استخدام حوكمة الهوية لبناء ثقة منعدمة في السحابة المتعددة - قبل فوات الأوان

إذا كان استخدام خادم سحابي واحد جيدًا، ألن يكون استخدام خوادم سحابية متعددة أفضل؟

يبدو أن هذا هو تفكير العديد من المؤسسات الكبيرة، التي تتحول بشكل متزايد إلى البنية التحتية متعددة السحابة كأفضل ممارسة: في استبيان هارفارد بزنس ريفيو, ، قال 85% من المشاركين في الاستطلاع أن "مؤسساتهم تستخدم سحابتين على الأقل - وربع هؤلاء المشاركين يستخدمون خمس سحابات أو أكثر". فليكسيرا تقرير حالة السحابة لعام 2022 يشير إلى أن "السحابة المتعددة هي البنية التحتية السحابية الأكثر شيوعًا، حيث تعتمد عليها 89% من الشركات."

هناك فوائد حقيقية من استخدام مزيج من البنى التحتية السحابية المتعددة - بما في ذلك AWS وAzure وGoogle Cloud Platform - لمساعدة المؤسسات على تحسين الأداء وضمان المرونة وتجنب الاعتماد بشكل كبير على أي بائع واحد.

ولكن على الرغم من أن البنية التحتية متعددة السحابة يمكن أن تساعد الشركات على تحقيق أهدافها الرئيسية، إلا أن القيام بذلك يطرح أيضاً تحديات جديدة أمام المسؤولين.

في أفضل الأحوال، قد تؤدي هذه التحديات إلى عدم الكفاءة وإهدار الجهد. وفي أسوأ الأحوال، قد تؤدي إدارة المستخدمين والحقوق والوصول والمصادقة وإلغاء الوصول عبر بيئات سحابية متعددة إلى تعريض الشركات لمخاطر غير ضرورية وإدخال ثغرات أمنية كبيرة.

في كثير من الحالات، تكون ميزات الأمان التي يوفرها موفرو الخدمات السحابية غير كافية لحل هذه المشكلات. بعد دراسة العديد من إخفاقات حوكمة السحابة وتقديم المشورة للمؤسسات التي تركز على الأمن أولاً بشأن أفضل الطرق لمعالجتها، قمنا بتجميع أفضل ممارسات حوكمة الهوية التالية لمساعدة الشركات على تأمين السحابة والانتقال إلى انعدام الثقة.

يؤدي نمو البيئات متعددة السحابة والتحديات المقابلة في إدارة الاستحقاقات السحابية المتزايدة إلى تزايد المخاطر.

يحتاج المسؤولون إلى إدراك أن هذه التحديات يمكن أن تنشأ منذ البداية. من المحتمل أن تكتشف فرق تكنولوجيا المعلومات أن بيئات إدارة الهوية والوصول (IAM) المعقدة لمزودي الخدمات السحابية لا تتوافق مع سجل الاستخدام المحلي وامتيازات الوصول. وهنا ستبدأ المشكلة: VentureBeat مؤخرًا عن توقعات مؤسسة جارتنر بأن "99% من حالات الفشل الأمني في السحابة" ستنتج عن سوء تكوينات التحكم.

"كلما كان تكوين السحابة المتعددة أكثر تعقيدًا، كلما أصبح حقل ألغام لتطبيق انعدام الثقة."

هذه المشكلة المربّعة-المربعة-المستديرة هي مشكلة يجب على المسؤولين معالجتها على الفور من خلال معرفة مختلف قدرات إدارة عمليات إدارة عمليات التخزين السحابية المحددة مسبقًا لمزودي الخدمات السحابية أولاً، ثم فهم كيفية تكوينها وإدارتها.

بشكل عام، نرى ثلاثة تحديات رئيسية لحوكمة الهوية تتوسع مع انتقال المؤسسات إلى بيئات السحابة المتعددة. يمكن أن تنتج هذه التحديات عن سياسات الحوكمة الأصلية للمؤسسة، أو مزود الخدمة السحابية، أو مزيج من الاثنين معاً:

