تم تداول مفهوم الحوسبة السحابية (Cloud Computing) بين عدة باحثين وعلماء وقد عرفها كلا وفقاً لوجهه نظره. ولكن الكل اجمع على أنها المشاركة الأفضل للموارد الحاسوبية ضمن بيئة آمنة وهي السحابة. على عكس ما تحتاجه الحوسبة التقليدية من وجود كل البيانات والبرامج والتطبيقات التي تستعمل وينشئها المستخدم على أجهزته الخاصة، فأن " الحوسبة السحابية " تقوم على عدم الحاجة للمستخدم لتخزين أي من بياناته على أجهزته الخاصة وعدم حاجته إلى برامج متنوعة أو معقدة ربما يحتاج لبعض منها فقط، لذا كل ما يستخدم وما يحدث من عمليات ومن البرامج ووصوله إلى ملفاته وبياناته المخزنة على حاسبات عبر الشبكات بعيدة عنه.
وفقاً للمعهد الوطني للمعايير والتكنولوجيا في أمريكا (NIST): " الحوسبة السحابية هي نموذج يسمح بوصول كلي دائم وملائم عبر الشبكة لمجموعة مشتركة من الموارد الحاسوبية (الشبكة، المزودات، وسائط التخزين، التطبيقات والخدمات) والتي يمكن توفيرها حسب الحاجة بشكل آني بأقل قدر ممكن من الإدارة البشرية".
العوامل المؤثرة على انتقال نظم المعلومات إلى السحابة
الوعي بالتكنولوجيا والفهم الصحيح لمميزاتها وعيوبها.
إدراك التهديدات والتحديات أمام المؤسسة.
معرفة الفرص المتاحة أمام المؤسسة للاستفادة من البيئة الجديدة.
الأمنية والخصوصية وتعتبر من أهم العوامل التي تناقش على طاولة اتخاذ القرار.
الكلفة وهي نوعان كلفة الانتقال وكلفة العمليات بعد الانتقال.
الدعم الفني المتاح عند الانتقال وجود كادر فني مؤهل.
سهولة ووضوح العمل بعد الانتقال.
التدريب المطلوب سواء الفني أو التوعوي للموظفين ذو الصلة.
فهم وجود طرف جديد (مزود الخدمة) واستيعاب الاتفاقية معه.
الهدف من الانتقال للسحابة
مجارية التطورات التكنولوجية والاستفادة منها.
خفض كلفة شراء وامتلاك المعدات التكنولوجية للعمل الحالي بالمؤسسة والتطور المستقبلي لعمل المؤسسة.
خفض كلفة الاحتياج للدعم الفني والخبراء الفنيين لإدارة وصيانة المعدات التكنولوجية بالمؤسسة.
حماية البيانات والمعلومات بعيدة عن احتمالات الضياع أو التدمير أو غيرها مما قد يحدث للشبكة الخاصة بالمؤسسة.
تحقيق إمكانية التعامل مع النظام من أي مكان وفي أي وقت.
تحليل متطلبات الانتقال إلى الحوسبة السحابية
النقاط المهمة التي يجب على المؤسسة الأخذ بها بطريقة أو بأخرى مع إضافة ما يستجد من خصوصيتها وطبيعة عملها.
المرحلة الأولى:
إجراء دراسة ومسح أولي لمشروع الانتقال للحوسبة السحابية: ويتم ذلك من خلال عمل دراسة شاملة سريعة وتقديم ميزانية مبدئية لكافة المراحل والمتطلبات الفنية والاستشارية اللازمة للمشروع.
تكوين فريق لتقييم الوضع الحالي: يتم اختيار فريق من موظفي المؤسسة من ذو العلاقة بالأنظمة وأمنية أنظمة المؤسسة. يطلب منهم تقييم ودراسة وتحليل الوضع القائم بدقة كبيرة وخلال جدول زمني محدد.
تحديد نقاط الضعف والقوة (التحليل الرباعي SWOT) في الوضع الحالي لما يلي:
البنية التحتية الحالية: تشمل الدراسة وصف الواقع الفعلي للبنية التحتية للمؤسسة بكل ما تحمله من احتمالات القوة أو الضعف.
الكادر الفني: تقييم الكادر الفني المتوفر تقييما موضوعيا، وتحديد نقاط القوة والضعف فيه.
كلفة العمليات: تقديم تقرير دقيق بكلفة إجراءات العمليات في الواقع الفعلي للمؤسسة مشهود ومدعم بالأرقام والسجلات الإثباتية.
