الفصل العاشر: Compare and contrast security implications of different architecture models
الجزء الأول: #1
المجال الثالث: بنية الأمان (Security Architecture):
المجال الثالث من شهادة CompTIA Security Plus SY0-701 يتناول الآثار الأمنية لإعدادات المؤسسات المختلفة ، ستحصل على نظرة عامة حول مختلف المفاهيم عند النظر في أمان النماذج المعمارية المختلفة، بما في ذلك السحابة (cloud) والحلول المحلية (on-premises) والبنية التحتية كرمز (infrastructure as code) والخدمات بدون خوادم (serverless)، ستتعرف على الاعتبارات الخاصة بالنماذج المختلفة مثل التوافر (availability)، والمرونة (resilience)، والتكلفة (cost)، والاستجابة (responsiveness).
سيتناول هذا القسم مبادئ أمان البنية التحتية مثل وضع الأجهزة، والاتصال، والجدران النارية (firewalls)، وكيفية الاتصال الآمن بين العقد باستخدام أدوات وتقنيات مثل الشبكات الافتراضية الخاصة (VPNs)، والأنفاق (tunneling)، وحافة خدمة الوصول الآمن (SASE). كما سيناقش الفئات والأنواع المختلفة من البيانات، بما في ذلك البيانات الخاضعة للتنظيم والملكية الفكرية، وكيفية تصنيف البيانات بناءً على الحساسية (sensitivity)، والسرية (confidentiality)، والتوافر (availability)، بالإضافة إلى ذلك، يغطي المجال الأمان العام للبيانات باستخدام تقنيات مثل التشفير (encryption)، وتحديد الموقع الجغرافي (geolocation)، ورمز التحقق (tokenization).
- الفصل 10: مقارنة وتباين التداعيات الأمنية لنماذج البنية المختلفة.
- الفصل 11: تطبيق مبادئ الأمان لتأمين البنية التحتية للمؤسسات وفقًا لسيناريو معين
- الفصل 12: مقارنة وتباين المفاهيم والاستراتيجيات لحماية البيانات
- الفصل 13: شرح أهمية المرونة والاستعادة في بنية الأمان
مقارنة وتباين التداعيات الأمنية لنماذج البنية المختلفة (Compare and contrast security implications of different architecture models):
يغطي هذا الفصل الهدف الأول من المجال الثالث "بنية الأمان" من اختبار CompTIA Security Plus 701 ، وفي هذا الفصل، سنستعرض البنية التحتية والأنواع التي تستخدمها المؤسسات، بدءًا من السحابة (Cloud) وصولاً إلى البنية التحتية المحلية (On-premises)، وسيتضمن ذلك استكشاف النماذج المركزية (Centralized) واللامركزية (Decentralized)، بالإضافة إلى وظائف إضافية مثل الافتراضية (Virtualization)، والأنظمة المدمجة (Embedded Systems)، والتوافر العالي (High Availability)، واعتبارات أخرى.
ستتناول الأقسام الأخيرة أيضًا عدة أساليب لأمان البنية التحتية للشبكة، مثل الشبكات المعرفة بالبرمجيات (Software-Defined Networks)، والعزل الفيزيائي (Physical Isolation)، والتقسيم المنطقي (Logical Segmentation)، التي تهدف إلى تقليل تأثير الهجمات المحتملة.
سيقدم لك هذا الفصل نظرة عامة عن الأسباب التي تجعل الشركات تعتمد على هذه العمليات للحفاظ على أمان بيئتها، وذلك لضمان استعدادك للإجابة بنجاح على جميع أسئلة الامتحان المتعلقة بهذه المفاهيم للحصول على الشهادة.
تأمين الشبكة (Securing the Network):
تعد حماية الشبكة أمرًا بالغ الأهمية لحماية البيانات والموارد في أي مؤسسة، يتطلب ذلك استراتيجية متعددة الطبقات حيث تعمل تقنيات مختلفة معًا للدفاع ضد التهديدات السيبرانية المتنوعة. في مقدمة هذه الاستراتيجية تأتي العناصر الأساسية مثل الجدران النارية (Firewalls)، وقوائم التحكم في الوصول (ACLs)، وأنظمة كشف التسلل (IDSs) وأنظمة منع التسلل (IPSs)، وإدارة معلومات وأحداث الأمان (SIEM).
داخل الشبكة، تعمل الجدران النارية كخط الدفاع الأول، حيث تقوم بمراقبة وتصفية حركة المرور الواردة والصادرة. تستخدم هذه الجدران "ACL" حيث تكون القاعدة الافتراضية الوحيدة هي "رفض الجميع". يجب إنشاء قواعد السماح لتمرير أي حركة مرور. في حين أن الـ "ACL" تعمل كحواجز بناءً على معايير محددة، تقوم الـ "IDSs" والـ "IPSs" بتعزيز الأمان من خلال كشف ومنع الأنشطة المشبوهة في الوقت الفعلي. تعمل تقنيات الـ "ACL"، والـ "IDS"، والـ "IPS" معًا لإنشاء محيط أمني قوي.
بينما تستجيب أنظمة الـ IDSs/IPSs للتهديدات في الوقت الفعلي، فإن النظر بشكل شامل إلى الأمان يعد أمرًا ضروريًا أيضًا. يتم تحقيق ذلك من خلال برمجيات SIEM التي تجمع وتحلل البيانات من مصادر الشبكة المختلفة لتحديد أحداث الأمان، وتقوم هذه البرمجيات بتحديد وربط أحداث الأمان، وتقديم تنبيهات في الوقت الفعلي. هذا يمكن المؤسسات من الاستجابة بسرعة للتهديدات المحتملة، مما يجعل الـ SIEM عنصرًا أساسيًا في الدفاع الاستباقي عن الشبكة.
تأمين الخوادم (Securing the Servers):
يعد تأمين الخوادم جزءًا أساسيًا أيضًا من الحفاظ على بنية تحتية قوية وآمنة، وأهم الخوادم في شبكتنا هي خوادم التحكم بالمجالات (Domain Controllers) وخوادم SQL، حيث تقوم الأولى بمصادقة المستخدمين بينما تستضيف الأخيرة معلومات بطاقات الائتمان والبيانات الحساسة الأخرى.
خوادم البريد الإلكتروني التي ترسل وتستقبل رسائل البريد من أطراف ثالثة تستخدم بشكل متكرر كنقاط هجوم، وكما أن تطبيقات مؤتمرات الفيديو مثل Zoom أو Teams، التي ازدادت شعبيتها في التواصل الشخصي والتجاري، تحتاج أيضًا إلى التأمين ضد المتسللين.
تستخدم العديد من المؤسسات حلول التخزين السحابي مثل Amazon S3، Microsoft Azure Blob Storage، أو Google Cloud Storage لتخزين الملفات، وتوفر هذه المزودات ميزات أمان قوية، بما في ذلك التشفير، وضوابط الوصول، وأدوات المراقبة.
تأمين المضيفين (Securing the Hosts):
بعد ضمان أمان الخوادم الحيوية داخل الشبكة، من المهم بنفس القدر التركيز على تأمين المضيفين، بما في ذلك أجهزة المستخدمين والنقاط النهائية، وهذه العناصر غالبًا ما تكون خط الدفاع الأول ضد التهديدات الخارجية وتلعب دورًا حيويًا في الحفاظ على أمان البنية التحتية بشكل عام.
تعمل حلول أمان النقاط النهائية، بما في ذلك برامج مكافحة الفيروسات، وأدوات كشف واستجابة النقاط النهائية (EDR)، وأنظمة إدارة الأجهزة المحمولة (MDM)، على حماية أجهزة المستخدمين من البرمجيات الخبيثة والوصول غير المصرح به، تضيف المصادقة متعددة العوامل (MFA) طبقة إضافية من الأمان من خلال مطالبة المستخدمين بتقديم عدة أشكال من التحقق قبل الوصول إلى حساباتهم. هذا يضمن حماية تلك الحسابات من التهديدات المحتملة والدخول غير المصرح به.
مفاهيم البنية التحتية والهندسة المعمارية (Architecture and Infrastructure Concepts):
فهم التوافق بين النماذج المعمارية المختلفة وتأثيراتها الأمنية أمر ضروري لأي بنية آمنة، ومعظم الأجهزة في الشبكات المؤسسية تستخدم خدمات لاسلكية أو سحابية، ومع ذلك، يمكن أن تكون الشبكات اللاسلكية عرضة لأنواع مختلفة من الهجمات مقارنةً بالشبكات السلكية، وغالبًا ما تنطوي الخدمات السحابية على تخزين البيانات والوصول إليها خارج الموقع، مما يضيف تحديات أمنية فريدة. لذلك، يجب أن تأخذ منهجيات الأمان للأجهزة المؤسسية في الاعتبار عدة مفاهيم تتعلق بالبنية التحتية والهندسة المعمارية السحابية. هذه المفاهيم موضحة في الأقسام التالية.
