✕ סגור 
צור קשר
תודה על ההתעניינות .

Thank you! Your submission has been received!

Oops! Something went wrong while submitting the form

כיצד בונים ארכיטקטורת ענן מאובטחת באמת?

IsraelClouds
|
קלה
|
Oct 28, 2019
alt="facebook"alt="linkedin"להרשמה לניוזלטר

ב-2019, אנחנו יכולים להגיד בוודאות שאנו נמצאים בעיצומה של מהפכה: אם בעבר המידע היה נשמר בשרתים פנימיים עם גישה מוגבלת (הן בנפח והן מבחינת גישה), הרי שכיום ניתן לעבוד בצורה משותפת על כמויות אדירות של מידע כמעט מכל מקום בעולם.


אנחנו מדברים כמובן על מהפכת הענן, שהפכה לדרך חיים עבור ארגונים רבים ואפשרה מגוון רחב של שיתופי פעולה, גידול וצמיחה בינלאומית, ניהול פרויקטים משותפים, תחומים ומשרות חדשות – והיד עוד נטויה.


עם זאת, כמו בכל תחום, עם כוח גדול מגיעה גם אחריות כבדה, ואם בעבר המידע היה נשמר אצלנו באופן לוקאלי בלבד, הרי שהיום זה כבר לא כך ואתגרי אבטחת המידע הופכים בהתאמה למורכבים יותר ויותר. כשאתם עובדים בענן, לספק הענן יש אחריות על אלמנטים מסוימים אבל חלק ניכר מהאחריות נמצא בידיכם, כך שאתם צריכים לוודא שהמידע הרגיש שלכם ושל לקוחותיכם נשמר היטב ונגיש אך ורק לאלו המורשים לכך.


מכאן, שיותר מתמיד חשוב לוודא שאין סכנה לביטחון המידע, הנתונים, הקבצים וכמובן גם למשתמשים עצמם. בשביל לעשות זאת נכון, ראשית כל, חשוב שתהיה את המודעות לנושא, והשלב הבא הוא כמובן היישום בפועל. בכתבה זו נסביר כיצד בניית הארכיטקטורה שלכם בענן תוכל להיות בטוחה באמת.

היסודות שיש לקחת בחשבון בעת בניית ארכיטקטורת הענן


כשאנחנו מתייחסים לארכיטקטורת ענן מאובטחת, חשוב לשים את הדגש על ההבדלים הנדרשים בבניית הארכיטקטורה עבור שירותי הענן השונים - SaaS (תוכנה כשירות בענן) , IaaS (תשתיות כשירות בענן), ו- PaaS (פלטפורמה כשירות בענן).


IaaS – במודל זה, האחריות של ספק הענן היא באבטחת התשתית עצמה. מכאן, שהאחריות שלנו כארגון היא באבטחת שכבת ה-Middleware, ובנוסף לכך – גם לאבטחת האפליקציות והמידע.
PaaS – במודל זה, ספק הענן יהיה אחראי בנוסף לאבטחת התשתית גם לאבטחת שכבת ה-Middleware. אנחנו בארגון עדיין נהיה אחראים לאבטחת האפליקציות והמידע.
SaaS – במודל זה האחריות נמצאת בעיקרה אצל ספק הענן, אולם גם כאן כמובן שיש לוודא מול ספק הענן שה-SLA מוגדר היטב ולשביעות רצוננו בארגון.


אז מה עדיף? כמובן שעם לקיחת אחריות רחבה יותר, גם עלויות צריכת השירות מספק הענן גוברות. התשובה הנכונה היא שאין תשובה אחת נכונה, ומה שחשוב זה לדעת להתאים כל מקרה לגופו ולבחור את המודלים הנצרכים בענן בהתאם לאופי הארגון וצרכיו.