الأمنية: تحليل نقاط القوة والضعف في الجانب الأمني وكذا تقرير عن جميع الحالات التي قد تكون حدثت من اختراقات أو هجوم مشفوعة بطرق الحل التي تم اتباعها.
تكوين فريق فني لتقييم فوائد البيئة الجديدة: يتم تكوين فريق فني من كادر المؤسسة الفني ذو الاختصاص مع مرشحين من خارج المؤسسة إذا تطلب الأمر ذلك.
تحديد الفرص والتحديات المحتملة (التحليل الرباعي SWOT) مما يلي:
دراسة وتقييم فرص الحوسبة السحابية: يسلم الفريق خلال فترة زمنية محددة بدقة دراسة مستفيضة عن الحوسبة السحابية متضمنه المميزات بشكل عام والفرص التي ستعود على المؤسسة بشكل خاص من عملية الانتقال للحوسبة السحابية مع وضع بالاعتبار ما جاء في تقييم الوضع الحالي للمؤسسة.
دراسة وتقييم تحديات الحوسبة السحابية: يسلم الفريق أيضا تقرير بالتحديات في بيئة الحوسبة السحابية بشكل عام ومن ثم التحديات بشكل خاص لطبيعة عمل المؤسسة وكيف يمكن مجابة التحديات في ظل الإمكانيات الحالية للمؤسسة وما يتوجب على المؤسسة توظيفه لتقليص التحديات.
المرحلة الثانية
تعين جهة وأشخاص محددين لمسئولية إدارة مشروع الانتقال: في هذه المرحلة تعتبر ناتج المرحلة الأولى وتتم في حالة موافقة الجهات المعنية على الانتقال للحوسبة السحابية. يتم تعين أشخاص من الإدارة العليا وأشخاص من الإدارات الرقابية والفنية وذو العلاقة لبدء عمل دراسة أولية عن سوق الحوسبة السحابية والبدء بعمل خطة الانتقال مزمنة بتواريخ محددة بدقة، وننم الأنشطة التالية:
دراسة وفحص جودة مزودي الخدمة المتوفرين: تعتبر هذه الخطوة من الخطوات الهامة والتي يترتب عليها الكثير من النجاح المستقبلي أو التعثر. اختيار مزود الخدمة يجب أن يتم من خلال دراسة تجارب كل مزود ومميزات كل منهم عن الأخر وتجارب المؤسسات والشركات الأخرى مع مزودي الخدمة المرشحين.
دراسة وتحليل الاتفاقية: تتم هذه الخطوة بعد الاتفاق على مزود الخدمة والبدء بمناقشة بنود الاتفاقية مع مزود الخدمة ومعرفة الواجبات والحقوق للطرفين.
إعداد دورات توعية للموظفين وذو العلاقة: تتم هذه الخطوة فور اعتماد عملية الانتقال وتهدف إلى توعية الموظفين بالمميزات والتحديات الحوسبة السحابية وأهميتها لمستقبل المؤسسة.
دراسة إمكانية تحديد طرف ثالث لتقييم مستوى الخدمة: قد تحتاج المؤسسة لطرف ثالث يتوافق عليه المؤسسة ومقدم الخدمة وذلك لتقييم الأداء ومستوى الخدمة.
إعداد خطة الانتقال وفقا للاتفاقية: عند الاتفاق على اتفاقية الخدمة وكل ما يتبعها يتم إعداد خطة مناسبة تتوافق مع بنود اتفاقية مزود الخدمة.
المرحلة الثالثة
تنفيذ خطة الانتقال: يتم في هذه المرحلة الانتقال إلى الحوسبة السحابية وفقا لجدول زمني محدد بدقة.
تقييم العمل: تأتي هذه الخطوة فور الانتقال وبدء عمل النظام من خلال الحوسبة السحابية. يتم تقييم العمل ودراسة كلفة العمليات وتقييم الثغرات الأمنية أن وجدت، وتقديم تقرير الإنجاز أول بأول.
مراجعة ما يستجد من قضايا: يتطلب حل القضايا المستجدة من الوضع الجديد أول بأول.
تحديات الانتقال إلى الحوسبة السحابية
مستوى الأداء: المشكلة الكبرى في الأداء ربما تكون بالنسبة لبعض التطبيقات الموجهة نحو المعاملات وغيرها من تطبيقات البيانات الكثيفة، وفيها، قد تفتقر الحوسبة السحابية للأداء المناسب.