الحوسبة السحابية (Cloud Computing):
الحوسبة السحابية هي تقنية مرنة وقابلة للتوسع تتيح الوصول إلى البيانات والتطبيقات وتخزينها عبر الإنترنت، وازداد الطلب على الحوسبة السحابية في السنوات الأخيرة مع تحول العديد من العاملين إلى نظام العمل من المنزل وزيادة التنقل، والسحابة هي حل فعال من حيث التكلفة يستوعب هذه التغييرات من خلال الحفاظ على توفر الأنظمة بشكل كبير، مما يتيح استمرار عمل الأنظمة لتجنب التوقف أو الانقطاع.
لكن قبل أن تقرر الانتقال إلى السحابة، يجب عليك اختيار مزود خدمات سحابية (CSP) مثل Microsoft أو Amazon Web Services التي تثق بها، وفائدة استخدام الخدمة السحابية تكمن في أنها قابلة للتوسع وفعالة من حيث التكلفة، حيث تدفع فقط مقابل الموارد التي تحتاجها، هناك أربعة أنواع رئيسية من نماذج السحابة:
- السحابة العامة (Public Cloud): هذا هو النموذج الأكثر شيوعًا، حيث يستضيف مزود الخدمة السحابية (CSP) العديد من المستخدمين، أحيانًا على نفس الأجهزة، والخطر في نماذج السحابة متعددة المستخدمين هو أن، نظرًا لاستضافة العديد من المؤسسات على نفس الخادم، فإن تصرفات مستخدم واحد يمكن أن تؤثر على مستخدم آخر، مما قد يؤدي إلى اختراق البيانات. تُعرف السحابة العامة بأنها متعددة المستخدمين.
- السحابة الخاصة (Private Cloud): في هذا النموذج، يمكن للشركة شراء أجهزتها الخاصة أو جعل مزود الخدمة السحابية (CSP) يستضيفها على خوادم منفصلة عن الشركات الأخرى. هذا النموذج يمنح الشركة مزيدًا من التحكم في بياناتها ويعتبر أكثر أمانًا من النماذج السحابية الأخرى نظرًا لأنه ذو مستخدم واحد، أي أن تلك الشركة هي الوحيدة التي تستضيف على ذلك الخادم. على سبيل المثال، الجيش الأمريكي يستضيف الآن في سحابة خاصة بسبب مستوى الأمان الذي توفره.
- السحابة المجتمعية (Community Cloud): في هذا النموذج، تدفع شركات من نفس الصناعة بشكل جماعي لتطوير تطبيق مخصص ويتم استضافته على بنية تحتية سحابية مخصصة. تشارك الشركات في تكلفة التطوير وتحتفظ بنسخها الخاصة من التطبيق. السحابة المجتمعية هي نموذج فعال من حيث التكلفة إذا لم تكن هناك تطبيقات جاهزة تفي بالغرض.
- السحابة الهجينة (Hybrid Cloud): هذا النموذج مثالي للشركات التي تقرر عدم استضافة جميع مواردها في السحابة، والسحابة الهجينة هي مزيج من استخدام البنية التحتية المحلية والسحابية معًا، على سبيل المثال، قد تكون شركة تصنيع تحتفظ بموقع فعلي لتصنيع المنتجات ولكن لديها فريق مبيعات دولي متنقل مستضاف في السحابة.
بالإضافة إلى النماذج السحابية المختلفة المتاحة لمؤسستك، هناك أيضًا مجموعة من الخدمات السحابية التي تحاكي الوظائف التي كانت تُنفذ محليًا في الماضي، من أبرز هذه الخدمات:
- البنية التحتية كخدمة (Infrastructure as a Service - IaaS): يقدم مزود الخدمة السحابية (CSP) بنية تحتية للشبكة بما في ذلك أجهزة الكمبيوتر المكتبية والخوادم والتخزين والجدران النارية (Firewalls) وأجهزة التوجيه والمحولات - الأجهزة المادية للشبكة، وعندما تشتري هذه الأجهزة، تكون بإعداداتها الافتراضية من المصنع، وهذه الإعدادات تحتاج إلى إعادة التكوين لتتناسب مع احتياجات المؤسسة. يحتاج العميل إلى تثبيت نظام التشغيل وتكوين وتحديث الأجهزة.
- البرمجيات كخدمة (Software as a Service - SaaS): SaaS هو خدمة سحابية حيث يستضيف مزود الخدمة السحابية تطبيقًا برمجيًا مخصصًا يتم الوصول إليه عبر خادم ويب. أمثلة على هذه التطبيقات تشمل Goldmine وSalesforce وOffice 365، تطبيقات SaaS لا يمكن تعديلها.
- المنصة كخدمة (Platform as a Service - PaaS): PaaS، أو المنصة كخدمة، توفر بيئة مثالية للمطورين لبناء التطبيقات بسلاسة. من الأمثلة البارزة على PaaS تشمل Microsoft Azure (وتحديدًا خدمة App Service) وخدمات مثل MySQL. توفر هذه المنصات مجموعة شاملة من الأدوات والخدمات التي تسهل تطوير ونشر التطبيقات عبر منصات متعددة، بما في ذلك أجهزة iOS و Android و Windows.
- الأمان كخدمة (Security as a Service - SECaaS): SECaaS يوفر إدارة الهوية والوصول (Identity and Access Management - IAM) التي تتيح الوصول الآمن إلى التطبيقات من أي مكان وفي أي وقت. مزود خدمة الأمان المدار يقدم طاقم أمني متخصص.
- أي شيء كخدمة (Anything as a Service - XaaS): XaaS يصف مجموعة متنوعة من الخدمات السحابية الأخرى المتاحة، مثل الشبكة كخدمة (Network as a Service - NaaS)، سطح المكتب كخدمة (Desktop as a Service - DaaS)، النسخ الاحتياطي كخدمة (Backup as a Service - BaaS)، والعديد من الخدمات الأخرى.
مصفوفة المسؤوليات (Responsibility Matrix):
في السحابة، غالبًا ما يتم تقاسم المسؤوليات بين مزودي الخدمات والعملاء، وعند استخدام الخدمات السحابية، تقوم بتحويل بعض مسؤوليات الأمان إلى مزود الخدمة السحابية، مدى مسؤوليتك المباشرة وما تفوضه يمكن أن يختلف بناءً على نوع الخدمة التي تستخدمها. على سبيل المثال، يتولى المزود عادةً مسؤولية توفر الخوادم والأمان المادي، بينما تكون مسؤولية أمان التطبيقات على عاتق العميل، فيما يلي مثال على مصفوفة توضح مسؤوليات العميل ومزود الخدمة:
الاعتبارات الخاصة بالسحابة الهجينة (Hybrid Considerations):
في نموذج السحابة الهجينة، تحافظ المؤسسة على وجودها سواء على الأجهزة المحلية أو في السحابة، وفي هذا القسم، سنستعرض الأمان في السحابة الهجينة، بما في ذلك إدارة البيانات، تحديات التأخير، المشاكل المتعلقة بالموردين الخارجيين، والمخاطر المرتبطة بهجمات سلسلة التوريد.
إدارة البيانات، التي تتعلق أساسًا بالحفاظ على السيطرة والرؤية على البيانات، هي مسألة معقدة، خاصة مع مشكلات التأخير والحاجة لضمان عدم وجود تكرار أو عدم توافق بين الموارد المحلية والسحابية، وخصوصًا عندما تمتد التطبيقات على مسافات فيزيائية كبيرة أو تتطلب تواصلًا متكررًا، يمكن أن يكون التغلب على مشكلات التأخير (البطء) تحديًا، وقد يكون هناك مشاكل في مزامنة البيانات بين البنية التحتية المحلية والسحابية، يُشار إليها باسم نقص المزامنة، حيث تكون عرض النطاق الترددي غير كافٍ لتشغيل المزامنة بسلاسة، مع أخذ هذه العوامل في الاعتبار، تتطلب إدارة الموارد المحلية جنبًا إلى جنب مع الموارد السحابية إشرافًا دقيقًا، مما قد يؤدي إلى إبطاء مهام الصيانة. يُطلق على ذلك عبء الصيانة.
