التحكم بالوصول في الحوسبة السحابية

بذلت المملكة العربية السعودية جهودًا فذة لتحقيق رؤية 2030 والتي بدورها ستساهم في رفع مستوى المملكة في عديد من المجالات والتقدم على مستوى العالم. وكان دعم التحول الرقمي أحد أهم مجهودات الدولة لخلق بيئة تقنية مميزة تفوق الدول الأخرى في أدائها، ومن مجهودات المملكة تأسيس الهيئات التقنية والاستثمار في المواطن من خلال التدريب والتطوير في المجالات التقنية الرائدة والحديثة مثل الحوسبة السحابية، التي تعد من التقنيات التي تساهم في رفع مستوى الأداء الرقمي في المنظمات، فهي بدورها تقوم بتقديم الموارد – خوادم ووسائل تخزين- كخدمة عبر الإنترنت ويتم من خلالها تسعير التكلفة بحسب الاستخدام، وتتسم هذه التقنية بالسرعة العالية والمرونة والقدرة على التوسع بسهولة وبأقل التكاليف على عكس استخدام مراكز البيانات المحلية التي تلقي على كاهل المنظمات عبء الصيانة المستمرة والإدارة الشاملة لمواردها المحدودة. يندرج تحت مصطلح الحوسبة السحابية ثلاثة أنواع رئيسية وهي كالتالي: البنية التحتية كخدمة (IaaS)، النظام الأساسي كخدمة (PaaS)، والبرامج كخدمة (SaaS). في الحقيقة، اختيار النوع المناسب من بين الأنواع الثلاثة يُبنى على نوعية احتياج المستخدم لهذه التقنية، فالنوع الأول يتيح لمزوّد الخدمة تقديم موارد البنية التحتية الأساسية من شبكات وخوادم ومساحات تخزين للمستفيد وتلقي عليه مهمة التحكم الإداري الكامل، على نقيض النوع الثالث وهو تقديم البرامج كخدمة حيث أنه يوفر لك منتجًا متكاملًا تتم ادارته بشكل كلي من قبل مزوّد الخدمة، ويوفر مجهود الإدارة على المستخدم. أما النوع الأخير المسمى بالنظام الأساسي كخدمة فهو يعتبر الوسيط بين النوعين الذي سبق ذكرهم حيث أن مزوّد الخدمة يقدم لك موارد البنية التحتية ويتحمل مهمة التحكم الإداري، والمستخدم يوجه تركيزه على بناء التطبيقات باستخدام الموارد المطلوبة من قبله. يتضح الفرق بين أنواع الحوسبة السحابية الثلاثة بضرب هذا المثال (انظر الشكل1): فعندما يقرر رجلًا بناء منزل ويقوم بشراء قطعة الأرض ويتولى مهمة بنائه وتأثيثه كاملًا حتى يكون ملائمًا للسكن، في هذه الحالة تولى الرجل مهمة الإدارة والصيانة الكاملة للمنزل كما في البنية التحتية كخدمة وهو النوع الأول من أنواع الحوسبة السحابية. أما عندما يقوم الرجل بشراء منزل تم بناؤه مسبقًا من قبل جهة أخرى ويتولى هو مهمة التأثيث فقط، فهو لم يبذل مجهودًا في تأسيس المنزل وصيانته كاملًا بل قام باستخدام موارد هذا المنزل ووضع الأثاث ليسكن فيه فقط، فالأثاث في هذا المثال أصبح كالتطبيقات التي يريد المستخدم بناؤها باستخدام موارد البنية التحتية المقدمة من قبل مزوّد الخدمة كما في النوع الثاني وهو النظام الأساسي الأساسية كخدمة. أمّا في الحالة الأخيرة، الرجل سيبحث عن منزلًا متكاملًا وقد تم تأثيثه وبناؤه وكل ما هو عليه السكن فقط والاستمتاع بتجربة العيش في المنزل كما في النوع الأخير وهو البرامج كخدمة حيث أن المستخدم لن يتولى مهمة الإدارة أو البناء بل الاستخدام فقط. على الرغم من جميع المزايا التي تقدمها الحوسبة السحابية إلا أن هناك تحديات كبيرة تواجهها وأهمها: أمن البيانات، وإساءة استخدام الخدمات السحابية، والهجمات السيبرانية، تلك التحديات تسببت في تردد وقلق المنظمات لنقل بياناتها عالية السرية للسحابة. استخدام الحوسبة السحابية لتخزين البيانات السرية (مثل البيانات المالية أو التقارير الطبية) قد يشكل خطرًا كبيرًا إن لم يكن هناك نظام سحابي آمن، فعندما يتأثر أحد مراكز البيانات المقدمة لهذه الخدمة بهجمة إلكترونية قد تحصل نتائج وخيمة للمستخدم يترتب عليها خسائر مادية كبيرة للمنظمة أو تسريب للبيانات المخزنة في السحابة. من بين جميع متطلبات الأمان للحوسبة