الأمن والخصوصية: لا تزال المؤسسات تشعر بالقلق إزاء الأمن عند استخدام الحوسبة السحابية. فالعملاء قلقون بخصوص التعرض لهجمات عندما تكون المعلومات الهامة ومصادر تقنية المعلومات خارج جدار الحماية.
تكاليف معدل نقل البيانات: مع الحوسبة السحابية، يمكن للمؤسسات توفير الأموال المهدرة على الأجهزة والبرمجيات، إلا أنها يمكن أن تتحمل ارتفاع رسوم معدل نقل البيانات للشبكة. وقد تكون تكلفة معدل نقل البيانات منخفضة بالنسبة لتطبيقات الإنترنت الصغيرة، والتي لا تُعد كثيفة البيانات، ولكنها يمكن أن ترتفع بشكل كبير بالنسبة لتطبيقات البيانات الكثيفة.
الاستخدام غير المخولين: من التحديات الرئيسة التي تواجه الحوسبة السحابية استخدام بيانات المستخدم من قبل مزود الخدمة السحابية في الإعلانات الدخيلة غير المرغوب فيها (junk advertisement). كما أن هناك احتمالية المتاجرة في هذه البيانات الشخصية والتي يشار إليها اليوم على أنها النفط الجديد من حيث الأهمية من المنظور التجاري.
ضعف قدرة المستخدم على التحكم: الحوسبة السحابية توفر مساحات التخزين والتي يخزن فيها المستخدم البيانات الخاصة به. مما يعنى أن معلومات المستفيد وبياناته محفوظة في مزود وجهاز الحاسوب ليس ملكه والتي يمكن لمزودي الخدمة التلاعب بها ونقلها إلى أماكن أخرى، مما يعني عدم قدرة المستخدمين السيطرة على البيانات، كما أن احتمالية سرقة البيانات وإساءة استخدمها من قبل موفر الخدمة أمر ممكن، مثل هذه الأمور تقلل من قدر آلية حماية الخصوصية التي توفرها الحوسبة السحابية.
ضبابية المسؤولية: وهذه أيضا تحدي كبير، الكثير من المستخدمين لا يدركون من هو مزود الخدمة المسؤول عن سياسات الخصوصية وآليات الحماية. لا بد للمستخدمين أن يكون لهم الحق في معرفة الشخص الذين يستطيع الوصول إلى بياناتهم ومن الذي يستطيع تعديلها. ولابد للمستخدم من التحقق في التطبيقات التي تعطي لنفسها صلاحيات استخدام الملفات الشخصية، وإمكانية حفظها عبر تلك الحلول الجديدة.
الدقة والموثوقية: لا تقدم الحوسبة السحابية موثوقية دائمة على مدار الساعة. حيث كانت هناك بعض الحالات التي تعاني فيها خدمات الحوسبة السحابية من انقطاع التيار لعدد قليل من الساعات.
مقاومة التغيير: مقاومة التغيير والذي يقوم به الموظفين العاملين في المجال التقني وذلك لتخوفهم من عدم توفر فرص عمل لهم بعد اعتماد أغلب الشركات والمؤسسات للحوسبة السحابية بسبب عدم الحاجة لهم لتقلص الحاجة للصيانة والمتابعة الفنية للأنظمة والموارد الحاسوبية.
الاتصال الدائم بالإنترنت: وهذه من أهم تحديات الدول النامية التي تعاني من كثرة انقطاع الانترنت وضعف السرعة وكثير من المشاكل الفنية.
ضمانات الخروج الأمن: يعتبر الخروج من السحابية من التحديات المهمة، يحق للمستخدم الحصول على ضمانات حماية بياناته في حالة الخروج من السحابة لانتهاء العقد أو لعدم الدفع أو لعدم رضى المستفيد عن خدمات مزود الخدمة.
تهديدات على الحوسبة السحابية
سرقة البيانات Data Breaches: سرقة بيانات الشركة الحساسة من أسوا الأشياء التي قد يواجها مدراء الشركات، وصول معلومات سرية ليد المنافسين قد يشكل كارثة للشركة وحتى لمستقبلها.
ضياع البيانات Data Loss: ضياع البيانات سواء بسبب مشاكل أو أخطاء مقدم الخدمة، أو بسبب اختراق مقدم الخدمة أو حتى اختراق المستخدم، يمكن أن يؤدي إلى مشاكل كبيرة، الكثير من المؤسسات تحتفظ بملفات مهمة على السحاب، ملفات الشركة، وملفات العملاء. بعض من هذه الملفات خسارتها يمكن أن تؤدي إلى التعثر المالي أو إلى المسائلة القانونية على مستوى الأشخاص أو الشركات.
