הארגון שלכם מתכנן מעבר לענן של AWS? הפעילות העסקית שלכם מבוססת על שירותי IaaS או PaaS ב-AWS? מצוין. טכנולוגיית ענן מביאה יתרונות רבים עבור הארגון, אך גם מעלה שאלות לגבי אבטחת המידע והשירותים שיש ב-AWS כדי ליישם אותה.
במאמר זה, אנסה לענות על שאלות אלו ואביא ריכוז של כל שירותי האבטחה ב-AWS בעברית (נכון לרגעי כתיבת שורות אלו). השירותים ממופים ומסודרים לפי שימושם בתוכנית האבטחה, כך שלחלק מהקוראים זה יעזור להבין איזה שירות נדרש עבור מה ולמה. מכיוון שמדובר בעשרות שירותים, הקפדתי לשמור על כתיבה מתומצתת, ולכן אם נדרשת הרחבה או פירוט נוסף, ניתן למצוא את כל המידע באנגלית באתר של AWS.
אבטחת מידע בענן
לאבטחת מידע בענן נדרשת היכרות מעמיקה של התחום, הטכנולוגיות, האיומים והבקרות שניתן ליישם על המידע והתשתיות בסביבות העבודה. חשוב להבין שהאיומים בסביבת ענן שונים מסביבת חדרי שרתים פנים-ארגוניים, וזה מצריך שינוי תפיסתי באסטרטגיית האבטחה. ההמלצה שלי, באופן אישי, היא להתעדכן בתחום הענן דרך הסמכות מקצועיות רלוונטיות, שיעזרו לבנות ידע ולפעול טוב ונכון יותר בסביבה החדשה. קיימות בשוק מס' הסמכות אבטחת-מידע מקצועיות שניתן לעשות:
• CCSP - של (ISC)². לא הסמכה ספציפית של ספק מסוים. עוזרת להכיר את התחום, הטכנולוגיות והאיומים במחשוב מבוסס ענן.
• CCSK - של Cloud Security Alliance. גם לא ספציפית לספק מסוים, קלה יותר מה-CCSP וקצת יותר טכנית. מומלצת למי שרוצה להיכנס לתחום הענן ולא מספיק מנוסה בעולם המחשוב ואבטחת מידע.
• AWS Certified Security – Specialty – של AWS, שמלמדת מהם שירותי האבטחה שיש להם, איך ליישם אותם, מהן הפרקטיקות המיטביות המומלצות שלהם ומדיניות השימוש המקובלת.
[הערה: הכתבה עוסקת בשירותי האבטחה של AWS ומכאן בחרתי לציין את ההסמכה הספציפית שלהם. במידה ועובדים עם Azure או GCP, ברור שההסמכה הספציפית צריכה להיות רלוונטית בהתאם.
נכון להיום, Microsoft מציעה את ה-Azure Security Engineer Associate ל-Azure ו-Google מציעה את ה-Professional Cloud Security Engineer לסביבת ה-GCP.]
האחריות לאבטחת המידע בענן משותפת בין הלקוח ובין הספק. הלקוח אחראי על האבטחה בענן והספק אחראי לאבטחה של הענן.
להלן תמונה מ-AWS שמתארת את מודל האחריות המשותפת:
חשוב לזכור שלא משנה מי ספק הענן ומה מודל השירות – הלקוח תמיד אחראי על המידע שנמצא בענן!
שירותי האבטחה ב-AWS
לאבטחת מידע בסביבת הענן של AWS יתרונות רבים. ראשית, התשתיות של הספק מאובטחות ברמה גבוהה מאוד, ע"י אנשי מקצוע מהמוכשרים ביותר בתחום ובתקציבים בקנה מידה שעלולים לגרום לכם לקנא. שנית, ל-AWS ישנה רשימה מאוד גדולה של הסמכות לסטנדרטים ורגולציות, כך שהעברת הפעילות לענן עשויה להקל את ה-Compliance של הארגון במידה והוא נדרש לכך. יתרונות נוספים של שירותי אבטחה בענן הם אלסטיות, דינמיות, קלות מימוש ועלויות, שבד"כ יהיו זולות משמעותית בהשוואה לפתרונות מקבילים ב-On-prem. יתרונות אלו קיימים ונכונים גם לסביבת הענן Azure של Microsoft או GCP של Google, רק שההבדל בין הספקים מתבטא בעיקר בשירותי האבטחה המוצעים על ידם. עם מי יותר כדאי או נכון לעבוד? – זו בדיקה שחייבים לבצע לפני הבחירה והמעבר אל הספק.
