أمن السحابة لا يبدأ بأداة، بل بفهم من يملك المسؤولية. أغلب الاختراقات السحابية سببها misconfiguration من جهة العميل وليس ثغرة في الـ provider. مهمتك كـ presales architect أن تشرح للعميل أين تنتهي حدود مسؤولية الـ cloud provider وأين تبدأ مسؤوليته هو، ثم تربط ذلك بأدوات مثل CSPM و CWPP و CNAPP وبالسياق التنظيمي في الخليج.

• 1Shared Responsibility Model هو نقطة البداية في أي حوار: الـ provider يؤمّن السحابة نفسها (security OF the cloud)، والعميل يؤمّن ما يضعه داخلها (security IN the cloud) — والحدّ الفاصل يتحرّك حسب IaaS أو PaaS أو SaaS.
• 2CSPM (Cloud Security Posture Management) يكتشف الـ misconfigurations و الـ compliance drift في الـ control plane — buckets مفتوحة، IAM واسعة، تشفير مفقود — وهو أول ما يحتاجه أي عميل بدأ التوسّع السحابي.
• 3CWPP (Cloud Workload Protection Platform) يحمي الـ workloads نفسها وقت التشغيل: VMs و containers و serverless — vulnerability scanning و runtime threat detection داخل الـ data plane.
• 4CNAPP (Cloud-Native Application Protection Platform) يدمج CSPM و CWPP و CIEM و وقاية الـ pipeline في منصّة واحدة — وهو الاتجاه الذي يطلبه العميل اليوم بدل شراء أدوات منفصلة (tool sprawl).
• 5فرق IaaS/PaaS/SaaS يحدّد حجم مسؤولية العميل: في IaaS يملك العميل الـ OS فما فوق، في PaaS يملك الـ app و الـ data فقط، في SaaS يملك الـ data و الـ identity و الـ access configuration — والبيع يختلف لكل حالة.

• معماريًا، CSPM يعمل agentless عبر API connectors يقرأ الـ cloud control plane (read-only)، بينما CWPP غالبًا agent-based أو يستخدم eBPF داخل الـ workload لرؤية الـ runtime. CNAPP يجمع المسارين ويضيف طبقة correlation تربط ثغرة في image بـ exposure فعلي في الإنتاج (مفهوم الـ attack path / toxic combination) — وهذه الـ prioritization هي ما يميّز CNAPP الحديث عن مجرد دمج أدوات.
• في مقارنة المنافسين: Wiz و Palo Alto Prisma Cloud و CrowdStrike Falcon Cloud Security و Microsoft Defender for Cloud تتنافس في فئة CNAPP. Wiz اشتهرت بـ agentless deployment السريع (أسبوع للقيمة)، Prisma بالعمق والتغطية الواسعة، Defender بالتكامل العميق مع Azure و M365 و التسعير المدمج. للعميل الذي يعيش في Azure غالبًا يكون Defender الخيار الافتراضي، بينما multi-cloud يميل لـ Wiz أو Prisma — وهذه هي زاوية النقاش الحقيقية مع العميل.
• سياق الخليج والتنظيم: تبنّي السحابة في السعودية تسرّع مع Vision 2030 و إطلاق regions محلية لـ Google Cloud و Oracle و AWS و Microsoft داخل المملكة. لكن الـ data residency تحكمها ضوابط NCA (الهيئة الوطنية للأمن السيبراني) عبر ECC و CCC (Cloud Cybersecurity Controls)، إضافة لتصنيف البيانات من SDAIA و PDPL. أي عرض سحابي للعميل الحكومي أو شبه الحكومي يجب أن يثبت أن الـ workload و الـ data يبقيان داخل region سعودي معتمد — وهذه هي أول نقطة يسألها العميل المؤسسي هنا.