מודל להתמודדות עם איומי אבטחת מידע בענן


כמו בכל מודל, יש להתחיל באיומים. מה מאיים על הארגון שלכם, על פלח השוק בו אתם עובדים? משם נתחיל בזיהוי של הרגולציות הנדרשות וסוגי הפתרונות הקיימים, כגון: האם מדובר באפליקציה, מה המידע הקיים בענן? המודל המשולב ועוד.


הבסיס לארכיטקטורה כזו מתחיל לטעמי האישי דווקא מן הפנים - החוצה. קודם כל, מה האיום הפנימי על המידע שלי, מי ניגש למידע, האם מותר לו? האם יש לי נראות טובה לכל פעילות שאנו מגדירים כחשובה, מה היכולת שלכם לפעול?


אחרי שיש לנו טבלת החלטות שכזו, נוכל להתחיל לשבץ בה את  הפתרונות והשירותים הרלוונטיים: WAF, CASB, IAM, SECOPS ועוד.



בהתחשב בכך שארגון ממוצע עובד עם כמות גדולה של מידע, עובדים, כלים, תוכנות ועוד, הרי שהרכיבים של כל ארכיטקטורת ענן יכולים להיות רבים מספור, וכך גם גודל הסיכון וההסתברות לטעויות.


לכן, יש משמעות גדולה בבחירה של פתרונות, אשר לפחות בהתחלה נותנים לכם אפשרויות "הפעלת הגנה".


Out of the box ורק לאחר שהמערכת רצה זמן מה, לעבור להתאמה אישית של החוקים וההתראות הנדרשות.


הדגשים העיקריים כאן מתבססים על מה שמניע כל מודל: IaaS מתבסס על רכיבי האחסון והרשת ו-APIים, SaaS מתבסס על נתונים ותוכנות נגישות לדפדפנים, ו-PaaS מתבסס בעיקר על הפצה ללא בעלות על החומרה. כל אלו נמצאים בשימוש נרחב אך גם טומנים בחובם סכנות של ממש: פעמים רבות מדובר ברכיבים עם גישה קלה לרשת האינטרנט, המועדים לפרצות (לדוגמא, יכול להיות שאתם מגנים על המידע שנמצא בענן, אבל המעבר נעשה על גבי דפדפן שכולל בעיות אבטחה אשר יכולות לסכן את כל המערכת).


כשמסתכלים היום על פתרונות הענן - אחד המודלים המעניינים ביותר הוא תפיסת הגנת המידע. האם המידע שלנו מוצפן? השאלה הבאה תהיה - איך אני מגן עליו? הדבר הכי חשוב לטעמי בכל מערך הגנה בארגון הוא ההבנה שאבטחת מידע היא גורם מאפשר ולא גורם מונע, והתפקיד שלנו הוא להגן על יהלומי הכתר של החברה, תוך כדי שאנו מאפשרים את המשך פעילותה התקין של החברה ומסייעים לה להגיע ליעדים העסקיים.

תקנים וארגונים מובילים בתחום אבטחת ארכיטקטורה בענן


אז איך תוכלו לדעת שארכיטקטורת הענן שלכם מאובטחת? כיום מובילים את התחום שני ארגונים, ששמו להם למטרה להרחיב את שיתוף הידע והפרקטיקות ולסייע לארגונים לשפר את יכולות אבטחת המידע שלהם בענן ובכלל.


CSA - Cloud Security Alliance

ארגון זה שם כמטרה לשתף ארגונים ואינדיבידואלים ברחבי העולם בפרקטיקות ייחודיות ומתקדמות שנועדו לשפר את אבטחת הענן בקרב משתמשים. הארגון שהוקם ב-2011 כולל מעל ל-80,000 חברים, והוא מציע לחבריו גישה למקורות מידע רבים, התייעצות עם מומחים בתחום, שיעורים והרצאות בתחום האבטחה ועוד.

