أمان السحابة
التركيز على الأمن السحابي: الاستراتيجيات والبنى ونماذج العقود لحماية بيانات الشركة الحساسة في عالم رقمي
تعد البيانات أداة من أدوات الاقتصاد الرقمي الحديث، أو ما يُعرف بـ«الذهب الجديد» للشركات (القطاع الخاص)، وكذلك للدولة (القطاع العام). في عالمنا الرقمي الحالي، هناك عدد لا يحصى من مجموعات البيانات الجديدة التي تنتشر بكثرة على شبكة الإنترنت. بعض هذه المجموعات تتعلق بالبيانات الشخصية التي تمثل الهوية الرقمية. وتكمن المهارة الحقيقية في أي مؤسسة في تصفية هذه البيانات بعناية، وقبل كل شيء، تخزينها. يهدف هذا البحث الموجز إلى عرض البيانات في السحابة ومعالجتها من منظور المؤسسة. بالإضافة إلى ذلك، توضح هذه الدراسة الموجزة أنواع العقود والبنى والتدابير الأمنية المناسبة التي تتخذها الصناعة للحماية من الهجمات الإلكترونية، من أجل توفير أساس متين لمعالجة البيانات الخاصة بها.
قبل أن ندخل مباشرة في موضوع أمن السحابة، من الضروري أولاً التعرف على بعض البيانات الأساسية لما يُسمى «الحوسبة السحابية»، وكيفية عملها، وبنية السحابة: «الحوسبة السحابية هي نموذج لمعالجة البيانات يتيح الوصول بسهولة، عند الحاجة وفي أي وقت ومن أي مكان عبر شبكة، إلى مجموعة مشتركة من موارد الحوسبة القابلة للتكوين (مثل الشبكات والخوادم وأنظمة التخزين والتطبيقات والخدمات). ويمكن توفير هذه الموارد بسرعة وبأقل جهد إداري ممكن أو بتفاعل محدود مع مزود الخدمة. يمكن استخدام السحابة في ثلاثة أشكال (البنية التحتية كخدمة (IaaS)، المنصة كخدمة (PaaS)، البرمجيات كخدمة (SaaS). يختلف نوع السحابة حسب طريقة التوفير (السحابة الخاصة، السحابة المجتمعية، السحابة العامة، السحابة المختلطة).» [1]
في مجال الحوسبة السحابية، هناك أنواع مختلفة من التوفير، وهي الطرق التي يوفر بها مزودو الخدمات السحابية خدماتهم للمستخدمين. هناك أربعة نماذج رئيسية مرتبطة بالحوسبة السحابية:
1. السحابة العامة
تتيح السحابة العامة لجميع المستخدمين الوصول إلى موارد الكمبيوتر مثل الأجهزة (نظام التشغيل، وحدة المعالجة المركزية، الذاكرة) أو البرامج (خادم التطبيقات، قاعدة البيانات) على أساس الاشتراك أو الدفع حسب الاستخدام. ومن الأمثلة العملية على ذلك تطوير واختبار تطبيقات المهام الحرجة وغير الحرجة، مثل مشاركة الملفات وخدمات البريد الإلكتروني.
2. السحابة الخاصة
عادةً ما تستخدم السحابة الخاصة بشكل صريح من قبل مؤسسة واحدة ويمكن إدارتها داخليًا أو من قبل مزود خدمات تكنولوجيا المعلومات خارجي. على الرغم من أن السحابة الخاصة غالبًا ما تكون أكثر تكلفة من السحابة العامة بسبب الاستثمارات في الشراء والصيانة، إلا أنها تعالج بشكل أكثر فعالية مخاوف المؤسسات المتعلقة بالأمن وحماية البيانات.
3. السحابة الهجينة (شكل مختلط من مركز بيانات فعلي أو سحابة خاصة خارجية و/أو سحابة عامة)
تستخدم السحابة الهجينة البنى التحتية السحابية الخاصة والعامة على حد سواء. تختار الشركات هذا النموذج لتوسيع بنيتها التحتية لتكنولوجيا المعلومات بسرعة عند الحاجة. وبذلك، يمكن على سبيل المثال لتاجر عبر الإنترنت استخدام موارد السحابة العامة خلال موسم العطلات لتكملة قدرات سحابته الخاصة أو لتخفيف العبء عنها.
4. السحابة المجتمعية
تدعم السحابة المجتمعية عدة مؤسسات تستخدم موارد الحوسبة بشكل مشترك . ومن بين هذه المؤسسات، على سبيل المثال، الجامعات التي تتعاون في مجالات بحثية محد دة ، أو الجهات الحكومية مثل مراكز الشرطة داخل مقاطعة ما، التي تتشارك الموارد. ويقتصر الوصول إلى السحابة المجتمعية على أعضاء المجتمع.
