.jpg)
בעידן המודרני אירגונים ניצבים בפני אתגרים בניהול ה IT והמידע כמותם לא ידעו מעולם.
הגלובליזציה, כמויות המידע, המורכבות וה Time To Market בשילוב עם קיצוצי תקציב אילצו את האירגונים לייצר תשתיות מורכבות ביותר.
מורכבות זו מקשה על גופי ה IT להתנהל ביעילות.
השימוש במשאבי מיחשוב בענן פותר חלק ניכר מן הבעיות ועוזר להתגבר על האתגרים.
יחד עם זאת, אין להקל ראש במסע אל הענן ולשים לב למהמורות שבדרך.
אבטחת המידע היא אבן נגף שחשוב לתת עליה את הדעת וכמובן שאסור להתעלם ממנה.
ג'פרי וויטמן מגרטנר אמר: "דרישות אבטחת המידע והמניעים שלה בענן שונים מהדרישות שב datacenter המסורתי. הדינמיות של הענן בשילוב העובדה שהלקוח לא הבעלים של התשתיות, מידת השקיפות החלקית שברו את המודלים המסורתיים של אבטחת המידע והארכיטקטורה"
מודל השכבות באבטחת מידע בענן
האירגון חייב לתת את דעתו לרמת האבטחה של כל שיכבה בסביבת הענן: תשתית הענן, מערכות ההפעלה, אפליקציות, שכבת רשת התקשורת וכו'.
מודל אבטחת המידע מחייב את האירגונים להבין היטב את כל שכבות האפליקציה והמידע אותו הם מעוניינים להעביר לענן. יחד עם הבנה עמוקה של יכולות הענן וההבדלים בינו לבין התשתית האירגונית יביאו לכך שהארכיטקטורה אותה יבנו תהיה מאובטחת כהלכה.
הגורמים אותם יש לקחת בחשבון כאשר מתכננים ארכיטקטורה מאובטחת בענן הם:
• הדינמיות הגבוהה והאוטומציה המאפשרת יצירת שירותים בענן במהירות צריכה לבוא לידי ביטוי גם ביצירת מנגנוני אבטחת מידע באופן מידי יחד עם השירותים.
• היכולת הגבוהה אצל חלק משחקני הענן לחלק את רשת הענן לסגמנטים שונים המאפשרת הפרדה בין סוגי מידע וסוגי שירותים (tiered application) בדומה ליכולות של הרשת האירגונית. בכך אפשר להנות מיתרונות הענן ללא ויתורים או פשרות אבטחתיות.
• חלוקת הרשת לסגמנטים מאפשרת לאירגון לייצר אפליקציות שונות ומגוונות המופרדות זו מזו הפרדה פיזית אך יחד עם זאת מאפשרות את התקשורת החיונית לפעילות התקינה.
• כך ניתן להוסיף אפליקציות חדשות כל הזמן מבלי לפגוע בקיים. כל סגמנט מהווה מאין דטה סנטר נפרד.
אחריות הלקוח ואחריות הספק:
חשוב להבין שבמעבר לענן, האחריות על אבטחת המידע משותפת ומתחלקת בין ספק הענן ללקוח. שני הצדדים חייבים למלא את חלקם בכדי להבטיח את רמת האבטחה הגבוהה ביותר. על ספק הענק להדריך וללמד את הלקוח כיצד למלא את חלקו באבטחת המידע.
נהוג לחלק את עולם הענן לשלושה מודלים - IaaS, PaaS ו SaaS. חלוקת האחריות בין הלקוח לספק הענן שונה בכל אחד מן המודלים.
במודל IaaS, (תשתית IT כשירות) - הענן מספק שירות משאבי מיחשוב וירטואליים או פיזיים
אחריות ספק הענן היא לאבטח את תשתית הענן ברמת שכבת הוירטואליזציה, שרתים, איחסון ורכיבי הרשת.
אחריות הלקוח - לאבטח את שכבות ה middleware, האפליקציה והמידע.
