أخطاء شائعة في إدارة حساب سحابة أمازون
تتوجه العديد من الشركات الى الخيارات السحابية لتقليل التكاليف والوقت اللازم مقارنة بخيارات انشاء مراكز بيانات أو سيرفرات محلية. و تستحوذ شركة أمازون وخدماتها السحابية AWS على الحصة الاكبر في هذا المجال. في هذا المقال سنناقش أكثر أخطاء المستخدمين ومدراء التقنية شيوعا في ادارة موارد الخدمات السحابية في شركة أمازون. مثل هذه الاخطاء قد ترفع التكلفة بشكل كبير جدا أو تؤدي الى مخاطر أمنية وتردي في جودة الخدمة.
في هذا الجزء بنتطرق للاخطاء التي قد تسبب مشاكل أمنية للانظمة.
1- عدد كبير جدا من المستخدمين Super Users
قد يؤدي وجود عدد كبير من المستخدمين ذوو الصلاحيات العالية الى أخطاء كارثية على مستوى امن المعلومات أو التكلفة بسبب أخطاء في إعداد البيئة التحتية. لذلك ينصح دائما بتقليل عدد المستخدمين مع الصلاحيات العالية بأكبر قدر ممكن. وتنصح شركة أمازون دائما بالبدأ بالصلاحيات الأقل ثم زيادتها عند الحاجة. بمعنى انه عند اضافة مستخدم يتم اضافته بدون اية صلاحيات ثم اضافة الحد الادنى من الصلاحيات التي تمكنه من القيام بعمله. ويفضل دائما وجود اجراء Process يتم العمل عليه في المنشأة لاعطاء الصلاحيات
2- استخدام حساب الروت root أو الادمن Administrator في الويندوز كامل الصلاحيات
في المهام اليومية والتي لاتتطلب مستخدم بصلاحيات عالية. وينصح دائما بمتابعة أنشطة مفاتيح الوصول Access Key وحفظها في أماكن آمنة
3- التساهل في عملية فتح المنافذ الخاصة Ports
. ينصح دائما بعدم فتح منافذ اضافية . وعند الحاجة الى فتح منافذ معينة مثل ssh أن يتم حصرها في الدخول من IP معين. وفي دراسة متعلقة بهذا النوع من الاخطاء تشكل المنافذ المفتوحة ثلث الأخطاء الشائعة في اعدادات الموارد في خدمات أمازون السحابية.
4- عدم الفهم الصحيح لمسؤليات الامان في الخدمات السحابية
حيث يعتقد بعض المستخدمين أن مسؤلية أمن المعلومات تقع على مقدم الخدمة أمازون. وبحكم عراقة الشركة يصعب اختراق الأنظمة السحابية. والصحيح أن شركة أمازون مسؤولة عن الامان في الخدمات السحابية وفق الضوابط الخاصة فيها والاجراءات التي تقدمها للمستخدمين. الا أنه بحكم طبيعة الخدمات السحابية وامكانية اعطاء المستخدمين التحكم الكامل عن الموارد تقع مسؤلية الامان بشكل مشترك على المستخدم أيضا ( نظام أمازون للمسؤلية المشتركة) . وممكن يسبب عدم الالتزام بسياسة الامان في أمازون الى أخطاء كبيره في أمن المعلومات. يمكن الوصول الى نموذج مسؤلية الامن في خدمات أمازون السحابية من خلال هذا الرابط. نظام أمازون للمسؤلية المشتركة
5- عدم تخصيص مسؤلية أمن الخدمات السحابية الى جهة معينة أو شخص معين
. 6- عدم مراجعة ملفات اللوقز بشكل دوري وتحليلها
7- الأعتماد بشكل كبير على كلمات المرور فقط.
حيث انه في خدمات أمازون السحابية يفضل إعطاء الصلاحيات الى المستخدمين وخاصة المطورين عن طريق Role هلى الموارد المستخدمة أو مفاتيح الوصول Access Keys. وعند اعطاء كلمة المرور ينصح دائما بتفعيل خدمة التحقق الثنائي لجميع المستخدمين
8- ربط جميع الانظمة داخل شبكة افتراضية واحدة VPC.
