1. إطار أفضل الممارسات لـ Oracle Cloud Infrastructure
  2. حول الاستراتيجيات الفعالة للأمن والامتثال

حول الاستراتيجيات الفعالة للأمن والامتثال

ويشمل نهج الأمن والامتثال ثلاث استراتيجيات رئيسية هي: التصميم والرصد والارتقاء بالمستوى الأمثل. وتطبق هذه الاستراتيجيات بشكل متكرر ويمكن لكل استراتيجية أن تغذي الاستراتيجيات الأخرى.

تكوين استراتيجية تصميم

توفر إستراتيجية تصميم أمان شاملة ضمانًا أمنيًا من خلال إدارة الهويات: عملية توثيق واعتماد مديري التأمين. استخدم خدمات إدارة الهويات للتصديق ومنح الإذن للمستخدمين والشركاء والعملاء والتطبيقات والخدمات والكيانات الأخرى.

كما يشجع حماية الأصول عن طريق وضع عناصر تحكم في حركة مرور الشبكة التي تنشأ في Oracle Cloud Infrastructure، وبين الموارد المحلية وموارد Oracle Cloud Infrastructureالداخلية، وحركة المرور من وإلى Oracle Cloud Infrastructure. في حالة عدم وجود تدابير أمنية، يمكن للمهاجمين الوصول إليها؛ على سبيل المثال، عن طريق المسح عبر نطاقات IP العامة. يمكن لعناصر تحكم أمان الشبكة الصحيحة توفير عناصر دفاعية عميقة تساعد على اكتشاف المهاجمين الذين يحاولون الدخول إلى عمليات النشر السحابية واحتوائهم وإيقافهم.

كما ستسعى إستراتيجية التصميم الناجحة إلى تصنيف أصول البيانات الحساسة وحمايتها ومراقبتها باستخدام التحكم في الوصول والتشفير والدخول إلى Oracle Cloud Infrastructure. وسيضع أيضا ضوابط على البيانات في أوقات الراحة والمرور العابر.

تعمل التطبيقات والبيانات المرتبطة بها كمخزن أساسي لقيمة الأعمال في منصة سحابية. يمكن للتطبيقات أن تقوم بدور في المخاطر التي تتعرض لها الأعمال لأنها تقوم بتضمين وتشغيل عمليات الأعمال التي تحتاج إلى إتاحتها وتوفيرها بنزاهة عالية. وتقوم التطبيقات أيضا بتخزين وتجهيز بيانات الأعمال التي تتطلب تأكيدات عالية بالسرية والنزاهة والتوافر. ولذلك، ينبغي أن تركز الاستراتيجية الناجحة على أمان التطبيقات والبيانات وأن تتيح ذلك.

تكوين استراتيجية المراقبة والتدقيق

وستركز استراتيجية الرصد الناجحة على النمذجة الصحية.

وتشير النمذجة الصحية إلى الأنشطة التي تحافظ على الوضع الأمني لعبء العمل من خلال الرصد. ويمكن أن تشير هذه الأنشطة إلى ما إذا كانت الممارسات الأمنية الحالية فعالة، أو ما إذا كانت هناك متطلبات جديدة. ويمكن أن تشمل النمذجة الصحية هذه الفئات:

  • مراقبة عبء العمل والبنية التحتية التي تعمل بها.
  • تنفيذ عمليات التدقيق.
  • تمكين سجلات المراجعة واكتسابها وتخزينها.
  • تحديث وتصحيح إصلاحات التأمين.
  • الرد على الأحداث.
  • محاكاة الهجمات على أساس الحوادث الحقيقية.

تكوين استراتيجية تحسين

بمجرد إنشاء خط أساس آمن للعمليات الأمنية في السحابة، سيتعين على فرق الأمان أن تحقق باستمرار في العمليات والضوابط الأمنية الخاصة بالسحابة والتي يمكن أن تؤدي إلى تقدم وتحسينات على الممارسات الأمنية الحالية.

