אבטחת מידע בענן נשמע כמו משהו מפחיד ומלחיץ, טכנולוגיות חדשות, צורות עבודה לא מוכרות וכדו'.
אל תיבהלו ממשפטים כמו "אבטחת מידע בעידן ה-"Serverless" או "איך מאחסנים ומגינים על מידע היושב בענן", לא מדובר בעולם אבטחת מידע חדש. זה אותו עולם שאנחנו מכירים, ניהול זהויות, הצפנות וכו' וכו' השמות של הטכנולוגיות והכלים קצת שונים ממה שאנחנו מכירים, ובשביל זה כתבתי את המאמר הבא.
לפניכם רשימה של שרותי אבטחת המידע הקיימים בענן של AWS עם פירוט עממי בעברית של מה תכלס המוצר עושה, בסוף מדובר בשירותי אבטחת מידע שכולנו מכירים, האתגר הוא לעשות בשירותים האלה שימוש מושכל בפרויקטים השונים.
ניהול זהויות:
AWS Identity and Access Management IAM- האקטיב דיירקטורי של אמזון- ניהול והקמת משתמשים, הגדרת הרשאות, ביצוע זיהוי רב שלבי (MFA), הגבלת גישה ועוד. אתם מנהלים משתמשים בענן? אתם צריכים לעשות שימוש בשירות הזה.
AWS Single Sign-On- שירות שנועד להקל על החיים של המשתמשים ושל מנהלי המערכת בכל הקשור לניהול תהליכי הזדהות והרשאות למשתמשים שונים.
בשירות זה את יכולים להגדיר לכל משתמש גישה מהירה לכל השירותים מבלי שהוא יתבקש לעבור זיהוי בגישה לכל שירות, כמו כן השירות מאפשר לבצע ניהול הרשאות למשתמשים במיקום מרכזי אחד בהתאם לתפקיד, קבוצה וכו'.
Amazon Cognito- מעוניינים לתת למשתמשים שלכם לעשות רישום לאתר או לאפליקציה שאתם מנהלים בענן באופן עצמאי? או אולי אפילו לעבור תהליך הזדהות באמצעות שירות צד ג' (פייסבוק, גוגל וכדו')? Cognito זה השירות שאתם מחפשים,
AWS Directory Service- קשה לכם להיפטר מה-AD של מייקרוסופט? שירות AWS Directory Service, יאפשר לכם לעשות שימוש ב-AD של מייקרוסופט בסביבת AWS, לבצע מיגרציות בקלות מה-AD הארגוני ולהנות מתכונות האבטחה המוכרות לנו משירותי מייקרוסופט כמו GPO, Kerberos ועוד
AWS Resource Access Manager- שיתוף משאבים בצורה מאובטחת בסביבת הענן, בעזרת שירות זה תוכלו להגדיר בצורה מאובטחת הרשאות למשאבים שונים בענן בצורה מרוכזת בהתאם להרשאות/קבוצות שהוגדרו מראש.
לדוגמא, שיתוף הגדרות שבוצעו ב-Firewall כך שמשתמשים נוספים יוכלו לעשות שימוש בהגדרות אלו בקלות ובמהירות, שיתוף הגדרות אבטחה שבוצעו לסגמנט מסויים ועוד ועוד.
ניטור:
AWS Security Hub- בשירות הזה תוכלו לצפות בכל התראות אבטחת המידע מכל שירותי הענן שאתם מנהלים כגון, Firewall, Anti-virus, EDR IPS ועוד. (קצת כמו SIEM משוכלל לאירועי אבטחת מידע)
מלבד הצגת האירועים בצורה נוחה ומתועדפת השירות מספק גם תובנות שיעזור לכם להרים את רמת האבטחה של השירותים השונים בענן וליישר קו עם דרישות רגולציה שונות והמלצות Best Practice.
(בהתממשקות לשירותים נוספים תוכלו גם להגדיר תגובות אוטומטיות לאירועים חריגים)
Amazon GuardDuty- מערכת ניטור האיומים מבית AWS, המערכת מתהדרת ביכולות מתקדמות של למידת מכונה וזיהוי התנהגויות חשודות ותתריע לכם על כל אירוע שנראה לה חשוד. בקיצור מערכת IDS.
כמובן שבשימוש בשירותים נוספים של אמזון תוכלו על סמך ההתראות להגדיר פעולות נטרול באופן אוטומטי.
