Geekly articles weekly

حماية البيانات السحابية: دليل للمطورين

تم تصميم منصة Azure لتوفير الأمن وتلبية جميع متطلبات المطورين. تعرف على كيفية استخدام الخدمات المضمنة لتخزين بيانات التطبيق بشكل آمن بحيث لا يتمكن سوى العملاء المعتمدين والعملاء من الوصول إلى هذه البيانات.



مقدمة


الأمن هو أحد أهم جوانب أي بنية. حماية بيانات الأعمال والعملاء أمر بالغ الأهمية. يمكن أن يؤدي تسريب البيانات إلى تدمير سمعة الشركة والتسبب في أضرار مالية كبيرة. في هذه الوحدة ، سنناقش قضايا أمن البنية الأساسية عند تطوير بيئة سحابية.

من خلال استكشاف تطوير الحلول السحابية التي يعد الأمان لها أولوية ، سنرى كيف يستخدم مستخدم Azure الوهمي هذه المبادئ عمليًا.

شركة لامنا للرعاية الصحية هي شركة رعاية صحية وطنية. بدأ قسم تكنولوجيا المعلومات التابع له مؤخرًا في نقل معظم أنظمة تكنولوجيا المعلومات لديه إلى Azure. تستخدم المنظمة تطبيقاتها الخاصة وتطبيقاتها مفتوحة المصدر والتطبيقات القياسية مع مختلف البنى والمنصات التكنولوجية. سوف نتعلم ما يجب القيام به لنقل الأنظمة والبيانات إلى السحابة دون المساومة بالأمان.

ملاحظة

على الرغم من أن المفاهيم التي تمت مناقشتها في هذه الوحدة ليست شاملة ، إلا أنها تتضمن بعض المفاهيم المهمة المتعلقة بإنشاء حلول في السحابة. تنشر Microsoft مجموعة كبيرة من القوالب والأدلة والأمثلة لتطوير التطبيقات على نظام Azure الأساسي. يوصى بشدة بمراجعة المحتوى في Azure Architecture Center قبل تخطيط وتصميم الهندسة المعمارية الخاصة بك.

أهداف التعلم


ستتعلم في هذه الوحدة كيفية أداء المهام التالية:

  • تعرف على كيفية استخدام الحماية من العمق للحفاظ على أمان بنيتك.
  • تعرف على كيفية حماية الهويات.
  • تعرّف على التقنيات المتاحة لحماية البنية التحتية لـ Azure.
  • تعرف على كيفية ومكان استخدام التشفير لحماية بياناتك.
  • تعرف على كيفية حماية البنى على مستوى الشبكة.
  • تعرف على كيفية استخدام إرشادات أمان التطبيق لدمج إجراءات الأمان في تطبيقك.

حماية العمق


لا يوجد علاج لجميع التهديدات وحل واحد لجميع المشاكل. افترض أن Lamna Healthcare فقدت الرؤية الأمنية. أصبح من الواضح أن هذا المجال يجب التركيز عليه. لا يعرف موظفو Lamna من أين يبدأون ، وما إذا كان من الممكن فقط شراء حل لضمان بيئة آمنة. إنهم على يقين من أنهم بحاجة إلى نهج شامل ، لكنهم لا يدركون ما هو. هنا ، سنناقش بالتفصيل المفاهيم الرئيسية لحماية العمق ، وتحديد تقنيات ومناهج الأمان الرئيسية لدعم عمق استراتيجية الدفاع ، ونتحدث عن كيفية استخدام هذه المفاهيم في تطوير بنية خدمة Azure الخاصة بك.

نهج الأمن متعدد الطبقات


الدفاع العميق هو استراتيجية تستخدم عددًا من الآليات لإبطاء هجوم يهدف إلى الوصول غير المصرح به إلى المعلومات. يوفر كل مستوى الحماية ، لذلك إذا تغلب المهاجم على مستوى واحد ، فإن المستوى التالي سيمنع المزيد من الاختراق. تتخذ Microsoft نهجًا متدرجًا للأمان في كل من مراكز البيانات المادية وخدمات Azure. الغرض من الحماية المتعمقة هو ضمان أمن المعلومات ومنع سرقة البيانات من قبل الأشخاص الذين ليس لديهم إذن للوصول إليها. المبادئ العامة المستخدمة لتحديد حالة الأمان هي السرية والتكامل والتوافر ، والمعروفة باسم CIA (السرية والتكامل والتوافر).

