.jpg)
ארגונים עסקיים רבים בוחרים כיום להשתמש בשירותי הענן הציבורי שמעניק מהירות ויעילות בהבטים טכנולוגיים המתורגמים ליתרונות עסקיים כגון הגדלת חדשנות, קיצור זמני ההשקה, שיפור חווית משתמש, הגברת הנגישות לאזורים גלובאליים, גידול במספר משתמשים, גמישות והתייעלות כלכלית.
עם זאת, השימוש ההולך וגדל בשירותי ותשתיות העננים הציבוריים, מייצר אתגרים חדשים עבור מנהלי מערכות המידע ואבטחת המידע. אלו נדרשים מצד אחד לאפשר את היעילות וחווית השימוש בשירותי העננים השונים, ומצד שני לשמור על אבטחת המידע והתקינה להם הארגון מחוייב ללא פשרות.
ספקי הענן הינם גופים טכנולוגיים ועסקיים ששאיפתם לפתח שירותים שיעניקו מענה לצורכי לקוחות מגוונים מאוד מחברות ענק ועד לחברות סטארטאפ. חשיבה זו, שבסיסה עסקי, עשויה לייצר פערים בין יכולות השירות המוצע ע"י ספק הענן לדרישות הארגון המשתמש בשירות, ובסוגיית אבטחת ושמירת המידע הנושא קריטי ביותר ומסכן את הארגון!
באופן שגוי, משתמשי הארגון מניחים לעיתים כי ספקי הענן דואגים לאבטחת הסביבות והמידע של הארגון בענן וכמובן שהדבר אינו כך. ספקי הענן אף מצהירים זאת בהכרזתם על "מודל האחריות המשותפת". על פי עקרונות המודל, ספק הענן אחראי על האבטחה של תשתית הענן עצמה "Off the cloud" (כולל מרכזי המחשוב הפיזיים בהם מאוחסן הציוד, החומרות עצמן: מחשב/רשת/אחסון כגון נתבים, מתגים ומאזני עומס, מערכות המיזוג והחשמל וכדומה). מעבר לכך, ובהתאם לסוג השירות שרכש הלקוח כל האחריות על סביבת הענן עצמה והמידע שבה “In the Cloud” מוטלת על הלקוח.
מדובר באחריות שיתופית אך בהחלט לא שוויונית.
לאור זאת, לא מפתיע כי במחקר שפירסמה חברת גרנטר נקבע כי "רוב תקלות אבטחת הענן הינם באשמת הלקוחות שלא מצליחים למלא את חלקם במודל האחריות המשותפת." (Gartner, Hype Cycle for Cloud Security, 2018) לכן אנו עוזרים למנהלי אבטחת המידע ולארגון להבין ולמלא את חלקם במודל האחריות המשותפת הקיים בכל סוגי העננים.
ארגונים רבים בוחרים לאמץ פתרונות ושירותי ענן מגוונים, לעיתים אף יחד ובו זמנית.
מרבית הארגונים בוחרים להמשיך ולהשתמש בתשתיות מחשוב מקומיות מבוססות ענן פרטי ובמקביל לבצע מיגרציה ופיתוח שרותים חדשים בעננים ציבוריים – מודל זה ידוע גם בשם ענן היברדי (Hybrid Cloud). לעיתים קרובות ארגונים אף בוחרים להשתמש במספר עננים ציבוריים שונים (AWS, Azure, GCP ואחרים) – ממגוון סיבות, מודל זה נקרא סביבה מרובת עננים (Multi Cloud).
מציאות זו הופכת להיות מאתגרת עוד יותר כאשר מאמצים גישות פיתוח עדכניות כדוגמת DevOps שימוש בתהליכי CI ו-CD, אוטומציה של תהליכים, שימוש בסביבות נטולות שרתים (serverless) וסביבות זמניות ודינמיות כמו פונקציות כשירות (Faas), תשתיות כקוד (IaaC) , קונטיינרים, בוטים ועוד.
כל ספק ענן ציבורי מציע כלים בסיסיים המותאמים לענן עצמו, שעשויים לעזור ללקוחותיו לפקח ולאבטח את משאבי הענן שלהם - באחריות הארגון להחליט באלו כלים נכון להתשמש על מנת למלא את חלקו במודל "האחריות המשותפת" בענן.