כלומר, כל אותם שיקולים ופעולות הננקטות בפנים האירגון על מנת להגן על שכבות אלו , צריכות להיעשות גם בענן - כגון anti malware, DLP, ניטור, SIEM, auditing על פעולות המשתמש וכו'.
במודל PaaS – (פלטפורמת IT כשירות, לדוגמא סביבות פיתוח), יהיה ספק הענן אחראי (בנוסף לתחומי אחריות בעולם ה IaaS) לאבטח גם את שכבת ה middleware. הלקוח לעומת זאת יהיה אחראי על אבטחת האפליקציה והמידע בלבד.
במודל SaaS – (תוכנה כשירות, לדוגמא דוא"ל או CRM )ספק הענן אחרי על אבטחת כל השכבות. תפקיד הלקוח הוא לנהל משא ומתן על רמות השירות והשרידות - SLA.
כפי שניתן לראות אבטחת המידע בענן מצריכה גישה שונה בכל מודל.
בעוד שבמודל ה IaaS חלק ניכר מן האחריות מונחת על כתפי הלקוח שאחראי על קופניגורצית רכיבי הרשת, תחזוקת מערכות ההפעלה וכו' בעוד שלספק הענן תפקיד חשוב באבטחת כלל הענן ותשתיות הניהול שלו.
על מנת לעמוד בדרישות עלו ולספק מענה מיטבי ללקוח על מנת שהוא יוכל לממש את חלקו באחריות המשותפת
• שכבת ניהול הענן חייבת לספק אוטומציה מלאה של תהליכי הקצאת משאבי המיחשוב ((provisioning והחיוב (billing)
• ממשק המשתמש חייב לאפשר למשתמשים לבצע קונפיגורציה של כלל הרכיבים שתאפשר להם לעמוד בדרישות אבטחת המידע בדיוק באותו האופן בו הם היו עושים זאת בתשתית הפנימית שלהם
• מתן כתובות IP פרטית לשרתים אשר תאפשר להם להיות מנותקים לגמרי מהאינטרנט
• חיבור לרשת האינטרנט יתאפשר רק לאחר מתן כתובת IP ציבורית ויצירת VIP או NAT
• Client to Site VPN - לאפשר גישה לכתובות IP פנימיות לצרכי עבודה או ניהול דרך טווח מאובטח ללא חשיפה לאיומים חיצוניים
• שליטה של הלקוח על סיסמאות הגישה לשרתים
• לאפשר ללקוח לייצר multi tiered application - תוך הגדרת חוקי Firewall בין הסגמנטים השונים ברשת
• הרשאות האדמיניסטרטורים צריכים להיות role based כדי להבדיל בין סוגי אדמיניסטרטורים שונים
• audit trail מפורט על כל פעולות האדמיניסטרציה בענן
• על שכבת הרשת להיות בנויה עם היתירות הנדרשת על מנת לספק את השרידות הראויה.
• על מרכיבי הרשת להיות בנויים על רכיבים פיזיים ולא וירטואליים או רכיבי אבטחת מידע ברמת מערכת ההפעלה על מנת לספק את הביצועים הנדרשים ורמת האבטחה הגבוהה
לסיכום:
מנהל מערכות מידע שמבקש לעבות את מערך המיחשוב בפתרונות שיספקו אבטחת מידע יותר טובה והגנה על המידע הארגוני, בוחן את ההוצאה כהוצאה לכל דבר, לעומת ספק ענן שרואה בהוצאה כמבדל תחרותי, וכך מבטיח הכנסה, כתוצאה מזה פלטפורמת ענן ציבורי היא פלטפורמה המאובטחת ברמות הגבוהות ביותר ומאפשרת לבנות ולהנגיש אפליקציות מורכבות תוך מתן מענה יעיל לנושא שמירת המידע.
הכותב הוא מנהלטכנולוגיות ראשי בחברת MedOne
בעידן המודרני אירגונים ניצבים בפני אתגרים בניהול ה IT והמידע כמותם לא ידעו מעולם.
