الامتثال والسياسات ككود

الامتثال للمهندسين

18 دقيقة الدرس 1 من 27

الامتثال للمهندسين

الامتثال ليس مشكلة قسم قانوني تُلقى على عاتق الهندسة في اللحظة الأخيرة. في المنظمات التي تعمل على البنية التحتية السحابية، يكون فريق البنية التحتية هو فريق الامتثال عملياً. فهم ما يتطلبه كل إطار عمل من أنظمتك يتيح لك تضمين الامتثال منذ اليوم الأول — بدلاً من إضافة الضوابط بشكل متأخر قبيل عمليات التدقيق وأنت تأمل ألا ينهار شيء في بيئة الإنتاج.

تغطي هذه الدرس أربعة أطر عمل تبرز في البيئات السحابية: SOC 2 وISO 27001 وPCI DSS وGDPR. لكل منها، نتجه مباشرة إلى ما تتطلبه من بنيتك التحتية وكيف يتقاطع ذلك مع العمل الهندسي الفعلي.

SOC 2 — معيار الثقة في عصر السحابة

SOC 2 (Service Organization Control 2) إطار عمل أمريكي طوعي تحدده AICPA. تحتاج كل شركة SaaS تستهدف عملاء مؤسسيين في نهاية المطاف إلى تقرير SOC 2 Type II. يراجع هذا الإطار ضوابطك وفق خمسة معايير خدمات الثقة: الأمان والتوافر وسلامة المعالجة والسرية والخصوصية. الأمان إلزامي؛ أما الباقي فيعتمد على ما تقدمه.

ما يتطلبه SOC 2 فعلاً من البنية التحتية:

التحكم في الوصول: يجب أن يمتلك كل مستخدم بشري وكل خدمة أذونات الحد الأدنى فقط، مع وجود سجلات تدقيق تُثبت ذلك. AWS IAM permission boundaries وGCP Workload Identity وKubernetes RBAC هي نقاط التطبيق الأكثر شيوعاً.
إدارة التغييرات: يجب أن تمر جميع تغييرات البنية التحتية عبر عملية موثقة وتمت مراجعتها. الدخول العشوائي عبر SSH إلى خادم في الإنتاج وتعديل الإعدادات يدوياً يُخفق هذا المعيار تلقائياً.
مراقبة التوافر: يجب إثبات قدرتك على اكتشاف الحوادث والاستجابة لها. Prometheus مع Alertmanager وPagerDuty مدعومة بكتيبات تشغيل موثقة تُلبي متطلبات الإثبات.
التشفير: بيانات أثناء النقل (TLS 1.2 كحد أدنى، يُفضل 1.3) وبيانات في حالة السكون (AES-256). يجب تفعيل تشفير RDS عند الإنشاء — لا يمكن إضافته بأثر رجعي دون دورة من لقطة واستعادة.
إدارة الموردين: أي خدمة خارجية تلمس بياناتك تحتاج إلى تقرير SOC 2 خاص بها محفوظاً لديك. هذا يعني تتبع قائمة أدوات SaaS التي تستخدمها.

Type I مقابل Type II: Type I لقطة زمنية — الضوابط مُصممة. Type II يغطي فترة زمنية، عادة 6-12 شهراً — الضوابط تعمل بفعالية. فرق المشتريات المؤسسية تتطلب Type II. ابنِ نحوه منذ البداية؛ جمع الأدلة بأثر رجعي مؤلم.

ISO 27001 — المعيار الدولي

ISO 27001 هو المعيار العالمي لنظام إدارة أمن المعلومات (ISMS). يعتمد على الشهادات بدلاً من تقارير التدقيق، وهو ما يهم عملاء الاتحاد الأوروبي والجهات الحكومية. أعاد تحديث 2022 هيكلة الضوابط إلى أربعة محاور: تنظيمية وبشرية ومادية وتقنية — المحور الأخير هو حيث يقضي مهندسو DevOps معظم وقتهم.

متطلبات البنية التحتية الرئيسية ضمن الملحق A من ISO 27001 (2022):

A.8.7 — الحماية من البرمجيات الخبيثة: يجب أن تمتلك الأعباء التشغيلية اكتشافاً للتهديدات في وقت التشغيل. Falco على Kubernetes أو GuardDuty على AWS يُلبيان هذا على مستوى البنية التحتية.
A.8.9 — إدارة الإعدادات: يجب توفير الأنظمة من إعدادات محددة وخاضعة لإدارة الإصدارات. هنا يصبح Terraform وAnsible وخط GitOps الخاص بك مستنداً امتثالاً، وليس مجرد أدوات إنتاجية.
A.8.15 — التسجيل: يجب تسجيل جميع الأحداث الأمنية ذات الصلة والاحتفاظ بها لفترة محددة. تسعون يوماً نشطة وسنة واحدة باردة خط أساسي شائع. CloudWatch Logs مع سياسة احتفاظ، أو مجموعة Loki/OpenSearch مركزية، يُلبي هذا المتطلب.
A.8.22 — عزل الشبكات: يجب عزل الأعباء ذات الحساسية المختلفة. تقسيم VPC مع مجموعات أمان ذات قوائم سماح صريحة هو التطبيق القياسي.

