בשנים האחרונות אנו עדים למעבר מסיבי של ארגונים לשירותי ותשתיות מחשוב ענן. רבים נהנים מהיתרונות הטכנולוגיים והעסקיים שהענן מציע ומנגד עומדים בפני איומים וסיכונים חדשים הנגזרים מעצם טבעם, אופיים ודרך הפעלתם של שירותים אלו. במאמר שלפניכם, נציע תצורות אבטחת מידע ודרכי יישום רלוונטיות שכל ארגון חייב לאמץ על מנת לשמור את נכסי הארגון בטוחים בסביבות הענן.
ארגונים רבים בוחרים במודל ה - Hybrid Cloud המשלב בין ענן פרטי (Private Cloud) המנוהל ומתוחזק ע"י הארגון, לענן הציבורי (Public Cloud) והגלובאלי השייך לספקיות כדוגמת - Amazon AWS, Microsoft Azure ו- Google GCP. תצורה שכיחה נוספת הינה ה - Multi-Cloud המאפשרת שילוב בין מספר עננים ציבוריים גלובאליים לטובת אספקת תשתיות ושירותי ענן שונים. בעקבות השימוש במודלים אלו, במגוון הטכנולוגיות והכלים שהם מספקים בפרישה הגיאוגרפית ניתן להבין את מורכבות אתגרי אבטחת מידע החדשים:
• היכולת לאכוף מדיניות אבטחה עקבית בכל הסביבות
• הקמת ניהול אחיד ומרכזי ליישום אבטחת המידע של הארגון
• הצורך בחיבור מאובטח של סביבות ענן שונות במיקומים גיאוגרפיים שונים
• מתן האפשרות ליישומים מגוונים ונפרדים לתקשר בקלות ובבטחה זה עם זה
• הצורך ביכולת ניטור התנועה והמידע הזורם בין העננים השונים ובתוך העננים עצמם
לפיכך, ארכיטקטורת אבטחת ענן יעילה צריכה לאפשר תמיכה במודלי ענן שונים - Hybrid ו - Multi. על ארכיטקטורת אבטחת המידע בענן, לאפשר יצירה ואכיפה מדיניות אחידה בסביבות ענן ציבוריות ופרטיות, ולאפשר לצוותי אבטחת המידע להתמקד באבטחת המידע ההיקפית ואיומי הסייבר החדשים (Zero day attacks ודורות מתקדמים) ממקום מרכזי.
יכולת ניטור, ראות, פיקוח ומעקב
הענן הציבורי מנוהל ע"י ספקי שירותי ענן. המשמעות היא אובדן חלק ניכר מיכולת הניטור והמעקב אחר התשתיות והמתרחש בהם בזמן אמת. במודל IaaS, לספקי הענן יש שליטה מלאה על שכבת התשתית והיא איננה חשופה ללקוחות המשתמשים בה. במודלי PaaS ו-IaaS, יכולות הניטור והשליטה מוגבלות, נכסי הארגון בענן הופכים כמעט לבלתי נראים וקשים לניהול, מה שיוצר יכולות אכיפה וניהול מוגבלות.
מתודולוגיות ה - DevOps ,DevSecOps ואוטומציה
רבים אימצו את מתודולוגיות ה- DevOps וה - DevSecOps במטרה להתייעל ולקצר זמני תגובה ופעולה. על מנת לאפשר מתודולוגיות אלו, המבוססות על אינטגרציה רציפה והטמעה רציפה (CI / CD), יש להבטיח שמדיניות וכלי אבטחת המידע הארגוניים מתואמים ומוטמעים בשלבי פיתוח הקוד.
מתן הרשאות למשתמשי הענן
לעיתים קרובות אנו נתקלים בהענקת הרשאות נרחבות למשתמשי ענן בארגון, וזאת הרבה מעבר לנדרש לשם השלמת עבודתם. פגיעות אלו יוצרות סיכוני אבטחה באמצעות דליפת מפתחות או גניבת זהויות ושימוש בהרשאות לשם גניבת ואובדן מידע. על מנת ליישם את גישת ה-Zero Trust, יש לנהל הרשאות משתמש ויישומים ברמה פרטנית ומדוקדקת ביותר ע"י שימוש בכלי גישת ניהול הרשאות גמישים ודינמיים והענקת גישה מותנית.
