حوار مع مزود خدمة الأمان الممتاز Web3: "المعركة الهجومية والدفاعية" لأمن السحابة

يتكرر النظام البيئي الذي تم بناؤه بواسطة Web3 باستخدام التكنولوجيا الأساسية ل Blockchain (دفتر الأستاذ الموزع) بسرعة ، والابتكار التكنولوجي للسلسلة العامة L1 و L2 يجعل من الممكن أن يصبح الجيل التالي من شبكات الحوسبة الأساسية ، وتتحسن البنى التحتية المختلفة باستمرار مثل مكونات “Lego” ، وتواصل Web3 BUIDLers بناء dApps غنية في مسارات تطبيقات متعددة.

كمرفق أساسي مهم بشكل خاص ل Web3 ، لا غنى عن الخدمات السحابية أيضا لنظام Web3 البيئي بأكمله ، مع عشرات الآلاف من البرامج التي تعمل على الخوادم السحابية كل عام. وفقا للبيانات التي تم الإبلاغ عنها علنا من وكالة الأمن Immunefi ، “46.5٪ من الخسائر المالية في عام 2022 جاءت من البنية التحتية الأساسية ، مع كون الإدارة والممارسات وخطط الاستجابة للطوارئ للمفاتيح الخاصة هي الأكثر أهمية”. لا يزال أمن سحابة Web3 يواجه تحديات ، مثل تسرب المفتاح الخاص ، والوصول غير المصرح به ، وتحليل وتدقيق SmartContract ، وهجمات DDoS ، والتهديدات الداخلية ، والامتثال والاستقرار ، وغيرها من المشكلات التي ابتليت بها Web3 BUIDLers ، كما جلبت تحديات جديدة لمقدمي الخدمات السحابية ومقدمي الخدمات الأمنية.

وباعتبارها أول شركة تطلق الخدمات السحابية، لطالما كانت أمازون ويب سيرفيسز (AWS) رائدة في مجال الخدمات السحابية، والآن تتبنى AWS بنشاط نظام Web3 البيئي، وأطلقت بشكل مشترك سلسلة من الندوات عبر الإنترنت وغير المتصلة بالإنترنت حول “Web3 Security” مع CrossSpace، وهي علامة تجارية رائدة في مجتمع Web3، للتعمق في مجال أمن الخدمات السحابية، والاستماع إلى تحديات الممارسة الأمنية من البورصات والسلاسل العامة والبنية التحتية و dApps، ومناقشة الحلول العملية.

كجزء من هذه السلسلة، يشرفنا إجراء مقابلات مع أربعة من مزودي خدمات أمان Web3 الرائدين، Beosin وCertiK وMetaTrust وSlowMist، بالإضافة إلى خبراء أمان سحابة AWS، لمناقشة التحديات الحالية لأمن السحابة وكيفية حلها.

لماذا يعتبر أمان سحابة Web3 مهما جدا؟

الأمن هو أولوية قصوى لأي عمل تجاري. الخدمات السحابية و Web3 يعزز كل منهما الآخر. منذ إطلاق شبكة Bitcoin الرئيسية في عام 2009 وإطلاق شبكة Ethereum الرئيسية في عام 2015 ، زادت الحوادث الأمنية وخسائر الأصول عاما بعد عام ، لذلك يجب إيلاء المزيد من الاهتمام للأمن باعتباره حجر الزاوية في عالم Web3. سواء كانت بورصة مركزية ، أو DeFi لامركزية ، و GameFi ، و NFT ، و DAO ، و Social ، و Bridge وغيرها من السيناريوهات ، سيكون هناك سيناريوهات تطبيق مختلفة تعتمد على الرموز المميزة. أصبحت كيفية ضمان أمان عملية معالجة الرمز المميز بالكامل مشكلة يحتاج Web3 BUDLers إلى التفكير فيها بعناية. بصفتها خبيرة في مجال الأمن السحابي ومنظمة خدمت العديد من أطراف مشاريع Web3 ، تولي AWS اهتماما وثيقا لأمن مجال Blockchain و Web3 ، وتتواصل بنشاط مع أطراف المشروع ، وتعقد أشكالا مختلفة من مشاركة أمان Web3 والتدريب.