  • السرية هي مبدأ الحد الأدنى من الامتيازات. الوصول إلى المعلومات متاح فقط للأشخاص الذين تم منحهم إذنًا صريحًا. تتضمن هذه المعلومات حماية كلمة مرور المستخدم وشهادات الوصول عن بعد ومحتوى رسائل البريد الإلكتروني.
  • النزاهة - منع التغييرات غير المصرح بها على البيانات غير النشطة أو المنقولة. الطريقة العامة المستخدمة في نقل البيانات هي إنشاء بصمة فريدة للمرسل باستخدام خوارزمية التجزئة ذات الاتجاه الواحد. يتم إرسال التجزئة إلى المستلم مع البيانات. يتم إعادة حساب تجزئة البيانات ومقارنتها من قبل المستلم مع الأصل بحيث لا يتم فقدان البيانات ولا تخضع للتغييرات أثناء النقل.
  • التوفر - التأكد من أن الخدمات متاحة للمستخدمين المصرح لهم. هجمات رفض الخدمة هي السبب الأكثر شيوعًا لفقدان إمكانية وصول المستخدم. بالإضافة إلى ذلك ، في حالة الكوارث الطبيعية ، تم تصميم الأنظمة لتجنب نقطة واحدة من الفشل ونشر مثيلات متعددة من التطبيق في مواقع جغرافية بعيدة.

مستويات الأمان


يمكن تمثيل حماية العمق في عدة حلقات متحدة المركز ، في وسطها البيانات. تضيف كل حلقة طبقة إضافية من الأمان حول البيانات. يزيل هذا النهج الاعتماد على مستوى واحد من الحماية ، ويبطئ الهجوم ويوفر التنبيهات ببيانات القياس عن بعد بحيث يمكنك اتخاذ إجراء - يدويًا أو تلقائيًا. دعونا نلقي نظرة على كل من المستويات.



البيانات


دائمًا ما يبحث المهاجمون عن البيانات:

  • المخزنة في قاعدة البيانات ؛
  • التي يتم تخزينها على القرص في الأجهزة الافتراضية ؛
  • المخزنة في تطبيق SaaS مثل Office 365 ؛
  • المخزنة في التخزين السحابي.

مطلوب من المسؤولين عن تخزين البيانات والتحكم في الوصول لتوفير الحماية الكافية. غالبًا ما تتطلب المتطلبات التنظيمية ضوابط وإجراءات محددة لضمان سرية البيانات وسلامتها وإمكانية الوصول إليها.

التطبيقات


  • تأكد من أن التطبيقات محمية وخالية من نقاط الضعف.
  • احتفظ بأسرار التطبيق السرية على وسائط آمنة
  • جعل الأمان مطلبًا لجميع التطبيقات.

من خلال دمج الأمان في دورة حياة تطوير التطبيقات ، يمكنك تقليل عدد نقاط الضعف في التعليمات البرمجية. شجع جميع فرق التطوير على ضمان أمان التطبيق افتراضيًا. يجب أن تكون متطلبات السلامة ثابتة.

خدمات الحوسبة


  • حماية الوصول إلى الأجهزة الافتراضية
  • تنفيذ حماية نقطة النهاية وتطبيق كافة الإصلاحات في الوقت المناسب

البرامج الخبيثة ونقص التصحيحات والحماية غير الكافية للأنظمة تجعل بيئتك عرضة للهجمات. تم تصميم هذا المستوى لضمان أمان موارد الحوسبة لديك ، ولديك عناصر التحكم الصحيحة لتقليل المخاوف الأمنية.

شبكة


  • الحد من التفاعلات بين الموارد من خلال التقسيم وضوابط الوصول
  • تعيين الحظر الافتراضي
  • الحد من حركة الإنترنت الواردة والصادرة حيثما أمكن
  • الاتصال بأمان بالشبكات المحلية

الهدف من هذا المستوى هو تقييد اتصالات الشبكة في الموارد واستخدام الاتصالات الضرورية فقط. افصل بين الموارد واستخدم عناصر التحكم على مستوى الشبكة لتقييد الاتصال بين المكونات المطلوبة فقط. من خلال الحد من تبادل البيانات ، فإنك تقلل من مخاطر التنقل حول أجهزة الكمبيوتر على شبكتك.