הגלובליזציה, כמויות המידע, המורכבות וה Time To Market בשילוב עם קיצוצי תקציב אילצו את האירגונים לייצר תשתיות מורכבות ביותר.
מורכבות זו מקשה על גופי ה IT להתנהל ביעילות.
השימוש במשאבי מיחשוב בענן פותר חלק ניכר מן הבעיות ועוזר להתגבר על האתגרים.
יחד עם זאת, אין להקל ראש במסע אל הענן ולשים לב למהמורות שבדרך.
אבטחת המידע היא אבן נגף שחשוב לתת עליה את הדעת וכמובן שאסור להתעלם ממנה.
ג'פרי וויטמן מגרטנר אמר: "דרישות אבטחת המידע והמניעים שלה בענן שונים מהדרישות שב datacenter המסורתי. הדינמיות של הענן בשילוב העובדה שהלקוח לא הבעלים של התשתיות, מידת השקיפות החלקית שברו את המודלים המסורתיים של אבטחת המידע והארכיטקטורה"
מודל השכבות באבטחת מידע בענן
האירגון חייב לתת את דעתו לרמת האבטחה של כל שיכבה בסביבת הענן: תשתית הענן, מערכות ההפעלה, אפליקציות, שכבת רשת התקשורת וכו'.
מודל אבטחת המידע מחייב את האירגונים להבין היטב את כל שכבות האפליקציה והמידע אותו הם מעוניינים להעביר לענן. יחד עם הבנה עמוקה של יכולות הענן וההבדלים בינו לבין התשתית האירגונית יביאו לכך שהארכיטקטורה אותה יבנו תהיה מאובטחת כהלכה.
הגורמים אותם יש לקחת בחשבון כאשר מתכננים ארכיטקטורה מאובטחת בענן הם:
• הדינמיות הגבוהה והאוטומציה המאפשרת יצירת שירותים בענן במהירות צריכה לבוא לידי ביטוי גם ביצירת מנגנוני אבטחת מידע באופן מידי יחד עם השירותים.
• היכולת הגבוהה אצל חלק משחקני הענן לחלק את רשת הענן לסגמנטים שונים המאפשרת הפרדה בין סוגי מידע וסוגי שירותים (tiered application) בדומה ליכולות של הרשת האירגונית. בכך אפשר להנות מיתרונות הענן ללא ויתורים או פשרות אבטחתיות.
• חלוקת הרשת לסגמנטים מאפשרת לאירגון לייצר אפליקציות שונות ומגוונות המופרדות זו מזו הפרדה פיזית אך יחד עם זאת מאפשרות את התקשורת החיונית לפעילות התקינה.
• כך ניתן להוסיף אפליקציות חדשות כל הזמן מבלי לפגוע בקיים. כל סגמנט מהווה מאין דטה סנטר נפרד.
אחריות הלקוח ואחריות הספק:
חשוב להבין שבמעבר לענן, האחריות על אבטחת המידע משותפת ומתחלקת בין ספק הענן ללקוח. שני הצדדים חייבים למלא את חלקם בכדי להבטיח את רמת האבטחה הגבוהה ביותר. על ספק הענק להדריך וללמד את הלקוח כיצד למלא את חלקו באבטחת המידע.
נהוג לחלק את עולם הענן לשלושה מודלים - IaaS, PaaS ו SaaS. חלוקת האחריות בין הלקוח לספק הענן שונה בכל אחד מן המודלים.
במודל IaaS, (תשתית IT כשירות) - הענן מספק שירות משאבי מיחשוב וירטואליים או פיזיים
אחריות ספק הענן היא לאבטח את תשתית הענן ברמת שכבת הוירטואליזציה, שרתים, איחסון ורכיבי הרשת.
אחריות הלקוח - לאבטח את שכבות ה middleware, האפליקציה והמידע.