سرقة بيانات المرور Account or Service Traffic Hijacking: طرق سرقة بيانات الدخول متعددة وفعالة، سواء تم ذلك باستخدام حيل الاصطياد، التحايل، أو باستغلال ثغرات التطبيقات والأنظمة التي يتعامل معها المستخدم في أجهزته. عند حصول المخترق على بيانات الدخول بأي طريقة كانت عندها يستطيع المخترق، التلاعب بالبيانات المرسلة والواردة، تزوير المعلومات، مما قد يؤثر على عمل وسمعة المؤسسة.
واجهات الخدمات غير الآمنة Insecure Interfaces and APIs: تقوم المؤسسات عادة بالتحكم ببياناتها على السحاب عبر الربط بواجهة الخدمات/التطبيقات التي يوفرها مقدم الخدمة، سواء ربط أنظمتهم الخاصة أو عبر أنظمة أطراف ثالثة. يجب أن تكون هذه الواجهات آمنة ضد أخطاء الاستخدام أو الاستخدامات الخبيثة. يجب على المستخدم الحرص عند استخدام هذه الواجهات على إتباع الطرق المثلى لضمان أقصى درجات الأمن، في المقابل يجب على مقدم الخدمة الحرص على توفير أقصى درجات الأمان والتحكم لضمان بيانات المستخدمين.
هجمات حجب الخدمة Denial of Service: من أشهر الهجمات على الإنترنت هي هجمات حجب الخدمة، فكرتها هي بالقيام بالضغط على جهاز المزود المستهدف بكمية هائلة من طلبات الوصول (الأوامر)، مما قد يستنفذ نسبة كبيرة من موارده، والتي قد تؤدي إلى بطء ملحوظ في الخدمة أو حتى إلى توقفها عن العمل تماما. هذه الهجمة قد تمنع المستخدمين من الوصول إلى بياناتهم لفترات قد تكون طويلة.
أخطار الموظفين Malicious Insiders: أخطار موظفي مقدم الخدمة من الأخطار التي عليها الكثير من الجدل، ولكن الحقيقة تقول إنها أخطار واقعية يجب الانتباه لها. كذلك أخطار موظفين المستفيد (الشركة) وتشمل الموظفين الحاليين أو الموظفين السابقين، المتعاقدين، أو الأطراف الثالثة، والذين قد يقومون باستغلالها بطريقة سيئة.
إساءة الاستخدام Abuse of Cloud Services: توفر خدمات الحوسبة السحابية الوصول إلى خدمات وأجهزة ذات إمكانيات عالية مقابل مبالغ بسيطة، هذه الميزة قد يستخدمها بعض الأشخاص أو المنظمات بطريقة سيئة وذلك باستغلال تلك الإمكانيات للقيام بأعمال ضارة، فمثلا يمكن أن يستغرق المخترق سنوات عديدة لكسر مفتاح تشفير باستخدام موارده البسيطة، ولكن يمكن أن يكسره في دقائق باستخدام إمكانيات وموارد الحوسبة السحابية الضخمة.
قلة الاهتمام Insufficient Due Diligence: المميزات التي تقدمها الحوسبة السحابية جعلت الكثير من المؤسسة تسارع إلى استخدامها بدون الفهم الكامل لما هم متوجهين له. هناك العديد من النقاط التي على المستخدمين فهمها قبل التحويل إلى الحوسبة السحابية، مثل إمكانيات التشفير، أنظمة الأمان، سرعة الاستجابة … إلخ، وذلك للوصول إلى الاستخدام الأمثل والمقارب للتوقعات.
نقاط ضعف التقنيات المشتركة Shared Technology Vulnerabilities: يعتمد مقدمي خدمات الحوسبة السحابية على مشاركة موارد شبكاتهم بين المستخدمين. وجود ثغرة أو خطأ في الإعدادات في أحد الحسابات قد يؤدي إلى تعريض كامل الشبكة إلى الخطر.
مواجهة تهديدات أمنية الحوسبة السحابية
رصدSecurity for Cloud Computing عشر خطوات لمواجهة هذه التهديدات على النحو التالي:
ضمان الادارة الفعالة للأخطار والتهديدات: وبالطبع فأن كافة المؤسسات لديها سياساتها لضمان أمنية تطبيقاتها وأنظمتها على الانترنت وهي نفس السياسات عند الانتقال لخدمة السحب ويضاف إليها معرفة أن المسئولية هنا مقسمة بين موفر الخدمة والمستفيد وعليه يجب معرفة ذلك بوضوح، وأيضا إدراك أن التصميم الفيزيائي والسيطرة على العمليات هي بالحقيقة بيد موفر الخدمة وأخيرا أن هناك واجهات للتعامل بين المستفيد وموفر الخدمة يجب أن تكون أمنة.