السحابية، يعد التحكم بالوصول أحد المتطلبات الأساسية لتجنب الوصول غير المصرح به إلى الأنظمة ولحماية بيانات المستخدمين، التحكم بالوصول هو أحد التقنيات الأمنية التي تقوم بعملية تنظيم الوصول إلى المصادر وإصدار التصاريح للمستخدمين ومن ثم اتخاذ قرار الموافقة بالدخول من عدمها، يعتبر التحكم بالوصول للبيانات من أكبر التحديات في السحابة وذلك لطبيعتها المرنة التي تسمح لعدد هائل من المستخدمين بالوصول للبيانات باختلاف المنطقة الجغرافية والزمان والصلاحية، واضافة إلى ذلك فطبيعة البيانات المخزنة في السحابة مختلفة أيضًا لكونها ضخمة مما يجعل التحكم بالوصول إليها معقدًا جدًّا. من ناحية أخرى حماية البيانات في السحابة لا يقتصر فقط على حمايتها من المستخدم بل حتى من مزود الخدمة فمقدار الثقة بين مزود الخدمة والمستخدم يجب أن يكون جزئي وليس كلي؛ لكون هذه البيانات ملكية للمستخدم وليست لمزود الخدمة. للتحكم بالوصول نماذج تقليدية عديدة تستخدم في غالب الأنظمة وهي: التحكم بالوصول الإلزامي، التحكم بالوصول الاختياري، والتحكم بالوصول بحسب الدور، كل نموذج من هذه النماذج يعمل بطريقة مختلفة ويتم اختيار النموذج بناءً على طبيعة النظام المطلوب حمايته وتنظيم عملية الوصول اليه. التحكم بالوصول الإلزامي هو الأكثر تقييدًا للوصول من بين الأنواع الثلاثة؛ حيث أن مدير النظام هو المتحكم بفرض صلاحيات الوصول وليس للمستخدم أيُّ صلاحية للتغيير، فهو يستخدم في الأنظمة ذات السرية العالية مثل الأنظمة العسكرية ويعد هذا النظام من أصعب الأنظمة تطبيقًا وأكثرها كلفة، وعلى النقيض فالتحكم بالوصول الاختياري يعتبر أكثر مرونة فالمستخدم يمكنه تغيير صلاحيات الوصول للوحدة المسؤول عنها فقط وطالما المستخدم يملك خاصية التحكم، فهذا النموذج يعتبر أقل أمانًا ويستخدم في الأنظمة التي لا تحتوي على معلومات سرية، أما في التحكم بالوصول بحسب الدور، فكل مستخدم يملك صلاحياته الخاصة بناءً على الوظيفة التي يشغلها في المنظمة، فبطبيعة الحال مدير الفريق يملك صلاحيات تختلف عن بقية الأعضاء، وهذا النموذج يعتبر مناسب للأنظمة محدودة المستخدمين والأدوار؛ حيث نادرًا ما تتغير أدوار المستخدمين. يتم تنظيم الأدوار وصلاحياتها في هذا النوع بقائمة التحكم بالوصول، حيث يقوم مدير النظام أو مدير الوحدة بكتابة قائمة تحتوي على صلاحيات كل مستخدم فيحتوي الملف على اسم المستخدم وما إذا كان يملك صلاحية الكتابة والقراءة أو التنفيذ. هذا النموذج لا يعتبر مناسب للأنظمة الواسعة والمتغيرة مثل: الحوسبة السحابية؛ لكون هذا النظام يملك عدد هائل من المستخدمين الذي تتغير ادوارهم بشكل مستمر ويتغير أيضًا فيه عوامل أخرى مثل الزمان والمكان. نستخلص من المناقشة السابقة أن جميع نماذج التحكم بالوصول التقليدية لا تعتبر ملائمة لطبيعة الحوسبة السحابية المرنة والقابلة للتوسع، فهذا النوع من الأنظمة في حاجة لنموذج تحكم بالوصول آمن ومرن في آن واحد. التحكم بالوصول بحسب الخصائص (ABAC) أحد نماذج التحكم بالوصول الحديثة التي تعتبر الأنسب للاستخدام في أنظمة الحوسبة السحابية فهي تسمح للمستخدم بالوصول للموارد من عدمه عن طريق مجموعة من الخصائص التي تصف ثلاثة عناصر أساسية في النظام وهي: المستخدم، البيئة، والمصدر المطلوب الوصول اليه (انظر الشكل 2)، فباستخدام خصائص كلًا من هذه العناصر يتم السماح بالوصول أو الرفض بناءً على السياسة العامة للنظام التي تحتوي على مجموعة من القواعد المنطقية الشرطية لاتخاذ القرار النهائي. ختامًا، التحكم بالوصول باستخدام الخصائص يعتبر أنسب نماذج التحكم بالوصول للحوسبة السحابية لكونه مرن ويمنح المستخدم صلاحيات بحسب خصائص ثلاثة عناصر رئيسية وهي البيئة، والمورد، والمستخدم. كما ذكرنا سابقًا، طبيعة الحوسبة السحابية دائمة