الموردون الخارجيون (Third-party vendors) هم مزودون خارجيون أو مقدمو خدمات يتعاونون مع المؤسسات لتوفير منتجات أو خدمات محددة، تُستخدم خدمات الموردين الخارجيين بسبب قدرتهم على تقديم الخبرة والخدمات التي تكمل القدرات الأساسية للمؤسسة. ومع ذلك، غالبًا ما يتطلب هذا التحالف منح هذه الكيانات الخارجية درجات متفاوتة من الوصول إلى الأنظمة الحساسة أو البيانات أو البنية التحتية، مما يؤدي إلى المخاطر الأمنية التالية:
- خرق البيانات (Data Breaches): ربما تكون أخطر المخاطر، حيث يمكن أن تؤدي ممارسات الأمان الضعيفة للموردين إلى خرق البيانات، مما يهدد المعلومات الحساسة للعملاء أو المؤسسة، ويمكن أن تؤدي هذه الانتهاكات إلى خسائر مالية، أضرار في السمعة، وعواقب تنظيمية.
- ثغرات الأمان (Security Vulnerabilities): قد يقدم الموردون ثغرات أمان في أنظمة المؤسسة من خلال البرمجيات أو الخدمات التي يقدمونها، ويمكن أن تصبح هذه الثغرات نقاط دخول محتملة للمجرمين الإلكترونيين الذين يسعون للوصول غير المصرح به، مثال على الثغرات الأمنية التي يقدمها الموردون قد يكون تحديث برمجي يفتح بشكل غير مقصود بابًا خلفيًا للقراصنة.
- تحديات الامتثال (Compliance Challenges): عندما يفشل الموردون في الالتزام باللوائح أو المتطلبات القانونية الخاصة بالصناعة، قد تجد المؤسسات نفسها غير ملتزمة عن غير قصد، وبالتالي عرضة للغرامات وربما تكون متورطة في نزاعات قانونية.
- الاضطراب التشغيلي (operational Disruption): الاعتماد على مورد لتقديم خدمات أو منتجات حيوية قد يؤدي إلى اضطراب تشغيلي إذا واجه المورد فترة توقف أو مشاكل تشغيلية، يمكن أن يكون هناك تأثيرات بعيدة المدى إذا كان هناك نقطة فشل واحدة، مثل فشل نظام الطاقة.
البنية التحتية كرمز (IaC):
البنية التحتية كرمز (IaC) هي ممارسة تحديد وإدارة البنية التحتية لتكنولوجيا المعلومات من خلال الشيفرة أو السكربتات القابلة للقراءة بواسطة الآلة. تُكتب IaC بلغات مثل YAML و JSON. ولّت أيام التكوين اليدوي للبنية التحتية الذي يتسم بالأخطاء. مع IaC، تُحدد مكونات البنية التحتية (من الخوادم والشبكات إلى قواعد البيانات والتخزين) في الشيفرة، مما يمكّن من الأتمتة والقابلية للتوسع والتكرار. فوائد IaC هي كما يلي:
- إعادة تعريف الكفاءة (Efficiency Redefined): تسهم IaC في تبسيط إدارة البنية التحتية، مما يقلل من الوقت والجهد المطلوبين للتزويد والتكوين، المهام التي كانت تستغرق أسابيع أو أيامًا يمكن إنجازها الآن في دقائق أو ثوانٍ، مما يسرع من وتيرة عمليات تكنولوجيا المعلومات.
- التناسق والقابلية للتكرار (Consistency and Reproducibility): تضمن IaC أن تكون تكوينات البنية التحتية متسقة عبر البيئات المختلفة، مما يقلل من مخاطر أخطاء التكوين. يمتد هذا التناسق من مرحلة التطوير إلى الإنتاج، مما يعزز الموثوقية والقابلية للتنبؤ.
- التحكم في الإصدارات والتعاون (Version Control and Collaboration): يمكن إصدار كود IaC وتتبع إصداراته وإدارته بنفس طريقة كود التطبيقات، وهذا يعزز التعاون، ويسهل مراجعات الكود، ويضمن الشفافية في التعديلات على البنية التحتية (كل إصدار جديد من مستند أو برنامج سيحمل رقم الإصدار الأحدث).
- المزودون والأدوات (Providers and Tools): هناك مزودون سحابيّون (مثل AWS وAzure وGoogle Cloud) يقدمون قدرات وخدمات قوية لـ IaC، وبالإضافة إلى ذلك، توفر مجموعة واسعة من أدوات IaC (بما في ذلك Terraform و Ansible وPuppet و Chef) للمؤسسات إمكانية اختيار الحل الذي يتناسب مع احتياجاتهم وتفضيلاتهم.
الخدمات بدون خوادم (Serverless):
على عكس النماذج التقليدية المعتمدة على الخوادم، تزيل الحوسبة بدون خوادم عبء التشغيل، مما يمكّن المطورين من التركيز فقط على كتابة ونشر الشيفرة البرمجية، وفي بيئة بدون خوادم، لا حاجة لتوفير أو تكوين أو إدارة الخوادم حيث يتولى مزود الخدمة السحابية كل هذه الجوانب المتعلقة بإدارة الخوادم، بما في ذلك توسيع الموارد أو تقليصها لتلبية الطلب.
يتولى مزود الخدمة السحابية (CSP) إدارة وتأمين البنية التحتية، ونظرًا لأن مزودي الخدمة السحابية غالبًا ما يمتلكون خبرة أكبر وموارد مخصصة، فإنهم عادةً ما يقدمون حلولاً أكثر أمانًا مقارنة بالنماذج التقليدية المعتمدة على الخوادم، في هذه arrangement، لا يمتلك العميل الخادم الفعلي؛ بل تستضيف قاعدة بياناتهم لدى مزود الخدمة السحابية، مما يعزز الأمان، غالبًا ما تتضمن الحوسبة بدون خوادم منتجات "Backend as a Service" (BaaS)، مما يعني أن بعض الوظائف والخدمات الخلفية، مثل قواعد البيانات، والمصادقة، وتخزين الملفات، تُقدّم بواسطة مزود الخدمة السحابية.
ومع ذلك، يجب على العميل أن يضع في اعتباره أنه يحتفظ بالمسؤولية عن إدارة التطبيقات والبيانات التي تُخزن هناك، وهذه الطريقة تُعدّ فعّالة من حيث التكلفة لإعداد الخوادم حيث لا توجد نفقات رأسمالية.
الخدمات المصغره (Microservices):
تتضمن بنية Microservice تقسيم التطبيق إلى مجموعة من الخدمات الأصغر والأكثر استقلالية التي تتواصل مع بعضها البعض من خلال واجهات برمجة التطبيقات (APIs) المحددة بوضوح، وكل Microservice مسؤول عن قدرة تجارية محددة، مثل مصادقة المستخدم، معالجة المدفوعات، أو استرجاع البيانات. تعمل هذه الخدمات بشكل مستقل، مما يتيح للمطورين العمل عليها بشكل منفصل دون تعطيل التطبيق بالكامل، ويوضح المخطط التالي الوظائف من طبقة إدخال المستخدم الموحدة التي يتم تقسيمها إلى ميكروسيرفيسز تقوم بتنفيذ عمليات منطقية مختلفة وتصل إلى نفس البيانات:
الصوره الأولى من الفصل: خدمات Mircoservice مختلفة من واجهة المستخدم الواحدة التي تصل إلى قاعدة بيانات واحدة
تتميز البنية بحيث أن حدوث فشل في أحد Mircoservice يكون معزولًا ولن يتسبب في تعطل التطبيق بالكامل. تم تصميم الـ "Microservice" للتعامل مع الفشل بشكل سلس، مما يضمن توفرًا عاليًا وتحملًا للأعطال ، تشمل فوائد Microservice ما يلي:
- المرونة (Agility): تتيح الـ"Microservices" للمنظمات الاستجابة بسرعة لاحتياجات الأعمال المتغيرة. يمكن للمطورين تحسين الخدمات الفردية دون الحاجة إلى انتظار تحديثات قاعدة الشيفرة الضخمة.
- القابلية للتوسع (Scalability): يمكن أن تتوسع الخدمات بشكل مستقل لتلبية الطلب، مما يضمن أداءً مثاليًا حتى أثناء ذروات الحركة.
- تسريع التطوير (Faster Development): تسهم قواعد الشيفرة الأصغر ودورات التطوير المستقلة في تسريع عملية التطوير، مما يقلل من الوقت اللازم للوصول إلى السوق.
