لا يكفي اتباع نهج “جيد بما يكفي” مع الأمان السحابي

ننسى “مجموعة ونسيان”

باستخدام الحوسبة السحابية بشكل فعال وأمان ، ومع ذلك ، يتطلب الرعاية. واحدة من السحوبات الكبيرة للخدمات السحابية ، هي القدرة على توسيع نطاق الموارد لأعلى ولأسفل حسب الحاجة. ربما يكون هناك مشروع يبدأ لبضعة أشهر يتطلب بعض معالجة البيانات وتحليلها ، أو هناك مطالب موسمية للخدمات التي تحتاج إلى مورد إضافي. تتيح السحابة للشركات تلبية هذه الاحتياجات دون الحاجة إلى الدفع للحفاظ على هذه السعة الاحتياطية. لكن فوائد الدفع فقط مقابل ما هو مطلوب ممكنة فقط إذا استمرت الأعمال في أعلى مكان تخزين بياناتهم ، وفي أي طبقة – بدلاً من الوقوع في فخ الإعداد والنسيان.

الأمر نفسه ينطبق على تأمين هذه البيانات. بموجب معظم عقود مزود السحابة العامة ، هناك أ”https://www.techtarget.com/searchcloudcomputing/feature/The-cloud-shared-responsibility-model-for-IaaS-PaaS-and-SaaS” الهدف=”_blank” rel=”noopener”> المسؤولية المشتركة بين مزود السحابة والعميل لأمن وتوافر البيانات المخزنة. يمكن أن يختلف هذا على نطاق واسع اعتمادًا على نوع الخدمة التي تم شراؤها ، لذلك من المهم لجميع المؤسسات التفكير بعناية حول البيانات التي يتم تخزينها بشكل أفضل أين ، وعلى أي مستوى أمان.

في الممارسة العملية ، هذا أسهل من فعله. ليس لدى كل مؤسسة المعرفة التقنية المعمول بها للحفاظ على توجيه تكوين خدماتها السحابية وإدارتها – بغض النظر عن مدى أهمية الحفاظ على تشغيل المؤسسة. قد يعتقد الآخرون أن لديهم الأمن من خلال الغموض هو واحد من ملايين من عملاء السحابة العامة العديدة – أو لأنهم لم يتعرضوا لهجوم حتى الآن ، كما قد يكون ساذجًا.

قد تكون المؤسسات غير واضحة أيضًا بشأن تفاصيل العقود التي وقعت عليها – فهي لا تزال مسؤولة قانونًا عن أمان بياناتهم الخاصة ، أينما تم تخزينها. قد يتصرف مقدمو الخدمات السحابية العامة مع مفاتيح التشفير المتأثرة في الحجر الصحي إذا تم اكتشاف خرق ، ولكن إذا تم اختراق بيانات الاعتماد السحابية العامة وعقد البيانات من أجل الفدية ، فهناك القليل من مقدمي الخدمات المسؤولين قانونًا.

مخاطر مفاتيح التشفير المدارة بشكل سيئ

تؤكد الهجمات الحديثة على مثيلات التخزين السحابية على أهمية الحصول على هذا الحق. على سبيل المثال ، هاجم مجموعة من الجريمة الإلكترونية التي أطلق عليها اسم “Codefinger” ضحيتين على الأقل من ضحيتين”https://therecord.media/hackers-encrypting-amazon-cloud-buckets” الهدف=”_blank” rel=”noopener”> سرقة بيانات اعتماد حساب العميل AWS واستخدام التشفير المدمج لإغلاق بياناتهم. أصبح ذلك ممكنًا من خلال حقيقة أن العديد من الشركات لا تراقب بانتظام ومراجعة مفاتيح التشفير التي لديها في مكانها ، مما يؤدي إلى إلغاء الأذونات لأولئك الذين لم تعد مطلوبة.

هناك أيضًا تحديات ازدواجية ووضوح ، حيث لا تزال أكثر من نصف (53 ٪) من المؤسسات لديها خمسة أنظمة إدارة رئيسية أو أكثر ، وفقًا ل”https://cpl.thalesgroup.com/data-threat-report” الهدف=”_blank” rel=”noopener”> تقرير تهديد بيانات Thales 2024. يجب أن تؤخذ إدارة مفتاح التشفير على محمل الجد مثل جميع تدابير الأمن السيبراني الأخرى التي تتمتع بها المنظمة.

فصل الواجبات

لحسن الحظ ، تم تحديد ممارسات فعالة حول توليد وتخزين واستخدام مفاتيح التشفير بوضوح لبعض الوقت. قوة المفاتيح المختارة ، على سبيل المثال ، تحتاج إلى التوافق مع حساسية البيانات. قد تستفيد بعض التطبيقات من استخدام أزواج مفاتيح RSA ، بحيث يمكن للأطراف الثالثة المصادقة بمفتاح عام ، بينما تظل البيانات مشفرة بمفتاح خاص.

يُنصح بالحفاظ على فصل الواجبات ، بحيث لا يمكن أيضًا الوصول إلى أولئك الذين يقومون بإنشاء المفاتيح وإدارتها للبيانات المحمية. تقسيم المسؤوليات بهذه الطريقة يقلل من خطر حدوث هجوم ناجح عبر الهندسة الاجتماعية أو التسوية المؤسسية ، والتي يمكن أن تمنح الجهات الفاعلة التهديد الوصول الكامل.

يعد تتبع وتنسيق استخدام مفاتيح التشفير أسهل أيضًا إذا تم تخزينها في قبو آمن مع أذونات محددة ، أو إذا تم استخدام وحدة أمان الأجهزة (HSM) لتخزين المفاتيح الرئيسية. من الجيد الحد من كمية البيانات التي يمكن تشفيرها بمفتاح واحد ، بالإضافة إلى تفويض فترة التشفير لكل مفتاح – بحيث لا يمكن الوصول إلى البيانات المشفرة حديثًا إلا مع الإصدار الرئيسي الجديد.

نظام مركزي

عندما تفكر في أن المؤسسة قد يكون لها ملايين المفاتيح والعمليات التي تحتاج إلى إدارة عبر بيئات متعددة وللبيانات المنظمة وغير المنظمة على حد سواء ، فإن وجود نظام مركزي هو أفضل طريقة لتطبيق هذه الممارسات باستمرار وبدقة. هناك أيضًا أعداد متزايدة من اللوائح والمعايير في جميع أنحاء العالم التي تفرض السيطرة الصارمة على مفاتيح التشفير – لذلك لم تعد هذه الممارسات مجرد “من الجيد أن تكون” ، فهي في الواقع هي حصص الجدول لممارسة الأعمال التجارية.

كانت قيمة توفير موارد تكنولوجيا المعلومات متاحة في أي وقت ، وفي أي مكان عبر السحابة لا تُحصى بالنسبة للأعمال الحديثة ، ولكن في السباق للاستفادة من هذه الخدمات ، يجب ألا تنسى الشركات أن المسؤولية القانونية لأمن بياناتها تبقى معهم.

روب إليس هو نائب الرئيس في أوروبا والشرق الأوسط وإفريقيا في أمن البيانات والتطبيق في”https://www.thalesgroup.com/en” الهدف=”_blank” rel=”noopener”> ثاليس.