2025-11-20T20:58:16.391630

A Semantic Model for Audit of Cloud Engines based on ISO/IEC TR 3445:2022

Javan
Cloud computing has become the foundation of modern digital infrastructure, yet the absence of a unified architectural and compliance framework impedes interoperability, auditability, and robust security. This paper introduces a formal, machine-readable semantic model for Cloud Engines, integrating the architectural taxonomy of ISO/IEC 22123 (Cloud Reference Architecture) with the security and compliance controls of ISO/IEC 27001:2022 and ISO/IEC TR 3445:2022. The model decomposes cloud systems into four canonical interfaces--Control, Business, Audit, and Data--and extends them with a security ontology that maps mechanisms such as authentication, authorization, and encryption to specific compliance controls. Expressed in RDF/Turtle, the model enables semantic reasoning, automated compliance validation, and vendor-neutral architecture design. We demonstrate its practical utility through OpenStack and AWS case studies, and provide reproducible validation workflows using SPARQL and SHACL. This work advances the state of cloud security modeling by bridging architectural and compliance standards in a unified framework, with a particular emphasis on auditability.
academic

نموذج دلالي لتدقيق محركات السحابة بناءً على ISO/IEC TR 3445:2022

المعلومات الأساسية

  • معرّف الورقة: 2510.09690
  • العنوان: A Semantic Model for Audit of Cloud Engines based on ISO/IEC TR 3445:2022
  • المؤلف: Morteza Sargolzaei Javan (جامعة أمير كبير للتكنولوجيا)
  • التصنيف: cs.CR (التشفير والأمان)، cs.DC (الحوسبة الموزعة والمتوازية والعنقودية)
  • تاريخ النشر: 2025-10-09
  • رابط الورقة: https://arxiv.org/abs/2510.09690

الملخص

أصبحت الحوسبة السحابية حجر الأساس في البنية التحتية الرقمية الحديثة، إلا أن غياب إطار عمل معماري وامتثال موحد يعيق قابلية التشغيل البيني والقابلية للتدقيق والأمان القوي. تقترح هذه الورقة نموذجاً دلالياً رسمياً قابلاً للقراءة الآلية لمحركات السحابة، يدمج تصنيف المعمارية من ISO/IEC 22123 (معمارية مرجعية سحابية) مع ضوابط الأمان والامتثال من ISO/IEC 27001:2022 و ISO/IEC TR 3445:2022. يقسم النموذج أنظمة السحابة إلى أربع واجهات معيارية - التحكم والعمل والتدقيق والبيانات - ويوسعها من خلال أنطولوجيا أمان، مما يربط آليات مثل المصادقة والتفويض والتشفير بضوابط امتثال محددة. يتم تمثيل النموذج بصيغة RDF/Turtle، مما يدعم الاستدلال الدلالي والتحقق من الامتثال الآلي وتصميم المعمارية المحايد للبائع. يتم عرض فائدته العملية من خلال دراسات حالة OpenStack و AWS، مع توفير سير عمل تحقق قابل للتكرار باستخدام SPARQL و SHACL.

السياق البحثي والدافع

المشاكل الأساسية

تهدف هذه الدراسة إلى معالجة عدة مشاكل رئيسية في مجال الحوسبة السحابية:

  1. تجزئة المعايير: عادة ما تتعامل المعايير الموجودة بشكل معزول مع واجهات برمجية وظيفية (مثل OCCI للتحكم بالموارد) أو سياسات أمان (مثل ISO/IEC 27001)، مما يؤدي إلى تجزئة المعمارية وأساليب الامتثال.
  2. غياب إطار عمل موحد: تفتقر الحوسبة السحابية إلى إطار عمل معماري وامتثال موحد، وهذا يعيق قابلية التشغيل البيني والقابلية للتدقيق والأمان القوي.
  3. فحوصات الامتثال اليدوية: يعتمد التحقق التقليدي من الامتثال بشكل أساسي على عمليات يدوية، مما يكون غير فعال وعرضة للأخطاء.