عادةً ما تكون التكاليف التي يتحملها المستخدم النهائي منخفضة في السحابة العامة، دون الحاجة إلى استثمارات كبيرة. في المقابل، تتطلب السحابة الخاصة استثمارات، لكنها توفر بشكل أساسي وفورات مقارنةً بتكاليف تشغيل البنية التحتية الخاصة . تضمن السحابة الخاصة أيضًا دعمًاأكبر للأمن والامتثال مقارنةً بالسحابة العامة. ولذلك، تستخدم بعض المؤسسات السحابة الخاصة للبيانات والتطبيقات الحساسة أو ذات الأهمية الحيوية للأعمال، بينما تستخدم السحابة العامة للمهام الأساسية مثل تطوير التطبيقات وبيئات الاختبار وخدمات البريد الإلكتروني. [2]
تعد الحلول السحابية المختلطة خيارًا مناسبًا لتقليل مخاطر الهجمات الإلكترونية أو تنويعها. فهي توفر تحكمًا أكبر في الأمان الخاص بالمؤسسة مقارنةً بالاستخدام الحصري للسحابة العامة. بالإضافة إلى ذلك، توفر البنية التحتية السحابية المختلطة إمكانية وضع معايير أمان فردية وتكوينالبرامج على خوادم خاصة حسب الاحتياجات. يؤدي هذا التوزيع إلى زيادة موثوقية الأنظمة وتحسين تقييم الموقف لتصنيف مشاكل النظام.
بالإضافة إلى ذلك، فإن الكفاءة من حيث التكلفة أعلى مقارنة بشراء وصيانة الخوادم في الموقع. [3]
نماذج هندسة خدمات السحابة
في ضوء هذه المزايا التي توفرها الحلول السحابية المختلطة، والتي تتراوح من تعزيز الرقابة الأمنية إلى تحسين الموثوقية، من المهم فهم مختلف بنى خدمات السحابة. توفر هذه البنى، وهي البنية التحتية كخدمة (IaaS) والمنصة كخدمة (PaaS) والبرمجيات كخدمة (SaaS)، مستويات مختلفة من تقديم الخدمة وتحدد مسؤوليات مختلفة فيما يتعلق بالامتثال.
1. البنية التحتية كخدمة (IaaS)
يوفرمزودو IaaS البنية التحتية الأساسية للحوسبة والتخزين والشبكات، بالإضافة إلى برنامج Hypervisor للمحاكاة الافتراضية. يتحمل المستخدمون مسؤولية إنشاء وإدارة المثيلات الافتراضية، وتثبيت أنظمة التشغيل، وتوفير التطبيقات والبيانات، بالإضافة إلى التكوين الكامل. تعد IaaS خيارًا مثيرًا للاهتمام لكل من الشركات الصغيرة والمتوسطة. يمثل التشغيل السهل للبنية التحتية السحابية غير المدارة ذاتيًا بديلاً اقتصاديًا عن شراء الأجهزة الخاصة.
أمثلة: DigitalOcean، AWS، Azure، Google Compute Engine، Hetzner Cloud
2. المنصة كخدمة (PaaS)
يعمل مزودو PaaS على توسيع نطاق مجموعة التطبيقات بشكل أكبر من IaaS، من خلال إضافة أنظمة التشغيل والبرمجيات الوسيطة (مثل قواعد البيانات). ويركز المستخدمون بشكل أكبر على تطوير التطبيقات. وتقوم المنصة بإدارة البنية التحتية الأساسية.
أمثلة: AWS Elastic Beanstalk، Google App Engine.
3. البرمجيات كخدمة (SaaS)
يقدم مزودو SaaS مجموعة تطبيقات كاملة. يمكن للمستخدمين الوصول إلى التطبيق المستضاف بالكامل عبر متصفح الويب. تقع إدارة أحمال العمل وموارد تكنولوجيا المعلومات بالكامل تحت سيطرة مزود SaaS، بينما يتمتع المستخدمون بالسيطرة الصريحة على البيانات التي ينشئها التطبيق.
أمثلة: Salesforce، Dropbox، Google Workspace، aBusiness Suite [4]
السحابة في قانون العقود
لم يتم حتى الآن معالجة عقود SaaS بشكل صريح من الناحية القانونية من قبل المشرع. حتى الآن، لا يمكن تصنيف عقد SaaS قانونياً إلا كعقد مختلط يتضمن جوانب من عقود الخدمات وعقود الأعمال وعقود الإيجار. وبالتالي، فإن المجال القانوني القابل للتطبيق يعتمد على الجزء الخاص بالخدمة في العقد. يكمن العنصر الأساسي لعقد SaaS بشكل أساسي في قانون الإيجار، لأن توفير البرمجيات يمكن مقارنته بشكل أفضل بتسليم الممتلكات في قانون الإيجار. ونظرًا لأن البرمجيات لا تُعتبر «شيئًا» بالمعنى المقصود في قانون الإيجار، فإن الرأي السائد حاليًا هو أن عقود SaaS تمثل تسليمًا للاستخدام لفترة محدودة. وهذا يتوافق مع الأحكام والهدف الذي يسعى إليه قانون الإيجار. [5]
تتسم عقود PaaS بشكل أساسي باتفاقيات مستوى الخدمة (SLAs)، التي تحدد الحد الأدنى من الخدمات وتحدد حقوق وواجبات الطرفين المتعاقدين.