סביבה היברידית (Hybrid) וסביבה מרובת עננים (Multi)
ארגונים רבים בוחרים לאמץ פתרונות ושירותי ענן מגוונים ולעיתים יחד ובו זמנית. כל ספק ענן ציבורי מציע כלים בסיסיים ומותאמים לענן עצמו. כלי האבטחה של כל ספק יהיו מותאמים לרוב אך ורק להגנה ותמיכה נאותה בשירותי הענן שלו. ולכן, הארגון נדרש לכלים שיאפשרו ניהול והתאמת תצורה, כלי בקרה, ניטור ותיקון, אורקסטרציה ואוטומציה הפועלת באופן מהיר ויעיל בין ספקי ענן ציבוריים וספקי ענן פרטיים.
תקינה ורגולציה
עמידה בתקינה ובחוקים מקומיים עשויה להיות קריטית עבור הארגון, ואי ציות לה עלול לפגוע בעסקיו בצורה משמעותית. ספקי הענן הציבוריים דואגים לכך כי התשתיות שלהם יוסמכו ויתמכו בתקנים מגוונים לרבות ,PCI 3.2 NIST 800-53, HIPAA ו - GDPR. הארגון נדרש לייצר תהליך רציף ובזמן אמת, של ביקורת ואכיפה קפדניים כולל שליחת התראות וביצוע תיקונים מיידיים על מנת לעמוד בתקינה ובדרישות החוקתיות אליהן הוא כפוף.
וקטורים נוספים המשפיעים על אבטחת המידע בענן
בעת בניית ארכיטקטורת אבטחת המידע יש לייחס חשיבות לוקטורים נוספים:
מידע ונתונים- על הארגון לדאוג באופן עקבי שנתונים המועברים ברשת מוצפנים ומאובטחים תמיד.
שירותי ענן מתקדמים - שימוש בקונטיינרים, פונקציות, תשתית כקוד, סביבות נטולות-שרת Serverless, Microservices, בוטים ועוד, מחייבים גישה חדשה, הרבה יותר גמישה, מהירה ומדויקת.
שליחת הודעות והתראות – יש להבטיח קבלת הודעות באופן מהיר ורציף בכדי להפעיל תהליך בידוד, הגנה וסילוק של האיום ומניעת פגיעתו באזורים אחרים. גם על שירות זה להיות מאובטח ומוצפן.
ניהול זהויות בענן – עליכם לוודא שימוש בניהול ואימות זהויות והרשאת גישה בשכבת השליטה והניהול, ולהשתמש בקבוצות אבטחה כדי לשלוט באופן דינמי על גישת המשתמשים המחוברים למשאבי הענן.
גישת "אבטחה באמצעות תכנון"
כשל תכנוני והגדרות שגויות מהווים את אחת הבעיות המרכזיות באירועי אבטחת מידע. עליכם לייצר אבטחה עקבית בבסיסה כך שלא ניתן לפגוע בנכסי הארגון ע"י הגדרת תצורות שגויות או מעקפים אחרים של המשתמשים. לדוגמא - יכולה להיות דרישה שמאגר נתונים מסוים בענן לעולם לא ייחשף לאינטרנט. בגישת "אבטחה באמצעות תכנון", הלוגיקה תהיה כי לעולם לא יהיה שום קשר בין בסיסי המידע והאזורים הפנימיים של הארגון לאזור הפונה לאינטרנט. תכנון זה הינו דוגמא נוספת ליישום גישת Zero Trust.
הפרדה (Segmentation) ומיקרו - הפרדה
הענן הציבורי הינו תשתית שיתופית לארגונים ולמשתמשים שונים. חלק משמעותי מהפרצות נובע מתנועה זדונית רוחבית בסביבות הרשת הפנימית של הארגון. בכדי למנוע התקפה שחדרה ושלא תוכל לנוע בחופשיות ברשת הפנימית ובנכסי הארגון, עלינו ליצור הפרדה ומיקרו הפרדה של סביבת הארגון בענן:
1. ברמת הגישה, תצורת firewall מוגדרת כך שתוכל להזרים תנועה ברשימת המורשים בכדי שהאפליקציות יוכלו לפעול כרגיל, ובמקביל היא חוסמת תנועה לא רצויה.
2. לאחר מכן התעבורה המותרת ברמת הגישה נבדקת ביסודיות בכדי לזהות ולחסום התנהגות זדונית בשכבת היישום / נתונים.