ISACA - Information Systems Audit and Control Association

ארגון זה מתמקד בעיקר בפיקוח על תעשיית טכנולוגיות המידע, והוא מחזיק בוותק של יותר מ-50 שנים. הארגון הוקם מהצורך ביצירת מקור מידע והדרכה מרכזי עבור מפתחים בתחום, ועם הזמן הארגון הציע פתרונות רבים בעולמות אלו, כולל כמובן בענן עצמו. הארגון מחזיק ביותר מ-100,000 חברים ופועל ב-180 מדינות ברחבי העולם, ובו בזמן ניתן למצוא בו הרבה מאוד תפקידים הקשורים לתחום המידע והנתונים.

ISO/IEC 27017

תקן זה כולל בתוכו חוקים ותקנות שנועדו להגביר את האבטחה בשירותי הענן באמצעות הדרכה, סיוע ותמיכה בהטמעת פתרונות אבטחה מתקדמים בענן, ובכך מספק תעודת אמינות ואיכות עבור ספקים, לקוחות ומשתמשים בענן ואינדיקציה לרמת האבטחה אצל כל אחד מהם. אם אתם רואים אתר שעומד בתקן זה, סביר להניח שניתן להתנהל איתו ללא חשש.


הגיע הזמן לבנות את הענן שלכם בצורה בטוחה

עולם הענן הוא עולם מורכב המצריך לא מעט למידה כדי לוודא שהכל מוטמע ועובד בצורה חלקה, אך אין ספק שהמאמץ משתלם.

כמו שכבר הבנתם מהמאמר, הדרך לאבטחת הענן שלכם מצריכה ידע וניסיון רבים. בין אם אתם רק עוברים לענן ולא יודעים מאיפה להתחיל, או שאתם כבר נמצאים בענן וחוששים שאתם לא עומדים בכל התקנים הנדרשים, אנחנו נוכל לסייע לכם להעלות את רמת האבטחה בענן שלכם לשלב הבא.

לקביעת פגישת ייעוץ בחינם - השאירו פרטים באתר.

המאמר נכתב על ידי אורן יגר, מנהל תחום ענן ואבטחת מידע מ-Cloudnow, Yael Group

רוצים להתעדכן בתכנים נוספים הקשורים לאבטחת ענן? הצטרפו לפורום המקצועי של IsraelClouds בתחום > להרשמה

ב-2019, אנחנו יכולים להגיד בוודאות שאנו נמצאים בעיצומה של מהפכה: אם בעבר המידע היה נשמר בשרתים פנימיים עם גישה מוגבלת (הן בנפח והן מבחינת גישה), הרי שכיום ניתן לעבוד בצורה משותפת על כמויות אדירות של מידע כמעט מכל מקום בעולם.


אנחנו מדברים כמובן על מהפכת הענן, שהפכה לדרך חיים עבור ארגונים רבים ואפשרה מגוון רחב של שיתופי פעולה, גידול וצמיחה בינלאומית, ניהול פרויקטים משותפים, תחומים ומשרות חדשות – והיד עוד נטויה.


עם זאת, כמו בכל תחום, עם כוח גדול מגיעה גם אחריות כבדה, ואם בעבר המידע היה נשמר אצלנו באופן לוקאלי בלבד, הרי שהיום זה כבר לא כך ואתגרי אבטחת המידע הופכים בהתאמה למורכבים יותר ויותר. כשאתם עובדים בענן, לספק הענן יש אחריות על אלמנטים מסוימים אבל חלק ניכר מהאחריות נמצא בידיכם, כך שאתם צריכים לוודא שהמידע הרגיש שלכם ושל לקוחותיכם נשמר היטב ונגיש אך ורק לאלו המורשים לכך.


מכאן, שיותר מתמיד חשוב לוודא שאין סכנה לביטחון המידע, הנתונים, הקבצים וכמובן גם למשתמשים עצמם. בשביל לעשות זאת נכון, ראשית כל, חשוב שתהיה את המודעות לנושא, והשלב הבא הוא כמובן היישום בפועל. בכתבה זו נסביר כיצד בניית הארכיטקטורה שלכם בענן תוכל להיות בטוחה באמת.

