • التحقق من فعالية الإجراءات المضادة المحتملة وتحليل المخاطر المتبقية.
  • إدارة المخاطر المستمرة.

من المهم جدًا أن يتعاون العملاء بنشاط مع مزودي الخدمات السحابية ويطلبون منهم ضمان أقصى قدر من الشفافية في العمليات. في هذه الحالة ، سيتمكن العملاء من تحليل التدابير المتخذة لمواجهة المخاطر وتقييم مدى توافقها مع مستوى سرية البيانات ودرجة الحماية المطلوبة لمنظمتهم.

إدارة الهوية والوصول


في عالم اليوم ، غالبًا ما تتاح للمستخدمين الفرصة للقيام بالعمل في أي مكان في العالم باستخدام مجموعة واسعة من الأجهزة ، أثناء الوصول إلى مجموعة متنوعة من الخدمات السحابية. في مثل هذه الظروف ، يصبح أمن هويات المستخدم مهمًا بشكل خاص. عند استخدام الأنظمة المستندة إلى السحابة ، تصبح الهويات تحديدًا هي الحدود بين "المرء" و "الآخر". الهويات هي مستوى التحكم لبنيتك الأساسية بالكامل ، سواء كانت في الموقع أو في السحابة. تُستخدم الهويات للتحكم في الوصول إلى أي خدمات من أي جهاز وتسمح لك بتتبع وتحليل ميزات استخدام البيانات.

من أجل تنفيذ التقنيات السحابية في المؤسسات ، من الضروري أن تتعرف على الإمكانات المتاحة لإدارة الهويات والوصول ، وكذلك لفهم كيف ستسمح لك هذه الأساليب بالتفاعل مع البنية التحتية المحلية الموجودة لديك. عند تخطيط إدارة الهوية والوصول ، من المهم مراعاة العوامل التالية:

  • إعداد الهوية
    • تعتمد متطلبات إعداد الهوية على نموذج الحوسبة السحابية المستخدم: البرنامج كخدمة (SaaS) أو النظام الأساسي كخدمة (PaaS) أو البنية التحتية كخدمة (IaaS).
    • تقييم قدرات أتمتة إعداد الهوية بأمان باستخدام البنية التحتية المحلية الموجودة لديك.
  • الاتحاد
    • تحليل الأساليب المتاحة وإمكانيات دمج هذه الأساليب مع البنية التحتية المحلية الموجودة لديك.
  • الدخول الموحّد (SSO)
    • مراجعة متطلبات الدخول الموحّد لمؤسستك وإمكانية تكامل الدخول الموحّد مع تطبيقاتك.
  • إدارة الملف الشخصي
    • راجع خيارات الحلول المتاحة التي يقدمها مزود الخدمة السحابية ومدى ملاءمتها لمؤسستك.
  • التحكم بالدخول
    • تقييم إمكانات التحكم في الوصول إلى البيانات التي يقدمها مزود الخدمة السحابية.
    • تنفيذ التحكم في الوصول القائم على الأدوار (RBAC).

عملية الأمن


بالنسبة للمؤسسات التي تنتقل إلى تقنية السحابة ، من المهم تكييف العمليات الداخلية وفقًا لذلك ، بما في ذلك مراقبة الأمان والتدقيق والاستجابة للحوادث وفحوص الطب الشرعي. يجب أن تمكن المنصة القائمة على السحابة مسؤولي تكنولوجيا المعلومات من مراقبة حالة الخدمات في الوقت الحقيقي لمراقبة صحتهم والتعافي بسرعة من الفشل.

يجب عليك التأكد من أن جميع الخدمات المنشورة يتم مراقبتها وصيانتها وفقًا لاتفاقية مستوى الخدمة (SLA) بين مزود الخدمة السحابية ومنظمة العميل. العوامل الأخرى التي تؤثر على أمان السحابة مذكورة أدناه.

  • تدريب العاملين بالمنظمة أثناء العملية.
  • تنفيذ معايير وممارسات الصناعة للعمليات ، مثل NIST SP 800-531.
  • قم بإدارة معلومات الأمان وفقًا لمعايير الصناعة مثل NIST SP 800-612.
  • استخدم تحليلات التهديد التي يوفرها مزود الخدمة السحابية.
  • التحديث المستمر للضوابط وإدارة المخاطر لزيادة أمن العمليات.

