עבור מרבית הארגונים, הגירת מערכות לענן עשויה להיות מאתגרת. עבודה עם מספר רב של ספקי ענן, עשויה להכפיל את האתגרים עימם נאלצים ארגונים להתמודד, זאת במספר רב של עולמות תוכן.
במאמר זה נדון בסיבות של ארגונים לבחון בעבודה עם מספר ספקי ענן, מהם (מקצת) מהאתגרים עימם מתמודדים ארגונים ומהם חלק מאתגרי אבטחת המידע עימם מתמודדים ארגונים במעבר לעבודה עם מספר ספקי ענן.
הסבר כללי אודות מהו Multi-cloud ניתן למצוא בציטוט מתוך דוח של חברת Foresight Factory:
"Managing resources across two different clouds or more, regardless of location (i.e. Multiples of public and/or private cloud; a mix of on-premises and public cloud with integrated platforms)"
עפ"י דו"ח של חברת RightScale מתחילת 2019, ל-84% מארגוני ה-Enterprise בחו"ל יש כבר כיום אסטרטגיה לעבודה בסביבת Multi-cloud:
סיבות של ארגונים לעבור לעבודה בסביבת Multi-cloud
ישנן מספר סיבות עיקריות שיכולות להשפיע על המעבר לסביבה זו:
נעילת ספק (Vendor Lock-in): היכולת לחלק משאבים בין מספר ספקי ענן
עלויות: היכולת לבחור בפתרון מיטבי מבחינת עלויות
אמינות (Reliability): היכולת להגר סביבות (workloads) בין ספקי ענן במקרה של בעיות זמינות (דורש תכנון מראש)
סביבה מיטבית עבורה היישומים: היכולת לבחור בשירות המתאים לביצוע משימה בין ספקי הענן
חדשנות ושימוש בטכנולוגיות: דוגמת Containers ו-Serverless לצורך קיצור time to market
מה הם האתגרים בסביבות Multi-cloud?
פערי ידע
הצורך להתמחות בסביבות שונות של ספקי ענן שונים.
ישנם מספר פתרונות אפשריים:
הכשרה לאנשי התשתיות, מפתחים, אנשי בדיקות ו-DevOps בעבודה עם מספר ספקי ענן ו/או קורסים ללימוד עצמי, דוגמת:
A Cloud Guru
Cloud Academy
Linux Academy
בקרה תקציבית (Cost Management)
הצורך לנהל תקציב ועלויות חודשיות במספר רב של חשבונות ובמספר רב של ספקי ענן.
הפתרונות האפשריים הם:
• הכשרה של אנשים ייעודיים (דוגמת תשתיות, DevOps או אנשי כספים/FinOps) בנושא השירותים בהם מבצע הארגון שימוש בענן (דוגמת מעבר שוטף על חשבוניות, הפקת דוחות שימוש וכו')
• הטמעה בפתרון לניהול בקרת תקציבית, דוגמת:
CloudHealth
Cloudyn / Azure cost management
APPTIO
הטמעת סביבות (Environment Deployment)
הצורך להטמיע סביבות מחשוב (שרתים, אחסון, תקשורת, אפליקציות וכו') במספר רב של ספקי ענן. הפתרונות האפשריים הם כדלקמן:
• הכשרת העובדים בנושאי automation, שפות סקריפטים ו-Infrastructure as a Code
• הטמעת כלים ופתרונות דוגמת:
Terraform
Ansible
Chef / Puppet
נעילת ספק (Vendor Lock-in)
• בניה מחדש (Re-architect) של יישומים על-בסיס Containers,Micro-services ו-APIs
• שימוש בפתרונות מנוהלים של Kubernetes, דוגמת:
Google Kubernetes Engine (GKE)
Amazon Elastic Container Service for Kubernetes (EKS)
Azure Kubernetes Service (AKS)
RedHat OpenShift
דוגמאות לאתגרי אבטחת מידע בסביבות Multi-cloud
פריצה למערכות מידע
הצורך להגן על נתוני הארגון המאוחסנים בענן, היכולת לבצע תחקור וטיפול באירועי אבטחת מידע וכו'. אלו הפתרונות האפשריים:
• הטמעה של פתרון SIEM/SOC מרכזי (העדפה לפתרון SaaS)
• שימוש בכלי ניטור מובנים בצד ספקי הענן, דוגמת:
Amazon GuardDuty
Azure Security Center
Azure Sentinel
Google Cloud Security Command Center
• שימוש בפתרונות automation דוגמת AWS CloudFormation Guardrails
ניהול זהויות
הצורך לנהל מספר רב של זהויות, טיפול באמצעי אימות חלשים במספר רב של ספקי ענן.