חשוב לזכור כי כלי האבטחה של כל ספק יהיו מותאמים על פי רוב אך ורק להגנה ותמיכה נאותה בשירותי הענן שלו ויתנו מענה לכמה שיותר ממשתמשיו. שימוש בכלים של ספק הענן עשויים לפגוע בפעילות התקינה של הארגון ובשמירת המידע שלו ושל לקוחותיו. ולכן, ארגון הנדרש לנהל את מדיניות אבטחה עקבית המותאמת לסביבות ענן מרובות והיברידיות נדרש לכלים חדשים.
כאשר חושבים על ממדי העננים הציבוריים והפרישה הגיאוגרפית שלהם ניתן להבין בקלות כיצד הפכה סביבת הענן הציבורית למשטח התקפה רחב המושך אליו האקרים המחפשים פרצות ואזורים רגישים שאינם מאובטחים כראוי. ארגון העובר לענן חייב להכיר בעובדה כי בעקבות המעבר והשימוש בשירותי הענן הוא מגדיל באופן משמעותי את שטחי ההתקפה ואזורי הפגיעות שלו.
באחריות הלקוח ואנשי אבטחת המידע להתאים את אסטרטגיית אבטחת המידע שלהם עם המעבר לענן.
יישום ארכיטקטורת אבטחת מידע לארגון העובר לענני המחשוב הציבוריים מאפשרת:
• פתרונות אבטחה גמישים, מהירים ויעילים יותר.
• כל היתרונות העסקיים של הפעלה בענן אך בצורה מאובטחת וניהול מרכזי.
• הגנה על איומים מדורות מתקדמים והרחבת ההגנה על שטחי ההתקפה החדשים.
כאשר ארגון מקים תשתיות וצורך שירותי ענן, ומעביר בין היתר עומסי עבודה, שירותי ליבה, ופיתוח יישומים עליו להבין, להפנים ולמלא את חלקו במודל "האחריות המשותפת" של ספקי הענן.
במודל IaaS, ספק הענן אחראי על אבטחת התשתית הפיזית והחומרה עצמה, אך על הארגון מוטלת האחריות לאבטחת ושמירת המידע, לניהול ההרשאות והגישה לסביבה ולמידע, להצפנה ולכל היבט אחר שאינו מוגדר במפורש תחת אחריות הספק. משימה זו מורכבת עוד יותר בעת הוספת שירותים אחרים בענן, ובמודלי השירות כמו PaaS ו- SaaS.
הכלים היעודיים (native tools) המוצעים ע"י ספק הענן, נותנים הגנות המותאמות לתשתיות הספק בלבד ולאיומים המוכרים לו. כלים אלו נותנים מענה חלקי להתקפות ואיומים מתקדמים: Gen VI וzero-day attacks. בנוסף כלים אלו מותאמים לתשתית הענן הציבורי של הספק ואינם מאפשרים ניהול ושליטה אחידה ומרכזית במודלי ענן היברדיים (ציבורי ופרטי יחד) ומולטי-קלאוד (תשתית ומשאבים ממספר עננים ציבוריים במקביל).
הענן הציבורי הינו תשתית שיתופית לארגונים ומשתמשים שונים. לאור התחכום, התדירות והיקף האיומים, אבטחת הענן חייבת לאמץ את מאפייני גישת ה"אין אמון" Zero Trust:
- כברירת מחדל אסור לסמוך אוטומטית על אף משתמש או מכונה
- יש לתת למשתמשים הרשאות מינימליות הנדרשות בפועל לביצוע המשימות שלהם
- יש לאמת את כל התעבורה ולמזער את משטחי ההתקפה באמצעות הפרדת רשת יעילה
- יש לבצע Micro segmentation ובניית ארכיטקטורת אבטחת המידע שתתאים לגישת ה-Zero Trust באופן בו ההתקפה מבודדת ולא מתאפשר מעבר לאזורים ונכסים אחרים של הארגון בענן
ולסיכום,עקרונות הבסיס ביצירת ארכיטקרטורת ותצורת אבטחה המותאמת למעבר הארגון לשירותי הענן:
• אבטחה מתקדמת לרשתות, כמו גם וקטורי נתונים, מחשוב, העברת הודעות והתקפות זהות.