حماية نقطة النهاية


أمان البنية التحتية لمزود الخدمة السحابية ليس العامل الوحيد الذي يحدد أمان السحابة. سننظر لاحقًا في هذا الفصل في مفهوم المسؤولية الموزعة. أحد جوانبها هو أنه عند تطبيق التقنيات السحابية ، يجب على المؤسسة توفير أمان نقطة النهاية. عند إدخال أنظمة السحابة في الشركة ، يوصى بزيادة أمان نقاط النهاية ، نظرًا لأنه بعد هذا الانتقال سيفتحون في الغالب اتصالات خارجية والوصول إلى المزيد من التطبيقات التي يمكن استضافتها من قبل مزودي خدمة سحابية آخرين.

الهدف الرئيسي للهجمات هو المستخدمون ، ومن خلال استخدام نقاط النهاية ، يتلقى المستخدمون عادةً معلومات. إن جهاز كمبيوتر المستخدم العامل ، وهاتفه الذكي ، وأي جهاز آخر يمكنك من خلاله الوصول إلى الموارد السحابية هي نقاط نهاية. يعلم المهاجمون أن المستخدمين هم أضعف حلقة في سلسلة الأمان ، وهم يعملون باستمرار على تحسين أساليب الهندسة الاجتماعية (على سبيل المثال ، رسائل البريد الإلكتروني للتصيد الاحتيالي) ، التي تتمثل مهمتها في إجبار المستخدم على تنفيذ إجراء يضر بنقطة النهاية. عند تصميم أمان نقاط النهاية كجزء من إستراتيجية أمان السحابة العامة ، نوصي باتباع هذه الإرشادات.

  • حافظ على تحديث برنامج نقطة النهاية الخاص بك.
  • تمكين تحديثات التوقيع التلقائي على نقاط النهاية.
  • مراقبة الوصول إلى مصادر تحديث البرامج.
  • تأكد من أن المستخدمين ليس لديهم امتيازات المسؤول المحلي.
  • السماح للمستخدمين فقط بالحد الأدنى من الامتيازات التي يحتاجون إليها للعمل ، واستخدام الإدارة القائمة على الأدوار.
  • الرد بسرعة على الإخطارات من نقاط النهاية.

انتبه. يعد تأمين الوصول المميز خطوة حاسمة في تأمين عملك. نوصي بقراءة المقال الخاص بمحطات عمل الوصول المتميز (PAW) على aka.ms/cyberpaw ومعرفة المزيد حول منهجية Microsoft لحماية الأصول الأكثر قيمة.

حماية البيانات


من منظور أمني ، فإن الهدف النهائي عند نقل البيانات إلى السحابة هو حماية البيانات أينما كانت. تتكون عملية نقل البيانات من عدة مراحل. يتم تحديد الخطوة من خلال موقع البيانات في وقت معين. انظر الرسم البياني في الشكل:



يوضح الرسم البياني الخطوات التالية:

  1. يتم تخزين البيانات على جهاز المستخدم. البيانات في نقطة النهاية ، والتي يمكن أن تكون أي جهاز. من الضروري التأكد من تشفير البيانات المخزنة على أجهزة المستخدم المستخدمة لأغراض العمل (البرامج النصية BYOD) ، وكذلك على أجهزة الشركة.
  2. يتم نقل البيانات من جهاز المستخدم إلى السحابة. يجب حماية البيانات عندما تغادر جهاز المستخدم. هناك العديد من التقنيات المتاحة للمساعدة في حماية البيانات بغض النظر عن الموقع ، مثل Azure Rights Management. يجب تشفير قناة البيانات. يجب تطبيق التقنيات المناسبة مثل TLS.
  3. يتم تخزين البيانات في مركز بيانات مزود الخدمة السحابية. عندما تصل البيانات إلى خوادم مزود الخدمة السحابية ، يجب أن توفر البنية التحتية للتخزين التكرار والحماية. تأكد من معرفة كيفية تنفيذ موفر الخدمة السحابية لتشفير البيانات أثناء التخزين تحديدًا ، ومن المسؤول عن إدارة المفاتيح وكيف يتم ضمان تكرار البيانات.
  4. يتم نقل البيانات من السحابة إلى البيئة الداخلية. في هذه الحالة ، تنطبق التوصيات المقدمة للمرحلة 2. من الضروري توفير تشفير لكل من الملف نفسه وطبقة النقل.
  5. يتم تخزين البيانات في بيئة محلية. مهمة تأمين البيانات في بيئة محلية هي مهمة العميل. من المراحل الحاسمة في تنفيذه تشفير البيانات المخزنة في مركز بيانات الشركة. يجب أن توفر بنيتك الأساسية المستوى الضروري من التشفير ، وتكرار البيانات ، وإدارة المفاتيح.