היסודות שיש לקחת בחשבון בעת בניית ארכיטקטורת הענן


כשאנחנו מתייחסים לארכיטקטורת ענן מאובטחת, חשוב לשים את הדגש על ההבדלים הנדרשים בבניית הארכיטקטורה עבור שירותי הענן השונים - SaaS (תוכנה כשירות בענן) , IaaS (תשתיות כשירות בענן), ו- PaaS (פלטפורמה כשירות בענן).


IaaS – במודל זה, האחריות של ספק הענן היא באבטחת התשתית עצמה. מכאן, שהאחריות שלנו כארגון היא באבטחת שכבת ה-Middleware, ובנוסף לכך – גם לאבטחת האפליקציות והמידע.
PaaS – במודל זה, ספק הענן יהיה אחראי בנוסף לאבטחת התשתית גם לאבטחת שכבת ה-Middleware. אנחנו בארגון עדיין נהיה אחראים לאבטחת האפליקציות והמידע.
SaaS – במודל זה האחריות נמצאת בעיקרה אצל ספק הענן, אולם גם כאן כמובן שיש לוודא מול ספק הענן שה-SLA מוגדר היטב ולשביעות רצוננו בארגון.


אז מה עדיף? כמובן שעם לקיחת אחריות רחבה יותר, גם עלויות צריכת השירות מספק הענן גוברות. התשובה הנכונה היא שאין תשובה אחת נכונה, ומה שחשוב זה לדעת להתאים כל מקרה לגופו ולבחור את המודלים הנצרכים בענן בהתאם לאופי הארגון וצרכיו.

מודל להתמודדות עם איומי אבטחת מידע בענן


כמו בכל מודל, יש להתחיל באיומים. מה מאיים על הארגון שלכם, על פלח השוק בו אתם עובדים? משם נתחיל בזיהוי של הרגולציות הנדרשות וסוגי הפתרונות הקיימים, כגון: האם מדובר באפליקציה, מה המידע הקיים בענן? המודל המשולב ועוד.


הבסיס לארכיטקטורה כזו מתחיל לטעמי האישי דווקא מן הפנים - החוצה. קודם כל, מה האיום הפנימי על המידע שלי, מי ניגש למידע, האם מותר לו? האם יש לי נראות טובה לכל פעילות שאנו מגדירים כחשובה, מה היכולת שלכם לפעול?


אחרי שיש לנו טבלת החלטות שכזו, נוכל להתחיל לשבץ בה את  הפתרונות והשירותים הרלוונטיים: WAF, CASB, IAM, SECOPS ועוד.



בהתחשב בכך שארגון ממוצע עובד עם כמות גדולה של מידע, עובדים, כלים, תוכנות ועוד, הרי שהרכיבים של כל ארכיטקטורת ענן יכולים להיות רבים מספור, וכך גם גודל הסיכון וההסתברות לטעויות.


לכן, יש משמעות גדולה בבחירה של פתרונות, אשר לפחות בהתחלה נותנים לכם אפשרויות "הפעלת הגנה".


Out of the box ורק לאחר שהמערכת רצה זמן מה, לעבור להתאמה אישית של החוקים וההתראות הנדרשות.


הדגשים העיקריים כאן מתבססים על מה שמניע כל מודל: IaaS מתבסס על רכיבי האחסון והרשת ו-APIים, SaaS מתבסס על נתונים ותוכנות נגישות לדפדפנים, ו-PaaS מתבסס בעיקר על הפצה ללא בעלות על החומרה. כל אלו נמצאים בשימוש נרחב אך גם טומנים בחובם סכנות של ממש: פעמים רבות מדובר ברכיבים עם גישה קלה לרשת האינטרנט, המועדים לפרצות (לדוגמא, יכול להיות שאתם מגנים על המידע שנמצא בענן, אבל המעבר נעשה על גבי דפדפן שכולל בעיות אבטחה אשר יכולות לסכן את כל המערכת).