أهمية المشكلة

  • أصبحت الحوسبة السحابية أساس البنية التحتية الرقمية الحديثة، مما يتطلب إطار عمل أمان وامتثال معياري
  • يتطلب تعقيد بيئات السحابة المتعددة والهجينة نهج تصميم معماري محايد للبائع
  • يعتبر التحقق الآلي من الامتثال حاسماً لنشر السحابة على نطاق واسع

قيود الأساليب الموجودة

  • OCCI: يغطي فقط مستوى التحكم، ولا يتضمن متطلبات المعمارية الكاملة لمستويات العمل والتدقيق والبيانات
  • أطر العمل الأمنية التقليدية: تفتقر معايير مثل ISO/IEC 27001 و NIST SP 800-53 إلى تعيين واضح لمكونات معمارية سحابية محددة
  • الحلول الخاصة بالبائع: تفتقر أطر عمل مثل AWS Well-Architected Framework إلى قابلية التشغيل البيني عبر الأنصات

المساهمات الأساسية

  1. نموذج دلالي موحد: يقترح أول نموذج دلالي رسمي يدمج تصنيف معمارية ISO/IEC 22123 مع ضوابط الامتثال الأمني من ISO/IEC 27001:2022 و ISO/IEC TR 3445:2022
  2. تحلل معمارية ذو أربع واجهات: يوحد تحلل أنظمة السحابة إلى أربع فئات واجهات معيارية: التحكم والعمل والتدقيق والبيانات
  3. توسيع أنطولوجيا الأمان: يطور أنطولوجيا أمان تربط آليات أمان مثل المصادقة والتفويض والتشفير بضوابط امتثال محددة
  4. تطبيق RDF/Turtle: يوفر تطبيقاً قابلاً للقراءة الآلية بصيغة RDF/Turtle، يدعم الاستدلال الدلالي والتحقق الآلي
  5. التحقق من الحالات العملية: يتحقق من فائدة النموذج من خلال دراسات حالة محددة لـ OpenStack و AWS
  6. أدوات التحقق الآلي: يوفر سير عمل تحقق قابل للتكرار بناءً على SPARQL و SHACL

شرح الطريقة

تعريف المهمة

تتمثل مهمة هذه الورقة في تصميم نموذج دلالي قادر على:

  • المدخلات: مكونات معمارية لنظام سحابي وتكوينات أمان
  • المخرجات: تمثيل دلالي معياري ونتائج التحقق من الامتثال
  • القيود: يجب أن يتوافق مع معايير ISO/IEC، ويدعم بيئات متعددة البائعين

معمارية النموذج

مكونات المعمارية الأساسية

1. تصنيف الواجهات الأربع

cloudeng:CloudEngine
├── cloudeng:ControlInterface    # إدارة دورة حياة الموارد (مثل OCCI)
├── cloudeng:BusinessInterface   # العمليات الموجهة للمستخدم (الفواتير، لوحة التحكم، SSO)
├── cloudeng:AuditInterface     # انبعاث السجلات والمقاييس (syslog، CloudTrail، StatsD)
└── cloudeng:DataInterface      # تخزين البيانات المستمرة والوصول (S3، Swift، NFS)

2. طبقة أنطولوجيا الأمان يوسع النموذج المعمارية الأساسية ليشمل الفئات الأمنية التالية:

  • sec:IdentityProvider (مثل Keycloak و Okta)
  • sec:AuthenticationMechanism (مثل OAuth 2.0 و SAML)
  • sec:AuthorizationMechanism (مثل RBAC و ABAC)
  • sec:EncryptionMethod (مثل AES-256 و TLS 1.3)

3. آلية محاذاة المعايير من خلال خاصية sec:implementsStandard، يتم تعيين آليات الأمان إلى ضوابط امتثال محددة:

sec:RBAC sec:implementsStandard 
    nist80053:AC-3,           # فرض الوصول
    iso27001:A.9.4.1,        # تقييد الوصول إلى المعلومات
    csa:IVS-02 .              # إدارة الهوية والوصول

نقاط الابتكار التقني

1. التعيين عبر المعايير

  • أول تطبيق رسمي لتعيين معايير المعمارية (ISO/IEC 22123) مع معايير الأمان (ISO/IEC 27001)
  • يدعم التحقق من الامتثال متعدد الأطر (ISO و NIST و CSA و AWS و GDPR)

2. قدرات الاستدلال الدلالي

  • يدعم التمثيل القائم على RDF الاستدلال والتحقق الآلي
  • يحقق فحوصات امتثال معقدة من خلال استعلامات SPARQL