محيط


  • استخدام حماية رفض الخدمة الموزعة (DDoS) لتصفية الهجمات واسعة النطاق قبل أن تؤدي إلى رفض الخدمة للمستخدمين النهائيين
  • استخدم جدران الحماية المحيطية لاكتشاف تنبيهات الشبكة وتلقيها

على طول محيط الشبكة ، هناك حاجة إلى الحماية ضد هجمات الشبكة على الموارد. يعد تحديد مثل هذه الهجمات والقضاء على تأثيرها وتنبيهها عناصر مهمة لأمن الشبكة.

السياسات والوصول


  • إدارة الوصول إلى البنية التحتية وإدارة التغيير
  • استخدم تسجيل الدخول الأحادي والمصادقة متعددة العوامل
  • تحقق من الأحداث والتغييرات

يهدف مستوى السياسات والوصول إلى ضمان أمن الهويات ، والتحكم في توفير الوصول فقط للأشخاص الذين يحتاجون إليه ، وكذلك تسجيل التغييرات.

الأمن المادي


  • إن ضمان الأمن المادي للمباني والتحكم في الوصول إلى معدات الحوسبة في مركز البيانات هو خط الدفاع الأول.

يشمل الأمن المادي تدابير للحد من الوصول المادي إلى الموارد. يضمن ألا يتغلب المهاجمون على بقية المستويات ، ويحمي البيانات من الضياع والسرقة.

يمكن لكل طبقة تنفيذ مهمة أو عدة مهام وفقًا لنموذج السرية والنزاهة والوصول.



المسؤولية المشتركة


تنتقل بيئات الحوسبة من مراكز البيانات التي يديرها العملاء إلى مراكز البيانات المستندة إلى مجموعة النظراء ، وتتحول المسؤولية معها. يعد الأمن الآن مسؤولية مشتركة لموفري الخدمات السحابية والعملاء.



التحسين المستمر


تتغير صورة التهديدات في الوقت الحقيقي وعلى نطاق واسع ، لذا فإن البنية الأمنية ليست مثالية أبدًا. تحتاج Microsoft وعملائنا إلى القدرة على الرد على هذه التهديدات بذكاء وبسرعة وبصوت عالٍ.

يوفر Azure Security Center للعملاء إمكانات إدارة أمان موحدة وحماية متقدمة من التهديدات للتعرف على الأحداث الأمنية والاستجابة لها في البيئة الداخلية وفي Azure. في المقابل ، يجب على عملاء Azure مراجعة وتطوير هندسة الأمان الخاصة بهم باستمرار.

حماية الأعماق في Lamna Healthcare


تعمل شركة لامنا للرعاية الصحية بنشاط على نشر حماية عميقة في جميع أقسام تكنولوجيا المعلومات. نظرًا لأن المنظمة مسؤولة عن كميات كبيرة من البيانات الطبية السرية ، فإنها تدرك أن النهج المتكامل سيكون الخيار الأفضل.

لحماية بيانات الشركة ، تم إنشاء مجموعة عمل افتراضية في الشركة ، تتكون من ممثلين عن كل قسم من أقسام تكنولوجيا المعلومات وقسم الأمن. تتمثل مهمة المجموعة في تعريف المهندسين والمهندسين المعماريين على نقاط الضعف وطرق التخلص منها ، فضلاً عن توفير دعم المعلومات للعمل مع المشاريع في المنظمة.

بطبيعة الحال ، لن يتم هذا العمل أبدًا حتى النهاية. لذلك ، للحفاظ على المستوى المطلوب من الحماية ، تخطط الشركة لمراجعة السياسات والإجراءات والجوانب التقنية والهندسة بشكل منتظم في بحث مستمر عن طرق لزيادة الأمان.

الملخص


لقد درسنا ما هو عمق الدفاع ، وما هي مستوياته وما هي مهمة كل مستوى. مثل هذه الاستراتيجية الأمنية في الهندسة المعمارية تضمن نهجًا متكاملًا لحماية البيئة بأكملها ، بدلاً من مستوى واحد أو تقنية واحدة.

أجزاء أخرى


لإكمال هذا التدريب المجاني ، اتبع الرابط . هناك ستجد هذه الأجزاء:

  • مقدمة
  • حماية العمق
  • إدارة الهوية
  • حماية البنية التحتية
  • التشفير
  • أمن الشبكة
  • الملخص
  • خمس ميزات أمان رئيسية يجب مراعاتها قبل النشر.
  • إدارة الأسرار في تطبيقات الخادم باستخدام Azure Key Vault
  • تأمين موارد Azure من خلال الوصول المشروط

Source: https://habr.com/ru/post/ar428447/

More articles:


All Articles