לצורך זה ישנם פתרונות אפשריים:
• שימוש במנגנוני הזדהות מבוססי Federation (SAML, OAuth), דוגמת:
Okta
OneLogin
• מימוש הזדהות חזקה (Multi-factor authentication)
ממשקי פיתוח בלתי מאובטחים (Insecure API’s)
הצורך להגן על ממשקי פיתוח (API’s) החשופים לגישת לקוחות מכיוון האינטרנט, מפני מתקפות אפליקטיביות.
אלו הפתרונות האפשריים:
• הטמעת תהליכי פיתוח מאובטח (SDLC) כחלק מתהליכי הפיתוח בארגון
Pushing Left, Like a Boss - By Tanya Janca
• הטמעת פתרונות דוגמת Salt Security
חולשות מערכת הפעלה ואפליקציות
מדובר בצורך להגן על סביבות הענן הארגוניות (ברמת מערכת הפעלה והשכבות האפליקטיביות) במספר ספקי ענן עם מספר פתרונות אפשריים:
• הטמעת מוצרי סריקה חולשות אבטחה דוגמת Tenable Nessus
• הטמעת פתרונות לאיתור גרסאות פגיעות של ספריות קוד פתוח, דוגמת:
WhiteSource
Synopsys Black Duck
Snyk
אובדן / גניבת נתונים (Data Loss / Data Leakage)
הצורך לאתר מידע רגיש המאוחסן במספר רב של ספקי ענן. פתרונות אפשריים:
• שימוש בכלים מובנים בצד ספקי הענן, דוגמת:
Azure Information Protection
Amazon Macie
Google Cloud Data Loss Prevention
• הטמעת פתרונות Cloud Access Security Broker (CASB), דוגמת:
ForcePoint
Bitglass
McAfee MVISION Cloud
בקרה בלתי מספקת של ספקי הענן (Insufficient Due Diligence)
הצורך לבחון את בגרות הספקים בהיבטי אבטחת מידע ואיתנות פיננסית - פתרונות אפשריים:
• ביצוע תשאול הספק לגבי נושאים הרלוונטיים לארגון
• מעבר על דו"חות SOC1 ו-SOC2 Type 2
• וידוא עמידת הספקים בתקן ISO 27001 (ניהול בקרות אבטחת מידע)
• וידוא עמידת הספקים בתקן ISO 27017 (בקרות עבור ספקי ענן)
• וידוא עמידת הספקים בתקן ISO 27018 (הגנה על מידע פרטי)
שימוש לרעה במשאבי ספקי הענן
הצורך להגן על מספר רב של סביבות ענן מפני פעילויות עוינות דוגמת מתקפות מניעת שירות, Denial of wallet (DoW), ניצול משאבים וכו'. ישנם מספר פתרונות אפשריים:
• אכיפת בקרות הזדהות ותהליכי הענקת הרשאות
• הטמעת כלי בקרת/ניהול תקציב
• הפעלת אמצעי ניטור וחיפוש אחר אנומליות
• פרסום מסמכי שימוש נאות בשירות (Legal acceptance) עבור עובדים פנימיים ועבור ספקים צד ג'
מתקפות מניעת שירות (Denial of Service / Distributed Denial of Service)
הצורך לשמור על זמינות סביבות במספר רב של ספקי ענן - פתרונות אפשריים:
• שימוש בכלים מובנים בצד ספקי הענן, דוגמת:
Azure DDoS Protection
AWS Shield
Google Cloud Armor
• הטמעת פתרונות הגנה מפני מתקפות DDoS מבוססי SaaS, דוגמת:
CloudFlare
Incapsula
מספר רב של נקודות כניסה לסביבות הענן (Multiple Entry Points)