זריזות ודינמיות
בכדי לבנות ארכיטקטורת אבטחה המותאמת לתכונות הענן, על הארגון להקים יחידה המורכבת מנציגי יחידות הפועלות בענן ולהגדיר את הדרישות והצרכים שלה בענן. בשלב הבא, ניתן לבנות ארכיטקטורת אבטחת מידע המאפשרת לשלב בצורה שקופה ויעילה את נושא אבטחת המידע, בגישות האינטגרציה הרציפה וההטמעה הרציפה (CI/CD) המהוות את הבסיס לצוותי ה - DevOps, למתכנתי אפליקציות ואחרים. באמצעות שימוש ב - Infrastructure as a code, Function as a service וכן בוטים, צוותי ה- DevOps יכולים ליישם באופן דינמי ורציף הגנה ובקרת גישה אקטיבית בתוך סביבות הענן שלהם.
אוטומציה, יעילות, גמישות
שימוש באוטומציה מוביל לצמצום תהליכים ידניים ומעורבות גורם אנושי בפעולות אבטחת הענן, והוא הכרחי בעת תכנון ארכיטקטורת אבטחה בענן. האוטומציה צריכה להתחיל בשלבים מוקדמים של הקצאת הסביבה ושימוש בתבניות מוגדרות (Pre-configured templates) ובהמשך בפעולות קבועות ושגרתיות כמו שימוש במדיניות אבטחה דינאמית-אדפטיבית שאינה דורשת התערבות אנושית.
לסיכום, בכדי למנוע איומים על כל סוגי העננים, בכל מקום - נדרשת אבטחה דינאמית ומתקדמת.
אם תרצו ללמוד עוד הגנת שירותי הענן שלכם אתם מוזמנים לצפות בסרטון הבא: https://israelclouds.technology/CheckPointMovie
ואם אתם דווקא בעניין של לקרוא, אז לחצו כאן למידע נוסף.
המאמר נכתב על ידי שלומי עכו, מומחה לאבטחת הענן בצ'ק פוינט
לחצו כאן לקריאת מאמר נוסף שכתב שלומי עכו, בנושא מודל האחריות המשותפת על אבטחת הענן
בשנים האחרונות אנו עדים למעבר מסיבי של ארגונים לשירותי ותשתיות מחשוב ענן. רבים נהנים מהיתרונות הטכנולוגיים והעסקיים שהענן מציע ומנגד עומדים בפני איומים וסיכונים חדשים הנגזרים מעצם טבעם, אופיים ודרך הפעלתם של שירותים אלו. במאמר שלפניכם, נציע תצורות אבטחת מידע ודרכי יישום רלוונטיות שכל ארגון חייב לאמץ על מנת לשמור את נכסי הארגון בטוחים בסביבות הענן.
ארגונים רבים בוחרים במודל ה - Hybrid Cloud המשלב בין ענן פרטי (Private Cloud) המנוהל ומתוחזק ע"י הארגון, לענן הציבורי (Public Cloud) והגלובאלי השייך לספקיות כדוגמת - Amazon AWS, Microsoft Azure ו- Google GCP. תצורה שכיחה נוספת הינה ה - Multi-Cloud המאפשרת שילוב בין מספר עננים ציבוריים גלובאליים לטובת אספקת תשתיות ושירותי ענן שונים. בעקבות השימוש במודלים אלו, במגוון הטכנולוגיות והכלים שהם מספקים בפרישה הגיאוגרפית ניתן להבין את מורכבות אתגרי אבטחת מידע החדשים:
• היכולת לאכוף מדיניות אבטחה עקבית בכל הסביבות
• הקמת ניהול אחיד ומרכזי ליישום אבטחת המידע של הארגון
• הצורך בחיבור מאובטח של סביבות ענן שונות במיקומים גיאוגרפיים שונים
• מתן האפשרות ליישומים מגוונים ונפרדים לתקשר בקלות ובבטחה זה עם זה
• הצורך ביכולת ניטור התנועה והמידע הזורם בין העננים השונים ובתוך העננים עצמם
לפיכך, ארכיטקטורת אבטחת ענן יעילה צריכה לאפשר תמיכה במודלי ענן שונים - Hybrid ו - Multi. על ארכיטקטורת אבטחת המידע בענן, לאפשר יצירה ואכיפה מדיניות אחידה בסביבות ענן ציבוריות ופרטיות, ולאפשר לצוותי אבטחת המידע להתמקד באבטחת המידע ההיקפית ואיומי הסייבר החדשים (Zero day attacks ודורות מתקדמים) ממקום מרכזי.