التغير والتوسع في حاجة إلى نموذج تحكم بالوصول يضمن الأمان للمستخدم ويحمي البيانات الضخمة المخزنة في السحابة، حتى الآن ونموذج التحكم بالوصول باستخدام الخصائص تحت الدراسة والتطوير من قبل الباحثين في الحوسبة السحابية وأمن المعلومات، فأحد تحديات هذا النموذج هو آلية اختيار الخصائص وتقييم أهميتها، في بعض الأنظمة يكون عدد الخصائص كبيرًا جدًّا ويصعب فيه اختيار أهم الخصائص التي تكون ذات علاقة وثيقة بطلب الوصول واتخاذ القرار المناسب؛ فكلما كان عدد الخصائص كبير يصبح النموذج صعب التحكم وتقل كفاءته وسرعته في اتخاذ القرار. الحوسبة السحابية سلاح ذو حدين، فهي بدورها تساعد المنظمات على خفض التكلفة وعبء الإدارة ولكن بالمقابل يبقى الأمان والخصوصية أحد أهم تحدياتها. طرفة محمد السلطان المراجع [1] M. Mulimani and R. Rachh, “Analysis of Access Control Methods in Cloud Computing,” Int. J. Educ. Manag. Eng., vol. 7, no. 3, pp. 15–24, 2017. [2] “What is Cloud Computing.” [Online]. Available: https://aws.amazon.com/ar/what-is-cloud-computing/. [Accessed: 12-May-2020]. [3] P. K and J. Priya S, “Analysis of Different Access Control Mechanism in Cloud,” Int. J. Appl. Inf. Syst., vol. 4, no. 2, pp. 34–39, 2012. [4] Y. Zhu, D. Huang, C.-J. Hu, and X. Wang, “From RBAC to ABAC: Constructing Flexible Data Access Control for Cloud Storage Services,” IEEE Trans. Serv. Comput., vol. 85287, no. c, pp. 1–1, 2014. [5] D. Sangeetha and V. Vaidehi, “A secure cloud based Personal Health Record framework for a multi owner environment,” Ann. des Telecommun. Telecommun., vol. 72, no. 1–2, pp. 95–104, 2017. [6] S.-S. Tu, S.-Z. Niu, and M.-J. Li, “An Efficient Access Control Scheme for Cloud Environment,” Cybern. Inf. Technol., vol. 13, no. 3, pp. 77–90, 2013. [7] W.-M. Li, X.-L. Li, Q.-Y. Wen, S. Zhang, and H. Zhang, “Flexible CP-ABE Based Access Control on Encrypted Data for Mobile Users in Hybrid Cloud System,” J. Comput. Sci. Technol., vol. 32, no. 5, pp. 974–990, 2017. [8] W. Teng, G. Yang, Y. Xiang, T. Zhang, and D. Wang, “Attribute-based Access Control with Constant-size Ciphertext in Cloud Computing,” IEEE Trans. Cloud Comput., vol. 5, no. 4, pp. 1–1, 2016. [9] D. Servos and S. L. Osborn, “Current Research and Open Problems in Attribute-Based Access Control,” ACM Comput. Surv., vol. 49, no. 4, pp. 1–45, 2017. [10] S. Ruj, “Attribute based access control in clouds: A survey,” 2014 Int. Conf. Signal Process. Commun., pp. 1–6, 2014. [11] A. R. Naik and L. B. Damahe, “Enhancing Data Security and Access Control in Cloud Environment using Modified Attribute Based Encryption Mechanism,” Int. J. Comput. Netw. Inf. Secur., vol. 8, no. 10, pp. 53–60, 2016. [12] B. Balusamy, P. V. Krishna, G. S. T. Arasi, and V. Chang, “A Secured Access Control Technique for Cloud Computing Environment Using Attribute Based Hierarchical Structure and Token Granting System,” vol. 19, no. 4, pp. 559–572, 2017. [13] H. H. De Paula Moraes Costa, A. P. F. De Araujo, J. J. C. Gondim, M. T. De Holanda, and M. E. M. T. Walter, “Attribute based access control in federated clouds: A case study in bionformatics,” Iber. Conf. Inf. Syst. Technol. Cist., 2017. [14] R. Aricle, “B . Essential elements of cloud computing are : - C . Cloud Computing Service Models E . Services