أطر الامتثال الأربعة الكبرى وكيف تتقاطع متطلباتها مع ضوابط البنية التحتية المحددة.

PCI DSS — بيانات البطاقات في البنية التحتية

يسري PCI DSS (معيار أمان بيانات صناعة بطاقات الدفع) عندما تقوم بنيتك التحتية بتخزين أو معالجة أو نقل بيانات حاملي البطاقات. رفع الإصدار 4.0 (صدر 2022، نافذ بالكامل منذ 2025) المستوى المطلوب للمصادقة والمراقبة بصورة ملحوظة. أهم مفهوم للمهندسين هو بيئة بيانات حامل البطاقة (CDE) — مجموعة الأنظمة التي تتعامل مع بيانات البطاقات. كل ما هو خارج CDE يجب عزله تماماً عنها.

متطلبات البنية التحتية الحاسمة:

المتطلب 1 — ضوابط الشبكة: يجب أن تكون CDE في مقطع شبكة منفصل. في AWS يعني ذلك VPC مخصصاً (أو على الأقل شبكات فرعية مخصصة) مع مجموعات أمان صارمة وبدون سماح افتراضي للخروج. وثِّق طوبولوجيا الشبكة — سيطلبها المدققون.
المتطلب 3 — البيانات المخزنة: يجب ألا تظهر أرقام الحسابات الأساسية (PANs — رقم البطاقة المكون من 16 رقماً) في أي مكان في السجلات. سجلات التصحيح وتتبع الأخطاء وتفريغات JSON كلها بؤر خطر. طبِّق تنقية السجلات على مستوى التطبيق وتحقق منها باختبارات آلية.
المتطلب 6 — التطوير الآمن: WAF أمام أي سطح ويب مجاور لـ CDE، ومسح آلي للثغرات في خط CI.
المتطلب 10 — التسجيل: يجب تسجيل كل وصول إلى أنظمة CDE مع الطوابع الزمنية وهوية المستخدم والإجراء المتخذ. يجب أن تكون السجلات محمية من التلاعب. CloudTrail مع تفعيل التحقق من ملفات السجل، أو S3 غير قابل للتعديل مع Object Lock، يُلبي هذا.
المتطلب 12.3.2 — تقييمات المخاطر السنوية: يجب على فرق البنية التحتية إنتاج نماذج تهديد موثقة للأنظمة المرتبطة بـ CDE، تُحدَّث سنوياً.

زحف نطاق PCI فخ إنتاجي: كل نظام يمكنه الوصول إلى CDE — حتى بشكل غير مباشر — يُسحب إلى نطاق PCI. عميل مراقبة يستقصي مضيفاً في CDE قد يجرر مجموعة المراقبة بأكملها إلى نطاق الامتثال. استخدم مُصدِّر مقاييس مخصصاً داخل CDE يدفع البيانات إلى جامع خارجي، بدلاً من السماح باتصالات واردة من خارج CDE.

GDPR — البيانات الشخصية في البنية التحتية

تنظيم حماية البيانات العام ينطبق على أي نظام يعالج بيانات شخصية لمقيمين في الاتحاد الأوروبي، بصرف النظر عن مكان مقر شركتك. للمهندسين، يترجم GDPR إلى أربع فئات محددة من العمل:

إقامة البيانات: إذا كان أساسك القانوني بموجب GDPR يتطلب بقاء بيانات الاتحاد الأوروبي فيه، فمتغيرات المنطقة في Terraform هي ضوابط امتثال. قيِّد RDS وS3 وElastiCache بـ eu-west-1 أو eu-central-1 واستخدم SCPs لمنع النسخ عبر المناطق. الانحراف في حالة IaC حادثة GDPR تنتظر الوقوع.
الحق في المحو (المادة 17): يجب على أنظمتك حذف جميع البيانات الشخصية لمستخدم معين عند الطلب، خلال 30 يوماً. هذا قيد معماري. إذا كانت معرفات المستخدم مضمنة في سطور سجل غير قابلة للتغيير أو مفاتيح كائن S3، فلا يمكنك محوها — صمِّم للاستعارة منذ البداية.
إخطار الخرق (المادة 33): لديك 72 ساعة من الاكتشاف لإخطار الجهة الإشرافية. يجب أن يتضمن كتيب الاستجابة للحوادث خطوة لتحديد ما إذا كانت البيانات الشخصية قد تعرضت للاختراق. قدرة الاستعلام في SIEM وخرائط تدفق البيانات هي البنية التحتية المُمكِّنة.
تقليل البيانات (المادة 5): اجمع واحتفظ فقط بما تحتاجه. طبِّق تنقية حقول السجل آلياً في خط السجلات الخاص بك.