1. التعرّض العرضي للبيانات: غالبًا ما يكون ذلك ناتجًا عن التهيئة الخاطئة للحقوق والأصول، حيث يُترك المورد على أنه عام في حين أنه يجب أن يكون خاصًا. كما توقعت جارتنر أيضًا أن نصف الشركات هذا العام "ستكشف عن طريق الخطأ ودون علمها بعض التطبيقات وأجزاء الشبكة والتخزين وواجهات برمجة التطبيقات مباشرةً للجمهور، مقارنةً بالربع في عام 2018.
2. الحقوق المفرطة: إذا تم الإفراط في توفير ملف تعريف مستخدم في بيئة واحدة، وإذا تم ترحيل ملف التعريف نفسه إلى بيئة أخرى، فأنت الآن تتعامل مع نطاق أوسع من ذلك. تزداد المشكلة بشكل كبير مع اعتماد المؤسسات على المزيد من البيئات السحابية. على الرغم من أنها فكرة قديمة، إلا أنه يجب على المؤسسات الانتقال إلى الحد الأدنى من الامتيازات الضرورية - يجب أن يحصل كل مستخدم على الحد الأدنى الذي يحتاجه لأداء دوره. إن الامتيازات الأقل هي أكثر من مجرد أمن إلكتروني جيد، بل هي أيضاً عنصر أساسي للانتقال إلى وضع انعدام الثقة.
3. كلمات مرور ضعيفة ومعاد تدويرها: على غرار انتقال المستخدمين المفرطين في التزويد من بيئة إلى أخرى، يقوم المستخدمون بشكل متكرر بإعادة تدوير كلمات المرور نفسها من مستأجر سحابي إلى آخر. إن استخدام كلمة مرور واحدة ضعيفة أمر سيئ - واستخدامها للوصول إلى بيئات سحابية متعددة أسوأ من ذلك. يجب على الشركات أن تسعى جاهدة لاستخدام المصادقة بدون كلمة مرور كلما كان ذلك ممكناً؛ وفي غضون ذلك، يجب على الأقل أن تفرض تدوير كلمات المرور وإضافة عمليات مصادقة متعددة العوامل (MFA).

تتمثل إحدى الطرق التي تستجيب بها الصناعة لهذه التحديات الجديدة في إدارة استحقاقات البنية التحتية السحابية (CIEM)، وهي عملية جديدة لإدارة مشكلات استحقاق الهوية كخدمة سحابية. تأخذ CIEM في الحسبان الطرق المحددة التي يزيد من خلالها مستأجرو السحابة من تواتر وتأثير مشكلات استحقاق السحابة.

تنضم إدارة الهوية والوصول إلى برامج الحوكمة ذات الصلة مثل إدارة هوية العملاء والوصول (CIAM) وإدارة الهوية والوصول الخارجي (XIAM) وإدارة الهوية والوصول المؤسسي (EIAM)، والتي تحاول جميعها مراعاة الأنواع المتزايدة من المستخدمين والاستحقاقات المميزة التي يحتاجها كل منهم.

ولكن على عكس CIAM و XIAM و EIAM، تحاول CIEM القيام بأكثر من مجرد إدارة الحقوق وضمان الإلغاء الفعال. تقوم حلول CIEM أيضًا بمعاينة الحقوق الحالية وضمان إجراء مراجعات فعالة للوصول والتحقق من أن جميع أنواع حقوق المستخدمين المختلفة تتماشى مع الاستخدام المقصود منها، ومنع أي استحقاقات من تعريض بيانات الشركة أو معلوماتها أو أنظمتها للخطر.

تتجه فرق الأمن وتكنولوجيا المعلومات إلى إدارة المعلومات والاتصالات لأن مخاطر أي بيئة سحابية عامة أكبر من البيئات المحلية، نظراً لأن البيئات السحابية يمكن الوصول إليها على مدار الساعة. وتزداد هذه المخاطر بشكل كبير مع قيام المؤسسات بدمج بيئات سحابية متعددة.

هناك حاجة أخرى تعالجها CIEM وهي التحكم في تكاليف البيئات السحابية العامة. فكر فيما يمكن أن يحدث إذا ترك موظف كان يدير موارد السحابة العامة شركته. فبدون وجود الضوابط الصحيحة وعمليات التكرار الصحيحة، يمكن أن يستمر المورد الذي كان من المفترض أن يعمل لفترة محددة فقط في استهلاك الموارد دون وجود مالك لإدارته.

يمكن أن تتكبد الشركات المزيد من التكاليف إذا نسيت مورداً سحابياً. كما يمكن أن يعرضوا أنفسهم لمزيد من نقاط الضعف: يمكن للمديرين السابقين إنشاء مضيفين تحت نطاق شركتهم السابقة، والتحايل على العملاء، واستخراج معلوماتهم. إنه لأمر سيء عندما ينتحل أحد المحتالين شخصية علامتك التجارية ويسرق كلمة مرور؛ والأسوأ من ذلك بكثير عندما تأتي إساءة استخدام العلامة التجارية من داخل الشركة.

وأخيراً، يمكن لجهات التهديد اختراق مزود الخدمة السحابية نفسه واستخدام هذا الوصول لمهاجمة عملائه. في ديسمبر 2021 وزارة الصحة البرازيلية عن قيام المهاجمين بسرقة بيانات اعتماد المستخدم من بيئة البنية التحتية لمزود الخدمة السحابية. وقد سمح هذا الوصول للمهاجمين بتدمير الأصول التي استضافتها الوزارة على مزود الخدمة، وتعطيل كونيكتسوس التطبيق، وفي النهاية منع البرازيليين من تلقي التطعيمات أثناء الجائحة.