العوامل الهامة التي تؤثر على أمان السحابة
مع الانتقال إلى استخدام التكنولوجيا السحابية ، تبدأ مبادئ أخرى في التطبيق. تختلف الخدمات السحابية عن الأجهزة الظاهرية والإطارات المركزية المحلية مع أوقات وصول مشتركة بطرق متنوعة ، بما في ذلك قابلية التوسع والسرعة والهندسة المعمارية. لذلك ، يجب أن يكون نهجهم مختلفًا. عند العمل مع مزود خدمة سحابية (على سبيل المثال ، عند استخدام Azure) ، يوصى بأن تفكر في المشكلات التالية.

تتيح لك الخدمة السحابية جيدة التصميم تشغيل الأجهزة أو التوقف عن استخدامها في بضع دقائق أو ساعات. يمكن للعديد من الخدمات من هذا النوع التعامل مع أحمال الذروة ، أكثر من 10 مرات أعلى من المعتاد وتعمل خلال اليوم. أصبح تطوير البرمجيات الآن سريعًا جدًا ، وأصبحت التغييرات البرمجية الأسبوعية (وحتى اليومية) هي القاعدة. لذلك ، يجب إجراء الاختبار على أساس خدمات العمل ، ولكن دون استخدام بيانات العمل السرية. بالنسبة إلى أي مؤسسة تنتقل إلى استخدام التقنيات السحابية ، من المهم إنشاء علاقة ثقة مع مزود الخدمة السحابية واستخدام جميع الأدوات المتاحة لتحديد المتطلبات المقبولة بشكل متبادل داخل هذه العلاقات والامتثال لها بشكل متبادل.

في بعض الأحيان أعطي أصدقائي المثال التالي. إذا كنت في التسعينات بحاجة إلى عشرة خوادم لمشروع جديد ، فقد يستغرق الأمر من 4 إلى 6 أشهر لرسم الخطط ، وطلبها ، وتسليمها ، ووضعها ، والاتصال بها ، وتكوينها ونشرها ، وبعد ذلك فقط يمكن للفريق بدء اختبار إصدار العمل من الخدمة . اليوم ، بفضل Azure ، يمكنني القيام بذلك في 30 دقيقة ، باستخدام الهاتف فقط.

جيم موليني
مدير برامج أول ، C + E Security

تقسيم المسؤولية


في مركز البيانات التقليدي ، تكون شركة تكنولوجيا المعلومات نفسها مسؤولة عن جميع جوانب البنية التحتية. هذه هي الطريقة التي عملت بها بيئات الحوسبة المحلية منذ ظهور البنى الحديثة لخادم العميل (وحتى قبل ذلك ، في عصر الحاسبات المركزية). إذا لم تعمل أنظمة الشبكة أو التخزين أو الحوسبة كما ينبغي ، فقد كان على شركة تكنولوجيا المعلومات تحديد السبب وإصلاح المشكلة.

مع الوحدات الأمنية ، كان الوضع مشابهاً. تعاون قسم الأمن مع قسم تكنولوجيا المعلومات ، وقاموا معًا بتوفير الحماية لمكونات البنية التحتية لتكنولوجيا المعلومات. حدد قسم الأمن في الشركة المتطلبات ، وناقشها مع قسم تكنولوجيا المعلومات ، وحدد أدوات الإدارة التي يمكن للبنية التحتية لتكنولوجيا المعلومات والمشغلين تنفيذها. بالإضافة إلى ذلك ، وضعت إدارة الأمن معايير ودققت بانتظام البنية التحتية للامتثال لهذه المعايير.

بالنسبة لمراكز البيانات الموجودة خارج البيئات المحلية ، يظل كل هذا صالحًا. ومع ذلك ، مع ظهور بيئات الحوسبة القائمة على السحب العامة ، أصبح لدى أقسام تكنولوجيا المعلومات والأمن شريك جديد - مزود خدمة سحابية. يمتلك هذا المزود بنية تحتية خاصة به لتكنولوجيا المعلومات وهو مطلوب لضمان امتثاله لمتطلبات الأمان وإمكانية الإدارة.

وهذا يعني أنك لا تحتاج فقط إلى إعداد متطلبات الأمان الخاصة بك وأخذها في الاعتبار ، ولكن لديك أيضًا إمكانيات كافية لمراقبة البنية التحتية الأمنية لمزود الخدمة السحابية وتتبع العمليات فيها. تعتمد القدرات اللازمة لمثل هذه المراقبة على نموذج الأمان السحابي الذي تستخدمه شركتك في البنية التحتية لمزود الخدمة.