כאמור, האקוסיסטם של שירותי האבטחה ב-AWS מונה עשרות שירותים ורכיבים. כדי לעבור על כולם באופן מסודר וברור, אנו נעזר בשקף הבא שנלקח מ-AWS:
השקף הזה עוזר לארגן ולסדר את שירותי האבטחה המוצעים ע"י AWS וממפה אותם לפי 5 הקטגוריות: Identify, Protect, Detect, Response, Recover מה-Cyber Security Framework של NIST.
Identify
ע"פ NIST, שלב ה-Identify הוא שלב שנועד לפתח את ההבנה הארגונית לניהול הסיכונים למערכות, נכסים, מידע ויכולות של הארגון. התוצרים בשלב זה כוללים לדוגמה Asset Management, Governance, Risk Management ועוד.
להלן השירותים המוצעים בקטגוריה הזו:
AWS Security Hub
שירות ה-AWS Security Hub הוא כלי שנועד לספק ראיה מקיפה עבור התראות אבטחה ותאימות לסטנדרים (Compliance) מכל השירותים וחשבונות ה-AWS שלכם. השירות אוסף, מארגן ומתעדף ממצאים שנאספים משירותים כמו Amazon Macie, Amazon GuardDuty, Amazon Inspector ומרשימה של למעלה מ-30 מוצרי אבטחה של פרטנרים ב-Market. את הממצאים הוא מרכז ומציג בצורה ברורה ונוחה במקום אחד ומאפשר תיקון דרך אוטומציה או העברה להמשך טיפול הצוות האחראי בארגון.
AWS Control Tower
ה-AWS Control Tower מיועד לארגונים שעוברים אל AWS ומקימים לראשונה את סביבות העבודה שלהם. השירות מספק את הכלים והאמצעים להקמה אוטומטית של סביבה חדשה לחלוטין, מרובת חשבונות, מאובטחת מהיסוד, מבוססת פרקטיקות מיטביות ומבוקרת על ידי חוקים שמיישמים משילות.
AWS Organizations
ה-AWS Organizations מיועד לספק משילות בסביבה מרובת חשבונות וסביבות-עבודה. ה-Organizations עוזר לנהל באופן ברור ונוח את ההתחשבנות (Billing) של כל החשבונות ב-AWS, מיישם רוחבית בקרת גישה לשירותים באמצעות SCP (Service Control Policy) ומשתף משאבים בין חשבונות בארגון. העבודה עם Organizations מזכירה מאוד את ה-Organizational Unit (OU) המוכר מ-Active Directory, כאשר את המדיניות מיישמים על OUs שמכילים חשבונות לפי חלוקה לוגית.
שירות ה-Trusted Advisor מנטר ומנתח את סביבות ה-AWS שלכם ומספק המלצות לשיפור בתחומים של Cost Optimization, Performance, Security, Fault Tolerance ו-Service Limits ע"פ פרקטיקות מיטביות. השירות במהותו אינו רק שירות אבטחה, אבל חלק מהבדיקות שהוא מבצע מספקות המלצות גם בתחום הזה. כל לקוחות AWS מקבלים בחינם גישה ל-7 בדיקות בסיסיות, שניתן להרחיב באמצעות מנוי Business או Enterprise.
AWS Service Catalog
שירות ה-AWS Service Catalog מאפשר ל-IT לבקר את צריכת השירותים ב-AWS ע"י הגדרת קטלוגים של מוצרים ושירותים מאושרים. השירות מספק משילות (Governance) ותאימות למדיניות העסקית של הארגון שלכם. ה-Service Catalog מספק למשתמשי הארגון פורטל יעודי ומעוצב, שדרכו הם יכולים לצרוך באופן עצמאי (Self-Service) רק את השירותים שאושרו להם.