3. التصميم المحايد للبائع

  • يسمح تعريف الواجهات المجردة بتعيين تطبيقات البائعين المختلفة
  • يدعم نمذجة موحدة لبيئات السحابة الهجينة والمتعددة

إعداد التجربة

بيانات دراسات الحالة

تعيين مكونات OpenStack:

  • Keystone → مزود الهوية + واجهة التحكم
  • Swift → واجهة البيانات
  • Ceilometer → واجهة التدقيق
  • Neutron → عزل الشبكة
  • Barbican → إدارة المفاتيح

تعيين خدمات AWS:

  • IAM → مزود الهوية + واجهة العمل
  • S3 → واجهة البيانات
  • CloudTrail → واجهة التدقيق

أدوات التحقق

  • استعلامات SPARQL: للفحوصات المعقدة للامتثال
  • التحقق من SHACL: للتحقق من قيود النموذج
  • توافق Protégé: يدعم تحرير الأنطولوجيا والاستكشاف

أدوات التطبيق

  • تمثيل صيغة RDF/Turtle
  • Python + rdflib لتحويل البيانات
  • OpenStack CLI لاستخراج البيانات الفعلية

نتائج التجربة

نتائج التحقق الرئيسية

1. مثال على فحص الامتثال الآلي

# التحقق من واجهات البيانات التي لم يتم التصريح بتشفيرها
SELECT ?data WHERE {
    ?data a cloudeng:DataInterface .
    FILTER NOT EXISTS { ?data sec:encryptsData ?enc }
}

2. التحقق من قيود SHACL

# يتطلب أن تصرح واجهات البيانات بطريقة تشفير
cloudeng:DataInterfaceShape
    sh:targetClass cloudeng:DataInterface ;
    sh:property [
        sh:path sec:encryptsData ;
        sh:minCount 1 ;
        sh:message "Data interfaces must declare an encryption method"
    ] .

تحليل الحالات العملية

مثال محرك سحابة هجين:

cloudeng:HybridCompliantEngine
    cloudeng:hasControlInterface openstack:Keystone ;
    cloudeng:hasBusinessInterface aws:IAM ;
    cloudeng:hasAuditInterface aws:CloudTrail ;
    cloudeng:hasDataInterface aws:S3 ;
    sec:hasSecurityPolicy sec:EnterpriseCloudPolicy .

نتائج التحقق

  • نجح النموذج في تحديد عيوب التكوين (مثل التصريحات المشفرة المفقودة)
  • يدعم التحقق من الامتثال الموحد عبر البائعين
  • ينتج توصيات إصلاح قابلة للتنفيذ تلقائياً

الأعمال ذات الصلة

الاتجاهات البحثية الرئيسية

  1. توحيد واجهات السحابة: تركز بروتوكولات مثل OCCI بشكل أساسي على مستوى التحكم
  2. أطر العمل الأمنية والامتثال: توفر معايير مثل ISO/IEC 27001 و NIST SP 800-53 فهارس التحكم
  3. النمذجة الدلالية: تُستخدم أطر عمل مثل SmartData 4.0 للوصف الرسمي لمشاكل البيانات الضخمة

مزايا هذه الورقة

  • أول نموذج دلالي موحد يدمج وجهات نظر المعمارية والأمان
  • يدعم الاستدلال والتحقق الآلي، بدلاً من مجرد توفير إرشادات ثابتة
  • تصميم محايد للبائع يدعم بيئات السحابة المتعددة

الخلاصة والمناقشة

الاستنتاجات الرئيسية

  1. يقترح أول نموذج دلالي لمحركات السحابة متوافق مع المعايير، ينجح في ربط معايير المعمارية والامتثال
  2. توفر طريقة التحلل ذات الواجهات الأربع رؤية معمارية واضحة لأنظمة السحابة
  3. يدعم تطبيق RDF/Turtle التحقق من الامتثال الآلي والاستدلال الدلالي
  4. يتحقق من جدوى النموذج في بيئات OpenStack و AWS