כשמסתכלים היום על פתרונות הענן - אחד המודלים המעניינים ביותר הוא תפיסת הגנת המידע. האם המידע שלנו מוצפן? השאלה הבאה תהיה - איך אני מגן עליו? הדבר הכי חשוב לטעמי בכל מערך הגנה בארגון הוא ההבנה שאבטחת מידע היא גורם מאפשר ולא גורם מונע, והתפקיד שלנו הוא להגן על יהלומי הכתר של החברה, תוך כדי שאנו מאפשרים את המשך פעילותה התקין של החברה ומסייעים לה להגיע ליעדים העסקיים.

תקנים וארגונים מובילים בתחום אבטחת ארכיטקטורה בענן


אז איך תוכלו לדעת שארכיטקטורת הענן שלכם מאובטחת? כיום מובילים את התחום שני ארגונים, ששמו להם למטרה להרחיב את שיתוף הידע והפרקטיקות ולסייע לארגונים לשפר את יכולות אבטחת המידע שלהם בענן ובכלל.


CSA - Cloud Security Alliance

ארגון זה שם כמטרה לשתף ארגונים ואינדיבידואלים ברחבי העולם בפרקטיקות ייחודיות ומתקדמות שנועדו לשפר את אבטחת הענן בקרב משתמשים. הארגון שהוקם ב-2011 כולל מעל ל-80,000 חברים, והוא מציע לחבריו גישה למקורות מידע רבים, התייעצות עם מומחים בתחום, שיעורים והרצאות בתחום האבטחה ועוד.

ISACA - Information Systems Audit and Control Association

ארגון זה מתמקד בעיקר בפיקוח על תעשיית טכנולוגיות המידע, והוא מחזיק בוותק של יותר מ-50 שנים. הארגון הוקם מהצורך ביצירת מקור מידע והדרכה מרכזי עבור מפתחים בתחום, ועם הזמן הארגון הציע פתרונות רבים בעולמות אלו, כולל כמובן בענן עצמו. הארגון מחזיק ביותר מ-100,000 חברים ופועל ב-180 מדינות ברחבי העולם, ובו בזמן ניתן למצוא בו הרבה מאוד תפקידים הקשורים לתחום המידע והנתונים.

ISO/IEC 27017

תקן זה כולל בתוכו חוקים ותקנות שנועדו להגביר את האבטחה בשירותי הענן באמצעות הדרכה, סיוע ותמיכה בהטמעת פתרונות אבטחה מתקדמים בענן, ובכך מספק תעודת אמינות ואיכות עבור ספקים, לקוחות ומשתמשים בענן ואינדיקציה לרמת האבטחה אצל כל אחד מהם. אם אתם רואים אתר שעומד בתקן זה, סביר להניח שניתן להתנהל איתו ללא חשש.


הגיע הזמן לבנות את הענן שלכם בצורה בטוחה

עולם הענן הוא עולם מורכב המצריך לא מעט למידה כדי לוודא שהכל מוטמע ועובד בצורה חלקה, אך אין ספק שהמאמץ משתלם.

כמו שכבר הבנתם מהמאמר, הדרך לאבטחת הענן שלכם מצריכה ידע וניסיון רבים. בין אם אתם רק עוברים לענן ולא יודעים מאיפה להתחיל, או שאתם כבר נמצאים בענן וחוששים שאתם לא עומדים בכל התקנים הנדרשים, אנחנו נוכל לסייע לכם להעלות את רמת האבטחה בענן שלכם לשלב הבא.

לקביעת פגישת ייעוץ בחינם - השאירו פרטים באתר.

המאמר נכתב על ידי אורן יגר, מנהל תחום ענן ואבטחת מידע מ-Cloudnow, Yael Group

רוצים להתעדכן בתכנים נוספים הקשורים לאבטחת ענן? הצטרפו לפורום המקצועי של IsraelClouds בתחום > להרשמה

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.
בואו נעבוד ביחד
support@israelclouds.com
צרו קשר