• סריקה שיטתית של כל תעבורת הנתונים והמידע (לסביבות ענן, מתוכה ובתוכה).
• הפרדה ומיקרו-הפרדה של כל סביבה ויישום בכדי למנוע פגיעה ברדיוס גדול.
• התאמת השימוש באבטחת המידע להליכי הזרימה והמהירות הנדרשת למשתמשים השונים ופיתוח עסקיי הארגון וזאת מביל לפגוע באכיפת מדיניות האבטחה הארגונית ובחוקיה.
• אוטומציה, יעילות וגמישות תפעולית ע"י הטמעת אבטחת המידע בשלבי פיתוח הקוד ותהליכי האינטגרציה הרציפה וההטמעה הרציפה (CI/CD) המהוות את הבסיס לצוותי ה DevOps.
• ארכיטקטורת האבטחה בענן צריכה להיות ללא גבולות, ללא הבחנה ואגנוסטית, בה ניתן לאכוף מדיניות אבטחה בעקביות בכל סביבות ומודלי הענן השונים (פרטי, ציבורי, היברידי, מולטי), בכדי לאפשר תחרותיות, חדשנות ופיתוח עסקי תוך צמצום טעויות אנוש ושימוש בתצורות שגויות.
• על ארכיטקטורת אבטחת המידע, לאפשר יצירה ואכיפת מדיניות אבטחת מידע אחידה בסביבות ענן ציבוריות ופרטיות, ולאפשר לצוותי אבטחת המידע להתמקד באבטחה ההיקפית ואיומי הסייבר החדשים ממקום מרכזי ואחוד, ולא בפעולות תיאום לאבטחת סביבת הענן של כל ספק.
רוצים להנות מיעילות וחווית שימוש בשירותי הענן ולשמור על רמת אבטחת מידע ללא פשרות בארגון? מוזמנים לפנות לכותב המאמר, שלומי עכו, מומחה לאבטחת הענן בצ'ק פוינט.
המאמר בחסות צ'ק פוינט
כדי ללמוד עוד על פתרונות אבטחת הענן של צ'ק פוינט לחצו כאן
ארגונים עסקיים רבים בוחרים כיום להשתמש בשירותי הענן הציבורי שמעניק מהירות ויעילות בהבטים טכנולוגיים המתורגמים ליתרונות עסקיים כגון הגדלת חדשנות, קיצור זמני ההשקה, שיפור חווית משתמש, הגברת הנגישות לאזורים גלובאליים, גידול במספר משתמשים, גמישות והתייעלות כלכלית.
עם זאת, השימוש ההולך וגדל בשירותי ותשתיות העננים הציבוריים, מייצר אתגרים חדשים עבור מנהלי מערכות המידע ואבטחת המידע. אלו נדרשים מצד אחד לאפשר את היעילות וחווית השימוש בשירותי העננים השונים, ומצד שני לשמור על אבטחת המידע והתקינה להם הארגון מחוייב ללא פשרות.
ספקי הענן הינם גופים טכנולוגיים ועסקיים ששאיפתם לפתח שירותים שיעניקו מענה לצורכי לקוחות מגוונים מאוד מחברות ענק ועד לחברות סטארטאפ. חשיבה זו, שבסיסה עסקי, עשויה לייצר פערים בין יכולות השירות המוצע ע"י ספק הענן לדרישות הארגון המשתמש בשירות, ובסוגיית אבטחת ושמירת המידע הנושא קריטי ביותר ומסכן את הארגון!
באופן שגוי, משתמשי הארגון מניחים לעיתים כי ספקי הענן דואגים לאבטחת הסביבות והמידע של הארגון בענן וכמובן שהדבר אינו כך. ספקי הענן אף מצהירים זאת בהכרזתם על "מודל האחריות המשותפת". על פי עקרונות המודל, ספק הענן אחראי על האבטחה של תשתית הענן עצמה "Off the cloud" (כולל מרכזי המחשוב הפיזיים בהם מאוחסן הציוד, החומרות עצמן: מחשב/רשת/אחסון כגון נתבים, מתגים ומאזני עומס, מערכות המיזוג והחשמל וכדומה). מעבר לכך, ובהתאם לסוג השירות שרכש הלקוח כל האחריות על סביבת הענן עצמה והמידע שבה “In the Cloud” מוטלת על הלקוח.
