Secur-SA — متطلبات البنية والمواصفات التقنية

1 المعمارية العامة

تتكوّن المنصّة من وكلاء على أجهزة العملاء، يتّصلون صادراً عبر قناةٍ مشفّرة بخادمٍ سحابي مُستضاف داخل المملكة، يضمّ محرّك Wazuh والمفهرس واللوحة والواجهة الخلفية متعددة المنشآت:

جهة العميل (أي شبكة بها إنترنت)

جهاز + وكيلحاسب/خادم

جهاز + وكيلفرع آخر

جهاز + وكيلعمل عن بُعد

↓ اتصالٌ صادر مشفّر (TLS) — لا منافذ واردة على الأجهزة

السحابة — داخل المملكة العربية السعودية

موازِن الحمل + إنهاء TLS (نقطة الدخول العامة)

اللوحة + الواجهة الخلفيةSaaS متعدد المنشآت

خادم Wazuh (المدير)التحليل والاستجابة

المفهرسOpenSearch

قاعدة البياناتPostgreSQL

التخزين الكائنينسخ/تقارير

عزل المنشآت (Multi-tenancy): يُفصل كل عميل منطقياً عبر مجموعات الوكلاء والصلاحيات وفصل البيانات، بحيث لا يرى أي عميل بيانات غيره.

2 المكوّنات وأدوارها

المكوّن	الدور	التقنية
الوكيل (Agent)	مراقبة الجهاز، كشف مبكّر، تنفيذ أوامر العزل والاستجابة	وكيل Wazuh
خادم/مدير Wazuh	استقبال البيانات، تطبيق قواعد الكشف، تنسيق الاستجابة الآلية	Wazuh Server
المفهرس	فهرسة وتخزين التنبيهات والبحث السريع	Wazuh Indexer (OpenSearch)
اللوحة	عرض الحالة والتنبيهات والتقارير	Wazuh Dashboard
الواجهة الخلفية	إدارة المنشآت والاشتراكات والمستخدمين وأتمتة الامتثال والتقارير	FastAPI (Python)
قاعدة البيانات	بيانات الحسابات والاشتراكات والإعدادات	PostgreSQL (مُدارة)
التخزين الكائني	النسخ الاحتياطية وملفّات التقارير	Object Storage
موازِن الحمل	توزيع الطلبات وإنهاء TLS ونقطة الدخول الآمنة	Load Balancer

3 مواصفات السحابة حسب المرحلة

المواصفات تعتمد على عدد الأجهزة ومعدّل الأحداث (EPS) ومدّة الاحتفاظ. فيما يلي مواصفاتٌ إرشادية لثلاث مراحل.

أ) مرحلة التجربة / الـMVP — حتى ~100 جهاز

خادمٌ موحّد «All-in-one» يكفي عادةً لما يصل إلى 100 جهاز مع 90 يوماً من التنبيهات المفهرسة.

المكوّن	vCPU	الذاكرة	التخزين	ملاحظات
خادم Wazuh موحّد (مدير+مفهرس+لوحة)	8	16–32 GB	200 GB SSD	كافٍ للتجربة وأول العملاء
الواجهة الخلفية (FastAPI)	2–4	8 GB	40 GB SSD	قابلة للدمج مؤقتاً
قاعدة بيانات مُدارة (PostgreSQL)	2	8 GB	50 GB	يُفضّل خدمة مُدارة
تخزين كائني + موازِن حمل + TLS	—	—	100 GB+	يتوسّع حسب الحاجة

ب) مرحلة النمو — مئات الأجهزة

يُفصل المفهرس عن المدير لأداءٍ أفضل.

المكوّن	vCPU	الذاكرة	التخزين
خادم/مدير Wazuh + اللوحة	8	16 GB	100–200 GB SSD
المفهرس (OpenSearch)	8	32 GB	200–500 GB SSD
الواجهة الخلفية	4	8–16 GB	40 GB
قاعدة بيانات مُدارة	2–4	8–16 GB	100 GB
تخزين كائني (نسخ/تقارير)	—	—	250 GB+

ج) مرحلة التوسّع — 1000 جهاز فأكثر

عنقودٌ متعدد العقد مع توفّرٍ عالٍ. والتوسّع أفقياً (إضافة عقد) أفضل من تكبير عقدةٍ واحدة.