Amazon Inspector- יש לכם שירותים בענן אבל אתם לא בטוחים שהגדרות אבט"מ הוגדרו בצורה נכונה? השירות הזה יסרוק את רכיבי הענן שלכם וירים דגל על הגדרות לא מאובטחות או על רכיבים החשופים לפגיעויות אבטחת מידע. בקיצור, מערכת סריקת פגיעויות אקטיבית (תחשבו על מערכת כמו Nessus וכדו')
רוצים להוסיף חוקים משלכם? אי אפשר :( [בינתיים, לא ניתן להוסיף חוקים לשירות אלא לעשות שימוש רק בחוקים שהוגדרו מראש ע"י AWS].
AWS Config- שירות המאפשר לכם לבצע מעקב מדוקדק אחרי הגדרות האבטחה של רכיבי הרשת השונים בענן, בעזרת השירות תוכלו לעקוב אחרי שינויי הגדרות שבוצעו, לצפות בהיסטוריית הגדרות של רכיבים שונים ולבצע Gap analyses בין ההגדרות שדרשתם להגדרות המיושמות בפועל.
AWS CloudTrail- שירות המאפשר לנטר ולאסוף לוגים על פעולות של משתמשים בשירותי הענן השונים, בעזרת שירות זה תוכלו לדעת מה המשתמשים שלכם עושים בענן, האם ישנן פעולות חשודות וכדו', לדוג' מי המשתמש שעשה שימוש בשירותי ה-API שלי, איזו קריאה הוא ביצע, מאיזו כתובתIP ועוד.
בשילוב עם שירותים נוספים של אמזון תוכלו להגדיר משימות לביצוע במקרה של התראה מסוג X או פעולה של משתמש מסוג Y.
AWS IoT Device Defender- כשמו כן הוא, שירות המאפשר ניטור והגנה על רכיבי IoT המנוהלים בסביבת הענן, בעזרת השירות תוכלו לבחון את הגדרות האבטחה של הרכיבים השונים ולבצע פעולות כאשר הגדרות האבטחה חורגות מהנדרש.
הגנה:
AWS Network Firewall- אין הגנה בלי רכיב Firewall, שירות ה-Firewall של אמזון יספק לכם את כל מה שאתם מכירים מרכיב FW סטנדרטי, הגדרת חוקים, הגבלת פורטים וכדו' וכן שירותים מתקדמים יותר המשולבים היום במערכות NGFW כגון מנגנון IPS, URL Filtering ועוד.
בעזרת שירות AWS Firewall Manager תוכלו לנהל ממקום מרכזי אחד את חוקי ה-FW של כל ה-FW הפזורים לכם ברחבי הרשת הארגונית בענן.
AWS Shield- שירות הגנה מפני מתקפות Ddos, השירות הבסיסי הוא חינמי ומופעל אוטומטית לכל לקוחות AWS, אך החברה מציעה גם שירות מתקדם בתשלום המספק צוות תגובה הזמין יום ולילה, אינטגרציה עם שירותים אחרים בענן ויכולות ניטור בזמן אמת כאשר מתרחשת מתקפה.
AWS Web Application Firewall- שירות ה-WAF מבית אמזון שתפקידו לנטר את תעבורת אתרי ה-WEV ולהגן מפני מתקפות מוכרות כגון XSS, CSRF וכדו' המוצר מגיע עם חוקים מובנים להגנה בסיסית ומאפשר הוספת חוקים בהתאם לצורך הארגוני.
Amazon Macie- אם לא נדע מה אנחנו מחזיקים לא נדע על מה להגן, מיפוי המידע הרגיש הנמצא בענן זו משימה חשובה מאד וזה בדיוק התפקיד של Macie, השירות שעושה שימוש בטכנולוגיית למידת מכונה, יזהה עבורכם את המידע הרגיש שאתם מאחסנים בענן ויאפשר לכם נראות טובה יותר ועמידה בתנאים של תקנות רגולטוריות כאלו ואחרות.
AWS Key Management Service – יצירה וניהול של מפתחות הצפנה, בעזרת השירות תוכו ליצור מפתחות הצפנה, להצפין את המידע הרגיש בקיים לכם בענן ולבצע אינטגרציה עם שירותי ענן שונים בכדי ליישם הצפנה למידע בתנועה ולמידע במנוחה.
AWS CloudHSM- למחמירים ולנדרשים לעמוד בתקנות רגולטוריות גבוהות, שירות יצירה וניהול של מפתחות הצפנה בדומה ל-KMS אך הפעם על גבי רכיב פיזי המיועד רק לארגון שלכם.