- سهولة الصيانة (Easy Maintenance): تبسيط الصيانة واستكشاف الأخطاء، حيث تقتصر المشكلات على خدمات محددة
- تحسن تحمل الأعطال (Improved Fault Tolerance): الـ "Microservice" تتحمل الأعطال بطبيعتها، حيث إن الفشل في خدمة واحدة لا يؤثر على الأخرى.
- التفكيك (Decomposition): تشجع الـ "Microservice" على تقسيم التطبيقات المعقدة إلى مكونات أصغر وقابلة للإدارة، وهذا التفكيك يبسط التطوير والصيانة، حيث يكون لكل Microservice نطاقًا ومسؤولية محددة
- الاستقلالية (Independence): الاستقلالية هي ميزة رئيسية للـ "Microservice" التي تسمح بنشر الخدمات الفردية بشكل مستقل، مما يعني أن التعديلات أو التحديثات على خدمة واحدة لا تستدعي تغييرات في التطبيق بالكامل. وهذا يمكّن من دورات تطوير أسرع والعمل الجماعي المتوازي.
البنية التحتية للشبكة (Network Infrastructure):
البنية التحتية للشبكة هي مزيج من أجهزة الشبكات والبروتوكولات وتوجيه الحزم التي تعمل جميعها معًا في بيئة مترابطة ، الجدول الثاني من الفصل ، يعرض مقتطفًا من نموذج OSI المرجعي، والذي يتكون من أربع طبقات رئيسية. هنا، سترى أسماء الأجهزة الأساسية التي تشكل البنية التحتية للشبكة، بما في ذلك وظائفها والطبقات التي تعمل فيها:
الجدول الثاني من الفصل.
- نقطة الوصول اللاسلكي (WAP): هي جهاز يتيح للأجهزة اللاسلكية الاتصال بشبكة سلكية، موفراً اتصالاً عبر Wi-Fi.
- الموجه (Router): هو جهاز يستخدم لربط شبكتين مختلفتين عند إعداد جهاز مضيف، ويعرف بـ "البوابة الافتراضية" يستخدم في شركتك لإتاحة الوصول إلى شبكات أخرى، مثل الإنترنت، ويحتوي الموجه على جدول توجيه مدمج، يعرف من خلاله أي مسار يمكن استخدامه لنقل حزم الشبكة. يمكن تشبيه الموجه بمكتب بريد يقوم بإرسال الرسائل حول العالم، لكن بدلاً من الرسائل، ينقل حزم IP، وإذا لم يكن يعرف إلى أين يرسل الحركة، ويستخدم الموجه المسار الافتراضي، والذي يُعرض عادة كـ 0.0.0.0 ، وهذا العنوان قد يُفهم على أنه يشير إلى "من أو إلى أي مكان"، وعادة ما يشير إلى مزود خدمة الإنترنت (ISP).
- المحول (Switch): هو جهاز شبكة داخلي يربط جميع الأجهزة في الشبكة المحلية (LAN)، ويحتفظ بجدول يعرف بـ Content Addressable Memory (CAM) مع عناوين MAC لتحديد الأجهزة المتصلة. يوضح الصوره الثانية من الفصل تمثيلاً بصرياً لهذا الجهاز.
الصوره الثانيه للفصل : Switch the inputs and outputs of a switch in a LAN
الشكل السابق يُظهر محولاً (Switch) يحتوي على كتلتين من منافذ Ethernet لربط الأجهزة المختلفة في الشبكة باستخدام كابلات Ethernet، وبمجرد تثبيت المحول، يبدأ في بناء جدول توجيه؛ حيث يتم تحديد كل جهاز مضيف بواسطة عنوان MAC الخاص به، ويجب أن يتم تسجيل عنوان MAC واحد فقط لكل منفذ. بعد ذلك، يمكن للمحول قراءة حزم البيانات التي تحتوي على عنوان MAC وتوجيهها إلى الجهاز المحدد بناءً على عنوان MAC الموجود في الحزمة ، ويمكن توصيل المحول بجهاز الحاسوب الخاص بالعميل باستخدام كابلات Ethernet، كما هو موضح في الشكل التالي.
الصوره الثالثة للفصل: Network layout
كما ترى في الشكل السابق، كل حاسوب متصل بكابل إيثرنت يوصل بمأخذ جداري، والذي يتصل بدوره بلوحة توصيل (patch panel) عبر كابلات موضوعة تحت الأرضيات أو فوق الأسقف، ويمتد كابل من لوحة التوصيل إلى منفذ إيثرنت في المحول (switch)، كما هو موضح في الشكل الثالث من الفصل، يتم توجيه كابل الإيثرنت هذا عبر قناة لحمايته من التلف، ونظرًا لأن توصيل كابل بمأخذ جداري أمر بسيط، يجب على مدير الشبكة تنفيذ تدابير أمان المنافذ على المحول لمنع الوصول غير المصرح به.
- بروتوكول حل العناوين (ARP): عند إجراء الاتصالات بالمحول، يتم تخصيص كل منفذ لعنوان MAC. يُستخدم بروتوكول ARP لربط عنوان IP بعنوان MAC.
- المحول ذو الطبقة الثالثة (Layer 3 switch): يُعرف أيضًا بالمحول متعدد الطبقات، وهو جهاز شبكة يعمل على الطبقتين الثانية (Data Link Layer) والثالثة (Network Layer) من نموذج OSI، ومع ذلك، تجدر الإشارة إلى أنه لأغراض امتحان CompTIA Security Plus 701، إذا تم ذكر "الـ Switch"، فإنه يشير إلى المحول الذي يعمل في الطبقة الثانية.
- موازن الحمل (Load Balancer): يقوم موازن الحمل بتوزيع حركة المرور الواردة بالتساوي عبر عدة خوادم لضمان التعامل الفعّال مع الأحمال العالية من حركة المرور. لمزيد من المعلومات التفصيلية، (سوف يتم شرحه في الفصل الحادي عشر).
- جدار حماية تطبيقات الويب (WAF): هو جدار حماية يستخدم لحماية خادم الويب وتطبيقاته وبياناته من الهجمات.
- نظام منع التطفل على الشبكة (NIPS): يستخدم نظام NIPS لمراقبة الشبكة وحمايتها من الهجمات من خلال المراقبة المستمرة لحركة المرور على الشبكة بحثًا عن علامات النشاط الخبيث واتخاذ الإجراءات الفورية لمنع أو تخفيف الهجمات، ويستخدم NIPS تقنيات متنوعة مثل الكشف القائم على التوقيع، والكشف عن الشذوذ، والتحليل السلوكي لتحديد ومنع الوصول غير المصرح به، والبرامج الضارة، أو التهديدات الأمنية الأخرى، ويعمل كنظام حماية فوري للشبكات، مما يضمن سلامة البيانات وتوافر الشبكة، كما يساعد في الاستجابة للحوادث وتطبيق السياسات الأمنية.
العزل المادي (Physical Isolation):
تحتوي بعض الأنظمة أو الحواسيب على معلومات حساسة مثل المواد السرية للغاية، وبالتالي لا يمكن ربطها بأي شبكة أو سيتم اختراقها، مثال على العزل المادي هو جهاز حاسوب معزول أو نظام مستقل غير متصل بأي شبكات خارجية أو الإنترنت.
شبكة معزولة (air-gapped) تعني أن أي جهاز داخل تلك الشبكة ليس له اتصالات سلكية أو لاسلكية يمكن من خلالها سرقة البيانات. لذا، الطريقة الوحيدة لإدخال أو إخراج البيانات من الحاسوب تكون عبر وسائط قابلة للإزالة مثل وحدة تخزين USB، وإذا كنت تعمل في قسم البحث والتطوير، على سبيل المثال، فمن المرجح أن يكون لديك حاسوب معزول لمنع منافسيك من سرقة أسرار تجارية من خلال جهازك.
التقسيم المنطقي (Logical Segmentation):
في بيئة الشبكات، يشير التقسيم المنطقي إلى تقسيم الشبكة إلى أجزاء أصغر، ويعتمد هذا التقسيم على حدود منطقية وليست فيزيائية. العنصر الأساسي في هذه العملية هو استخدام آليات معينة لفصل وتأمين وإدارة تدفق البيانات داخل المحول وعبر النطاقات الرقمية. لنلق نظرة على المفاهيم الرئيسية:
- التقسيم إلى شبكات فرعية (Subnetting): هو عملية تقسيم الشبكة إلى شبكات أصغر تُسمى شبكات فرعية، يمكن أن يوفر لك مستوى أعلى من الأمان عن طريق تقليل نطاق البث، وهو المنطقة التي يمكن للأجهزة فيها بث البيانات إلى بعضها البعض. تخيل انتشار فيروس بسرعة؛ ويمكن أن تساعد الشبكات الفرعية في احتواء الفيروس ومنعه من التأثير على عدد كبير من الأجهزة.