مراجعة الحسابات والعمليات التنفيذية: يجب فهم بيئة الرقابة الداخلية من مقدم الخدمة السحابية، بما في ذلك المخاطر والضوابط الأخرى والبيئة وقضايا التحكم وكذلك الوصول إلى مراجعة حسابات الشركات بما في ذلك سير العمل وحجمه واخيرا التأكيد على ادارة ومراقبة مرافق خدمات السحب وكيفية تامين هذه المرافق.
إدارة المستخدمين والصلاحيات والهوية (Identity): لضمان حماية البيانات والمعلومات يجب الارتكاز على نقطتين هامتين هما ضمان عزل تطبيقات وبيانات العملاء في بيئات متعددة المستأجرين وتوفير الحماية لأصول العملاء من الوصول غير المصرح به من قبل مزود الخدمة.
ضمان حماية البيانات: من المعروف أن البيانات هي اساس كافة الأعمال والتطبيقات، والحوسبة السحابية لا تخرج عن هذا المفهوم ولكن لها مستجداتها من حيث توزيع هذه البيانات والتطبيقات ودخول طرف جديد بالمسئولية هو موفر الخدمة. وعليه فإن على مستوى IaaS تقع المسئولية أكثر على المستفيد من الخدمة وعلى المستوى SaaS تقع المسئولية أكثر على موفر الخدمة وأخيرا على المستوى PaaS تتشارك المسئولية بين المستفيد وموفر الخدمة.
تطبيق سياسات الخصوصية: على المؤسسات المسؤولة عن تحديد سياسات التصدي للتهديدات المتعلقة بالخصوصية وحماية البيانات، نشر الوعي داخل المؤسسة أو الشركة. وهي مسؤولة أيضا عن ضمان تقيد موفر الخدمة على السحابة بسياسات الخصوصية.
تقييم الاحكام المتعلقة بأمن تطبيقات السحب: على المستفيدين من الخدمة السحابية الوعي بأن نشر بياناتهم وتطبيقاتهم على السحابة، فأنهم يفقدون بعض من السيطرة والتحكم بسبب وجود الطرف الجديد وهو موفر الخدمة.
ضمان أمن شبكة السحابة والاتصالات: أن مراجعة الحسابات ينبغي أن ينفذها الموظفين ذوي المهارات المناسبة والذي عادة ينتمون إلى منظمة مستقلة لمراجعة الحسابات. التدقيق في التدابير الامنية يجب أن تتم على أساس أحد معايير الرقابة الامنية. يحتاج العملاء إلى التحقق من أن مجموعات من الضوابط تلبي الاحتياجات الأمنية كاملة.
تقييم الضوابط الأمنية في البنية الاساسية المادية وكافة ملحقاتها: يجب أن يقدم موفر السحابة نظام أمن للتزويد وإدارة هويات فريدة للمستخدمين والخدمات.
إدارة وفهم اتفاقية خدمة السحب: حيث أن اتفاقية الخدمة تتضمن مسئولية طرفين هما المستفيد من الخدمة وموفر الخدمة وعليه يجب أن تكون الاتفاقية واضحة ومحددة لمسئولية كل جهة.
فهم المتطلبات الأمنية في عمليات الخروج: بقدر ما يجب ان يكون العميل قادر على ضمان الانتقال السلس من دون خسارة او خرق البيانات للسحابة فأنه يجب أن تكون عملية الخروج من السحابة أمن أيضا وأن تسمح للعميل استرداد البيانات في شكل نسخ احتياطية بأمنية مناسبة، كما يجب السماح للمستفيد بالاحتفاظ بها لفترات متفق عليها قبل حذف السجلات والأحداث المرتبطة بها حتى تكتمل عملية الخروج بشكل نهائي.
المصدر
كتاب الحوسبة السحابية د. أروى الارياني إصدار دار الوراق، الأردن
دكتورة أروى يحيى الأرياني
أستاذ مشارك - تكنولوجيا المعلومات
باحث ومستشار أكاديمي
أضغط هنا "Dr. Arwa Aleryani-Blog " لتسجيل متابعة، حتى يصلك الجديد من المدونة الأكاديمية.
Comments