كل الأعمال
قصة عمل DevOps حقيقية — أمان، بنية تحتية، ومراقبة

DevOps & Security — منصة تعليمية

قصة حقيقية من بيئة إنتاج لعميل يدير منصة تعليمية: اكتشفنا محاولات اختراق آلية على لوحة إدارة المنصة، وأعدنا بناء بنية تشغيل ونشر آمنة على AWS + Cloudflare Zero Trust، مع مراقبة دقيقة تكشف أي خلل قبل أن يصل للمستخدم.

DevOps / SREأمان تطبيقات ويببنية تحتية سحابيةمراقبة وتنبيهات
بنية تقنية مستقرة — Nginx · Docker · Next.js · HTTPS
المشكلة

ما الذي واجهه العميل

خلال تشغيل المنصة التعليمية للعميل في الإنتاج، بدأت تصل تنبيهات Critical بأن لوحة الإدارة (Admin) غير مستقرة. الفحص الأولي أظهر أن الخوادم والحاويات تعمل، لكن عند مراجعة سجلات Apache والتطبيق ظهر النمط الحقيقي: محاولات وصول آلية لملفات حسّاسة مثل ‎.env و ‎.git/config، ومحاولات تنفيذ أوامر عبر ‎/cgi-bin/../../bin/sh، من عناوين IP متغيّرة حول العالم. لم يحصل اختراق فعلي، لكن مجرّد أن لوحة الإدارة مكشوفة للإنترنت العام كان يسبّب ضغطًا، عدم استقرار، وتنبيهات متكررة. الجذر لم يكن عطلًا تقنيًا — بل تصميم تعرّض خاطئ.

الحل

كيف عالجناه

بدل معالجة الأعراض (كتم التنبيهات أو رفع timeout)، عملنا مع العميل على معالجة الجذر. أعدنا هندسة طريقة الوصول إلى خوادم المنصة بالكامل: أصبحت Cloudflare هي البوابة الوحيدة (Edge Gateway)، وفعّلنا Cloudflare Zero Trust Access على لوحة الإدارة، بحيث لا تصل أي بكرة إلى الخادم قبل التحقق من هوية المستخدم. على مستوى الشبكة في AWS، أغلقنا المنافذ 80/443 أمام الإنترنت وسمحنا بها فقط لنطاقات Cloudflare عبر Terraform. بعدها ضبطنا Blackbox Exporter ليتوافق مع الحماية الجديدة، فعاد الرصد دقيقًا بدون تنبيهات كاذبة، ووثّقنا كل شيء في Runbook و Playbook جاهزَين لأي حادث مستقبلي.

ما الذي تم بناؤه؟

مكونات المشروع

  • تحقيق حادث كامل: تحليل سجلات Apache والتطبيق، وتمييز محاولات الاختراق الآلية عن الأعطال التشغيلية
  • استجابة سريعة (Containment): إغلاق التعرّض على مستوى Web Server قبل الوصول للتطبيق
  • تحويل Cloudflare إلى نقطة الدخول الوحيدة، وإخفاء IP الحقيقي للسيرفر تمامًا
  • تفعيل Cloudflare Zero Trust Access على لوحة الإدارة — دخول قائم على هوية بدل كلمة مرور مشتركة
  • تشديد Security Group على AWS: قبول 80/443 فقط من نطاقات Cloudflare، وSSH محصور بعنوان IP واحد
  • أتمتة إعدادات الشبكة عبر Terraform (aws_vpc_security_group_ingress_rule)
  • ترتيب Apache كـ Reverse Proxy أمام حاويات Docker (Frontend, Admin, Services) بشكل ثابت وقابل للصيانة
  • تنظيم عملية النشر والتحديثات لتكون واضحة، متكررة، وبأقل مخاطر ممكنة
  • إعداد Blackbox Exporter لمراقبة HTTP و SSL وزمن الاستجابة من خارج الشبكة
  • قواعد تنبيه مضبوطة على Alertmanager بحيث لا يوجد تنبيه كاذب ولا تنبيه ضائع
  • توثيق كامل: Playbook لمعالجة حوادث الأمان على خدمات الويب، و Runbook لتشغيل النظام
  • تحقق نهائي من المعمارية: probe_success = 1، وIP المصدر لا يستجيب لأي طلب مباشر
صور المشروع

لقطات من الواجهة

حماية لوحة الإدارة — وصول آمن للمسؤولين فقط
بنية تقنية مستقرة — Nginx · Docker · Next.js · HTTPS
مراقبة وأمان مستمر — Uptime · Alerts · Cloudflare · Zero Trust
Grafana — Global Kubernetes Dashboard
Grafana — kube-state-metrics (Cluster / Node)
النتيجة

انتقل العميل من نموذج (Origin مكشوف للإنترنت) إلى معمارية Zero Trust كاملة: Cloudflare هي البوابة الوحيدة، لوحة الإدارة محمية بهوية على حافة الشبكة، والسيرفر مغلق تمامًا على مستوى AWS. النتيجة: لا محاولات اختراق فعّالة، لا تنبيهات كاذبة، استقرار أعلى، ومراقبة دقيقة تكشف أي مشكلة قبل أن تصل للمستخدم — وهذا هو معنى عمل DevOps الحقيقي الذي نقدّمه: لا نبني الواجهة فقط، بل نبني الأساس الذي يحملها بأمان.

هل تريد نظامًا مشابهًا؟

ابدأ باستشارة مجانية، ونحدد معًا أفضل مسار لمشروعك.

مشاريع أخرى