من النصائح الهامة لاستخدام الخدمات السحابية في أمازون هو فصل الانظمة المستقلة الى شبكات داخلية افتراضية. واعداد الشبكات للتواصل فيما بينها. حيث يسهل هذا الاجراء عملية ادارة الموارد وضمان عدم تأثير كل نظام على النظام الاخر. وفي حال وجود ثغرة في نظام أو اختراق نظام معين تبقى الانظمة الاخرى في VPC مستقل آخر ممايعقد عملية اختراقها.
في هذا الجزء بنتطرق للاخطاء التي ثؤثر بشكل سلبي على أداء النظام أو ارتفاع تكلفته أو تؤدي الى صعوبة متابعة الانظمة السحابية وتشغيلها.
9- عدم أعطاء التدريب والشهادات أولوية
لاشك أن وجود أشخاص لديهم المهارات اللازمة والضرورية لادارة الخدمات السحابية يساهم بشكل كبير في تطويرالخدمات السحابية بالشكل الانسب. وتقدم شركة أمازون برامج تدريبية متخصصة وشهادات في عدة مجالات متخصصة في خدماتها السحابية. وكذلك جميع الخدمات السحابية العامة. وقد تطرقنا في مقالنا السابق : لهذا الموضوع
10- عدم استخدام خدمة كلاود ترايل CloudTrailفي متابعة جميع الانشطة والمهام
التي تتم على مستوى الموارد السحابية في أمازون. سواء من قبل المستخدمين أو أنشطة سطر الاوامر أو SDK . توفر هذه الخدمة قائمة كاملة يتم حفظها في في مخزن S3 ( خدمة التخزين في أمازون ) . ويمكن أيضا متابعة التغييرات التي تتم على الموارد.
11- عدم الاستفادة من خدمة التنبيهات والتحذير في خدمة كلاود واتش – Cloud Watch .
حيث ترتبط هذه الخدمة بأكثر من 70 خدمة من خدمات أمازون كلاود وتقدم العديد من المميزات في متابعة الأداء والتكلفة ويمكن إعداداها لإرسال تحذيرات مبكرة في حال تجاوز حد معين يتم تعيينه يدويا
. 12- عدم استخدام ميزة التمدد التلقائي
. وتعتبر هذه الميزة واحدة من أهم مميزات الخدمات السحابية وهي التمدد في الموارد حسب الحاجة. ويتم إعداد الخطة بنفس التفكير المستخدم في شراء الموارد والسيرفرات لمراكز البيانات. حيث يتم إعداد أكبر مواصفات يمكن شراءها وفق الميزانية الحالية. وفي الحقيقة أن أحد اهم مميزات الخدمات السحابية هي المرونة. حيث يمكن إعداد سيرفر يخدم العدد المتوسط من الزوار وعند وجود أوقات معينة يزداد فيها عدد زوار الموقع تتم زيادة السيرفرات بشكل آلي لمدة معينة باستخدام خدمات مثل Aws Auto Scaling وسيتم التطرق لها بشكل مفصل في مقال قادم باذن الله
. 13- عدم استخدام خدمة Trusted Advisor.
حيث تقوم هذه الخدمة بمراجعة الموارد المستخدمة و طريقة إعدادها وتقديم النصائح الامثل لاستخدامها أو الثغرات الموجودة التي قد تنتج من الاعدادات الحالية. يتم تقسيم الأخطاء الى مستويات من مستوى خطير الى مستوى متدني وتنبيه للمراجعة.
14- عدم استخدام التاقات عند إنشاء الموارد والسيرفرات.
حيث تساعد هذه الخدمة على الوصول السهل الى الموارد وإضافة معلومات أكثر الى الموارد تفيد في عملية المتابعة و التقييم للنبة التحتية للخدمات السحابية.