מדובר באחריות שיתופית אך בהחלט לא שוויונית.
לאור זאת, לא מפתיע כי במחקר שפירסמה חברת גרנטר נקבע כי "רוב תקלות אבטחת הענן הינם באשמת הלקוחות שלא מצליחים למלא את חלקם במודל האחריות המשותפת." (Gartner, Hype Cycle for Cloud Security, 2018) לכן אנו עוזרים למנהלי אבטחת המידע ולארגון להבין ולמלא את חלקם במודל האחריות המשותפת הקיים בכל סוגי העננים.
ארגונים רבים בוחרים לאמץ פתרונות ושירותי ענן מגוונים, לעיתים אף יחד ובו זמנית.
מרבית הארגונים בוחרים להמשיך ולהשתמש בתשתיות מחשוב מקומיות מבוססות ענן פרטי ובמקביל לבצע מיגרציה ופיתוח שרותים חדשים בעננים ציבוריים – מודל זה ידוע גם בשם ענן היברדי (Hybrid Cloud). לעיתים קרובות ארגונים אף בוחרים להשתמש במספר עננים ציבוריים שונים (AWS, Azure, GCP ואחרים) – ממגוון סיבות, מודל זה נקרא סביבה מרובת עננים (Multi Cloud).
מציאות זו הופכת להיות מאתגרת עוד יותר כאשר מאמצים גישות פיתוח עדכניות כדוגמת DevOps שימוש בתהליכי CI ו-CD, אוטומציה של תהליכים, שימוש בסביבות נטולות שרתים (serverless) וסביבות זמניות ודינמיות כמו פונקציות כשירות (Faas), תשתיות כקוד (IaaC) , קונטיינרים, בוטים ועוד.
כל ספק ענן ציבורי מציע כלים בסיסיים המותאמים לענן עצמו, שעשויים לעזור ללקוחותיו לפקח ולאבטח את משאבי הענן שלהם - באחריות הארגון להחליט באלו כלים נכון להתשמש על מנת למלא את חלקו במודל "האחריות המשותפת" בענן.
חשוב לזכור כי כלי האבטחה של כל ספק יהיו מותאמים על פי רוב אך ורק להגנה ותמיכה נאותה בשירותי הענן שלו ויתנו מענה לכמה שיותר ממשתמשיו. שימוש בכלים של ספק הענן עשויים לפגוע בפעילות התקינה של הארגון ובשמירת המידע שלו ושל לקוחותיו. ולכן, ארגון הנדרש לנהל את מדיניות אבטחה עקבית המותאמת לסביבות ענן מרובות והיברידיות נדרש לכלים חדשים.
כאשר חושבים על ממדי העננים הציבוריים והפרישה הגיאוגרפית שלהם ניתן להבין בקלות כיצד הפכה סביבת הענן הציבורית למשטח התקפה רחב המושך אליו האקרים המחפשים פרצות ואזורים רגישים שאינם מאובטחים כראוי. ארגון העובר לענן חייב להכיר בעובדה כי בעקבות המעבר והשימוש בשירותי הענן הוא מגדיל באופן משמעותי את שטחי ההתקפה ואזורי הפגיעות שלו.
באחריות הלקוח ואנשי אבטחת המידע להתאים את אסטרטגיית אבטחת המידע שלהם עם המעבר לענן.
יישום ארכיטקטורת אבטחת מידע לארגון העובר לענני המחשוב הציבוריים מאפשרת:
• פתרונות אבטחה גמישים, מהירים ויעילים יותר.
• כל היתרונות העסקיים של הפעלה בענן אך בצורה מאובטחת וניהול מרכזי.
• הגנה על איומים מדורות מתקדמים והרחבת ההגנה על שטחי ההתקפה החדשים.
כאשר ארגון מקים תשתיות וצורך שירותי ענן, ומעביר בין היתר עומסי עבודה, שירותי ליבה, ופיתוח יישומים עליו להבין, להפנים ולמלא את חלקו במודל "האחריות המשותפת" של ספקי הענן.
