في 14 مارس 2006، قامت شركة AWS أعلن S3، بمناسبة أول خدمة AWS كانت متاحة بشكل عام وما هي AWS يحتفل كبداية لهم. يمكن إرجاع كل من Azure وGCP إلى تواريخ لاحقة قليلاً، لذا فإن 14 مارس 2026 هو الذكرى السنوية العشرين للسحابة.
لقد تغير الكثير فيما يتعلق بالتفاصيل منذ إعلان S3 الأولي. تم تخفيض السعر بمقدار كبير، وتمت إضافة العديد من الميزات الجديدة (وتمت إزالة بعضها). ولكن هذا الإعلان يشير أيضًا إلى إحدى ميزات حاوية S3 وهي أنه يمكنك “مشاركتها للقراءة”، مما يعني أنه يمكن تهيئتها كوحدة S3 عامة. منذ اليوم الأول، أصبح من الممكن القيام بأشياء عظيمة باستخدام السحابة، ولكن أيضًا إجراء تكوينات خاطئة.
سيلقي هذا المنشور نظرة على العشرين عامًا الماضية من أبحاث الأمن السحابي، وتقسيم العقدين إلى عصور مع معالم مهمة محددة أدت إلى تغيير حقبة إلى أخرى.
كان العقد الأول من السحابة عصرًا للمفاهيم التأسيسية. كان موفرو الخدمات السحابية يطورون وينشرون ميزات الأمان التي تعتبر أساسية لأي مفاهيم أمنية، مثل الحد الأدنى من الامتيازات وتسجيل الدخول. على سبيل المثال، لم يكن AWS IAM كذلك مطلق سراحه حتى عام 2011، كانت السنوات الخمس الأولى من استخدام AWS تعني وجود حساب جذر مشترك يتمتع بامتيازات المسؤول لجميع موظفيك وتطبيقاتك التي قد تستخدم مفاتيح الوصول إلى الجذر. وبالمثل، لم يكن CloudTrail كذلك مطلق سراحه حتى عام 2013، لذلك لم يكن لديك سجل تدقيق حتى ذلك الحين. قبل ذلك، إذا أدركت أن لديك حاوية S3 عامة، لم تكن لديك طريقة لمعرفة متى تم نشرها للعامة أو بواسطة من.
كانت منظمات AWS مطلق سراحه في عام 2016 والذي أدى إلى تطبيع فكرة وجود حسابات AWS متعددة. لفترة طويلة، كانت الشركات تعمل بالكامل داخل حساب AWS واحد. جاء إصدار المؤسسات أيضًا مع سياسات التحكم في الخدمة التي وفرت قدرة على مستوى المؤسسة للتحكم على مستوى الشركة. عند هذه النقطة أعتقد أن معظم المفاهيم الأساسية للسحابة الآمنة الحديثة قد تم تأسيسها.
إلى جانب التقدم الذي أحرزه مقدمو الخدمات السحابية، كشف الباحثون الأمنيون أيضًا عن مخاوف أمنية قد يتردد صداها في المستقبل. تشمل أبرز الأبحاث الأمنية في هذا العصر ما يلي:
قدمت هذه المحادثات أفكارًا سيتم إعادة اكتشافها مرارًا وتكرارًا من قبل الباحثين المستقبليين ولا تزال ذات صلة وتستحق المشاهدة. ومن السمات المميزة لهذا العصر أن معظم أعمال الأمن السحابي سواء من الباحثين أو الممارسين لم تكن وظيفة بدوام كامل بعد. سوف ينظر الناس لفترة وجيزة إلى الأمن السحابي مع الاستمرار في وظائف أوسع.
في عام 2016، تجاوزت إيرادات AWS 10 مليار دولار سنويًا، ونمت بمعدل نمو هائل قدره 70% سنويًا في عام 2015. وأصبحت الشركات أخيرًا أكثر راحة في نقل أعباء العمل المهمة إلى السحابة، كما يتضح من نمو الإيرادات. لقد تم الآن إرساء الأسس الأمنية وتم بناء عقد من الثقة. أكملت Netflix، وهي من أوائل الشركات التي اعتمدت السحابة، مشروعها الهجرة من مراكز البيانات إلى AWS في عام 2016 وأصبحت أحد عملاء المنارة.