قرب نهاية عام 2023 ، أصبحت إشارة السوق الصاعدة واضحة تدريجيا ، وسيزداد عدد مشاريع Web3 التي تنشر الخوادم السحابية بسرعة ، وأصبح دور السحابة كطبقة بنية تحتية أكثر أهمية ، لذا فإن أمان السحابة هو عنصر أمان يجب على كل مطور و BUDLers الانتباه إليه.

ما هي التحديات الرئيسية التي تواجه الأمن السحابي اليوم؟

في هذه المقابلة ، قالت شركة الأمن Beosin ، "يعد هجوم مزودي بيانات الخدمة السحابية أحد الأنواع الرئيسية للهجمات في الآونة الأخيرة ، بشكل رئيسي من خلال هجمات DDoS ، واختطاف الحسابات ، والزرع الضار وغيرها من الوسائل ، ضد خدمات الحوسبة والتخزين التي يقدمها مقدمو بيانات الخدمة السحابية ، والعواقب هي تسرب البيانات الحساسة وانقطاع الخدمة ". شارك الفريق ، "خسرت Mixin Network و Fortress IO مؤخرا 200 مليون دولار و 15 مليون دولار ، على التوالي ، بسبب الهجمات على مزودي الخدمات السحابية. "

إن تسرب البيانات الحساسة ، وخاصة تسرب المفاتيح الخاصة ، هو سبب الحوادث الأمنية التي ذكرها العديد من خبراء الأمن عدة مرات خلال هذه المقابلة. كما ذكر تقرير CertiK ربع السنوي للأمن Q3 أن “تسريبات المفاتيح الخاصة كانت أحد أسباب الخسائر الكبيرة في الربع”. أسفرت حوادث سرقة المفاتيح الخاصة ال 14 عن خسارة إجمالية قدرها 204 ملايين دولار. "

بالإضافة إلى خروقات البيانات ، حدد فريق SlowMist أيضا العديد من الفئات الأخرى التي تنطوي على تهديدات أمان السحابة ، بما في ذلك:

1. اختراق الحساب والوصول غير المصرح به: يمكن للقراصنة الحصول على وصول غير مصرح به إلى حسابات المستخدمين وبيانات الاعتماد من خلال تكسير كلمة المرور أو الهندسة الاجتماعية أو هجمات كلمات المرور الضعيفة.

2. هجمات DDoS: يمكن أن تؤدي هجمات رفض الخدمة الموزعة (DDoS) إلى جعل الخدمات السحابية غير متوفرة ، أو شل الخدمات عن طريق استنزاف الموارد أو إغراق حركة مرور الشبكة ، مما يؤدي إلى تعطيل الأعمال.

3. التهديدات الداخلية الضارة: قد يسيء المستخدمون أو الموظفون الداخليون استخدام سلطتهم لسرقة البيانات أو تدمير المعلومات أو الانخراط في أعمال ضارة أخرى.

4. الامتثال وإدارة البيانات: لم يستخدم فريق المشروع بشكل فعال أدوات مختلفة لحماية البيانات في عملية معالجة البيانات على منصة مزود الخدمة السحابية ، مما أدى إلى ارتباك البيانات أو فقدانها.

في مواجهة زوايا الهجوم متعددة الأبعاد للمتسللين والمخاطر الأمنية الداخلية المحتملة ، يدعو خبراء أمن Web3 الجميع إلى إدراك أن الأمن السحابي يتطلب استراتيجية أمنية شاملة ، لذلك فهو ليس مجرد منع أمني بسيط أحادي البعد.

“معركة الهجوم والدفاع” لأمن السحابة ، كيف تكسر اللعبة؟

في مواجهة التحديات المستمرة للأمن السحابي ، كيف يمكن القيام بعمل جيد في “الدفاع” لمساعدة بيانات خصوصية المستخدمين وأمن الأموال؟ قدم الخبراء والفرق من مختلف الوكالات الأمنية وجهات نظرهم.

فريق بيوسين:

"تحدث خروقات البيانات الحساسة بشكل متكرر ، ويوصى بأن يقوم الفنيون بتشفير البيانات عند تخزينها ونقلها لتجنب الوصول إليها من قبل أطراف ثالثة غير مصرح بها. بالنسبة للبيانات الحساسة مثل المفاتيح الخاصة، نوصي باستخدام الحوسبة التي تحافظ على الخصوصية وتقنيات التشفير المتجانس لمنع تسرب المفتاح الخاص.