הצורך לאפשר גישה לסביבות הענן ממספר רב של התקני-קצה וממספר רב של מקומות בעולם – ישנו פתרון אחד אפשרי:
הטעמת מוצרי Zero trust access, דוגמת:
Luminate
BeyondCorp
Akamai Zero Trust Security
לסיכום
קיימים מספר לא מבוטל של אתגרים במעבר ארגונים לסביבות Multi-cloud, אך ניתן לטפל ברובם ע"י שימוש במספר כללים בסיסיים:
• יצירת אסטרטגיה ארגונית לנושא Multi-cloud, תוך שמירה על המטרות הארגון ובגיבוי ההנהלה הבכירה
• השקעה בהכשרת עובדים
• יצירת מנגנוני בקרת תקציב
• הטמעת מנגנוני אימות והענקת הרשאות מרכזיים
• מנגנוני ניטור מרכזיים
• הפיכת כל פעולה למנגנון אוטומטי (הטמעה, שדרוג, ניטור, תגובה וכו')
• שילוב בקרות אבטחת מידע וצוותי אבטחת המידע כחלק מהתהליכים הארגוניים
קישור למצגת המקורית באנגלית:
https://www.slideshare.net/eyalestrin/security-challenges-in-a-multi-cloud-environment
מאת: אייל אסטרין, Cloud Architect
ניתן לעקוב אחר הפרסומים שלו בבלוג Security 24/7 או ב-Twitter
עבור מרבית הארגונים, הגירת מערכות לענן עשויה להיות מאתגרת. עבודה עם מספר רב של ספקי ענן, עשויה להכפיל את האתגרים עימם נאלצים ארגונים להתמודד, זאת במספר רב של עולמות תוכן.
במאמר זה נדון בסיבות של ארגונים לבחון בעבודה עם מספר ספקי ענן, מהם (מקצת) מהאתגרים עימם מתמודדים ארגונים ומהם חלק מאתגרי אבטחת המידע עימם מתמודדים ארגונים במעבר לעבודה עם מספר ספקי ענן.
הסבר כללי אודות מהו Multi-cloud ניתן למצוא בציטוט מתוך דוח של חברת Foresight Factory:
"Managing resources across two different clouds or more, regardless of location (i.e. Multiples of public and/or private cloud; a mix of on-premises and public cloud with integrated platforms)"
עפ"י דו"ח של חברת RightScale מתחילת 2019, ל-84% מארגוני ה-Enterprise בחו"ל יש כבר כיום אסטרטגיה לעבודה בסביבת Multi-cloud:
סיבות של ארגונים לעבור לעבודה בסביבת Multi-cloud
ישנן מספר סיבות עיקריות שיכולות להשפיע על המעבר לסביבה זו:
נעילת ספק (Vendor Lock-in): היכולת לחלק משאבים בין מספר ספקי ענן
עלויות: היכולת לבחור בפתרון מיטבי מבחינת עלויות
אמינות (Reliability): היכולת להגר סביבות (workloads) בין ספקי ענן במקרה של בעיות זמינות (דורש תכנון מראש)
סביבה מיטבית עבורה היישומים: היכולת לבחור בשירות המתאים לביצוע משימה בין ספקי הענן
חדשנות ושימוש בטכנולוגיות: דוגמת Containers ו-Serverless לצורך קיצור time to market
מה הם האתגרים בסביבות Multi-cloud?
פערי ידע
הצורך להתמחות בסביבות שונות של ספקי ענן שונים.