יכולת ניטור, ראות, פיקוח ומעקב
הענן הציבורי מנוהל ע"י ספקי שירותי ענן. המשמעות היא אובדן חלק ניכר מיכולת הניטור והמעקב אחר התשתיות והמתרחש בהם בזמן אמת. במודל IaaS, לספקי הענן יש שליטה מלאה על שכבת התשתית והיא איננה חשופה ללקוחות המשתמשים בה. במודלי PaaS ו-IaaS, יכולות הניטור והשליטה מוגבלות, נכסי הארגון בענן הופכים כמעט לבלתי נראים וקשים לניהול, מה שיוצר יכולות אכיפה וניהול מוגבלות.
מתודולוגיות ה - DevOps ,DevSecOps ואוטומציה
רבים אימצו את מתודולוגיות ה- DevOps וה - DevSecOps במטרה להתייעל ולקצר זמני תגובה ופעולה. על מנת לאפשר מתודולוגיות אלו, המבוססות על אינטגרציה רציפה והטמעה רציפה (CI / CD), יש להבטיח שמדיניות וכלי אבטחת המידע הארגוניים מתואמים ומוטמעים בשלבי פיתוח הקוד.
מתן הרשאות למשתמשי הענן
לעיתים קרובות אנו נתקלים בהענקת הרשאות נרחבות למשתמשי ענן בארגון, וזאת הרבה מעבר לנדרש לשם השלמת עבודתם. פגיעות אלו יוצרות סיכוני אבטחה באמצעות דליפת מפתחות או גניבת זהויות ושימוש בהרשאות לשם גניבת ואובדן מידע. על מנת ליישם את גישת ה-Zero Trust, יש לנהל הרשאות משתמש ויישומים ברמה פרטנית ומדוקדקת ביותר ע"י שימוש בכלי גישת ניהול הרשאות גמישים ודינמיים והענקת גישה מותנית.
סביבה היברידית (Hybrid) וסביבה מרובת עננים (Multi)
ארגונים רבים בוחרים לאמץ פתרונות ושירותי ענן מגוונים ולעיתים יחד ובו זמנית. כל ספק ענן ציבורי מציע כלים בסיסיים ומותאמים לענן עצמו. כלי האבטחה של כל ספק יהיו מותאמים לרוב אך ורק להגנה ותמיכה נאותה בשירותי הענן שלו. ולכן, הארגון נדרש לכלים שיאפשרו ניהול והתאמת תצורה, כלי בקרה, ניטור ותיקון, אורקסטרציה ואוטומציה הפועלת באופן מהיר ויעיל בין ספקי ענן ציבוריים וספקי ענן פרטיים.
תקינה ורגולציה
עמידה בתקינה ובחוקים מקומיים עשויה להיות קריטית עבור הארגון, ואי ציות לה עלול לפגוע בעסקיו בצורה משמעותית. ספקי הענן הציבוריים דואגים לכך כי התשתיות שלהם יוסמכו ויתמכו בתקנים מגוונים לרבות ,PCI 3.2 NIST 800-53, HIPAA ו - GDPR. הארגון נדרש לייצר תהליך רציף ובזמן אמת, של ביקורת ואכיפה קפדניים כולל שליחת התראות וביצוע תיקונים מיידיים על מנת לעמוד בתקינה ובדרישות החוקתיות אליהן הוא כפוף.
וקטורים נוספים המשפיעים על אבטחת המידע בענן
בעת בניית ארכיטקטורת אבטחת המידע יש לייחס חשיבות לוקטורים נוספים:
מידע ונתונים- על הארגון לדאוג באופן עקבי שנתונים המועברים ברשת מוצפנים ומאובטחים תמיד.
שירותי ענן מתקדמים - שימוש בקונטיינרים, פונקציות, תשתית כקוד, סביבות נטולות-שרת Serverless, Microservices, בוטים ועוד, מחייבים גישה חדשה, הרבה יותר גמישה, מהירה ומדויקת.
שליחת הודעות והתראות – יש להבטיח קבלת הודעות באופן מהיר ורציף בכדי להפעיל תהליך בידוד, הגנה וסילוק של האיום ומניעת פגיעתו באזורים אחרים. גם על שירות זה להיות מאובטח ומוצפן.