تلعب حماية البيانات وأمنها دورًا مهمًا وحاسمًا، حيث غالبًا ما تتم معالجة بيانات حساسة في خدمات PaaS. يجب أن يتضمنالعقد أحكامًا واضحة لحماية البيانات الشخصية. بالإضافة إلى ذلك، لا مفر من تحديد في العقد من يمتلك الملكية الفكرية للتطبيقات التي تم إنشاؤها، حيث يحتفظ المستخدم عادةً بملكية التطبيقات ويحتفظ المزود بملكية المنصة. [6]
خلاصة
سواء كانت شركة ناشئة أو شركة رأس مال استثماري أو شركة صغيرة أو متوسطة أو مؤسسة أكبر، فإن أمن السحابة أمر بالغ الأهمية لكل شركة.
ولا يقتصر الأمر على اختيار مزودي الخدمات السحابية الذين ترغبالشركة في التعاونمعهم فحسب ، بل يشمل أيضًا تحديد الشروط الإطارية التي سيتم وضعها في هذا الصدد.
في النهاية، لا تقع مسؤولية الأمن على عاتق مزود خدمة التكنولوجيا السحابية وحده، بل يلعب موظفو الشركة دورًا مهمًا بنفس القدر في الجانب الأمني للسحابة.
من الضروري الاستثمار بانتظام في تدريب الموظفين وتوعيتهم لضمان أن يمتلكوا المعرفة اللازمة للتعامل مع إرشادات وإجراءات الأمان. ولكن من أجل الاستفادة من الإمكانات الكاملة للسحابة، يجب على الشركات الاستثمار في صيانة أنظمتها الخاصة أو أنظمة الشركاء الخارجيين، وكذلك في توظيف موظفين جدد في مجال تكنولوجيا المعلومات. وبذلك يمكن للشركة ضمان أمن الأنظمة، وبالتالي زيادة رضا العملاء، مما يعزز سمعة الشركة على المدى الطويل.
لطالما كان الاعتماد على مزودي الخدمات السحابية الأجانب ولوائح حماية البيانات الخاصة بهمأحد النقاط الحاسمة عند اختيار مزود خدمات سحابية خارجي . تواجه الشركات هذا التحدي من خلال تدابير مثل الفحص الدقيق لإرشادات حماية البيانات، ونهج السحابة الهجينة لتقليل المخاطر، وتقييمات تدابير الأمان وشهادات المزودين، وتقييمات تأثير حماية البيانات، والمراقبة والتدقيق المنتظمين، بالإضافة إلى الاستعداد لانتهاكات حماية البيانات المحتملة. تختلف الاستراتيجيات باختلاف حجم الشركة وقطاعها، ولكنها تخدم جميعها هدف ضمان الامتثال لقوانين حماية البيانات وتقليل المخاطر المحتملة عند التعامل مع خدمات السحابة الخارجية.
قائمة المصادر
الحوسبة السحابية
https://www.swissbanking.ch/de/themen/digitalisierung-innovation-cyber-security/cloud-computing
نموذج النشر السحابي (2014)
https://www.sciencedirect.com/topics/computer-science/cloud-deployment-model
فهم السحابة - هل تعرف ما هي السحابة العامة وما هي السحابة المختلطة؟ (2023)
https://www.speechlive.com/at/blog/die-cloud-verstehen-wissen-sie-was-eine-public-cloud-und-was-eine-hybride-cloud-ist
ما هو IaaS؟ التعريف ومعلومات مفيدة
https://bsh-ag.de/it-wissensdatenbank/iaas-infrastructure-as-a-service/
المنصة كخدمة (PaaS) (2022)
https://www.computerweekly.com/de/definition/Platform-as-a-Service-PaaS
ما يجب الانتباه إليه عند إعداد عقود SaaS (2022)
https://www.top.legal/wissen/saas-vertraege
عقود منصة كخدمة (PaaS): دليل إرشادي (2023)
https://www.anwalt.de/rechtstipps/platform-as-a-service-vertraege-paas-vertraege-ein-leitfaden-216904.html
[2] انظر https://www.sciencedirect.com/topics/computer-science/cloud-deployment-model (2014)
[3] انظر https://www.speechlive.com/at/blog/die-cloud-verstehen-wissen-sie-was-eine-public-cloud-und-was-eine-hybride-cloud-ist�(2023)
[6] انظر https://www.anwalt.de/rechtstipps/platform-as-a-service-vertraege-paas-vertraege-ein-leitfaden-216904.html (2023)
الكتيب