ישנם מספר פתרונות אפשריים:
הכשרה לאנשי התשתיות, מפתחים, אנשי בדיקות ו-DevOps בעבודה עם מספר ספקי ענן ו/או קורסים ללימוד עצמי, דוגמת:
A Cloud Guru
Cloud Academy
Linux Academy
בקרה תקציבית (Cost Management)
הצורך לנהל תקציב ועלויות חודשיות במספר רב של חשבונות ובמספר רב של ספקי ענן.
הפתרונות האפשריים הם:
• הכשרה של אנשים ייעודיים (דוגמת תשתיות, DevOps או אנשי כספים/FinOps) בנושא השירותים בהם מבצע הארגון שימוש בענן (דוגמת מעבר שוטף על חשבוניות, הפקת דוחות שימוש וכו')
• הטמעה בפתרון לניהול בקרת תקציבית, דוגמת:
CloudHealth
Cloudyn / Azure cost management
APPTIO
הטמעת סביבות (Environment Deployment)
הצורך להטמיע סביבות מחשוב (שרתים, אחסון, תקשורת, אפליקציות וכו') במספר רב של ספקי ענן. הפתרונות האפשריים הם כדלקמן:
• הכשרת העובדים בנושאי automation, שפות סקריפטים ו-Infrastructure as a Code
• הטמעת כלים ופתרונות דוגמת:
Terraform
Ansible
Chef / Puppet
נעילת ספק (Vendor Lock-in)
• בניה מחדש (Re-architect) של יישומים על-בסיס Containers,Micro-services ו-APIs
• שימוש בפתרונות מנוהלים של Kubernetes, דוגמת:
Google Kubernetes Engine (GKE)
Amazon Elastic Container Service for Kubernetes (EKS)
Azure Kubernetes Service (AKS)
RedHat OpenShift
דוגמאות לאתגרי אבטחת מידע בסביבות Multi-cloud
פריצה למערכות מידע
הצורך להגן על נתוני הארגון המאוחסנים בענן, היכולת לבצע תחקור וטיפול באירועי אבטחת מידע וכו'. אלו הפתרונות האפשריים:
• הטמעה של פתרון SIEM/SOC מרכזי (העדפה לפתרון SaaS)
• שימוש בכלי ניטור מובנים בצד ספקי הענן, דוגמת:
Amazon GuardDuty
Azure Security Center
Azure Sentinel
Google Cloud Security Command Center
• שימוש בפתרונות automation דוגמת AWS CloudFormation Guardrails
ניהול זהויות
הצורך לנהל מספר רב של זהויות, טיפול באמצעי אימות חלשים במספר רב של ספקי ענן.
לצורך זה ישנם פתרונות אפשריים:
• שימוש במנגנוני הזדהות מבוססי Federation (SAML, OAuth), דוגמת:
Okta
OneLogin
• מימוש הזדהות חזקה (Multi-factor authentication)
ממשקי פיתוח בלתי מאובטחים (Insecure API’s)
הצורך להגן על ממשקי פיתוח (API’s) החשופים לגישת לקוחות מכיוון האינטרנט, מפני מתקפות אפליקטיביות.