في الوقت نفسه ، يحتاج فريق المشروع إلى التأكد من أن العميل يصل فقط إلى الخدمة السحابية من خلال واجهات برمجة التطبيقات الآمنة لتجنب الأنشطة الضارة مثل هجمات الحقن والبرمجة النصية عبر المواقع. يمكنك أيضا استخدام واجهات برمجة التطبيقات لمصادقة البيانات والتحقق منها قبل الوصول إلى الخدمات السحابية لضمان أمان الوصول وأمان البيانات. بالنظر إلى أن قدرة الحماية الأمنية لأجهزة الكمبيوتر الشخصية كعملاء ضعيفة ، لا يوصى باستدعاء واجهات برمجة التطبيقات مباشرة للوصول إلى النظام وتشغيله من خلال أجهزة الكمبيوتر الشخصية ، ولكن لإكمال الوصول ذي الصلة من خلال أجهزة سطح المكتب الافتراضية السحابية أو خوادم القفز الآمنة. "

البروفيسور كانغ لي، كبير مسؤولي الأمن، CertiK:

"نلاحظ بشكل أساسي نوعين شائعين من المخاطر عند استخدام الأنظمة الأساسية السحابية ، وهما التكوين غير الصحيح للمستخدم للبيانات السحابية والمخاطر الناجمة عن إخفاء المستخدمين لخدمات الواجهة الخلفية السحابية إلى dApps. في معظم الأحيان ، توفر السحابة الكثير من حماية الموارد والتحكم في البيانات ، ولكن غالبا بسبب استخدام المستخدم غير السليم للتكوين ، تتاح للغرباء الفرصة للدخول إلى الواجهة الخلفية للمستخدم. يأتي نوع آخر من المخاطر من حقيقة أن مطوري جانب المشروع يخفون خدمات الخلفية السحابية من dApp - من أجل تسهيل استخدامهم الخاص ، سيقوم بعض المطورين بتصميم واجهة للمشروع بأكمله يعتقدون أنها تستخدم داخليا فقط ، بحيث يمكن الوصول إلى dApp مباشرة بواسطة تطبيق الهاتف المحمول دون التعرض للجمهور. على الرغم من أن واجهة برمجة التطبيقات السحابية لفريق المشروع تتمتع بتحكم خاص ، إلا أن هذا لا يزال يؤدي إلى الكثير من التفاعل بين dApp والواجهة الخلفية.

في مواجهة هذين النوعين من المخاطر ، أنشأت CertiK خدمات أمان لكل من dApps المستندة إلى السحابة والسحابة ، بما في ذلك عمليات تدقيق التعليمات البرمجية وتقييم المخاطر والتحقق من هوية الفريق والتحقق من الخلفية. "إذا كنت لا تستطيع ضمان إمكانية الوثوق بفريق التطوير ، فمن المهم أن يكون لديك خبير تدقيق يقوم بإجراء تدقيق كامل ل dApp. "

** البروفيسور يانغ ليو ، المؤسس المشارك ل MetaTrust: **

"كطبقة بنية تحتية ، يحتاج أمان السحابة إلى القيام بعمل جيد في أمان البيانات وحماية خصوصية المستخدم. قم ببناء أمان شامل ومتكامل ، مع التركيز بشكل خاص على حماية البيانات. قم بتعيين أذونات الوصول لأنواع مختلفة من البيانات لمنع الوصول غير المصرح به. آلية الخدمات السحابية معقدة ، وتحتاج الأنواع المختلفة من البيانات إلى آليات وصول مستقلة.