- الشبكة المحلية الافتراضية (VLAN): يتم إنشاء VLAN من خلال البرمجيات على المحول، ويسمح لك هذا بتجميع عدة منافذ شبكة معًا، مما يُنشئ شبكة مميزة ومنفصلة داخل الشبكة الأكبر، ويساعد هذا الأسلوب في تقسيم تدفق حركة المرور وفصل الاتصالات لوظائف أو مجموعات أجهزة محددة، وتحتوي كل شبكة VLAN فردية على علامة تعريف يمكن قراءتها بواسطة المحولات. تشمل حزم البيانات علامة تعريف VLAN بحيث عندما تصل حركة المرور إلى المحول، يعرف المحول إلى أين يوجهها.
الشكل التالي يظهر إعدادًا محتملاً لشبكة VLAN:
الصوره الرابعه للفصل: محولان من نوع VLAN
في الشكل الرابع، تم استخدام المنافذ من 1 إلى 4 لإنشاء شبكة VLAN لقسم تكنولوجيا المعلومات، بينما تم استخدام المنافذ من 20 إلى 24 لإنشاء شبكة VLAN أخرى لقسم المالية، وعلى الرغم من أن كلا القسمين يعملان على جهاز داخلي، إلا أن إنشاء شبكات VLAN يعزلها عن الشبكات الأخرى وشبكة الشركة.
الشبكات المعرفة برمجيًا (SDN):
تزايدت المتطلبات على البنية التحتية للشبكات بشكل كبير، خاصة مع تبني الحوسبة السحابية الافتراضية. في الشبكات التقليدية، تكون طبقات الإدارة والتحكم والبيانات متكاملة بإحكام داخل أجهزة الشبكات مثل المحولات والموجهات، لنلقِ نظرة على طبقات الإدارة والتحكم والبيانات:
- طبقة الإدارة (Management Plane): تقوم طبقة الإدارة بتنظيم ذكاء الشبكة بسهولة من خلال مراقبة حركة المرور في الشبكة.
- طبقة التحكم (Control Plane): طبقة التحكم، والتي غالبًا ما تجسدها وحدة التحكم SDN، وتعتبر "دماغ" الشبكة، وهي كيان مركزي يتخذ قرارات عالية المستوى بشأن توجيه حركة المرور، وسياسات الشبكة، وتخصيص الموارد بناءً على مجموعة من القواعد التي يضعها المسؤولون. ويتيح هذا الفصل للمسؤولين الحصول على رؤية شاملة للشبكة ونقطة واحدة لتطبيق التغييرات.
- طبقة البيانات (Data Plane): تتكون طبقة البيانات من أجهزة الشبكة مثل المحولات والموجهات ونقاط الوصول، وهي مسؤولة عن توجيه حزم البيانات استنادًا إلى التعليمات التي تتلقاها من طبقة التحكم، وعلى عكس الشبكات التقليدية حيث تكون طبقتا التحكم والبيانات متكاملتين، ويقوم SDN بفصلهما، مما يتيح التحكم المبرمج والديناميكي في سلوك الشبكة، بما في ذلك تخصيص الموارد والأمان.
بالنسبة للأولى، يتيح فصل طبقتي التحكم والبيانات تخصيص الموارد بشكل أكثر كفاءة من خلال السماح بتخصيص الموارد ديناميكيًا بناءً على الطلبات الفورية. أما بالنسبة للأخيرة، فإن SDN يوفر تحكمًا دقيقًا في حركة المرور في الشبكة من خلال تمكين سياسات الأمان الديناميكية ويمكنه الاستجابة للتهديدات الأمنية في الوقت الفعلي من خلال عزل أجزاء الشبكة المتأثرة عند اكتشاف هجوم.
الحلول الداخلية (On-Premises):
يشير مصطلح "الحلول الداخلية" إلى وجود المنظمة في مبنى مادي يعمل فيه الموظفون، ويمنح هذا الحل المنظمات سيطرة كاملة على البنية التحتية والتطبيقات، لا تزال هناك حالات يكون فيها الحل الداخلي أكثر ملاءمة، مثل الصناعات التي تتطلب الامتثال الصارم، مثل الرعاية الصحية والمالية، حيث يوفر الاحتفاظ بالبيانات الحساسة في الموقع مزيدًا من التحكم وراحة البال.
مثال آخر هو التطبيقات التي تتطلب وصولًا منخفض التأخير إلى البيانات وحوسبة عالية الأداء، توفر الحلول الداخلية ميزة القرب التي يمكن أن تكون حاسمة للمعالجة في الوقت الفعلي وتحليل البيانات، وأخيرًا، تعتمد العديد من الشركات على أنظمة قديمة تم دمجها بعمق في عملياتها، ويمكن أن يكون استبدال هذه الأنظمة بنظيراتها السحابية مكلفًا ومعقدًا، وتتيح الحلول الداخلية للمنظمات الاستفادة من بنيتها التحتية الحالية مع التحديث التدريجي.
التذكير:
في الشبكة المعزولة، لا يمتلك أي جهاز اتصالًا، ويتم إدخال البيانات إلى الجهاز وإخراجها منه باستخدام وسائط قابلة للإزالة.
المركزية مقابل اللامركزية (Centralized versus Decentralized):
تعتبر النماذج التنظيمية المركزية واللامركزية نهجين متناقضين في الهيكل التنظيمي للأعمال، ولكل منهما مزاياه وعيوبه كما هو موضح أدناه:
- المركزية (Centralized): تتمتع المنظمات المركزية بهيكل هرمي حيث يتم تركيز سلطة اتخاذ القرار في القمة، وتنشئ هذه المنظمات الحوكمة وتكتب السياسات، ويتحكم الرئيس التنفيذي في الميزانية السنوية، وتعد شركة McDonald’s Corporation مثالًا كلاسيكيًا على منظمة مركزية، ويتم اتخاذ معظم القرارات الرئيسية المتعلقة بتقديم القوائم، والتسعير، والحملات التسويقية من قبل فريق القيادة في مقر الشركة. يضمن ذلك الاتساق والإدارة الفعالة لسلسلة التوريد في علامة ماكدونالدز التجارية في جميع أنحاء العالم.
- اللامركزية (Decentralized): من ناحية أخرى، توزع المنظمات اللامركزية سلطة اتخاذ القرار عبر مستويات ومواقع مختلفة داخل المنظمة. تمكن هذه المنظمات الموظفين في مختلف المستويات من اتخاذ القرارات المتعلقة بمسؤولياتهم المحددة. يمكن أن يؤدي ذلك إلى شعور بالملكية والتحفيز بين الموظفين، وتتيح اللامركزية للمنظمات الاستجابة بسرعة لظروف السوق المحلية وتفضيلات العملاء، وإنها تعزز الرشاقة والابتكار، وقد تتمتع الوحدات أو الفروع المختلفة داخل المنظمة اللامركزية بدرجة من الاستقلالية لتكييف استراتيجياتها وعملياتها لتلبية الاحتياجات المحلية، مثال على ذلك هو اللامركزية.
مثال آخر هو البلوكشين، الذي يستخدم دفتر أستاذ عام لتسجيل المعاملات. يتم توزيع نسخ من دفاتر الأستاذ العامة هذه بين المشاركين في البلوكشين.
الحاويات (Containerization):
تعتبر تقنية الحاويات (Containerization) تكنولوجيا تجمع البرامج داخل حاويات، وتغير هذه التقنية بشكل أساسي كيفية تطوير التطبيقات ونقلها وتنفيذها.
الحاويات هي وحدات محمولة ومستقلة تجمع كل المكونات الأساسية للتطبيق، بما في ذلك الشفرة البرمجية والمكتبات والمتطلبات والتكوينات، مما يمكن من نشرها بشكل ثابت وفعال عبر بيئات مختلفة، تعمل الحاويات بشكل مستقل عن أي نظام تشغيل وتوفر مرونة جديدة في التطوير والنشر، مما يسمح بنقل البرمجيات بسهولة بين بيئات مختلفة، سواء كانت حاسوب المطور، أو خادمًا تجريبيًا، أو مركز بيانات سحابي.