تستخدم الآلاف من الشركات الخدمات السحابية بنجاح وأمان لتحقيق أهداف الأعمال لزيادة مرونة خدمات تكنولوجيا المعلومات وتخفيضها. يوفر إطار أفضل الممارسات هذا توصيات للأنماط عبر مؤسسات العمليات الأمنية التي ستوفر هياكل الأمان والعمليات والضوابط اللازمة للتمكين من الاستخدام الآمن للخدمات السحابية من خلال الأعمال. بالإضافة إلى البدء بنشر آمن، يجب تنفيذ استراتيجية للتحسين المستمر.

متابعة مبادئ تصميم التأمين

تصف المقالات في هذه الركيزة كيفية تنفيذ الاستراتيجيات الثلاث للتصميم والمراقبة والتحسين، وتقدم توصيات حول كيفية تنفيذها في Oracle Cloud Infrastructure. وتنفذ كل توصية من هذه التوصيات مبدأ أو أكثر من مبادئ تصميم الأمان التالية.

تدعم هذه المبادئ هذه الاستراتيجيات الرئيسية الثلاث وتصف نظامًا معممًا بشكل آمن مستضيفًا في مراكز البيانات السحابية أو المحلية (أو مزيجًا من كليهما). وسيؤدي تطبيق هذه المبادئ إلى زيادة كبيرة في احتمال أن يحافظ هيكل أمنك على ضمانات السرية والنزاهة والتوافر.

وتنفذ أفضل ممارسات الأمن والامتثال مبادئ التصميم هذه:

  • تصميم المهاجمين: يجب أن يركز تصميم الأمان وترتيب الأولويات على الطريقة التي يرى المهاجمون بها بيئتك، وهي ليست الطريقة التي تراها فرق تكنولوجيا المعلومات والتطبيق في كثير من الأحيان. قم بإعلام تصميم الأمان واختباره باختبار الاختراق لمحاكاة الهجمات لمرة واحدة. استخدم الفرق الحمراء لمحاكاة مجموعات الهجمات المستمرة الطويلة الأجل. قم بتصميم إستراتيجية تجزئة المؤسسة وعناصر تحكم الأمان الأخرى لاحتواء الحركة الأفقية للهاجم داخل بيئتك. القيام بنشاط بقياس وخفض سطح الهجوم المحتمل الذي يستهدفه المهاجمون لاستغلال الموارد داخل البيئة.
    • تقييد الأذون على أساس المتطلبات. كتابة الأنظمة الجزئية قدر الإمكان من حيث الموارد الهدف وامتيازات الوصول المطلوبة.
    • فرض تجزئة الشبكة. تقييد حركة المرور لعزل عمليات نشر التطبيقات بعضها عن بعض على مستوى الشبكة، واستخدام قائمة السماح لكل تدفقات الشبكة المطلوبة. تقليل حركة المرور المسموح بها بشكل مفرط.
  • الاستفادة من عناصر التحكم المحلية: عناصر تحكم الأمان المحلية المفضلة المضمنة في الخدمات السحابية على عناصر التحكم الخارجية من أطراف ثالثة. تتم صيانة عناصر التحكم الأمنية المحلية ودعمها بواسطة مزود الخدمة، مما يؤدي إلى حذف أو تقليل الجهد المطلوب لدمج أدوات الأمان الخارجية وتحديث عمليات التكامل هذه بمرور الوقت.
  • استخدام الهوية كعنصر تحكم أساسي في الوصول: يتم التحكم في الوصول إلى الموارد في هياكل السحابة بشكل أساسي بواسطة التصديق والاعتماد القائمين على الهوية لعناصر التحكم في الوصول. يجب أن تعتمد إستراتيجية التحكم في الحساب على أنظمة الهوية للتحكم في الوصول بدلاً من الاعتماد على عناصر التحكم في الشبكة أو الاستخدام المباشر لمفاتيح التشفير.
  • المساءلة: تحديد الملكية الواضحة للأصول والمسؤوليات الأمنية وضمان إمكانية تتبع الإجراءات في حالة عدم الإعادة. يجب أيضًا التأكد من منح الكيانات أقل امتياز مطلوب (لمستوى تجزئة يمكن إدارته).
  • أتمتة التضمين: تقلل أتمتة المهام من إمكانية حدوث خطأ بشري يمكن أن يؤدي إلى مخاطر، لذا يجب أتمتة كل من عمليات تكنولوجيا المعلومات وأفضل الممارسات الأمنية قدر الإمكان للحد من الأخطاء البشرية (مع ضمان تحكم البشر المهرة في الأتمتة ومراجعتها).
  • التركيز على حماية المعلومات: غالباً ما تكون الملكية الفكرية واحدًا من أكبر المستودعات ذات القيمة التنظيمية وينبغي حماية هذه البيانات في أي مكان، بما في ذلك الخدمات السحابية والأجهزة المحمولة ومحطات العمل ومنصات التعاون (دون إعاقة التعاون الذي يسمح بتكوين قيمة الأعمال). يجب أن تكون إستراتيجية الأمان الخاصة بك مبنية على تصنيف المعلومات والأصول لتمكين تحديد أولويات الأمان، والاستفادة من تقنية التحكم في الوصول والتشفير القوية، وتلبية احتياجات الأعمال مثل الإنتاجية وإمكانية الاستخدام والمرونة.
  • تصميم المرونة: يجب أن تفترض إستراتيجية الأمان الخاصة بك أن عناصر التحكم ستفشل وتصمم وفقًا لذلك. يتطلب جعل وضعك الأمني أكثر مرونة عدة نهوج تعمل معًا:
    • اليقظة المستمرة: كفالة معالجة أوجه الخلل والتهديدات المحتملة التي يمكن أن تشكل مخاطر على المنظمة في الوقت المناسب.
    • الدفاع العمق: ضع في اعتبارك الضوابط الإضافية في التصميم للتخفيف من المخاطر على التنظيم في حالة فشل مراقبة الأمان الأساسية. وينبغي أن ينظر هذا التصميم في مدى احتمال فشل الرقابة الأولية، والمخاطر التنظيمية المحتملة إن وجدت، وفعالية الرقابة الإضافية (ولا سيما في الحالات المحتملة التي قد تسبب فشل المراقبة الأولية).
    • الدفاع عند الحافة: ضع في اعتبارك الأمان المتكامل الفعال للتحكم في التهديدات قبل التأثير على تطبيقاتك. وهذا أمر بالغ الأهمية للامتثال لسياسة أمن المعلومات.
    • أقل الامتيازات: هذا شكل من أشكال الدفاع بعمق للحد من الضرر الذي يمكن أن يلحقه أي حساب واحد. يجب منح الحسابات أقل قدر من الامتيازات المطلوبة لإنجاز المهام المخصصة لها. تقييد الوصول حسب مستوى الإذن وحسب الوقت. ويساعد ذلك على التخفيف من الضرر الذي يلحق بهاجم خارجي يحصل على حق الوصول إلى الحساب، أو بموظف داخلي يضر بالضمانات الأمنية عن غير قصد (أو عمد، كما هو الحال مع هجوم داخلي).
  • افترض عدم الثقة الصفرية: عند تقييم طلبات الوصول، يجب اعتبار كل المستخدمين والأجهزة والتطبيقات الطالبة غير موثوق بها حتى يمكن التحقق من تكاملها بما فيه الكفاية. يجب منح طلبات الوصول شرطيًا استنادًا إلى مستوى ثقة الطالب وحساسية المورد الهدف. وينبغي بذل محاولات معقولة لتوفير وسائل لزيادة التحقق من الثقة (على سبيل المثال، طلب المصادقة المتعددة العوامل) ومعالجة المخاطر المعروفة (تغيير كلمة السر المتسربة عن علم، وعلاج العدوى بالبرامج السيئة) لدعم أهداف الإنتاجية.