Gatekeeper
العودة إلى الرؤى
أمن الحوسبة السحابية والامتثال التنظيمي في المملكة العربية السعودية

أمن الحوسبة السحابية والامتثال التنظيمي في المملكة العربية السعودية

امتثالبواسطة Gatekeeper

مشهد الحوسبة السحابية في المملكة العربية السعودية

تشهد المملكة العربية السعودية نمواً متسارعاً في تبني الحوسبة السحابية كجزء أساسي من مشاريع التحول الرقمي ضمن رؤية 2030. مع افتتاح مراكز بيانات إقليمية لكبرى شركات الحوسبة السحابية العالمية داخل المملكة، بما في ذلك AWS وMicrosoft Azure وGoogle Cloud وOracle، أصبح لدى المنظمات السعودية خيارات واسعة لاستضافة أحمال عملها سحابياً مع الحفاظ على إقامة البيانات محلياً.

غير أن هذا التوسع يصحبه تعقيد تنظيمي كبير. تتطلب الجهات التنظيمية السعودية -- وعلى رأسها الهيئة الوطنية للأمن السيبراني (NCA) وهيئة الاتصالات والفضاء والتقنية (CST) -- من المنظمات الامتثال لمجموعة من الضوابط والمعايير الخاصة بالبيئات السحابية قبل نقل أي أحمال عمل إلى السحابة.

الإطار التنظيمي لأمن السحابة في المملكة

تخضع الحوسبة السحابية في المملكة العربية السعودية لعدة أُطر تنظيمية متكاملة يجب على المنظمات فهمها والامتثال لها:

  1. ضوابط الأمن السيبراني للحوسبة السحابية (CCC): أصدرتها الهيئة الوطنية للأمن السيبراني كإطار متخصص يحدد متطلبات الأمن السيبراني لمقدمي الخدمات السحابية ومستخدميها. يغطي الإطار مجالات الحوكمة والحماية التقنية وإدارة الحوادث والاستمرارية.

  2. إطار تنظيم الحوسبة السحابية (CCRF): صادر عن هيئة الاتصالات والفضاء والتقنية، ويحدد متطلبات تسجيل وتصنيف مقدمي الخدمات السحابية العاملين في المملكة ومستويات الخدمة المطلوبة.

  3. نظام حماية البيانات الشخصية (PDPL): يفرض متطلبات صارمة على معالجة البيانات الشخصية في البيئات السحابية، بما في ذلك الحصول على الموافقة والإبلاغ عن الاختراقات وحقوق أصحاب البيانات.

  4. الضوابط الأساسية للأمن السيبراني (ECC-2:2024): تتضمن محوراً كاملاً مخصصاً للأمن السيبراني المتعلق بالأطراف الخارجية، بما في ذلك مقدمي الخدمات السحابية.

متطلبات إقامة البيانات وسيادتها

تُعد إقامة البيانات (Data Residency) من أكثر المتطلبات حساسية في السياق السعودي. تفرض التنظيمات الحالية قيوداً محددة على مكان تخزين ومعالجة أنواع معينة من البيانات:

  • البيانات الحكومية الحساسة: يجب استضافتها حصرياً داخل حدود المملكة العربية السعودية في مراكز بيانات معتمدة من الجهات المختصة. لا يُسمح بنقلها أو معالجتها خارج المملكة تحت أي ظرف.

  • البيانات الشخصية: وفقاً لنظام حماية البيانات الشخصية، يُسمح بنقل البيانات الشخصية خارج المملكة في حالات محددة فقط، مع ضمان مستوى حماية مكافئ في الدولة المستقبِلة.

  • بيانات القطاع المالي: تفرض متطلبات البنك المركزي السعودي (SAMA) قيوداً إضافية على استضافة البيانات المالية، مع اشتراط موافقة مسبقة لأي استضافة سحابية.

ملاحظة مهمة: يجب على المنظمات إجراء تصنيف شامل لبياناتها قبل أي مشروع ترحيل سحابي لتحديد البيانات الخاضعة لمتطلبات الإقامة المحلية بدقة.

متطلبات اختيار مقدم الخدمات السحابية (CSP)

يُعد اختيار مقدم الخدمات السحابية المناسب قراراً استراتيجياً يتطلب تقييماً دقيقاً يتجاوز المقارنات التقنية والسعرية. يجب على المنظمات السعودية التأكد من استيفاء المعايير التالية:

  • التسجيل والتصنيف: يجب أن يكون مقدم الخدمة مسجلاً لدى هيئة الاتصالات والفضاء والتقنية ومصنفاً وفقاً لمتطلبات إطار تنظيم الحوسبة السحابية (CCRF).