القيود

  1. الاعتماد على الإصدار: قد تؤثر الاختلافات في إصدارات منصات مثل OpenStack على تطبيق النموذج
  2. تطور المعايير: يتطلب تحديثاً مستمراً للتكيف مع تطور معايير ISO/IEC
  3. اعتبارات الأداء: يتطلب التحقق من أداء الاستدلال الدلالي في النشر على نطاق واسع
  4. تعقيد التطبيق: يتطلب معرفة متخصصة للتطبيق الصحيح للنموذج

الاتجاهات المستقبلية

  1. تكامل نمذجة التهديدات: إضافة بنى نمذجة التهديدات مثل MITRE ATT&CK
  2. أدوات توليد السياسات: تطوير أدوات لتوليد SHACL من تعريفات السياسات
  3. توحيد المجتمع: نشر الأنطولوجيا مع URIs مستقرة لاعتماد المجتمع
  4. تكامل SmartData 4.0: التكامل العميق مع إطار عمل SmartData 4.0 لتحقيق السحابة الذكية والمستقلة

التقييم المتعمق

المزايا

  1. مساهمة نظرية بارزة: أول تطبيق رسمي لتوحيد معايير المعمارية والأمان، يملأ فجوة بحثية مهمة
  2. قيمة عملية عالية: يوفر تطبيقاً كاملاً لـ RDF/Turtle وأدوات تحقق، يدعم النشر الفعلي
  3. درجة عالية من التوحيد: يتبع بدقة معايير ISO/IEC، مما يضمن السلطة والقبول
  4. مسار تقني واضح: تصميم سير عمل كامل من النمذجة الدلالية إلى التحقق الآلي معقول

أوجه القصور

  1. عمق التقييم محدود: يفتقد تقييم الأداء وقابلية التوسع للنشر الفعلي على نطاق واسع
  2. غياب البحث عن المستخدم: لا يوفر دراسات تجريبية حول قبول المستخدم وسهولة الاستخدام
  3. تحليل المقارنة غير كافٍ: المقارنة الكمية مع طرق نمذجة أمان السحابة الأخرى محدودة
  4. نضج الأداة: الأدوات المقدمة هي في الغالب إثبات مفهوم، بعيدة عن الجاهزية للإنتاج

التأثير

  1. القيمة الأكاديمية: توفر نموذج بحثي جديد ومنهجية لمجال نمذجة أمان السحابة
  2. الأهمية الصناعية: قد تدفع مزودي خدمات السحابة لاعتماد إطار عمل أمان وامتثال معياري
  3. دفع التوحيد: قد تؤثر على صياغة معايير ISO/IEC المستقبلية المتعلقة بالحوسبة السحابية
  4. المساهمة مفتوحة المصدر: يوفر تطبيق RDF/Turtle كامل أساساً قابلاً لإعادة الاستخدام للمجتمع

السيناريوهات المعمول بها

  1. حوكمة السحابة للمؤسسات: إدارة أمان موحدة لبيئات السحابة المتعددة للمؤسسات الكبيرة
  2. تدقيق الامتثال: فحص الامتثال الآلي لخدمات السحابة وتوليد التقارير
  3. تصميم معمارية السحابة: تصميم معمارية سحابية محايدة للبائع بناءً على المعايير
  4. تقييم الأمان: تقييم مخاطر الأمان الهيكلي لنشر السحابة

المراجع

المراجع الأساسية للمعايير:

  • ISO/IEC 27001:2022 - أنظمة إدارة أمان المعلومات
  • ISO/IEC 22123 - معمارية مرجعية سحابية
  • ISO/IEC TR 3445:2022 - تدقيق خدمات السحابة
  • NIST SP 800-53 Rev. 5 - ضوابط الأمان والخصوصية

مراجع التطبيق التقني:

  • معيار OCCI من Open Grid Forum
  • وثائق مشروع OpenStack
  • AWS Well-Architected Framework
  • مواصفات W3C RDF

التقييم الإجمالي: هذه ورقة ذات قيمة نظرية وعملية مهمة في مجال نمذجة أمان السحابة. نجح المؤلف في دمج معايير دولية متعددة في إطار عمل دلالي موحد، مما يوفر حلاً جديداً للامتثال المعياري في الحوسبة السحابية. على الرغم من وجود مجال للتحسن في التحقق من النشر الفعلي، فإن مساهمتها النظرية والابتكار التقني يضعان أساساً متيناً لتطور هذا المجال.