בין אם אתם עוסקים באבטחת ענן, הטייטל שלכם הוא CloudSec/CloudOps או עוסקים בשליטה בהפצה בענן ואבטחתו, לרבות ניהול זהויות וגישות, שירותי הצפנה וזיהוי משתמשים ואפליקציות, הנה כמה תובנות שיוכלו לעזור לכם בתפקוד היומיומי.
ראשית, לרוב הארגונים אין פתרון אבטחה מתאים והרמטי. באשר לרוב פתרונות האבטחה בענן, נראה שהחברות הפעילו את האופציה של אבטחת הענן, עשו מספר התאמות וסיכמו את המשימה כהצלחה.
שנית, אבטחה לרוב לא נתפסת כמשהו הדורש שיפור תמידי באמצעות טכנולוגיה. למעשה, ברגע שמערכת הענן מאובטחת- אגף טכנולוגיות המידע אינו שש לשנות או לשדרג את האבטחה, דבר היכול להרים דגל אדום. כלומר, רק אם תמשיכו לשפר את מערכות האבטחה שלכם ולהשתמש בפרקטיקות, בכלים ואפילו ב"האקים" קלים לשימוש, תוכלו להקטין משמעותית את הסיכון שלכם לפרצת אבטחה.
עסקים דורשים גמישות, אך אגף מערכות מידע דורש בקרה. התנהלו מולם לפי הדרישות שלכם, ולא להיפך. אם אתם מעוניינים לדעת מהם אותם האקים – תכף תבינו שהם היו כל הזמן מתחת לאף שלכם.
יש לא מעט מערכות אבטחה הפועלות במנותק משאר היחידות. הן לא חולקות מידע ונתונים לגבי משתמשים, מערכות ומכשירים. לעומת זאת, מערכות IAM כן מבינות את חשיבות העקרון, והן משתמשות בשירותי Directory. רוב אנשי אבטחת הענן לא משתמשים במערכות אלו, או משתמשים בהן מבלי לאפשר את שיתוף המידע האוטומטי באמצעות מערכת ה-Directory.
בלי אינטגרציה זו, אם עובד בעל גישה/ הרשאה עוזב את החברה או מפוטר, ייתכן שהוא לא יוסר ממערכת האבטחה בענן, מפני שחוסר הסנכרון דורש שכל גורם יעדכן את המידע אצלו במערכת. כשמדובר ביותר מגורם אחד, ישנו סיכון לא מבוטל לכך שתהיה לאותו עובד את היכולת לחולל נזקים של ממש בארגון שלכם.
מערכות ניהול של משאבים ושירותים צריכות לעבוד ביחד, אך המצב בפועל הפוך לחלוטין. לדוגמא, שקלו את היתרון של יכולת פיקוח על שימוש לא הולם במערכת האחסון. משתמש שעובר על המדיניות בחברה, עלול להיות סיכון אבטחה של ממש ורצוי להגביל את הגישה שלו או למנוע אותה לחלוטין.
לרוב, מי שמשתמש ב-DevOps Toolchains מבין את הערך של כלי בדיקה אוטומטיים, אבל עדיין יש לא מעט כאלו הנמנעים מהשימוש בהם.
כאשר אתם מאפשרים את מבדקי האבטחה כחלק מהמערכות האוטומטיות שלכם, תוכלו למצוא בעיות בקוד וברמות הנתונים, הרבה לפני שהן יעברו לסביבת הפיתוח שלכם. אפליקציות שיעברו את ההליך הפשוט הזה, צפויות להיות חשופות לחמישית מהסיכונים, מאשר אלו שעוברות בחינה חלקית או לא עוברות אותה כלל.
לסיכום, מומלץ לבחון את הפרקטיקות הללו בארגון, לפעול בהתאם להן ולראות את התוצאות בפועל. זהירות: יכול להיות שלא תאמינו איך לא יישמתם אותן עד כה.