الحوسبة السحابية


في هذا القسم ، نستعرض بإيجاز موضوع الحوسبة السحابية للمضي قدمًا من الأفكار العامة حول ما يتعلق بها وما لا يرتبط بها. سيساعدك هذا القسم على فهم كيفية عمل الأمان في السحابة ، وما هي الأساليب المستخدمة في مراكز البيانات المألوفة التي ظلت صالحة ، والتي تغيرت.

تعريف السحابة نشرته NIST


لبعض الوقت لم يكن هناك تعريف رسمي لمصطلح "الحوسبة السحابية". بالطبع ، يفهم الأشخاص الذين لديهم خبرة في الصناعة تحت "السحابة" الإنترنت. بالنسبة للبعض ، كان جوهر الحوسبة السحابية هو توفير الخدمات عبر الإنترنت.

استخدم بعض المحللين مصطلح حوسبة المنفعة ("الحوسبة كخدمة المنفعة") ، وبالتالي التركيز على نموذج تقديم الخدمة. ضمن النموذج المجتمعي ، هناك مجموعة معينة من الفرص المتاحة للجميع. يتم تحصيل الدفعة وفقًا لمقدار الموارد المستخدمة. وهو يشبه إلى حد كبير استهلاك الأفراد للكهرباء والغاز ، على سبيل المثال.

تستخدم السلطات والشركات من العديد من البلدان حاليًا تعريف الحوسبة السحابية الذي نشره NIST. يعتبرونها الأكثر موثوقية ومفيدة. NIST هو المعهد الوطني الأمريكي للمعايير والتكنولوجيا.

نشر المعهد القومي للمعايير والتقنية "الخصائص الأساسية الخمسة" للحوسبة السحابية ، بالإضافة إلى تحديد نماذج الخدمات السحابية وعمليات النشر السحابية. وقد تقدمت هذه التركيبات بفهم كبير لطبيعة الحوسبة السحابية.

يوضح الشكل خمس ميزات أساسية ، ونماذج الخدمة السحابية ، ونماذج النشر السحابي.



ميزات الحوسبة السحابية


يسلط NIST الضوء على الخصائص الأساسية الخمس التالية للحوسبة السحابية:

  • الخدمة الذاتية متوفرة عند الطلب. قدرة النظام الأساسي السحابي على تزويد مستهلكي الخدمة السحابية بالموارد اللازمة دون أي تفاعل معهم. مثال على تنفيذ مثل هذه الفرصة: يملأ المستهلك نموذج ويب يشير إلى متطلبات موارده ، ويحدد مزود الخدمة السحابية ما هو ضروري.
  • وصول واسع النطاق للشبكة. القدرة على الوصول إلى الموارد السحابية من أي مكان في العالم تقريبًا من أي جهاز. من المهم ملاحظة أن إمكانيات الوصول إلى الشبكة القوية هي جزء من تعريف الحوسبة السحابية ، ويعد توفير هذا الوصول شرطًا أساسيًا للنشر الناجح. لكن هذه الفقرة لا تعني أن الوصول يجب أن يكون متاحًا دائمًا للجميع. أثناء قراءة هذا الكتاب ، ستتعلم أن عناصر التحكم في الوصول هي جزء مهم من أي نظام سحابي.
  • دعم التغييرات السريعة. , , , . , . , , . , , , . .
  • . (). , . , , . . ( .)
  • . , — , , , , ( ). , — , .


, NIST, . , . , .

:

  • (laaS). , . , , . , laaS , .
  • (PaaS). , « », . , ( , ) (, -), , . ( ) , .
  • (SaaS). « ». , . « » , . Microsoft Exchange Server ( ) Microsoft SharePoint ( ). .


NIST :

  • . , . — , . , . , — : . .
  • . - . — ( ). , , , NIST ( ). ( , — , , ).

    ? , - .
  • . . — , . — .

    , -, . - , — . — , VPN- WAN-.
  • . , . — , , .

Azure


, . Azure . Azure , Security Development Lifecycle (SDL), « ». Azure , .

Azure : , , , . 1-4 Azure.



— . , Azure. . , , Azure. , - .
. Azure (RBAC). RBAC : azure.microsoft.com/documentation/articles/role-based-access-control-configure.
, , Azure. Azure , . , , .

( , ). Azure — , . , Azure.

, , , Azure. , (, -), (ACL). , (NSG).

. Azure Active Directory 2, « Azure». 3, « Azure».

, Azure Azure. Microsoft. — , . — (SLA).


يمكنك تنزيل النسخة الكاملة من الكتاب مجانًا ودراستها على الرابط أدناه.

تنزيل

Source: https://habr.com/ru/post/ar423177/

More articles:


All Articles