مع انتقال المزيد من الشركات إلى السحابة ، لم يعد يتم تخزين بياناتها الحساسة المتعلقة بالامتثال واستخدامها من قبل طبقات متعددة من أمان المحيط. بدلاً من ذلك ، تواجه فرق الأمان خدمات سحابية متعددة ، ولكل منها نوع خاص من الامتيازات والإجراءات الخاصة بها وحيث يكون لكل مستخدم هويات متعددة عبر هذه الخدمات المختلفة. هذا يخلق تحديات جديدة لفرق الأمن مسؤولة عن حماية منظماتهم من الهجمات الإلكترونية الخارجية أثناء مراقبة الأخطاء البشرية الداخلية ، بما في ذلك كل من تسرب البيانات المتعمد والتكوينات الخاطئة غير المقصودة والمشاركة الزائدة. أحد الأمثلة الرئيسية هو عندما يقوم Box بتسريب البيانات المكشوفة من عشرات الشركات بسبب خطأ في التكوين في إعدادات المشاركة.

اليوم ، تبذل الشركات قصارى جهدها لتأمين بيئاتها السحابية. لكن الحقيقة هي أن فرق الأمان لديها تفتقر إلى الخبرة السحابية وأدوات إدارة الهوية المناسبة لاتخاذ قرارات مستنيرة حول الأذونات والهويات والموارد. وهذا بدوره يجعل من الصعب على فرق الأمن الاستجابة بسرعة للتهديدات المحتملة.

بالإضافة إلى ذلك ، تحتاج فرق الأمان إلى إعادة التأكيد باستمرار على موقفها الأمني ​​فيما يتعلق بامتيازات المستخدم وأذونات الموارد واستخدام السحابة بطرق لا تعطل عمليات الأعمال. يشمل ذلك تحديد مكان التدخل ومتى يجب إعادة تقييم امتيازات الوصول وكيفية التدخل عندما يكون هناك تهديد أمني محتمل. يمثل تحقيق هذا التوازن تحديًا كبيرًا لفرق الأمان التي يجب أن تضيف باستمرار الخبرة للبقاء على اطلاع على كل خدمة وتبقى مجهزة بالكامل لتحديد الامتيازات والإجراءات الخطرة ، بالإضافة إلى تقييم امتيازات المستخدم.

على الرغم من أن استكمال البنية التحتية السحابية المُدارة داخليًا بخدمات SaaS و IaaS المُدارة خارجيًا يمكن أن يقلل من تكاليف الإدارة والتكوينات الخاطئة ، فإنه يمكن أيضًا أن يزيد بشكل كبير من سطح هجوم مؤسستك. حدث ذلك بشكل كبير في أبريل 2019 عندما نشر موظف سابق في AWS بيانات تطبيق Credit Capital أنها تسربت على الأرجح باستخدام هجوم SSRF ودور غير صحيح. قرر كابيتال وان أن أحد أدوارهم ، والذي ربما كان ينتمي إلى جدار حماية تطبيق ويب ، قد تعرض للخطر من قبل موظف AWS السابق.

يعني تأمين بيئة السحابة الخاصة بك بالكامل معرفة البنية التحتية عبر الخدمات السحابية ؛ القدرة على تحديد وتحديد أذونات قوية وإجراءات خطرة عبر الخدمة ؛ إدارة جميع الكيانات الخاصة بك عبر كل خدمة سحابية ؛ والبقاء على اطلاع بأحدث إرشادات الأمان والأدوات التي يقدمها مزودو الخدمات السحابية الخاصة بك.

لإدارة المستخدمين في السحابة من واجهة واحدة ، تستخدم فرق SecOps عادةً خدمة مصادقة خارجية. إنهم يمنحونها بيانات اعتماد لحساب يمكنه إنشاء أدوار مؤقتة أو إدارة الحسابات على كل خدمة سحابية أخرى يستخدمها موظفو مؤسستهم. من خلال اتباع هذا النهج ، يمكن تعريف المستخدمين والهويات على منصة واحدة.

حققت حلول تسجيل الدخول الأحادي تقدمًا كبيرًا في مساعدة المؤسسات على إدارة عملية المصادقة الأولية بشكل آمن. ولكن هذه مجرد قطعة واحدة من اللغز. لا تزال هذه الحلول تتطلب منك مراقبة نشاط المستخدمين والأدوار في كل تطبيق سحابي على حدة. هذا لأنه يمكنهم ترك نقاط عمياء حيث يتم استخدام دور واحد من قبل العديد من المستخدمين ، مما يجعل من الصعب تحديد مكان بدء الانتهاك. يجب على كل موظف معرفة المفاتيح التي يجب توفيرها ولمن. يمكن أن يؤدي الرابط المشترك فجأة إلى جعل المعلومات السرية عامة ، وقد يؤدي تعريض الرمز المميز المقدم لأي IDaaS إلى اختراق البنية التحتية السحابية بالكامل.

خلاصة القول هي أنه لكي تكون آمنًا في بيئة سحابية عامة ، قد تميل العديد من فرق الأمان إلى نشر أحدث أدوات الأمان التي توفرها كل خدمة سحابية ، ثم توظيف خبراء في الخدمات الأكبر التي تستخدمها مؤسستهم. الحل الأفضل هو الاستثمار في منصات الترخيص التي يمكن أن تساعد في إدارة ومراقبة أذونات وكيانات السحابة بشكل أكثر كفاءة ، وإن أمكن ، باستمرار عبر خدمات السحابة الأكثر استخدامًا.

- ناتي هازوت