  • الشهادات والاعتمادات: التحقق من حصول مقدم الخدمة على شهادات ISO 27001 وISO 27017 وISO 27018 وSOC 2 Type II كحد أدنى.

  • مراكز البيانات المحلية: يجب أن يمتلك مقدم الخدمة مركز بيانات واحداً على الأقل داخل المملكة لتلبية متطلبات إقامة البيانات.

  • التشفير وإدارة المفاتيح: يجب أن يوفر مقدم الخدمة تشفير البيانات أثناء النقل وأثناء السكون مع إمكانية إدارة مفاتيح التشفير من قِبل العميل (BYOK/HYOK).

نموذج المسؤولية المشتركة في البيئة السعودية

يُعد فهم نموذج المسؤولية المشتركة (Shared Responsibility Model) أمراً جوهرياً لأي منظمة تستخدم الحوسبة السحابية. يختلف توزيع المسؤوليات الأمنية بحسب نموذج الخدمة السحابية المُستخدم:

  • البنية التحتية كخدمة (IaaS): يتحمل العميل مسؤولية أمن نظام التشغيل والتطبيقات والبيانات وإدارة الهويات والوصول، بينما يتحمل مقدم الخدمة مسؤولية البنية التحتية المادية والشبكية.

  • المنصة كخدمة (PaaS): ينتقل جزء أكبر من المسؤولية إلى مقدم الخدمة ليشمل نظام التشغيل وبيئة التشغيل، بينما يظل العميل مسؤولاً عن أمن التطبيقات والبيانات.

  • البرمجيات كخدمة (SaaS): يتحمل مقدم الخدمة الجزء الأكبر من المسؤولية، لكن يظل العميل مسؤولاً عن إدارة الوصول وتصنيف البيانات وضبط إعدادات الأمان.

من الأخطاء الشائعة التي ترتكبها المنظمات افتراض أن مقدم الخدمة السحابية يتحمل كامل المسؤولية الأمنية. الحقيقة أن المنظمة تظل مسؤولة أمام الجهات التنظيمية السعودية عن حماية بياناتها بغض النظر عن مكان استضافتها.

أفضل الممارسات لأمن السحابة في السياق السعودي

  1. إدارة وضع أمن السحابة (CSPM): استخدم أدوات CSPM لاكتشاف الإعدادات الخاطئة تلقائياً ومراقبة الامتثال المستمر للسياسات الأمنية عبر جميع حسابات السحابة.

  2. حماية أحمال العمل السحابية (CWPP): طبّق حلول حماية أحمال العمل لتأمين الحاويات والآلات الافتراضية والوظائف بدون خادم من التهديدات في وقت التشغيل.

  3. إدارة الأسرار والمفاتيح: لا تُخزّن مفاتيح API أو كلمات المرور أو شهادات التشفير في الشفرة المصدرية. استخدم خدمات إدارة الأسرار المُدارة مثل AWS Secrets Manager أو Azure Key Vault.

  4. البنية التحتية ككود (IaC): عرّف جميع الموارد السحابية والسياسات الأمنية ككود باستخدام أدوات مثل Terraform أو Pulumi. يضمن هذا قابلية التكرار والتدقيق وتتبع التغييرات.

  5. التسجيل والمراقبة المركزية: فعّل تسجيل جميع الأنشطة في البيئة السحابية (CloudTrail في AWS، Activity Log في Azure) وأرسلها إلى منصة SIEM مركزية للتحليل والكشف عن التهديدات.

الخلاصة: الأمن السحابي التزام مستمر

لا يُعد أمن الحوسبة السحابية مشروعاً يُنجز مرة واحدة، بل هو التزام مستمر يتطلب مراقبة دائمة وتحديثاً دورياً للسياسات والإجراءات. مع تطور المشهد التنظيمي في المملكة العربية السعودية باستمرار، يجب على المنظمات متابعة المستجدات والتكيف مع المتطلبات الجديدة بشكل استباقي.

ننصح كل منظمة تخطط للانتقال إلى السحابة أو تعمل فيها حالياً بإجراء تقييم شامل لوضعها الأمني السحابي ومستوى امتثالها للمتطلبات التنظيمية. يمكنكم الاطلاع على أحدث الضوابط والتوجيهات عبر موقع الهيئة الوطنية للأمن السيبراني وهيئة الاتصالات والفضاء والتقنية.

شارك هذا المقال