אלו הפתרונות האפשריים:
• הטמעת תהליכי פיתוח מאובטח (SDLC) כחלק מתהליכי הפיתוח בארגון
Pushing Left, Like a Boss - By Tanya Janca
• הטמעת פתרונות דוגמת Salt Security
חולשות מערכת הפעלה ואפליקציות
מדובר בצורך להגן על סביבות הענן הארגוניות (ברמת מערכת הפעלה והשכבות האפליקטיביות) במספר ספקי ענן עם מספר פתרונות אפשריים:
• הטמעת מוצרי סריקה חולשות אבטחה דוגמת Tenable Nessus
• הטמעת פתרונות לאיתור גרסאות פגיעות של ספריות קוד פתוח, דוגמת:
WhiteSource
Synopsys Black Duck
Snyk
אובדן / גניבת נתונים (Data Loss / Data Leakage)
הצורך לאתר מידע רגיש המאוחסן במספר רב של ספקי ענן. פתרונות אפשריים:
• שימוש בכלים מובנים בצד ספקי הענן, דוגמת:
Azure Information Protection
Amazon Macie
Google Cloud Data Loss Prevention
• הטמעת פתרונות Cloud Access Security Broker (CASB), דוגמת:
ForcePoint
Bitglass
McAfee MVISION Cloud
בקרה בלתי מספקת של ספקי הענן (Insufficient Due Diligence)
הצורך לבחון את בגרות הספקים בהיבטי אבטחת מידע ואיתנות פיננסית - פתרונות אפשריים:
• ביצוע תשאול הספק לגבי נושאים הרלוונטיים לארגון
• מעבר על דו"חות SOC1 ו-SOC2 Type 2
• וידוא עמידת הספקים בתקן ISO 27001 (ניהול בקרות אבטחת מידע)
• וידוא עמידת הספקים בתקן ISO 27017 (בקרות עבור ספקי ענן)
• וידוא עמידת הספקים בתקן ISO 27018 (הגנה על מידע פרטי)
שימוש לרעה במשאבי ספקי הענן
הצורך להגן על מספר רב של סביבות ענן מפני פעילויות עוינות דוגמת מתקפות מניעת שירות, Denial of wallet (DoW), ניצול משאבים וכו'. ישנם מספר פתרונות אפשריים:
• אכיפת בקרות הזדהות ותהליכי הענקת הרשאות
• הטמעת כלי בקרת/ניהול תקציב
• הפעלת אמצעי ניטור וחיפוש אחר אנומליות
• פרסום מסמכי שימוש נאות בשירות (Legal acceptance) עבור עובדים פנימיים ועבור ספקים צד ג'
מתקפות מניעת שירות (Denial of Service / Distributed Denial of Service)
הצורך לשמור על זמינות סביבות במספר רב של ספקי ענן - פתרונות אפשריים:
• שימוש בכלים מובנים בצד ספקי הענן, דוגמת:
Azure DDoS Protection
AWS Shield
Google Cloud Armor
• הטמעת פתרונות הגנה מפני מתקפות DDoS מבוססי SaaS, דוגמת:
CloudFlare
Incapsula
מספר רב של נקודות כניסה לסביבות הענן (Multiple Entry Points)
הצורך לאפשר גישה לסביבות הענן ממספר רב של התקני-קצה וממספר רב של מקומות בעולם – ישנו פתרון אחד אפשרי:
הטעמת מוצרי Zero trust access, דוגמת:
Luminate
BeyondCorp
Akamai Zero Trust Security
לסיכום
קיימים מספר לא מבוטל של אתגרים במעבר ארגונים לסביבות Multi-cloud, אך ניתן לטפל ברובם ע"י שימוש במספר כללים בסיסיים:
• יצירת אסטרטגיה ארגונית לנושא Multi-cloud, תוך שמירה על המטרות הארגון ובגיבוי ההנהלה הבכירה
• השקעה בהכשרת עובדים
• יצירת מנגנוני בקרת תקציב
• הטמעת מנגנוני אימות והענקת הרשאות מרכזיים
• מנגנוני ניטור מרכזיים
• הפיכת כל פעולה למנגנון אוטומטי (הטמעה, שדרוג, ניטור, תגובה וכו')
• שילוב בקרות אבטחת מידע וצוותי אבטחת המידע כחלק מהתהליכים הארגוניים
קישור למצגת המקורית באנגלית:
https://www.slideshare.net/eyalestrin/security-challenges-in-a-multi-cloud-environment
מאת: אייל אסטרין, Cloud Architect
ניתן לעקוב אחר הפרסומים שלו בבלוג Security 24/7 או ב-Twitter
לפרטים נוספים ויצירת קשר עם נציג אורקל
הודעתך לא התקבלה - נסה שוב מאוחר יותר