AWS Well-Architected Tool
ה- AWS Well-Architected Toolהוא כלי שעוזר לבחון את מצב סביבות העבודה בהשוואה לפרקטיקות מיטביות של AWS. הכלי חינמי וקל לשימוש, שלאחר מענה על מס' שאלות יעזור לכם לתכנן את הארכיטקטורה הרצויה בהתבסס על הפרקטיקות המיטביות של AWS.
AWS Config
ה-AWS Config הוא שירות שמנטר באופן קבוע את כל המשאבים מכל החשבונות שלכם ב-AWS ומתעד את הקונפיגרציות שלהם. השירות מספק רשימת מצאי (Inventory) מכלל החשבונות ותיעוד שינויי קונפיגרציות לאורך ציר זמן (מי ביצע מה ומתי). ה-Config בוחן כל שינוי קונפיגורציה ומוודא שלא מתקיימת הפרה של הנחיה או חוק כלשהו שמוגדרים אצלו, ויודע לספק אמצעים להתראה וביטול אוטומטי של פעולות לא מורשות.
AWS Systems Manager
ה- AWS Systems Managerמרכז אליו מידע תפעולי ממגוון שירותים ומציג אותם במקום מרכזי אחד. השירות עוזר לתחזק ולתפעל את ה-SecOps, מצמצם את משך הזמן לאיתור תקלות, מספק אוטומציה וניהול מרכזי של שרתים בסביבת AWS או בסביבה היברידית (AWS ו-On-prem). ניתן באמצעותו להריץ פקודות, לנהל עדכוני אבטחה, להפיץ תוכנות ולבצע פעולות נוספות על קבוצות של EC2, S3 Buckets או Amazon RDS
בחלק הבא, נעבור על שירותי האבטחה הקשורים לשלב ה-Protect
מאת: אלדד משיח, מומחה אבטחת מידע בסביבת ענן, מוסמך CISSP, CCSP, ו-AWS-Security.
רוצים להתעדכן בתכנים נוספים הקשורים לאבטחת ענן? הצטרפו לפורום המקצועי של IsraelClouds בתחום > להרשמה
הארגון שלכם מתכנן מעבר לענן של AWS? הפעילות העסקית שלכם מבוססת על שירותי IaaS או PaaS ב-AWS? מצוין. טכנולוגיית ענן מביאה יתרונות רבים עבור הארגון, אך גם מעלה שאלות לגבי אבטחת המידע והשירותים שיש ב-AWS כדי ליישם אותה.
במאמר זה, אנסה לענות על שאלות אלו ואביא ריכוז של כל שירותי האבטחה ב-AWS בעברית (נכון לרגעי כתיבת שורות אלו). השירותים ממופים ומסודרים לפי שימושם בתוכנית האבטחה, כך שלחלק מהקוראים זה יעזור להבין איזה שירות נדרש עבור מה ולמה. מכיוון שמדובר בעשרות שירותים, הקפדתי לשמור על כתיבה מתומצתת, ולכן אם נדרשת הרחבה או פירוט נוסף, ניתן למצוא את כל המידע באנגלית באתר של AWS.
אבטחת מידע בענן
לאבטחת מידע בענן נדרשת היכרות מעמיקה של התחום, הטכנולוגיות, האיומים והבקרות שניתן ליישם על המידע והתשתיות בסביבות העבודה. חשוב להבין שהאיומים בסביבת ענן שונים מסביבת חדרי שרתים פנים-ארגוניים, וזה מצריך שינוי תפיסתי באסטרטגיית האבטחה. ההמלצה שלי, באופן אישי, היא להתעדכן בתחום הענן דרך הסמכות מקצועיות רלוונטיות, שיעזרו לבנות ידע ולפעול טוב ונכון יותר בסביבה החדשה. קיימות בשוק מס' הסמכות אבטחת-מידע מקצועיות שניתן לעשות:
• CCSP - של (ISC)². לא הסמכה ספציפית של ספק מסוים. עוזרת להכיר את התחום, הטכנולוגיות והאיומים במחשוב מבוסס ענן.
• CCSK - של Cloud Security Alliance. גם לא ספציפית לספק מסוים, קלה יותר מה-CCSP וקצת יותר טכנית. מומלצת למי שרוצה להיכנס לתחום הענן ולא מספיק מנוסה בעולם המחשוב ואבטחת מידע.