AWS Certificate Manager- שירות ליצירה, ניהול והשמדה של תעודות דיגיטליות, התשלום יהיה רק עבור תעודות המיוצרות לאפליקציות שלכם ולא לתעודות שיצרתם עבור שירותי AWS פנימיים.
AWS Secrets Manager- שמירה וניהול של כל הסיסמאות היקרות לכם כגון סיסמאות גישה ל-DB, טוקנים, וסיסמאות נוספות. הגישה לסיסמאות הנדרשות יבוצע בזמן אמת באמצעות קראת API וכך ימנע מהמפתחים לשמור את הסיסמאות בתוך הקוד.
תגובה:
Amazon Detective- שירות "הבילוש" של AWS יסייע לכם לנהל מתקפת סייבר או אירוע אבטחת מידע בצורה טובה ומהירה, השירות, שעושה שימוש בטכנולוגיות חדישות, מאפשר בניה מהירה של תמונת המצב של המתקפה והצגת שורש הסיבה למתקפה (Root cause), בכך תוכלו להגיב לאירועי אבטחת מידע בצורה מהירה ויעילה יותר.
CloudEndure Disaster Recovery- שירות התאוששות מאסון המאפשר לכם לקצר את זמן ההשבתה למינימום האפשרי במקרה של אירוע אבטחת מידע או אסון כזה או אחר הגורם להשבתה של שירותים.
השירות מבצע רפליקציה לכל אשר תבקשו ובמקרה הצורך ידאג להרים את השירותים שהושבתו באתר חלופי.
רגולציה:
AWS Audit Manager- עמידה בתנאים של רגולציות שונות כגון GDPR, PCI וכדו' זה לא דבר קל, בעזרת שירות זה תוכלו למפות את רכיבי הענן שברשותכם לבקרות הנדרשות ברגולציות השונות.
תוכלו גם להגדיר חוקים משלכם עבור רגולציות ודרישות שאינן מובנות בשירות.
אני יודע שיש עוד שירותים שונים הקשורים בצורה עקיפה לדרישות אבטחת מידע וארחיב עליהם אולי בהזדמנות אחרת, במאמר הזה ניסיתי להתמקד בשירותי אבטחת מידע מרכזיים.
עד כאן בינתיים, מקווה שהייתי לכם לעזר.
אבטחת מידע בענן נשמע כמו משהו מפחיד ומלחיץ, טכנולוגיות חדשות, צורות עבודה לא מוכרות וכדו'.
אל תיבהלו ממשפטים כמו "אבטחת מידע בעידן ה-"Serverless" או "איך מאחסנים ומגינים על מידע היושב בענן", לא מדובר בעולם אבטחת מידע חדש. זה אותו עולם שאנחנו מכירים, ניהול זהויות, הצפנות וכו' וכו' השמות של הטכנולוגיות והכלים קצת שונים ממה שאנחנו מכירים, ובשביל זה כתבתי את המאמר הבא.
לפניכם רשימה של שרותי אבטחת המידע הקיימים בענן של AWS עם פירוט עממי בעברית של מה תכלס המוצר עושה, בסוף מדובר בשירותי אבטחת מידע שכולנו מכירים, האתגר הוא לעשות בשירותים האלה שימוש מושכל בפרויקטים השונים.
ניהול זהויות:
AWS Identity and Access Management IAM- האקטיב דיירקטורי של אמזון- ניהול והקמת משתמשים, הגדרת הרשאות, ביצוע זיהוי רב שלבי (MFA), הגבלת גישה ועוד. אתם מנהלים משתמשים בענן? אתם צריכים לעשות שימוש בשירות הזה.
AWS Single Sign-On- שירות שנועד להקל על החיים של המשתמשים ושל מנהלי המערכת בכל הקשור לניהול תהליכי הזדהות והרשאות למשתמשים שונים.
בשירות זה את יכולים להגדיר לכל משתמש גישה מהירה לכל השירותים מבלי שהוא יתבקש לעבור זיהוי בגישה לכל שירות, כמו כן השירות מאפשר לבצע ניהול הרשאות למשתמשים במיקום מרכזי אחד בהתאם לתפקיד, קבוצה וכו'.