المكوّن	العقد	vCPU/عقدة	الذاكرة/عقدة	التخزين/عقدة
عنقود مدير Wazuh	2–3	12–16	32–64 GB	200 GB SSD
عنقود المفهرس	2–3	8–16	32–64 GB	500 GB+ SSD
الواجهة الخلفية (نسخ متعددة)	2+	4	8–16 GB	40 GB

مرجع سعوي: عقدة مدير واحدة بـ 16GB/8vCPU تتحمّل ~5000 حدث/ثانية؛ وإدارة ~1000 وكيل بخادمٍ واحد تتطلّب ~32 vCPU/64GB أو الأفضل عنقوداً متعدد العقد. (وفق توثيق Wazuh.)

4 التخزين والاحتفاظ

حجم التخزين يعتمد على عدد التنبيهات في الثانية (APS) ونوع الأجهزة ومدّة الاحتفاظ.
مثالٌ من توثيق Wazuh: بيئةٌ من 80 محطة عمل و10 خوادم و10 أجهزة شبكة تحتاج نحو 231 GB لتخزين 90 يوماً من التنبيهات.
تُفعّل سياسات دورة حياة الفهرس (Hot / Cold / Delete) للتحكّم بالتكلفة وحذف البيانات القديمة تلقائياً.
تُؤخذ نسخٌ احتياطية دورية (Snapshots) إلى التخزين الكائني.

قاعدة تقديرية للتخطيط: احسب التخزين ≈ (متوسط الحجم لكل جهاز × عدد الأجهزة × أيام الاحتفاظ) + 20% احتياطي، وراقِب الاستهلاك الفعلي بعد التشغيل واضبط الاحتفاظ.

5 الشبكة والاتصال والمنافذ

الوكلاء يتّصلون صادراً بالخادم؛ لا حاجة لفتح منافذ واردة على أجهزة العملاء (يعمل عبر NAT والجدران النارية ما دام الخروج للإنترنت مسموحاً).

المنفذ	الاستخدام	الاتجاه
1514/TCP	اتصال الوكيل بالمدير (مشفّر)	صادر من الجهاز
1515/TCP	تسجيل الوكلاء (Enrollment)	صادر من الجهاز
443/TCP	اللوحة والواجهة (HTTPS)	وارد للسحابة عبر موازِن الحمل
9200/TCP	المفهرس (OpenSearch)	داخل الشبكة الخاصة فقط
55000/TCP	واجهة Wazuh API	داخل الشبكة الخاصة فقط

بنية الشبكة: شبكةٌ افتراضية خاصة (VPC) مع شبكاتٍ فرعية عامة (موازِن الحمل) وخاصة (المفهرس/قاعدة البيانات)، ومجموعات أمان تقصر الوصول الداخلي على المكوّنات المعنية فقط.

# مثال: السماح للوكلاء بالاتصال الصادر فقط (جهة العميل) outbound: manager.secur-sa.com : 1514, 1515 (TCP, TLS) inbound : none # لا منافذ واردة على الأجهزة

6 الأمن والتحصين

التشفير: AES‑256 للبيانات أثناء التخزين، وTLS 1.3 أثناء النقل.
الهوية والصلاحيات: مصادقة ثنائية (MFA) وتحكّم دقيق بالأدوار (RBAC) ومبدأ الحد الأدنى من الصلاحيات.
إدارة الأسرار: حفظ المفاتيح وكلمات السر في خزنة أسرار مُدارة (لا في الكود).
عزل المنشآت: فصلٌ منطقي صارم لبيانات كل عميل.
التحديث والترقيع: تحديثٌ دوري للأنظمة وقواعد الكشف ومؤشّرات التهديد.
السجلّات والتدقيق: تسجيل الوصول والعمليات الحسّاسة ومراجعتها.
النسخ الاحتياطي: نسخٌ دورية مشفّرة قابلة للاستعادة.
تصليب البنية: إغلاق المنافذ غير اللازمة، شبكات خاصة للمكوّنات الداخلية، جدار حماية تطبيقي.