# Vector log transform — redact PII before shipping to Loki (GDPR Art. 5)
[transforms.redact_pii]
type = "remap"
inputs = ["app_logs"]
source = '''
  del(.email)
  del(.user_ip)
  del(.user_agent)
  if exists(.user_id) {
    .user_id = sha2(.user_id, variant: "SHA-512/256")
  }
'''

ما تشترك فيه الأطر الأربعة

على الرغم من نطاقاتها المختلفة، تتقارب جميع الأطر نحو نفس الخط الأساسي للبنية التحتية:

التشفير في كل مكان — TLS أثناء النقل، AES-256 في حالة السكون، إدارة المفاتيح عبر خدمة مخصصة (AWS KMS، HashiCorp Vault).
التحكم في الوصول مع الإثبات — من يملك الوصول إلى ماذا، وسجل يُثبت كل مرة تم فيها ممارسة هذا الوصول.
سجلات تدقيق غير قابلة للتغيير — مُشحونة بعيداً عن المضيف، محمية من التلاعب، محتفظ بها للفترة المطلوبة.
إدارة تغييرات موثقة — كل تغيير في الإنتاج قابل للتتبع عبر طلب تغيير معتمد ومراجعة PR وتنفيذ خط CI. التغييرات المخصصة ممنوعة.
قدرة الاستجابة للحوادث — كتيب تشغيل موجود، تم اختباره، والفريق قادر على تنفيذه تحت الضغط.

# AWS CLI: verify CloudTrail log file validation is enabled (SOC 2 + PCI Req 10)
aws cloudtrail describe-trails \
  --query "trailList[*].{Name:Name,LogValidation:LogFileValidationEnabled}" \
  --output table

# Enable it if not (replace TRAIL-NAME and REGION):
aws cloudtrail update-trail \
  --name TRAIL-NAME \
  --enable-log-file-validation \
  --region us-east-1

# Terraform: enforce S3 bucket encryption + Object Lock for immutable audit logs (PCI + SOC 2)
resource "aws_s3_bucket" "audit_logs" {
  bucket = "company-audit-logs"

  object_lock_configuration {
    object_lock_enabled = "Enabled"
  }
}

resource "aws_s3_bucket_server_side_encryption_configuration" "audit_logs" {
  bucket = aws_s3_bucket.audit_logs.id

  rule {
    apply_server_side_encryption_by_default {
      sse_algorithm     = "aws:kms"
      kms_master_key_id = aws_kms_key.audit.arn
    }
    bucket_key_enabled = true
  }
}

resource "aws_s3_bucket_public_access_block" "audit_logs" {
  bucket                  = aws_s3_bucket.audit_logs.id
  block_public_acls       = true
  block_public_policy     = true
  ignore_public_acls      = true
  restrict_public_buckets = true
}

قابل ضوابط متعددة لأطر عمل متعددة في آن واحد: تفعيل CloudTrail مع التحقق من ملفات السجل يُلبي في آنٍ واحد SOC 2 CC7.2 وISO 27001 A.8.15 وPCI DSS المتطلب 10. عندما تُنشئ بنيتك التحتية بهذه العقلية — الضوابط كأدلة مشتركة — تتجنب بناء أربع برامج امتثال منفصلة ويمكنك الحصول على تقرير SOC 2 الأول بينما تعمل في الوقت ذاته على شهادة ISO 27001.

الخطوات الأولى العملية

إذا كنت تنضم إلى فريق لا يمتلك برنامج امتثال، فالإجراءات الهندسية الأكثر تأثيراً في أول 90 يوماً هي:

تفعيل CloudTrail (جميع المناطق، جميع أحداث الإدارة) وشحن السجلات إلى S3 غير قابل للتعديل مع تشفير KMS.
تشغيل AWS Config مع القواعد المُدارة لـ CIS AWS Foundations Benchmark — يمنحك نقاط امتثال مستمرة دون أي كود مخصص.
مراجعة IAM: إزالة السياسات ذات الأذونات العامة، تدوير مفاتيح الوصول الأقدم من 90 يوماً، تفعيل MFA لجميع الحسابات البشرية، وحذف الأدوار غير المستخدمة.
توثيق تدفقات البيانات: أي خدمات تعالج البيانات الشخصية، أين تذهب بيانات البطاقات (إن وُجدت)، أي S3 buckets متاحة للعموم. لا يمكن تحديد نطاق برنامج امتثال دون هذه الخريطة.
إنشاء كتيب استجابة للحوادث الأمنية. لا يحتاج أن يكون مثالياً — يحتاج أن يكون موجوداً وأن يتم مراجعته مرة واحدة على الأقل في تمرين طاولي.

ستوضح الدروس القادمة كيفية تحويل كل هذا إلى سياسة قابلة للتنفيذ آلياً — بدءاً بـ Open Policy Agent — حتى يصبح الامتثال خاصية يُطبقها خط CI وليس مربع اختيار يملؤه فريقك يدوياً قبيل كل تدقيق.