Amazon Cognito- מעוניינים לתת למשתמשים שלכם לעשות רישום לאתר או לאפליקציה שאתם מנהלים בענן באופן עצמאי? או אולי אפילו לעבור תהליך הזדהות באמצעות שירות צד ג' (פייסבוק, גוגל וכדו')? Cognito זה השירות שאתם מחפשים,
AWS Directory Service- קשה לכם להיפטר מה-AD של מייקרוסופט? שירות AWS Directory Service, יאפשר לכם לעשות שימוש ב-AD של מייקרוסופט בסביבת AWS, לבצע מיגרציות בקלות מה-AD הארגוני ולהנות מתכונות האבטחה המוכרות לנו משירותי מייקרוסופט כמו GPO, Kerberos ועוד
AWS Resource Access Manager- שיתוף משאבים בצורה מאובטחת בסביבת הענן, בעזרת שירות זה תוכלו להגדיר בצורה מאובטחת הרשאות למשאבים שונים בענן בצורה מרוכזת בהתאם להרשאות/קבוצות שהוגדרו מראש.
לדוגמא, שיתוף הגדרות שבוצעו ב-Firewall כך שמשתמשים נוספים יוכלו לעשות שימוש בהגדרות אלו בקלות ובמהירות, שיתוף הגדרות אבטחה שבוצעו לסגמנט מסויים ועוד ועוד.
ניטור:
AWS Security Hub- בשירות הזה תוכלו לצפות בכל התראות אבטחת המידע מכל שירותי הענן שאתם מנהלים כגון, Firewall, Anti-virus, EDR IPS ועוד. (קצת כמו SIEM משוכלל לאירועי אבטחת מידע)
מלבד הצגת האירועים בצורה נוחה ומתועדפת השירות מספק גם תובנות שיעזור לכם להרים את רמת האבטחה של השירותים השונים בענן וליישר קו עם דרישות רגולציה שונות והמלצות Best Practice.
(בהתממשקות לשירותים נוספים תוכלו גם להגדיר תגובות אוטומטיות לאירועים חריגים)
Amazon GuardDuty- מערכת ניטור האיומים מבית AWS, המערכת מתהדרת ביכולות מתקדמות של למידת מכונה וזיהוי התנהגויות חשודות ותתריע לכם על כל אירוע שנראה לה חשוד. בקיצור מערכת IDS.
כמובן שבשימוש בשירותים נוספים של אמזון תוכלו על סמך ההתראות להגדיר פעולות נטרול באופן אוטומטי.
Amazon Inspector- יש לכם שירותים בענן אבל אתם לא בטוחים שהגדרות אבט"מ הוגדרו בצורה נכונה? השירות הזה יסרוק את רכיבי הענן שלכם וירים דגל על הגדרות לא מאובטחות או על רכיבים החשופים לפגיעויות אבטחת מידע. בקיצור, מערכת סריקת פגיעויות אקטיבית (תחשבו על מערכת כמו Nessus וכדו')
רוצים להוסיף חוקים משלכם? אי אפשר :( [בינתיים, לא ניתן להוסיף חוקים לשירות אלא לעשות שימוש רק בחוקים שהוגדרו מראש ע"י AWS].
AWS Config- שירות המאפשר לכם לבצע מעקב מדוקדק אחרי הגדרות האבטחה של רכיבי הרשת השונים בענן, בעזרת השירות תוכלו לעקוב אחרי שינויי הגדרות שבוצעו, לצפות בהיסטוריית הגדרות של רכיבים שונים ולבצע Gap analyses בין ההגדרות שדרשתם להגדרות המיושמות בפועל.
AWS CloudTrail- שירות המאפשר לנטר ולאסוף לוגים על פעולות של משתמשים בשירותי הענן השונים, בעזרת שירות זה תוכלו לדעת מה המשתמשים שלכם עושים בענן, האם ישנן פעולות חשודות וכדו', לדוג' מי המשתמש שעשה שימוש בשירותי ה-API שלי, איזו קריאה הוא ביצע, מאיזו כתובתIP ועוד.
בשילוב עם שירותים נוספים של אמזון תוכלו להגדיר משימות לביצוע במקרה של התראה מסוג X או פעולה של משתמש מסוג Y.
AWS IoT Device Defender- כשמו כן הוא, שירות המאפשר ניטור והגנה על רכיבי IoT המנוהלים בסביבת הענן, בעזרת השירות תוכלו לבחון את הגדרות האבטחה של הרכיבים השונים ולבצע פעולות כאשר הגדרות האבטחה חורגות מהנדרש.
הגנה:
AWS Network Firewall- אין הגנה בלי רכיב Firewall, שירות ה-Firewall של אמזון יספק לכם את כל מה שאתם מכירים מרכיב FW סטנדרטי, הגדרת חוקים, הגבלת פורטים וכדו' וכן שירותים מתקדמים יותר המשולבים היום במערכות NGFW כגון מנגנון IPS, URL Filtering ועוד.