أصبحت السحابة معقدة بما فيه الكفاية حيث تجاوزت AWS 1000 واجهة برمجة تطبيقات في أكتوبر 2014 وتجاوزت 2600 واجهة برمجة تطبيقات بحلول نهاية عام 2016. أدى هذا التعقيد وقيمة أعباء العمل التي يتم نقلها إلى السحابة إلى وظائف تم تخصيصها حصريًا لأمن السحابة.
شهدنا في هذا العصر عددًا من الأدوات مفتوحة المصدر من الأفراد والفرق المخصصة لأمن السحابة. ال معيار CIS لـ AWS تم إصداره في عام 2016 والذي قام بتوحيد الاكتشافات التي تبحث عنها العديد من هذه الأدوات. كان الأمان السحابي خلال هذا الوقت يعني إلى حد كبير نشر CSPM (إدارة الوضع الأمني السحابي)، والتي كانت سهلة الإنشاء نسبيًا وكانت الحلول المحلية قادرة على المنافسة مقابل إمكانيات البائعين. أنا أقدم هذا الادعاء كمؤلف لإحدى الأدوات في هذا العصر.
اثنان من أوائل رواد هذا العصر من إصدارات الأدوات هما iSecPartner كشاف الأداة في عام 2011 (والتي أصبحت فيما بعد أداة NCC Group الكشفية2 في 2014) وNetflix قرد الأمن في عام 2014. وشملت الأدوات البارزة خلال هذه الحقبة (والشركات التي عمل فيها المطورون). حارس السحابة (كابيتال وان)، باكو (وحيد القرن الأمن)، المتصيد (في الهواء الطلق)، CloudMapper (الأمن الثنائي)، المحقق السحابي (ألعاب الشغب)، تنبيه الدفق (اير بي ان بي)، ريبوكيد (نتفليكس)، gcp-audit (سبوتيفاي)، margaritashotgun (موزيلا)، com.cloudsploit (أدوبي)، وغيرها الكثير. لم تكن العديد من هذه الأدوات تأتي من شركات الأمن، بل من أفراد في فرق الأمن في الشركات التي تستخدم السحابة. بعض هذه الأدوات مفتوحة المصدر ستتطور في النهاية إلى شركات بحد ذاتها.
وكانت هذه المشاريع أيضًا تستكشف استراتيجيات أمنية جديدة. بعض النقاط البارزة بالنسبة لي كانت كابيل ثانجافيلو من كابيتال وان المعالجة التلقائية; ريان هوبر من سلاك مع تنبيه أمني موزع; جاك ناجلييري، ورايان ديفيرت، وآخرون من Airbnb تحليل السجل بدون خادم واختبارات الوحدة لقواعد الكشف.
مع تركيز الأشخاص في حياتهم المهنية على الأمان السحابي، ظهرت مجموعات ومؤتمرات مخصصة لاهتماماتهم. ال منتدى الأمن السحابي سلاك بدأ جنبا إلى جنب مع ذات الصلة إرسال:cloudsec مؤتمر. بدأت AWS أيضًا في إعادة مؤتمر Inforce الذي يركز على الأمان خلال هذا الوقت.
بحلول عام 2021، بلغ إجمالي إيرادات السحابة تقريبا 100 مليار دولار سنويًا بين AWS وAzure وGCP، مع عمليات ترحيل سريعة إلى السحابة بسبب فيروس كورونا. وأدى ذلك إلى ظهور عروض تجارية في مجال الأمن السحابي تجاوزت بكثير العروض مفتوحة المصدر التي أعتقد أنها كانت تنافسية في السابق. ويرجع ذلك جزئيًا إلى أن الحلول النقطية التي يمكن لفريق صغير صيانتها، مثل CSPM، كان عليها التنافس مع الأنظمة الأساسية التي تدمج تخصصات متعددة تندرج تحت مصطلح CNAPP (منصة حماية التطبيقات السحابية الأصلية). أصبح الأمان السحابي أيضًا معقدًا بشكل متزايد وينقسم إلى مزيد من التخصصات الفرعية حيث تجاوزت AWS 10000 واجهة برمجة تطبيقات في أواخر عام 2021. كان Log4shell في نهاية عام 2021 لحظة حاسمة للعديد من فرق الأمان السحابي حيث أدركوا أنهم بحاجة إلى حلول أكثر قدرة من أدوات CSPM التي حددت الحقبة السابقة.