כלומר, כל אותם שיקולים ופעולות הננקטות בפנים האירגון על מנת להגן על שכבות אלו , צריכות להיעשות גם בענן - כגון anti malware, DLP, ניטור, SIEM, auditing על פעולות המשתמש וכו'.
במודל PaaS – (פלטפורמת IT כשירות, לדוגמא סביבות פיתוח), יהיה ספק הענן אחראי (בנוסף לתחומי אחריות בעולם ה IaaS) לאבטח גם את שכבת ה middleware. הלקוח לעומת זאת יהיה אחראי על אבטחת האפליקציה והמידע בלבד.
במודל SaaS – (תוכנה כשירות, לדוגמא דוא"ל או CRM )ספק הענן אחרי על אבטחת כל השכבות. תפקיד הלקוח הוא לנהל משא ומתן על רמות השירות והשרידות - SLA.
כפי שניתן לראות אבטחת המידע בענן מצריכה גישה שונה בכל מודל.
בעוד שבמודל ה IaaS חלק ניכר מן האחריות מונחת על כתפי הלקוח שאחראי על קופניגורצית רכיבי הרשת, תחזוקת מערכות ההפעלה וכו' בעוד שלספק הענן תפקיד חשוב באבטחת כלל הענן ותשתיות הניהול שלו.
על מנת לעמוד בדרישות עלו ולספק מענה מיטבי ללקוח על מנת שהוא יוכל לממש את חלקו באחריות המשותפת
• שכבת ניהול הענן חייבת לספק אוטומציה מלאה של תהליכי הקצאת משאבי המיחשוב ((provisioning והחיוב (billing)
• ממשק המשתמש חייב לאפשר למשתמשים לבצע קונפיגורציה של כלל הרכיבים שתאפשר להם לעמוד בדרישות אבטחת המידע בדיוק באותו האופן בו הם היו עושים זאת בתשתית הפנימית שלהם
• מתן כתובות IP פרטית לשרתים אשר תאפשר להם להיות מנותקים לגמרי מהאינטרנט
• חיבור לרשת האינטרנט יתאפשר רק לאחר מתן כתובת IP ציבורית ויצירת VIP או NAT
• Client to Site VPN - לאפשר גישה לכתובות IP פנימיות לצרכי עבודה או ניהול דרך טווח מאובטח ללא חשיפה לאיומים חיצוניים
• שליטה של הלקוח על סיסמאות הגישה לשרתים
• לאפשר ללקוח לייצר multi tiered application - תוך הגדרת חוקי Firewall בין הסגמנטים השונים ברשת
• הרשאות האדמיניסטרטורים צריכים להיות role based כדי להבדיל בין סוגי אדמיניסטרטורים שונים
• audit trail מפורט על כל פעולות האדמיניסטרציה בענן
• על שכבת הרשת להיות בנויה עם היתירות הנדרשת על מנת לספק את השרידות הראויה.
• על מרכיבי הרשת להיות בנויים על רכיבים פיזיים ולא וירטואליים או רכיבי אבטחת מידע ברמת מערכת ההפעלה על מנת לספק את הביצועים הנדרשים ורמת האבטחה הגבוהה
לסיכום:
מנהל מערכות מידע שמבקש לעבות את מערך המיחשוב בפתרונות שיספקו אבטחת מידע יותר טובה והגנה על המידע הארגוני, בוחן את ההוצאה כהוצאה לכל דבר, לעומת ספק ענן שרואה בהוצאה כמבדל תחרותי, וכך מבטיח הכנסה, כתוצאה מזה פלטפורמת ענן ציבורי היא פלטפורמה המאובטחת ברמות הגבוהות ביותר ומאפשרת לבנות ולהנגיש אפליקציות מורכבות תוך מתן מענה יעיל לנושא שמירת המידע.
הכותב הוא מנהלטכנולוגיות ראשי בחברת MedOne
לפרטים נוספים ויצירת קשר עם נציג אורקל
הודעתך לא התקבלה - נסה שוב מאוחר יותר