בעזרת שירות AWS Firewall Manager תוכלו לנהל ממקום מרכזי אחד את חוקי ה-FW של כל ה-FW הפזורים לכם ברחבי הרשת הארגונית בענן.
AWS Shield- שירות הגנה מפני מתקפות Ddos, השירות הבסיסי הוא חינמי ומופעל אוטומטית לכל לקוחות AWS, אך החברה מציעה גם שירות מתקדם בתשלום המספק צוות תגובה הזמין יום ולילה, אינטגרציה עם שירותים אחרים בענן ויכולות ניטור בזמן אמת כאשר מתרחשת מתקפה.
AWS Web Application Firewall- שירות ה-WAF מבית אמזון שתפקידו לנטר את תעבורת אתרי ה-WEV ולהגן מפני מתקפות מוכרות כגון XSS, CSRF וכדו' המוצר מגיע עם חוקים מובנים להגנה בסיסית ומאפשר הוספת חוקים בהתאם לצורך הארגוני.
Amazon Macie- אם לא נדע מה אנחנו מחזיקים לא נדע על מה להגן, מיפוי המידע הרגיש הנמצא בענן זו משימה חשובה מאד וזה בדיוק התפקיד של Macie, השירות שעושה שימוש בטכנולוגיית למידת מכונה, יזהה עבורכם את המידע הרגיש שאתם מאחסנים בענן ויאפשר לכם נראות טובה יותר ועמידה בתנאים של תקנות רגולטוריות כאלו ואחרות.
AWS Key Management Service – יצירה וניהול של מפתחות הצפנה, בעזרת השירות תוכו ליצור מפתחות הצפנה, להצפין את המידע הרגיש בקיים לכם בענן ולבצע אינטגרציה עם שירותי ענן שונים בכדי ליישם הצפנה למידע בתנועה ולמידע במנוחה.
AWS CloudHSM- למחמירים ולנדרשים לעמוד בתקנות רגולטוריות גבוהות, שירות יצירה וניהול של מפתחות הצפנה בדומה ל-KMS אך הפעם על גבי רכיב פיזי המיועד רק לארגון שלכם.
AWS Certificate Manager- שירות ליצירה, ניהול והשמדה של תעודות דיגיטליות, התשלום יהיה רק עבור תעודות המיוצרות לאפליקציות שלכם ולא לתעודות שיצרתם עבור שירותי AWS פנימיים.
AWS Secrets Manager- שמירה וניהול של כל הסיסמאות היקרות לכם כגון סיסמאות גישה ל-DB, טוקנים, וסיסמאות נוספות. הגישה לסיסמאות הנדרשות יבוצע בזמן אמת באמצעות קראת API וכך ימנע מהמפתחים לשמור את הסיסמאות בתוך הקוד.
תגובה:
Amazon Detective- שירות "הבילוש" של AWS יסייע לכם לנהל מתקפת סייבר או אירוע אבטחת מידע בצורה טובה ומהירה, השירות, שעושה שימוש בטכנולוגיות חדישות, מאפשר בניה מהירה של תמונת המצב של המתקפה והצגת שורש הסיבה למתקפה (Root cause), בכך תוכלו להגיב לאירועי אבטחת מידע בצורה מהירה ויעילה יותר.
CloudEndure Disaster Recovery- שירות התאוששות מאסון המאפשר לכם לקצר את זמן ההשבתה למינימום האפשרי במקרה של אירוע אבטחת מידע או אסון כזה או אחר הגורם להשבתה של שירותים.
השירות מבצע רפליקציה לכל אשר תבקשו ובמקרה הצורך ידאג להרים את השירותים שהושבתו באתר חלופי.
רגולציה:
AWS Audit Manager- עמידה בתנאים של רגולציות שונות כגון GDPR, PCI וכדו' זה לא דבר קל, בעזרת שירות זה תוכלו למפות את רכיבי הענן שברשותכם לבקרות הנדרשות ברגולציות השונות.
תוכלו גם להגדיר חוקים משלכם עבור רגולציות ודרישות שאינן מובנות בשירות.
אני יודע שיש עוד שירותים שונים הקשורים בצורה עקיפה לדרישות אבטחת מידע וארחיב עליהם אולי בהזדמנות אחרת, במאמר הזה ניסיתי להתמקד בשירותי אבטחת מידע מרכזיים.
עד כאן בינתיים, מקווה שהייתי לכם לעזר.
לפרטים נוספים ויצירת קשר עם נציג אורקל
הודעתך לא התקבלה - נסה שוב מאוחר יותר