במודל IaaS, ספק הענן אחראי על אבטחת התשתית הפיזית והחומרה עצמה, אך על הארגון מוטלת האחריות לאבטחת ושמירת המידע, לניהול ההרשאות והגישה לסביבה ולמידע, להצפנה ולכל היבט אחר שאינו מוגדר במפורש תחת אחריות הספק. משימה זו מורכבת עוד יותר בעת הוספת שירותים אחרים בענן, ובמודלי השירות כמו PaaS ו- SaaS.
הכלים היעודיים (native tools) המוצעים ע"י ספק הענן, נותנים הגנות המותאמות לתשתיות הספק בלבד ולאיומים המוכרים לו. כלים אלו נותנים מענה חלקי להתקפות ואיומים מתקדמים: Gen VI וzero-day attacks. בנוסף כלים אלו מותאמים לתשתית הענן הציבורי של הספק ואינם מאפשרים ניהול ושליטה אחידה ומרכזית במודלי ענן היברדיים (ציבורי ופרטי יחד) ומולטי-קלאוד (תשתית ומשאבים ממספר עננים ציבוריים במקביל).
הענן הציבורי הינו תשתית שיתופית לארגונים ומשתמשים שונים. לאור התחכום, התדירות והיקף האיומים, אבטחת הענן חייבת לאמץ את מאפייני גישת ה"אין אמון" Zero Trust:
- כברירת מחדל אסור לסמוך אוטומטית על אף משתמש או מכונה
- יש לתת למשתמשים הרשאות מינימליות הנדרשות בפועל לביצוע המשימות שלהם
- יש לאמת את כל התעבורה ולמזער את משטחי ההתקפה באמצעות הפרדת רשת יעילה
- יש לבצע Micro segmentation ובניית ארכיטקטורת אבטחת המידע שתתאים לגישת ה-Zero Trust באופן בו ההתקפה מבודדת ולא מתאפשר מעבר לאזורים ונכסים אחרים של הארגון בענן
ולסיכום,עקרונות הבסיס ביצירת ארכיטקרטורת ותצורת אבטחה המותאמת למעבר הארגון לשירותי הענן:
• אבטחה מתקדמת לרשתות, כמו גם וקטורי נתונים, מחשוב, העברת הודעות והתקפות זהות.
• סריקה שיטתית של כל תעבורת הנתונים והמידע (לסביבות ענן, מתוכה ובתוכה).
• הפרדה ומיקרו-הפרדה של כל סביבה ויישום בכדי למנוע פגיעה ברדיוס גדול.
• התאמת השימוש באבטחת המידע להליכי הזרימה והמהירות הנדרשת למשתמשים השונים ופיתוח עסקיי הארגון וזאת מביל לפגוע באכיפת מדיניות האבטחה הארגונית ובחוקיה.
• אוטומציה, יעילות וגמישות תפעולית ע"י הטמעת אבטחת המידע בשלבי פיתוח הקוד ותהליכי האינטגרציה הרציפה וההטמעה הרציפה (CI/CD) המהוות את הבסיס לצוותי ה DevOps.
• ארכיטקטורת האבטחה בענן צריכה להיות ללא גבולות, ללא הבחנה ואגנוסטית, בה ניתן לאכוף מדיניות אבטחה בעקביות בכל סביבות ומודלי הענן השונים (פרטי, ציבורי, היברידי, מולטי), בכדי לאפשר תחרותיות, חדשנות ופיתוח עסקי תוך צמצום טעויות אנוש ושימוש בתצורות שגויות.
• על ארכיטקטורת אבטחת המידע, לאפשר יצירה ואכיפת מדיניות אבטחת מידע אחידה בסביבות ענן ציבוריות ופרטיות, ולאפשר לצוותי אבטחת המידע להתמקד באבטחה ההיקפית ואיומי הסייבר החדשים ממקום מרכזי ואחוד, ולא בפעולות תיאום לאבטחת סביבת הענן של כל ספק.
רוצים להנות מיעילות וחווית שימוש בשירותי הענן ולשמור על רמת אבטחת מידע ללא פשרות בארגון? מוזמנים לפנות לכותב המאמר, שלומי עכו, מומחה לאבטחת הענן בצ'ק פוינט.
המאמר בחסות צ'ק פוינט
כדי ללמוד עוד על פתרונות אבטחת הענן של צ'ק פוינט לחצו כאן
לפרטים נוספים ויצירת קשר עם נציג אורקל
הודעתך לא התקבלה - נסה שוב מאוחר יותר