يظهر الشكل الخامس كيفية عزل الحاويات مع إمكانية مشاركة نظام التشغيل، والمكتبات، والملفات التنفيذية.
كما ترى في الشكل الخامس، تعمل الحاويات فوق Docker Engine وهي مستقلة عن أي نظام تشغيل، ويشبه الأمر حاويات الشحن في عالم التطبيقات، حيث يتم نقل هذه الحاويات إلى أي مكان في العالم، بغض النظر عن السفينة التي تكون عليها. الحاويات لا تهتم بنظام التشغيل الذي يتم نقل التطبيقات إليه، وتتيح هذه الحاويات عزل التطبيقات، ولا تعتمد على أي نظام تشغيل، وتسمح للمطورين بنشر التطبيقات عبر أي نظام تشغيل.
الافتراضية (Virtualization):
كما تمت مناقشته سابقًا في الفصل 7، يشير مصطلح الافتراضية إلى استخدام مزود الخدمة السحابية (CSP) للبنية التحتية لسطح المكتب الافتراضي (VDI) لتوفير أسطح المكتب للعملاء السحابيين، VDI هو مجموعة من الأجهزة الافتراضية التي لها نفس الصورة والتطبيقات، مما يعني أن مزود الخدمة السحابية لديه سيطرة كاملة على الصورة، وإذا تعرض الجهاز الافتراضي للتلف، يمكنهم ببساطة نشر جهاز افتراضي آخر بنفس الصورة على الفور.
يتم الوصول إلى VDI عبر عميل خفيف (مثل Citrix)، مما يعني أن النقرات وحركات الماوس فقط هي التي يتم تبادلها بين سطح المكتب والجهاز الافتراضي، وكما يعني ذلك أن المستخدم الذي يعمل من جهاز كمبيوتر محمول قديم في المنزل يمكنه الوصول إلى التطبيقات الحديثة، حيث يتم تشغيل التطبيقات داخل الجهاز الافتراضي.
تعد Microsoft’s App-V (والتي تم إصدارها للعمل مع بيئة Windows الخاصة بهم) أداة تعمل على افتراضية التطبيق بدلاً من الجهاز؛ أي أنها تفصل التطبيق عن نظام التشغيل، مما يجعله يعمل في بيئة معزولة بدلاً من الجهاز. يمكن أن توفر هذه الأداة مساحة، تبسط التحديثات، وتتجاوز مشكلات التوافق.
ملاحظة:
يمكن العثور على مزيد من المعلومات حول Microsoft’s App-V على الرابط التالي:
إنترنت الأشياء (IoT):
يشير مصطلح إنترنت الأشياء، المعروف اختصارًا بـ IoT، إلى شبكة واسعة من الأشياء المادية المترابطة أو "الأشياء" المدمجة بأجهزة استشعار وبرمجيات وقدرات اتصال، ويمكن لهذه الأجهزة جمع وتبادل البيانات مع بعضها البعض ومع الأنظمة المركزية عبر الإنترنت، ولقد أحدثت تكنولوجيا IoT ثورة في العديد من الصناعات من خلال تمكين مراقبة البيانات في الوقت الفعلي، والأتمتة، واتخاذ القرارات بشكل أذكى.
لقد أدخلت تكنولوجيا IoT عصرًا جديدًا من الاتصال والراحة، حيث من المتوقع أن يكون هناك حوالي 50 مليار جهاز IoT قيد الاستخدام وبحلول عام 2030، وبدءًا من أجهزة تنظيم الحرارة الذكية وصولًا إلى المركبات الذاتية القيادة، أصبحت أجهزة IoT جزءًا من كل جانب من جوانب حياتنا تقريبًا، واعدة بزيادة الكفاءة والإنتاجية والراحة. ومع ذلك، فإن هذا المشهد المتصل يأتي مع تداعيات أمنية يجب عدم تجاهلها:
- عدم وجود معايير (Lack of Standardization): تفتقر IoT إلى إطار أمني موحد، مما يؤدي إلى تباين في ممارسات الأمان عبر الأجهزة والمصنعين، ويؤدي هذا التفتت إلى صعوبة ضمان تدابير أمان موحدة، مما يترك فجوات في الوضع الأمني العام.
- مخاوف الخصوصية (Data Privacy Concerns): تجمع أجهزة IoT وتنقل كميات هائلة من البيانات، بما في ذلك المعلومات الشخصية والحساسة. قد يؤدي سوء التعامل مع هذه البيانات أو الوصول غير المصرح به إليها إلى انتهاكات الخصوصية وسرقة الهوية. يجب أن يثق المستخدمون بأن بياناتهم يتم التعامل معها بعناية وتشفيرها أثناء النقل والتخزين.
- الاتصالات غير الآمنة (Insecure Communication): قد تتواصل أجهزة IoT عبر قنوات غير آمنة، مما يجعلها عرضة للتنصت وهجمات التلاعب والاعتراض. يجب تنفيذ بروتوكولات الاتصالات الآمنة، مثل TLS/SSL، لحماية البيانات أثناء النقل.
- إدارة دورة الحياة (Lifecycle Management): غالبًا ما تكون لأجهزة IoT دورات حياة طويلة، وقد يتوقف المصنعون عن دعم التحديثات عند طرح نماذج جديدة في السوق. يؤدي ذلك إلى ترك الأجهزة عرضة للثغرات الأمنية المعروفة التي تظل غير معالجة، مما يشكل خطرًا أمنيًا كبيرًا.
- الهجمات الفيزيائية (Physical Attacks): يمكن أن يؤدي الوصول الفيزيائي إلى أجهزة IoT إلى تعريض أمانها للخطر. يمكن للمهاجمين العبث بالأجهزة، استخراج البيانات الحساسة، أو إعادة برمجة الجهاز ليعمل بطريقة خبيثة.
- مخاطر سلسلة التوريد (Supply Chain Risks): يتم الحصول على مكونات وأجهزة IoT من جميع أنحاء العالم، مما يجعل سلاسل التوريد عرضة للتلاعب أو إدخال مكونات خبيثة، إن ضمان سلامة سلسلة التوريد أمر ضروري لمنع خروقات الأمان
- وعي المستخدم (User Awareness): قد يفتقر المستخدمون النهائيون لأجهزة IoT إلى الوعي بأفضل الممارسات الأمنية مثل تغيير كلمات المرور الافتراضية أو تحديث البرامج الثابتة، ويجب على المصنعين توعية المستخدمين وتوفير عناصر تحكم أمان سهلة الاستخدام.
- السحابة العامة (Public cloud) = متعددة المستأجرين (multi-tenant)
- السحابة الخاصة (Private cloud) = مستأجر واحد (single-tenant (more control))
- السحابة المجتمعية (Community cloud) = نفس الصناعة تشترك في الموارد (same industry sharing resources)
- السحابة الهجينة (Hybrid cloud) = مزيج من البنية التحتية الداخلية والسحابية (mixture of on-premises and cloud infrastructure)
أنظمة التحكم الصناعية (ICS) / التحكم الإشرافي وجمع البيانات (SCADA):
تعد أنظمة التحكم الإشرافي وجمع البيانات (SCADA) أنظمة تحكم صناعية متقدمة ومؤتمتة تشمل مراحل مختلفة من الإنتاج، وتلعب هذه الأنظمة دورًا حيويًا في مراقبة وإدارة والتحكم في العمليات الصناعية، مما يسمح بتنسيق وإشراف سلس عبر مراحل الإنتاج المختلفة، بدءًا من التعامل مع المواد الخام وصولاً إلى تجميع المنتجات ومراقبة الجودة.
تشغل أنظمة SCADA نفس البرمجيات المستخدمة في أجهزة الكمبيوتر العميلة، مما يجعلها عرضة لنفس التهديدات. يمكن رؤية بنية نظام SCADA في الشكل السادس:
الشكل السادس من الفصل: نظام SCADA
كما ترى في الشكل السادس، يتألف نظام SCADA من المراحل الأربع التالية:
- مستوى المصنع (المستوى 0): هذا هو أدنى مستوى في هيكلية نظام SCADA، ويتضمن المعدات والعمليات الفيزيائية الموجودة في أرض المصنع، مثل المجسات والمحركات والمضخات والأجهزة الصناعية الأخرى، وهذه الأجهزة تقوم بجمع البيانات وتنفيذ الإجراءات حسب توجيهات أجهزة التحكم في المستويات الأعلى.