• AWS Certified Security – Specialty – של AWS, שמלמדת מהם שירותי האבטחה שיש להם, איך ליישם אותם, מהן הפרקטיקות המיטביות המומלצות שלהם ומדיניות השימוש המקובלת.
[הערה: הכתבה עוסקת בשירותי האבטחה של AWS ומכאן בחרתי לציין את ההסמכה הספציפית שלהם. במידה ועובדים עם Azure או GCP, ברור שההסמכה הספציפית צריכה להיות רלוונטית בהתאם.
נכון להיום, Microsoft מציעה את ה-Azure Security Engineer Associate ל-Azure ו-Google מציעה את ה-Professional Cloud Security Engineer לסביבת ה-GCP.]
האחריות לאבטחת המידע בענן משותפת בין הלקוח ובין הספק. הלקוח אחראי על האבטחה בענן והספק אחראי לאבטחה של הענן.
להלן תמונה מ-AWS שמתארת את מודל האחריות המשותפת:
חשוב לזכור שלא משנה מי ספק הענן ומה מודל השירות – הלקוח תמיד אחראי על המידע שנמצא בענן!
שירותי האבטחה ב-AWS
לאבטחת מידע בסביבת הענן של AWS יתרונות רבים. ראשית, התשתיות של הספק מאובטחות ברמה גבוהה מאוד, ע"י אנשי מקצוע מהמוכשרים ביותר בתחום ובתקציבים בקנה מידה שעלולים לגרום לכם לקנא. שנית, ל-AWS ישנה רשימה מאוד גדולה של הסמכות לסטנדרטים ורגולציות, כך שהעברת הפעילות לענן עשויה להקל את ה-Compliance של הארגון במידה והוא נדרש לכך. יתרונות נוספים של שירותי אבטחה בענן הם אלסטיות, דינמיות, קלות מימוש ועלויות, שבד"כ יהיו זולות משמעותית בהשוואה לפתרונות מקבילים ב-On-prem. יתרונות אלו קיימים ונכונים גם לסביבת הענן Azure של Microsoft או GCP של Google, רק שההבדל בין הספקים מתבטא בעיקר בשירותי האבטחה המוצעים על ידם. עם מי יותר כדאי או נכון לעבוד? – זו בדיקה שחייבים לבצע לפני הבחירה והמעבר אל הספק.
כאמור, האקוסיסטם של שירותי האבטחה ב-AWS מונה עשרות שירותים ורכיבים. כדי לעבור על כולם באופן מסודר וברור, אנו נעזר בשקף הבא שנלקח מ-AWS:
השקף הזה עוזר לארגן ולסדר את שירותי האבטחה המוצעים ע"י AWS וממפה אותם לפי 5 הקטגוריות: Identify, Protect, Detect, Response, Recover מה-Cyber Security Framework של NIST.
Identify
ע"פ NIST, שלב ה-Identify הוא שלב שנועד לפתח את ההבנה הארגונית לניהול הסיכונים למערכות, נכסים, מידע ויכולות של הארגון. התוצרים בשלב זה כוללים לדוגמה Asset Management, Governance, Risk Management ועוד.
להלן השירותים המוצעים בקטגוריה הזו:
AWS Security Hub
שירות ה-AWS Security Hub הוא כלי שנועד לספק ראיה מקיפה עבור התראות אבטחה ותאימות לסטנדרים (Compliance) מכל השירותים וחשבונות ה-AWS שלכם. השירות אוסף, מארגן ומתעדף ממצאים שנאספים משירותים כמו Amazon Macie, Amazon GuardDuty, Amazon Inspector ומרשימה של למעלה מ-30 מוצרי אבטחה של פרטנרים ב-Market. את הממצאים הוא מרכז ומציג בצורה ברורה ונוחה במקום אחד ומאפשר תיקון דרך אוטומציה או העברה להמשך טיפול הצוות האחראי בארגון.
AWS Control Tower
ה-AWS Control Tower מיועד לארגונים שעוברים אל AWS ומקימים לראשונה את סביבות העבודה שלהם. השירות מספק את הכלים והאמצעים להקמה אוטומטית של סביבה חדשה לחלוטין, מרובת חשבונות, מאובטחת מהיסוד, מבוססת פרקטיקות מיטביות ומבוקרת על ידי חוקים שמיישמים משילות.