بالإضافة إلى ذلك ، يجب أيضا أخذ الامتثال للبيانات على محمل الجد. في الوقت الحالي ، توجد الكثير من البيانات في السحابة في نفس السحابة ، والتي قد تكون مقيدة بسبب مناطق مختلفة. إذا كنت لا تفهم هذا الموقف ، فقد يؤدي ذلك بسهولة إلى مشاكل الامتثال الناتجة عن انتهاكات البيانات عبر الحدود. لذلك ، يعد التحكم في الوصول والمصادقة مهمين جدا أيضا. نحن بحاجة إلى بناء آلية صارمة ودقيقة للتحكم في الوصول والمصادقة لمنع الوصول غير المصرح به. "

** فريق SlowMist:**

"يتطلب أمن السحابة استراتيجية أمنية شاملة ، بما في ذلك التحكم المناسب في الوصول والتشفير والمراقبة المستمرة ووكالات الأمن المهنية لإجراء مجموعة كاملة من عمليات التدقيق والتعليم والتدريب وغيرها من التدابير لضمان أمن واستقرار البيئة السحابية. على سبيل المثال ، التشفير من طرف إلى طرف للبيانات الهامة ، إذا كان سيتم استخدام التشفير ، فإن إدارة أمان مفتاح التشفير أمر بالغ الأهمية ، احتفظ بنسخة احتياطية من المفتاح ، ويفضل ألا يكون ذلك في السحابة. على سبيل المثال ، من خلال منع الثغرات الأمنية الأساسية مثل التكوينات الخاطئة ، يتم تقليل مخاطر أمان السحابة بشكل كبير. أخيرا ، سواء كنت فردا أو شركة صغيرة أو متوسطة الحجم أو مستخدما سحابيا على مستوى المؤسسة ، فمن المهم التأكد من أن شبكتك وأجهزتك آمنة قدر الإمكان. "

AWS: الأمان عبارة عن حماية متعددة الطبقات من نوع البصل

سواء في Web2 أو Web3 ، تقدم AWS بنشاط خدمات الحوسبة السحابية والأمن لمجموعة متنوعة من المشاريع. كمؤسسة رائدة ومشارك نشط في الحوسبة السحابية، يعتقد الخبراء التقنيون في AWS Web3 أن الأمان ليس حماية طبقة واحدة لنموذج البيض، ولكنه نموذج بصل للحماية متعددة الطبقات، والتي يتم الكشف عنها تدريجيا وطبقة تلو الأخرى. على وجه التحديد ، الطبقة الأولى هي اكتشاف التهديدات والاستجابة للحوادث ، والطبقة الثانية هي مصادقة الهوية والتحكم في الوصول ، والطبقة الثالثة هي أمن الشبكة والبنية التحتية ، والطبقة الرابعة هي حماية البيانات والخصوصية ، والطبقة الخامسة هي التحكم في المخاطر والامتثال. توفر AWS حلا كاملا لكل طبقة لمساعدة مالكي مشاريع Web3 على إدارة نظام التطبيق بالكامل بشكل أكثر أمانا.

**الخلاصة: لكسب المعركة الهجومية والدفاعية لأمن سحابة Web3 ، تحتاج إلى الاعتماد على الجهود المشتركة لجميع الأطراف **

لا يمكن فصل أمن النظام البيئي Web3 عن أمن البنية التحتية السحابية ، ويحتاج جميع المشاركين المرتبطين بالبنية التحتية السحابية ، بما في ذلك أطراف المشروع ومقدمو الخدمات السحابية ومقدمو خدمات الأمان ، إلى وضع استراتيجية أمنية شاملة وإجراء عمليات تدقيق منتظمة وإجراء فحوصات أمنية ذاتية لضمان أقصى قدر من الأمان.

بالنسبة لمطوري Web3، بالإضافة إلى تعزيز مستواهم الأخلاقي، يحتاجون أيضا إلى مواصلة تحسين مهاراتهم المتعلقة بالأمان، ويمكنهم المشاركة بنشاط في أنشطة AWS وتدريبها للمطورين، مثل Web3 Ethical Hacking وأفضل ممارسات الأمان، لتحديد مخاطر العقود الشائعة.

هدفنا المشترك هو بناء نظام بيئي آمن ل Web3 وتحقيق التنمية المستدامة في الصناعة ، ونأمل أن تتمكن من استلهام هذه المقابلة وتطبيقها بنشاط على ممارستك اليومية.

إذا كانت مشاريع Web3 بحاجة إلى معرفة كيفية إنشاء تطبيقات سحابية آمنة ، فانقر فوق الارتباط لمعرفة المزيد: