أمن شبكات AWS0%
أمن شبكات AWS من زاوية الـ Presales
أمن الشبكة في AWS يبدأ من الـ VPC كحدود عزل منطقية، ويُبنى بطبقات: Security Groups على مستوى الـ instance، وNetwork ACLs على مستوى الـ subnet، وحماية تطبيقات الويب عبر AWS WAF، وحماية DDoS عبر AWS Shield. مهمتك كـ presales ليست ضبط الإعدادات، بل ربط كل عنصر بقيمة عمل واضحة ومخاطرة يخشاها العميل. في سياق الخليج، اربط الحديث بـ Vision 2030 والـ data residency ومتطلبات SAMA وNCA حتى يرى صاحب القرار أن الحل ليس تقنياً فقط بل امتثالياً وتجارياً.
- 1الـ VPC هو حدود العزل: شبكة افتراضية خاصة بالعميل داخل AWS، تُقسَّم إلى public/private subnets. بِعها كـ بديل آمن عن الشبكة المكشوفة، حيث لا شيء يخرج للإنترنت إلا بقرار صريح.
- 2Security Groups هي stateful وتعمل allow-only على مستوى الـ instance؛ الردّ على الاتصال المسموح يعود تلقائياً. اشرحها للعميل كـ firewall افتراضي حول كل خادم، أسهل في الإدارة لأنه لا يحتاج قواعد للـ return traffic.
- 3Network ACLs هي stateless وتدعم allow وdeny على مستوى الـ subnet، وتُقيَّم بالترتيب الرقمي. موضِعها كـ خط دفاع واسع لحظر نطاقات IP أو شبكات كاملة، يكمِّل الـ Security Groups ولا يستبدلها.
- 4AWS WAF يحمي الطبقة السابعة (HTTP/HTTPS) من OWASP Top 10 مثل SQL injection وXSS، عبر managed rules جاهزة. بِعه كـ درع للتطبيقات العامة (e-commerce، بوابات حكومية) يقلّل المخاطرة دون تعديل الكود.
- 5AWS Shield يحمي من هجمات DDoS: Standard مجاني وتلقائي للجميع، وAdvanced مدفوع يضيف حماية L7 وفريق DRT وضمان ضد فاتورة الهجوم (cost protection). اربطه بسمعة العلامة وتوافر الخدمة وقت الذروة.
Security Group مقابل Network ACL
Security Group
- ◆stateful — يتذكر الاتصال
- ◆allow فقط
- ◆على مستوى الـ instance
- ◆كل القواعد تُقيَّم
Network ACL
- ◆stateless — لا يتذكر
- ◆allow وdeny
- ◆على مستوى الـ subnet
- ◆يُقيَّم بالترتيب الرقمي
🔎تفاصيل أعمق
- معمارياً، الترتيب يهمّ: حركة المرور الواردة تمرّ أولاً عبر الـ NACL على حدود الـ subnet (stateless، يقيَّم القواعد بالترقيم) ثم عبر الـ Security Group على الـ instance (stateful). هذا الترتيب يفسّر لماذا تستخدم NACL لحظر cidr خبيث بكفاءة قبل أن يصل أصلاً للخادم، وتترك القرارات الدقيقة للـ SG. اعرضها كـ نموذج طبقي يبرّر الكلفة بتقليل سطح الهجوم.
- مقارنة المنافسين: في Azure يقابل الـ Security Group مفهوم Network Security Group (NSG) الذي يدمج فكرة الـ subnet والـ NIC، وفي Google Cloud توجد VPC firewall rules مركزية. ميزة AWS الـ presales هي النضج والتكامل مع Shield وWAF وFirewall Manager في حوكمة مركزية واحدة عبر AWS Organizations. عند مقارنة عرضك بـ Azure، شدِّد على عمق الـ managed DDoS وحجم الـ edge network لدى CloudFront.
- سياق الخليج والتنظيم: لدى AWS منطقة (Region) في البحرين (me-south-1) وأخرى في السعودية (me-central-1، KSA Region) تخدمان متطلبات data residency لـ SAMA Cyber Security Framework وضوابط NCA الأساسية (ECC). للجهات الحكومية، اربط WAF وShield Advanced وVPC isolation مباشرة ببنود حماية تطبيقات الويب وتوافر الخدمة في هذه الأطر؛ هذا يحوِّل النقاش من سعر إلى امتثال إلزامي، وهي أقوى رافعة بيع في القطاع العام السعودي.
طبقات defense-in-depth في AWS
AWS Shieldحماية DDoS عند الحافة
AWS WAFفلترة L7 وOWASP
Network ACLحظر واسع للـ subnet
Security Groupوصول دقيق للخادم
VPCحدود العزل المنطقي
💡 نصيحة مقابلة: 💡 نصيحة Presales: لا تشرح SG vs NACL كميزات تقنية متوازية؛ ارسمها كطبقات defense-in-depth — NACL يحظر الشبكات الخبيثة عند البوابة، وSG يضبط الوصول الدقيق لكل خادم. صاحب القرار يشتري راحة البال والامتثال، لا الجداول.