- مستوى التحكم (المستوى 1): هذا المستوى مسؤول عن التحكم في الوقت الفعلي للعمليات الفيزيائية. ويشمل أجهزة مثل Programmable Logic Controllers (PLCs) التي تستقبل المدخلات من أجهزة الاستشعار الموجودة في أرض المصنع، وتقوم بمعالجة البيانات، وترسل الأوامر إلى المشغلات والأجهزة الأخرى للتحكم في العمليات الصناعية. يضمن المتحكمون في المستوى 1 أن يعمل المصنع بكفاءة وأمان.
- مستوى الكمبيوتر المنسق (المستوى 2): في هذا المستوى، توجد أجهزة الكمبيوتر الإشرافية أو أنظمة Human-Machine Interface (HMI) التي توفر رؤية مركزية لعمليات المصنع. تقوم هذه الأجهزة بجمع البيانات من أجهزة التحكم في المستوى 1، وعرضها للمشغلين، وتوفير وظائف تحكم لتنسيق أعلى. يمكن للمشغلين مراقبة حالة المصنع، وإجراء التعديلات، والاستجابة للتنبيهات والأحداث.
- مستوى وحدة التحكم المنطقي البرمجي (المستوى 3): هذا المستوى مسؤول عن إدارة والتحكم في عملية الإنتاج بشكل عام، ويتضمن عادةً أنظمة برمجية متقدمة يمكنها تنسيق عدة خطوط إنتاج أو مناطق داخل المصنع، وقد تشمل أنظمة المستوى 3 وظائف مثل إدارة الوصفات، جدولة الإنتاج، وتسجيل البيانات للتحليل والتقارير.
قد تكون أنظمة SCADA هدفًا رئيسيًا للجريمة الإلكترونية لأنها تتعامل مع خدمات حيوية مثل:
- الطاقة (Enargy): تُستخدم في توليد الكهرباء وتستخدم في مصافي النفط والغاز.
- المرافق (Facilities): تُستخدم لإدارة المباني للتحكم في درجة الحرارة باستخدام نظام HVAC.
- التصنيع (Manufacturing): يتضمن إنشاء جميع المكونات اللازمة لتصنيع منتج مثل الكمبيوتر. حيث تقوم جزء من المصنع بإنشاء اللوحة الأم، وجزء آخر يقوم بتصنيع الغلاف. يتم استيراد RAM وبطاقات الصوت والرسوميات، ويتم تجميع كل هذه في قسم الإنتاج.
- الخدمات اللوجستية (Logistics): عندما تطلب شركة أجهزة سطح المكتب بكميات كبيرة من شركة Dell، يتم تصنيع الكمبيوتر والماوس ولوحة المفاتيح والشاشة في مواقع مختلفة، وتتضمن الخدمات اللوجستية جمع كل هذه الأجزاء وتسليمها إلى العميل.
- الصناعية (Industrial): قد يشمل ذلك تحويل المواد الخام مثل خام الحديد إلى فولاذ. أو تحويل مياه الصرف الصحي الخام إلى مياه نظيفة.
مثال على نظام SCADA في العالم الواقعي الذي تم استهدافه من قبل مجرمي الإنترنت يمكن العثور عليه في منشأة تخصيب اليورانيوم في إيران (التي تستخدم منهجية SCADA في بيئة إنتاج)، والتي تعرضت لهجوم من فيروس Stuxnet الذي استهدف أجهزة الطرد المركزي. تم اكتشاف فيروس Stuxnet في عام 2007، لكن يعتقد الكثيرون أنه كان موجودًا منذ عام 2005
نظام التشغيل في الوقت الحقيقي (RTOS):
في جوهره، يعتبر الـ RTOS نظام تشغيل متخصص مصمم للتطبيقات التي يكون فيها التوقيت ذا أهمية قصوى، مثل أنظمة التحكم في الإضاءة أو أنظمة الملاحة، حيث يحدث كل شيء في الوقت الفعلي، وعلى عكس أنظمة التشغيل العامة مثل Windows أو Linux، التي تعطي الأولوية للمهام بناءً على مستويات الأولوية، يضمن الـ RTOS تنفيذ المهام عالية الأولوية ضمن إطار زمني محدد مسبقًا.
مثال على استخدام الـ RTOS هو نظام التحكم في الطيران، وفي نظام التحكم في الطيران، يتولى الـ RTOS إدارة وتنسيق المهام المختلفة في الوقت الحقيقي بدقة متناهية، ويشمل ذلك التحكم في أنظمة الملاحة للطائرة، إدارة تحكم المحركات، مراقبة معلمات الطيران (مثل الارتفاع، السرعة، والاتجاه)، وضمان التشغيل السريع لأنظمة الأمان مثل تجنب الاصطدامات، يضمن الـ RTOS تنفيذ هذه المهام بشكل مناسب وقابل للتنبؤ، وهو أمر حيوي لسلامة الطائرة. إذا تم اختراق الـ RTOS، فسيكون ذلك كارثيًا نظرًا لأن هذه الأنظمة غالبًا ما تكون حرجة.
الأنظمة المدمجة (Embedded Systems):
الأنظمة المدمجة هي أنظمة حوسبة متخصصة مصممة لأداء مهام معينة ضمن نظام أو منتج أوسع، توضح هذه الفقرة مثالين رئيسيين.
الأول من هذه الأمثلة: يمكن العثور عليه في السيارات، أو بشكل أكثر تحديدًا، في أنظمة التحكم في السيارات، وتعتبر الأنظمة المدمجة العقول الرقمية التي تدير المركبات الحديثة. وحدات التحكم في المحركات (ECUs) تقوم بتحسين حقن الوقود، توقيت الإشعال، والانبعاثات. أنظمة المكابح المانعة للانغلاق (ABS) وأنظمة نشر الوسائد الهوائية تعزز الأمان. مع تقدمنا نحو السيارات ذاتية القيادة، ستلعب الأنظمة المدمجة دورًا حيويًا في الملاحة واتخاذ القرارات.
الثاني من هذه الأمثلة: هو نظام المنزل الذكي، الذي يتكون من إطار عمل للأنظمة المدمجة التي دفعت إلى ظهور المنازل الذكية، حيث يتيح كفاءة الطاقة وأمان المنزل الإضافي. الترمومترات الذكية تتكيف مع تفضيلاتك، وفي الوقت نفسه، تدير الأنظمة المدمجة الأقفال الذكية، الكاميرات، والإضاءة. حتى الميكروويف والثلاجة الخاصة بك تستخدم الأنظمة المدمجة لتشغيلها بشكل فعال.
التوافر العالي (High Availability):
التوافر العالي (HA) يشير إلى قدرة النظام على الاستمرار في العمل والوصول إليه حتى في حالة حدوث أعطال في الأجهزة، مشكلات في البرمجيات، أو اضطرابات غير متوقعة أخرى، وفي سياق السحابة، يعني ذلك الحفاظ على الوصول المستمر إلى التطبيقات والبيانات، بغض النظر عن الظروف، وتقوم مقدمو خدمات السحابة (CSPs) بالحفاظ على نسخ متعددة من البيانات لضمان التوافر العالي لعملائها وضمان وقت تشغيل بنسبة 99.999% ، المعروف بالخمس تسعات، يقوم CSP بتقسيم العالم إلى مناطق مختلفة، وتلك المناطق إلى مناطق أصغر. على سبيل المثال، في تخزين Blob في Microsoft Azure، يتم تكرار البيانات عبر هذه المناطق والمناطق الصغيرة، وهي استراتيجية تعرف بالمناطق الجغرافية الموزعة.
الجدول الثالث يوضح كيفية توزيع GZRS:
يعرض الجدول منطقتين: إنجلترا واسكتلندا، كل من هذه المناطق مقسمة إلى ثلاث مناطق مختلفة (لندن، باث، وكارلايل، وغلاسكو، إدنبرة، وأبردين، على التوالي)، حيث تحتوي كل منطقة على مركز بيانات. يشير ملصق GZRS لكل منطقة إلى المركز الذي يتم تخزين البيانات فيه، ويمكنك أن ترى أن كل مركز بيانات في المنطقة 1 يحتوي على نسخة من هذا الملصق، مع وجود نسخة إضافية في غلاسكو في المنطقة 2، ويتم تكرار البيانات بين هذه المواقع بحيث يحتوي كل مركز بيانات على بيانات محدثة، وحتى إذا كان أي من مراكز البيانات غير متصل، ستظل البيانات متاحة.