ניהול זהויות בענן – עליכם לוודא שימוש בניהול ואימות זהויות והרשאת גישה בשכבת השליטה והניהול, ולהשתמש בקבוצות אבטחה כדי לשלוט באופן דינמי על גישת המשתמשים המחוברים למשאבי הענן.
גישת "אבטחה באמצעות תכנון"
כשל תכנוני והגדרות שגויות מהווים את אחת הבעיות המרכזיות באירועי אבטחת מידע. עליכם לייצר אבטחה עקבית בבסיסה כך שלא ניתן לפגוע בנכסי הארגון ע"י הגדרת תצורות שגויות או מעקפים אחרים של המשתמשים. לדוגמא - יכולה להיות דרישה שמאגר נתונים מסוים בענן לעולם לא ייחשף לאינטרנט. בגישת "אבטחה באמצעות תכנון", הלוגיקה תהיה כי לעולם לא יהיה שום קשר בין בסיסי המידע והאזורים הפנימיים של הארגון לאזור הפונה לאינטרנט. תכנון זה הינו דוגמא נוספת ליישום גישת Zero Trust.
הפרדה (Segmentation) ומיקרו - הפרדה
הענן הציבורי הינו תשתית שיתופית לארגונים ולמשתמשים שונים. חלק משמעותי מהפרצות נובע מתנועה זדונית רוחבית בסביבות הרשת הפנימית של הארגון. בכדי למנוע התקפה שחדרה ושלא תוכל לנוע בחופשיות ברשת הפנימית ובנכסי הארגון, עלינו ליצור הפרדה ומיקרו הפרדה של סביבת הארגון בענן:
1. ברמת הגישה, תצורת firewall מוגדרת כך שתוכל להזרים תנועה ברשימת המורשים בכדי שהאפליקציות יוכלו לפעול כרגיל, ובמקביל היא חוסמת תנועה לא רצויה.
2. לאחר מכן התעבורה המותרת ברמת הגישה נבדקת ביסודיות בכדי לזהות ולחסום התנהגות זדונית בשכבת היישום / נתונים.
זריזות ודינמיות
בכדי לבנות ארכיטקטורת אבטחה המותאמת לתכונות הענן, על הארגון להקים יחידה המורכבת מנציגי יחידות הפועלות בענן ולהגדיר את הדרישות והצרכים שלה בענן. בשלב הבא, ניתן לבנות ארכיטקטורת אבטחת מידע המאפשרת לשלב בצורה שקופה ויעילה את נושא אבטחת המידע, בגישות האינטגרציה הרציפה וההטמעה הרציפה (CI/CD) המהוות את הבסיס לצוותי ה - DevOps, למתכנתי אפליקציות ואחרים. באמצעות שימוש ב - Infrastructure as a code, Function as a service וכן בוטים, צוותי ה- DevOps יכולים ליישם באופן דינמי ורציף הגנה ובקרת גישה אקטיבית בתוך סביבות הענן שלהם.
אוטומציה, יעילות, גמישות
שימוש באוטומציה מוביל לצמצום תהליכים ידניים ומעורבות גורם אנושי בפעולות אבטחת הענן, והוא הכרחי בעת תכנון ארכיטקטורת אבטחה בענן. האוטומציה צריכה להתחיל בשלבים מוקדמים של הקצאת הסביבה ושימוש בתבניות מוגדרות (Pre-configured templates) ובהמשך בפעולות קבועות ושגרתיות כמו שימוש במדיניות אבטחה דינאמית-אדפטיבית שאינה דורשת התערבות אנושית.
לסיכום, בכדי למנוע איומים על כל סוגי העננים, בכל מקום - נדרשת אבטחה דינאמית ומתקדמת.
אם תרצו ללמוד עוד הגנת שירותי הענן שלכם אתם מוזמנים לצפות בסרטון הבא: https://israelclouds.technology/CheckPointMovie
ואם אתם דווקא בעניין של לקרוא, אז לחצו כאן למידע נוסף.
המאמר נכתב על ידי שלומי עכו, מומחה לאבטחת הענן בצ'ק פוינט
לחצו כאן לקריאת מאמר נוסף שכתב שלומי עכו, בנושא מודל האחריות המשותפת על אבטחת הענן
לפרטים נוספים ויצירת קשר עם נציג אורקל
הודעתך לא התקבלה - נסה שוב מאוחר יותר