בין אם אתם עוסקים באבטחת ענן, הטייטל שלכם הוא CloudSec/CloudOps או עוסקים בשליטה בהפצה בענן ואבטחתו, לרבות ניהול זהויות וגישות, שירותי הצפנה וזיהוי משתמשים ואפליקציות, הנה כמה תובנות שיוכלו לעזור לכם בתפקוד היומיומי.
ראשית, לרוב הארגונים אין פתרון אבטחה מתאים והרמטי. באשר לרוב פתרונות האבטחה בענן, נראה שהחברות הפעילו את האופציה של אבטחת הענן, עשו מספר התאמות וסיכמו את המשימה כהצלחה.
שנית, אבטחה לרוב לא נתפסת כמשהו הדורש שיפור תמידי באמצעות טכנולוגיה. למעשה, ברגע שמערכת הענן מאובטחת- אגף טכנולוגיות המידע אינו שש לשנות או לשדרג את האבטחה, דבר היכול להרים דגל אדום. כלומר, רק אם תמשיכו לשפר את מערכות האבטחה שלכם ולהשתמש בפרקטיקות, בכלים ואפילו ב"האקים" קלים לשימוש, תוכלו להקטין משמעותית את הסיכון שלכם לפרצת אבטחה.
עסקים דורשים גמישות, אך אגף מערכות מידע דורש בקרה. התנהלו מולם לפי הדרישות שלכם, ולא להיפך. אם אתם מעוניינים לדעת מהם אותם האקים – תכף תבינו שהם היו כל הזמן מתחת לאף שלכם.
יש לא מעט מערכות אבטחה הפועלות במנותק משאר היחידות. הן לא חולקות מידע ונתונים לגבי משתמשים, מערכות ומכשירים. לעומת זאת, מערכות IAM כן מבינות את חשיבות העקרון, והן משתמשות בשירותי Directory. רוב אנשי אבטחת הענן לא משתמשים במערכות אלו, או משתמשים בהן מבלי לאפשר את שיתוף המידע האוטומטי באמצעות מערכת ה-Directory.
בלי אינטגרציה זו, אם עובד בעל גישה/ הרשאה עוזב את החברה או מפוטר, ייתכן שהוא לא יוסר ממערכת האבטחה בענן, מפני שחוסר הסנכרון דורש שכל גורם יעדכן את המידע אצלו במערכת. כשמדובר ביותר מגורם אחד, ישנו סיכון לא מבוטל לכך שתהיה לאותו עובד את היכולת לחולל נזקים של ממש בארגון שלכם.
מערכות ניהול של משאבים ושירותים צריכות לעבוד ביחד, אך המצב בפועל הפוך לחלוטין. לדוגמא, שקלו את היתרון של יכולת פיקוח על שימוש לא הולם במערכת האחסון. משתמש שעובר על המדיניות בחברה, עלול להיות סיכון אבטחה של ממש ורצוי להגביל את הגישה שלו או למנוע אותה לחלוטין.
לרוב, מי שמשתמש ב-DevOps Toolchains מבין את הערך של כלי בדיקה אוטומטיים, אבל עדיין יש לא מעט כאלו הנמנעים מהשימוש בהם.
כאשר אתם מאפשרים את מבדקי האבטחה כחלק מהמערכות האוטומטיות שלכם, תוכלו למצוא בעיות בקוד וברמות הנתונים, הרבה לפני שהן יעברו לסביבת הפיתוח שלכם. אפליקציות שיעברו את ההליך הפשוט הזה, צפויות להיות חשופות לחמישית מהסיכונים, מאשר אלו שעוברות בחינה חלקית או לא עוברות אותה כלל.
לסיכום, מומלץ לבחון את הפרקטיקות הללו בארגון, לפעול בהתאם להן ולראות את התוצאות בפועל. זהירות: יכול להיות שלא תאמינו איך לא יישמתם אותן עד כה.
הודעתך לא התקבלה - נסה שוב מאוחר יותר
Oops! Something went wrong while submitting the form