AWS Organizations
ה-AWS Organizations מיועד לספק משילות בסביבה מרובת חשבונות וסביבות-עבודה. ה-Organizations עוזר לנהל באופן ברור ונוח את ההתחשבנות (Billing) של כל החשבונות ב-AWS, מיישם רוחבית בקרת גישה לשירותים באמצעות SCP (Service Control Policy) ומשתף משאבים בין חשבונות בארגון. העבודה עם Organizations מזכירה מאוד את ה-Organizational Unit (OU) המוכר מ-Active Directory, כאשר את המדיניות מיישמים על OUs שמכילים חשבונות לפי חלוקה לוגית.
שירות ה-Trusted Advisor מנטר ומנתח את סביבות ה-AWS שלכם ומספק המלצות לשיפור בתחומים של Cost Optimization, Performance, Security, Fault Tolerance ו-Service Limits ע"פ פרקטיקות מיטביות. השירות במהותו אינו רק שירות אבטחה, אבל חלק מהבדיקות שהוא מבצע מספקות המלצות גם בתחום הזה. כל לקוחות AWS מקבלים בחינם גישה ל-7 בדיקות בסיסיות, שניתן להרחיב באמצעות מנוי Business או Enterprise.
AWS Service Catalog
שירות ה-AWS Service Catalog מאפשר ל-IT לבקר את צריכת השירותים ב-AWS ע"י הגדרת קטלוגים של מוצרים ושירותים מאושרים. השירות מספק משילות (Governance) ותאימות למדיניות העסקית של הארגון שלכם. ה-Service Catalog מספק למשתמשי הארגון פורטל יעודי ומעוצב, שדרכו הם יכולים לצרוך באופן עצמאי (Self-Service) רק את השירותים שאושרו להם.
AWS Well-Architected Tool
ה- AWS Well-Architected Toolהוא כלי שעוזר לבחון את מצב סביבות העבודה בהשוואה לפרקטיקות מיטביות של AWS. הכלי חינמי וקל לשימוש, שלאחר מענה על מס' שאלות יעזור לכם לתכנן את הארכיטקטורה הרצויה בהתבסס על הפרקטיקות המיטביות של AWS.
AWS Config
ה-AWS Config הוא שירות שמנטר באופן קבוע את כל המשאבים מכל החשבונות שלכם ב-AWS ומתעד את הקונפיגרציות שלהם. השירות מספק רשימת מצאי (Inventory) מכלל החשבונות ותיעוד שינויי קונפיגרציות לאורך ציר זמן (מי ביצע מה ומתי). ה-Config בוחן כל שינוי קונפיגורציה ומוודא שלא מתקיימת הפרה של הנחיה או חוק כלשהו שמוגדרים אצלו, ויודע לספק אמצעים להתראה וביטול אוטומטי של פעולות לא מורשות.
AWS Systems Manager
ה- AWS Systems Managerמרכז אליו מידע תפעולי ממגוון שירותים ומציג אותם במקום מרכזי אחד. השירות עוזר לתחזק ולתפעל את ה-SecOps, מצמצם את משך הזמן לאיתור תקלות, מספק אוטומציה וניהול מרכזי של שרתים בסביבת AWS או בסביבה היברידית (AWS ו-On-prem). ניתן באמצעותו להריץ פקודות, לנהל עדכוני אבטחה, להפיץ תוכנות ולבצע פעולות נוספות על קבוצות של EC2, S3 Buckets או Amazon RDS
בחלק הבא, נעבור על שירותי האבטחה הקשורים לשלב ה-Protect
מאת: אלדד משיח, מומחה אבטחת מידע בסביבת ענן, מוסמך CISSP, CCSP, ו-AWS-Security.
רוצים להתעדכן בתכנים נוספים הקשורים לאבטחת ענן? הצטרפו לפורום המקצועי של IsraelClouds בתחום > להרשמה
לפרטים נוספים ויצירת קשר עם נציג אורקל
הודעתך לא התקבלה - נסה שוב מאוחר יותר