الخبر السار هو أن هناك أفضل ممارسات الحوكمة التي يمكن للمؤسسات تنفيذها لتأمين البيئات متعددة السحابة.

أظهر خرق وزارة الصحة البرازيلية أنه يجب على المؤسسات الاحتفاظ ببيئة IGA متميزة لإدارة استحقاقات مزودي الخدمات السحابية بشكل منفصل عن بيئات CIEM و EIAM الخاصة بهم.

يمكن لبيئة IGA المنفصلة أن تدير بشكل أفضل حجم وتعقيد البيانات اللازمة للتحكم في استحقاقات المستخدمين. وعلاوة على ذلك، ونظراً لخطر الاختراق، فإن الحفاظ على نظام حوكمة منفصل يجعل من الصعب على القراصنة التحرك أفقياً والوصول إلى المعلومات الهامة.

سواء كان إعداد بيئة منفصلة بالكامل أو دمج بيئة الحوكمة مع بيانات أخرى، يجب على فرق الأمن اعتبار أي مستخدمين يمكنهم الوصول إليها كحسابات مميزة، حيث يمكن لهؤلاء المستخدمين الوصول إلى أدوات وموارد البنية التحتية عالية المخاطر.

وبالمثل، يجب أن تتأكد فرق الأمن من أن النظام المستخدم لإدارة مثيل CIEM الخاص بهم يتلقى درجة مناسبة من الحماية متعددة الطبقات. وكحد أدنى، يجب أن يتضمن ذلك المصادقة متعددة العوامل (MFA). عادةً ما يسهّل موفرو الخدمات السحابية تضمين المصادقة متعددة العوامل، والتي يمكن أن تساعد في تأمين بيئة معينة ومزود السحابة بشكل عام.

وعلى الرغم من أن المصادقة المصغرة هي خطوة أولى مهمة في تأمين CIEM، إلا أنها ليست سوى الخطوة الأولى: يجب على المؤسسات أيضًا التفكير في تضمين وظائف تجعلها أقرب إلى انعدام الثقة، بما في ذلك القدرة على تغيير متطلبات المصادقة ديناميكيًا.

يمكن للمؤسسات تحقيق هذه الإمكانية شراء هذه القدرة باستخدام المصادقة السياقية لتقييم المخاطر بشكل ديناميكي: يمكن لأنظمة الأمان الذكية تقييم موقع المستخدم وجهازه وشبكته وإشارات أخرى لفحص المخاطر في الوقت الفعلي وتقييد الوصول إذا لزم الأمر. يمكن أن تؤدي التدابير الإضافية - بما في ذلك تدوير كلمات المرور، والتفعيل المؤقت للحقوق، وإدارة الجلسات، والتدقيق - إلى توفير مستوى أمان إضافي لبيئات الحوكمة.

يمكن لفرق الأمن استخدام هذه الإشارات لتغذية وتدريب أدوات مراقبة الأحداث الأمنية: من خلال رؤية إجراءات المستخدمين، يمكن لأنظمة إدارة عمليات الوصول إلى الأصول الذكية أن تتعلم فهم الأحداث المتوقعة - وأيها يشير إلى وجود مخاطر.

إذا اكتشف النظام وجود مشكلة، فيجب أن يكون فريق الاستجابة للحوادث في المؤسسة قادرًا على استخدام أي أداة تدير الوصول لحظر الحسابات المستغلة.

نظرًا لانتشار استخدام البيئات متعددة السحابة بشكل كبير، تحتاج المؤسسات إلى التأكد من أن أي أمان تقوم بتطويره لبيئة معينة يمكن أن يمتد إلى بيئات أخرى أيضًا.

أيًا كان الحل الذي تستخدمه المؤسسة لإدارة بيئة سحابية واحدة يجب أن يكون قادرًا على تصدير سياسات وصول مماثلة إلى مزودين مختلفين. يجب أن تعكس الحقوق المعينة لمسؤول قاعدة البيانات في Azure الحقوق المعينة لنفس الشخص عندما يدير بيئة AWS. يسمح القيام بذلك للمؤسسات بتوسيع نطاق إعدادات الأمان الخاصة بها أثناء قيامها بدمج المزيد من البيئات السحابية.

توفر العديد من أدوات سوق CIEM هذا التعيين لملفات التعريف القياسية - ومع ذلك لا يمكنها دائمًا توسيع ملفات التعريف المخصصة في البيئات متعددة السحابة. قد لا تتعقب تلك الملفات الشخصية المخصصة للملفات الشخصية المخصصة أو المسؤولين أو غيرهم من المستخدمين ذوي المخاطر العالية، لذلك يجب على المؤسسات التأكد من فهمها لكيفية عمل وظائف التعيين لأسباب مختلفة للمستخدمين من بيئة سحابية إلى أخرى.