الاعتبارات الخاصة بالبنية التحتية (Considerations for Your Infrastructure):
عند تقييم الهيكل المعماري والضوابط المرتبطة به، هناك عدة عوامل رئيسية تستحق الانتباه، تحقيق التوازن بين هذه العوامل أمر ضروري لإنشاء قاعدة معمارية آمنة ومستعدة للمستقبل مدعومة بضوابط فعالة، ودعنا نلقي نظرة على هذه العوامل، كل على حدة:
- التوافر (Availability): يجب عليك التأكد من أن البيانات تظل متاحة في جميع الأوقات. قد يعني ذلك بناء مركز بيانات آخر أو تخزين البيانات في السحابة باستخدام مناطق جغرافية موزعة. عدم القيام بذلك قد يؤدي إلى تعرض الأعمال لوقت توقف أو حتى خسائر مالية وسمعية.
- المرونة (Resilience): يتم قياس المرونة بمدة الوقت التي تستغرقها المنظمة للتعافي من فشل حرج ، ويمكن لجهاز توزيع الحمل أن يجعل خادم الويب مرنًا عن طريق توزيع الحمل، والمرونة التلقائية (مثل الحصول على بياناتك من منطقة جغرافية موزعة أخرى) تكون فورية. هذه هي ميزة تخزين البيانات والنسخ الاحتياطي في السحابة.
- التكلفة (Cost): عند استثمارنا في بنية تحتية جديدة، ولا ننظر فقط إلى تكلفة الشراء ولكن نأخذ في الاعتبار أيضًا التكلفة الإجمالية للملكية والصيانة وأي اتفاقية مستوى خدمة (SLA) من طرف ثالث، والحوسبة السحابية فعالة من حيث التكلفة لأنها تعمل بنظام الدفع مقابل الاستخدام
- الاستجابة (Responsiveness): تضمن الاستجابة التفاعلات في الوقت المناسب والفعالة، مما يعزز رضا المستخدمين وارتباطهم، ويمكن تحقيق ذلك باستخدام جهاز توزيع الحمل لضمان وصول أحجام كبيرة من حركة مرور الويب إلى الموقع بسرعة، أو باستخدام التوسع التلقائي لزيادة أو تقليل الموارد تلقائيًا وفقًا لمتطلبات التطبيق في بيئة افتراضية، أو استخدام حاسوب طرفي، الذي يستخدم الحوسبة الموزعة لضمان توافر البيانات بالقرب من العملاء وتقليل تأخير الشبكة
- قابلية التوسع (Scalability): هذه هي القدرة على زيادة الموارد المطلوبة في السحابة ، وعلى سبيل المثال، قد تحتاج شركة تصنيع ألعاب إلى استخدام المزيد من الموارد والموظفين لتلبية الطلب خلال عطلات الشتاء في ديسمبر ولكن تقليل هذه الموارد في يناير عندما تنخفض المبيعات الجديدة بشكل كبير
- سهولة النشر (Ease of Deployment): في بنية السحابة، يمكننا استخدام الأتمتة مثل IaC، VDI، وقوالب الأجهزة لنشر الآلات الافتراضية أو الحاويات لنشر التطبيقات بسلاسة
- نقل المخاطر (Risk Transference): إعداد SLA لبنيتك التحتية هو حالة من نقل المخاطر حيث تقوم بنقل المخاطر إلى طرف ثالث، على سبيل المثال، SLA يضمن أنه في حال تعطل قاعدة بيانات SQL، سيقوم مزود الخدمة بإصلاحها خلال ساعتين، وهنا، يتم نقل المخاطر من العميل إلى مزود الخدمة.
- سهولة الاستعادة (Ease of recovery): يستخدم مقدمو خدمات السحابة مناطق موزعة جغرافيًا، كل منها يحتوي على ثلاث أو أربع نسخ من البيانات، ,بحيث إذا كانت أي من مراكز البيانات غير متصلة، يمكن للعميل الوصول إلى نسخ أخرى من البيانات، كما يحتفظ مزود الخدمة بنسخ احتياطية، بعض منها سيكون على شكل نسخة احتياطية للآلة الافتراضية، ومع هذه التدابير، تكون الاستعادة بسيطة ويتم الحفاظ على استمرارية الأعمال.
- توفر التصحيحات (Patch Availability): يجب على مقدمي خدمات السحابة الحفاظ على أحدث نسخ من التصحيحات لضمان أن الأجهزة محدثة بتحديثات الأمان وإصدارات الميزات. للقيام بذلك، قد يستخدمون Microsoft Intune، وهو حل لإدارة نقاط النهاية يعتمد على السحابة يوفر إدارة التصحيحات لأجهزة Windows، بما في ذلك الأجهزة خارج الشبكة المؤسسية، أو التحديثات التلقائية، ومع ذلك، في الحالة الأخيرة، يجب اختبار التصحيحات في بيئة تجريبية لضمان عدم تأثيرها على تطبيقات الأعمال
- عدم القدرة على التصحيح (inability to patch): قد يستضيف مزود الخدمة عملاء يستضيفون تطبيقات حيوية في السحابة، وهذه التطبيقات تكون مسؤولية العميل، وقد يتم منع مزود الخدمة بموجب العقد من تطبيق التصحيحات، خشية أن تؤثر سلبًا على التطبيق.
- الطاقة (Power): يحتاج مزود الخدمة إلى التأكد من أنه يمكنه تلبية احتياجات الطاقة لأجهزته وأحمال العمل الخاصة به، واستخدام الطاقة عبر موارد حوسبة أعلى يزيد التكاليف، ويمكنهم استخدام UPS لضمان أنه في حال حدوث انقطاع في الطاقة أو فقدان الطاقة، يمكن لمسؤولي النظام إيقاف الخوادم بشكل آمن لتجنب تلف البيانات، ويجب استخدام وحدة توزيع الطاقة المدارة (PDU) لضمان توزيع الطاقة بكفاءة. يمكنها أيضًا مراقبة استخدام الطاقة عن بُعد وتلقي التنبيهات، وخيار آخر هو الحفاظ على بعض مولدات الطاقة في الموقع التي يمكن استخدامها عند حدوث انقطاع في الطاقة.
- الحوسبة (Compute): تتيح قدرات الحوسبة في السحابة لمزود الخدمة وتقديم موارد إضافية فورًا عند الطلب، وهذا مفيد بشكل خاص مع البنية التحتية الخالية من الخوادم.
يستعرض الفصل أهمية أمان الشبكات القوي في المنظمات، مع التركيز على استراتيجيات متعددة الطبقات تتضمن الجدران النارية، ACLs، IDS، IPS، وأنظمة SIEM. يبرز الفصل الحاجة إلى تأمين الخوادم الحيوية، مثل وحدات تحكم المجال وخوادم SQL، ويناقش التدابير الأمنية لخوادم البريد الإلكتروني، تطبيقات مؤتمرات الفيديو، وحلول تخزين السحابة، وكما يسلط الفصل الضوء على ضرورة تأمين المضيفين باستخدام حلول أمان النقاط النهائية و MFA لحمايتهم من البرمجيات الضارة والوصول غير المصرح به.
كما ناقش الفصل نماذج السحابة المختلفة (العامة، الخاصة، المجتمعية، والهجينة) والخدمات (IaaS، SaaS، PaaS، SECaaS، وXaaS)، مع التركيز على آثارها الأمنية، خاصة في البيئات اللاسلكية والسحابية. يتناول الفصل مفاهيم متقدمة مثل IaC، الحوسبة الخالية من الخوادم، بنية الـ"'Microservice"، وبنية الشبكة، بما في ذلك نموذج OSI، ويمتد النقاش إلى أنظمة متخصصة مثل SCADA و RTOS، وتحدياتها وفوائدها، وأخيرًا، يعالج الفصل التوافر العالي للحوسبة السحابية والاعتبارات الحاسمة لمرونة البنية التحتية، وقابلية التوسع، وفعالية التكلفة في بيئات السحابة وعلى الأرض.
النهاية:
المعرفه التي أكتسبتها أو درستها سوف تؤهلك للأختبار بشكل متقن أن كان الشرح مفهوم أكثر بالنسبة لك ، تستطيع أن تبادلنا برأيك في مجمتعنا على تلجرام ، وتشاركنا أرائك.
الفصل التالي هو الفصل 11، حيث ستتم دراسة كيفية تطبيق المبادئ الأمنية لتأمين بنية تحتية مؤسسية في سيناريوهات مختلفة.