ومع هذا الارتفاع في عدد البائعين، شهدنا أيضًا ارتفاع أهمية فرق البحث لدى هؤلاء البائعين. وفجأة، سلط البائعون الضوء على قدرتهم على استغلال موفري الخدمات السحابية بأنفسهم. بدأ هذا العصر بعاصفة من الثغرات الأمنية بين المستأجرين التي تم الكشف عنها لدى موفري الخدمات السحابية، مثل Wiz’s com.chaosdb, omigodوالمزيد منهم ومن الشركات الأخرى التي يمكن العثور عليها في com.cloudvulndb.
لقد حدد الذكاء الاصطناعي بالفعل التحول إلى عصر جديد، وكان عام 2025 هو العام الذي انطلق فيه التحول فعليًا فيما يتعلق بالأمن السحابي. من نواحٍ عديدة، يعمل عصر الذكاء الاصطناعي على تسريع العصور السحابية. لقد تجاوزت إيرادات شركات البنية التحتية للذكاء الاصطناعي بالفعل ما استغرقه مقدمو الخدمات السحابية في العقد الأول من الزمن للوصول إليه. لقد تطورت الثقة في الذكاء الاصطناعي بشكل أسرع بكثير مما يتطلبه الانتقال إلى السحابة. يتم استخدام المسميات الوظيفية لـ “مهندس أمان الذكاء الاصطناعي” من قبل الكثيرين وبدأت المؤتمرات حول أمن الذكاء الاصطناعي.
لكن ما أصبح عليه عصر الذكاء الاصطناعي هو كيفية تغيير ما يمكن أن يفعله المهاجمون والمدافعون. يستطيع المهاجمون تحديد نقاط الضعف في التصحيحات وإنشاء عمليات استغلال لها بمعدل أسرع بكثير من أي وقت مضى. أحد الأمثلة المبكرة على ذلك كان CVE-2025-32433 في أبريل 2025، والتي كانت عبارة عن ثغرة أمنية تتطلب عادةً فهمًا عميقًا للغة برمجة Erlang، والتي تستخدم نموذجًا عقليًا يختلف عن اللغات الأخرى المستخدمة على نطاق واسع. هذا تصف الكتابة استخدام الذكاء الاصطناعي لتحليل التصحيح وإنشاء استغلال. بحلول أواخر ديسمبر، كانت الأمور قد تقدمت بحيث أصبح الذكاء الاصطناعي قادرًا على إنشاء ثغرة أمنية لإثبات صحة المفهوم للثغرة الأمنية المنغولية في 10 دقائق. شهد عام 2025 أيضًا ظهور منتج للذكاء الاصطناعي يصبح الفائز بجائزة HackerOne لأفضل خلل، وفاز فريق آخر من منتجات الذكاء الاصطناعي مسابقة Zeroday.cloud الخاصة بـ Wiz حيث تم منح المكافآت للعثور على يوم صفر في مشاريع مفتوحة المصدر منتشرة على نطاق واسع مثل Redis وPostgreSQL.
بالنسبة لي شخصيًا، كانت اللحظة الحاسمة هي رؤية التحدي الأول في مسيرتنا بطولة الأمن السحابي CTF تم الانتهاء منه في غضون دقائق من الإصدار بواسطة الذكاء الاصطناعي في يونيو 2025. كنت قلقًا من عدم تمكن أي شخص من حل تحدي القرصنة هذا، ولكن قام شخص ما ببساطة بإعطاء أداة الذكاء الاصطناعي العميلة المطالبة “تصفح إلى هذه الصفحة وحل مشكلة CTF”.
في حين أن الذكاء الاصطناعي يفيد المهاجمين، فإنه يفيد أيضًا المدافعين في المساعدة على إنشاء تعليمات برمجية أكثر أمانًا، والتصحيح بشكل أسرع، وتسهيل استخدام العديد من الأدوات. في الوقت الحالي، أفضل سلاح ضد الذكاء الاصطناعي من المهاجمين هو ضمان استخدام المدافعين للذكاء الاصطناعي بأنفسهم. في حين أن السحابة أمضت عقدًا من الزمن في بناء مفاهيم الأمان الأساسية قبل أن يتم ترحيل أعباء العمل إليها ببطء على مدار سنوات، فإن الذكاء الاصطناعي ينتقل إلى كل عبء عمل بسرعة فائقة قبل أن يتم تطوير الأسس. إنه وقت مثير.