7 الاستضافة المتوافقة في السعودية

استضافة البيانات داخل المملكة ضرورية للامتثال — تفرض الهيئة الوطنية للأمن السيبراني (NCA) إقامة البيانات لتصنيفاتٍ معيّنة (خصوصاً بيانات الجهات الحكومية والبيانات الشخصية للسعوديين)، وهو أمرٌ حسّاس لقطاعَي الصحة والتمويل.

المزوّد	المنطقة داخل المملكة	الحالة	ملاحظة
Google Cloud	الدمام	حيّة	ممتاز لِبنية Linux/الحاويات + رصيد الشركات الناشئة
AWS	الرياض (me-central-2)	حيّة (2026)	أوسع الخدمات + يلبّي متطلبات ساما/NCA
Oracle OCI	جدة + الرياض	حيّة	تنافسيٌّ في التكلفة
Microsoft Azure	المنطقة الشرقية	الربع الأخير 2026	للمتعاملين مع منظومة مايكروسوفت
STC Cloud / SCCC	الرياض	حيّة	سيادي — عقودٌ تحت القانون السعودي (للعملاء المنظّمين)

التوصية

للمرحلة الحالية (MVP/تجريبي): ابدأ على Google Cloud — الدمام أو AWS — الرياض (كلاهما داخل المملكة، وبهما برامج رصيد للشركات الناشئة، وملائمان لِبنية Wazuh).
للعملاء الأكثر تنظيماً (عيادات/تقنية مالية): STC Cloud / center3 (أو SCCC Alibaba Cloud) كبديلٍ سيادي.

تنبيه: هذه إرشادات لا ترويج — تحقّق مباشرةً من شهادات الامتثال الحالية (NCA / CST) وبنود إقامة البيانات في العقد، ومن أهلية أرصدة الشركات الناشئة والأسعار، قبل الالتزام.

8 التوافر والنسخ الاحتياطي

هدف التوافر: 99.5% شهرياً للوحة (يرتفع مع التوسّع وإضافة التوفّر العالي).
التوفّر العالي (HA): عقدٌ متعددة للمدير والمفهرس خلف موازِن حمل في مراحل النمو.
النسخ الاحتياطي: Snapshots دورية مشفّرة للتخزين الكائني + نسخ قاعدة البيانات.
التعافي من الكوارث: خطة استعادة مُختبَرة وأهداف زمنية (RTO/RPO) تُحدَّد حسب الباقة.
الصيانة: نوافذ صيانة خارج ساعات العمل بإشعارٍ مسبق.

9 خارطة الطريق: من النموذج إلى الإنتاج

المرحلة	الوصف	البنية
النموذج الأوّلي (الآن)	واجهات ولوحة محاكاة وقواعد وسكربتات توضيحية — للعرض	جهاز محلي / خادم تجريبي صغير
الـMVP	وكلاء حقيقيون ← خادم سحابي، كشفٌ وعزلٌ فعلي، لوحة بتسجيل دخول، تقارير — مع 1–2 عميل تجريبي	خادم موحّد داخل المملكة (المرحلة أ)
النمو	عملاء أكثر، فصل المكوّنات، تحسين الأداء والامتثال	مكوّنات مفصولة (المرحلة ب)
الإنتاج/التوسّع	تحصين، توفّر عالٍ، تدقيق، مستوى خدمة ودعم	عنقود متعدد العقد (المرحلة ج)

ملاحظة بصدق: وضع المنتج الحالي نموذجٌ أوّلي؛ والمواصفات أعلاه للبنية المستقبلية عند البناء الفعلي. الأرقام إرشادية، والمقاسات النهائية تُحدَّد بعدد الوكلاء ومعدّل الأحداث ومدّة الاحتفاظ. لا حاجة لإنفاقٍ سحابي كبير قبل بناء الـMVP والتجربة الميدانية.