עבור מרבית הארגונים, הגירת מערכות לענן עשויה להיות מאתגרת. עבודה עם מספר רב של ספקי ענן, עשויה להכפיל את האתגרים עימם נאלצים ארגונים להתמודד, זאת במספר רב של עולמות תוכן.
במאמר זה נדון בסיבות של ארגונים לבחון בעבודה עם מספר ספקי ענן, מהם (מקצת) מהאתגרים עימם מתמודדים ארגונים ומהם חלק מאתגרי אבטחת המידע עימם מתמודדים ארגונים במעבר לעבודה עם מספר ספקי ענן.
הסבר כללי אודות מהו Multi-cloud ניתן למצוא בציטוט מתוך דוח של חברת Foresight Factory:
עפ"י דו"ח של חברת RightScale מתחילת 2019, ל-84% מארגוני ה-Enterprise בחו"ל יש כבר כיום אסטרטגיה לעבודה בסביבת Multi-cloud:
ישנן מספר סיבות עיקריות שיכולות להשפיע על המעבר לסביבה זו:
נעילת ספק (Vendor Lock-in): היכולת לחלק משאבים בין מספר ספקי ענן
עלויות: היכולת לבחור בפתרון מיטבי מבחינת עלויות
אמינות (Reliability): היכולת להגר סביבות (workloads) בין ספקי ענן במקרה של בעיות זמינות (דורש תכנון מראש)
סביבה מיטבית עבורה היישומים: היכולת לבחור בשירות המתאים לביצוע משימה בין ספקי הענן
חדשנות ושימוש בטכנולוגיות: דוגמת Containers ו-Serverless לצורך קיצור time to market
הצורך להתמחות בסביבות שונות של ספקי ענן שונים.
ישנם מספר פתרונות אפשריים:
הכשרה לאנשי התשתיות, מפתחים, אנשי בדיקות ו-DevOps בעבודה עם מספר ספקי ענן ו/או קורסים ללימוד עצמי, דוגמת:
A Cloud Guru
Cloud Academy
Linux Academy
הצורך לנהל תקציב ועלויות חודשיות במספר רב של חשבונות ובמספר רב של ספקי ענן.
הפתרונות האפשריים הם:
• הכשרה של אנשים ייעודיים (דוגמת תשתיות, DevOps או אנשי כספים/FinOps) בנושא השירותים בהם מבצע הארגון שימוש בענן (דוגמת מעבר שוטף על חשבוניות, הפקת דוחות שימוש וכו')
• הטמעה בפתרון לניהול בקרת תקציבית, דוגמת:
CloudHealth
Cloudyn / Azure cost management
APPTIO
הצורך להטמיע סביבות מחשוב (שרתים, אחסון, תקשורת, אפליקציות וכו') במספר רב של ספקי ענן. הפתרונות האפשריים הם כדלקמן:
• הכשרת העובדים בנושאי automation, שפות סקריפטים ו-Infrastructure as a Code
• הטמעת כלים ופתרונות דוגמת:
Terraform
Ansible
Chef / Puppet
• בניה מחדש (Re-architect) של יישומים על-בסיס Containers,Micro-services ו-APIs
• שימוש בפתרונות מנוהלים של Kubernetes, דוגמת:
Google Kubernetes Engine (GKE)
Amazon Elastic Container Service for Kubernetes (EKS)
Azure Kubernetes Service (AKS)
RedHat OpenShift
הצורך להגן על נתוני הארגון המאוחסנים בענן, היכולת לבצע תחקור וטיפול באירועי אבטחת מידע וכו'. אלו הפתרונות האפשריים:
• הטמעה של פתרון SIEM/SOC מרכזי (העדפה לפתרון SaaS)
• שימוש בכלי ניטור מובנים בצד ספקי הענן, דוגמת:
Amazon GuardDuty
Azure Security Center
Azure Sentinel
Google Cloud Security Command Center
• שימוש בפתרונות automation דוגמת AWS CloudFormation Guardrails
הצורך לנהל מספר רב של זהויות, טיפול באמצעי אימות חלשים במספר רב של ספקי ענן.
לצורך זה ישנם פתרונות אפשריים:
• שימוש במנגנוני הזדהות מבוססי Federation (SAML, OAuth), דוגמת:
Okta
OneLogin
• מימוש הזדהות חזקה (Multi-factor authentication)
הצורך להגן על ממשקי פיתוח (API’s) החשופים לגישת לקוחות מכיוון האינטרנט, מפני מתקפות אפליקטיביות.
אלו הפתרונות האפשריים:
• הטמעת תהליכי פיתוח מאובטח (SDLC) כחלק מתהליכי הפיתוח בארגון
Pushing Left, Like a Boss - By Tanya Janca
• הטמעת פתרונות דוגמת Salt Security
מדובר בצורך להגן על סביבות הענן הארגוניות (ברמת מערכת הפעלה והשכבות האפליקטיביות) במספר ספקי ענן עם מספר פתרונות אפשריים:
• הטמעת מוצרי סריקה חולשות אבטחה דוגמת Tenable Nessus
• הטמעת פתרונות לאיתור גרסאות פגיעות של ספריות קוד פתוח, דוגמת:
WhiteSource
Synopsys Black Duck
Snyk
הצורך לאתר מידע רגיש המאוחסן במספר רב של ספקי ענן. פתרונות אפשריים:
• שימוש בכלים מובנים בצד ספקי הענן, דוגמת:
Azure Information Protection
Amazon Macie
Google Cloud Data Loss Prevention
• הטמעת פתרונות Cloud Access Security Broker (CASB), דוגמת:
ForcePoint
Bitglass
McAfee MVISION Cloud
הצורך לבחון את בגרות הספקים בהיבטי אבטחת מידע ואיתנות פיננסית - פתרונות אפשריים:
• ביצוע תשאול הספק לגבי נושאים הרלוונטיים לארגון
• מעבר על דו"חות SOC1 ו-SOC2 Type 2
• וידוא עמידת הספקים בתקן ISO 27001 (ניהול בקרות אבטחת מידע)
• וידוא עמידת הספקים בתקן ISO 27017 (בקרות עבור ספקי ענן)
• וידוא עמידת הספקים בתקן ISO 27018 (הגנה על מידע פרטי)
הצורך להגן על מספר רב של סביבות ענן מפני פעילויות עוינות דוגמת מתקפות מניעת שירות, Denial of wallet (DoW), ניצול משאבים וכו'. ישנם מספר פתרונות אפשריים:
• אכיפת בקרות הזדהות ותהליכי הענקת הרשאות
• הטמעת כלי בקרת/ניהול תקציב
• הפעלת אמצעי ניטור וחיפוש אחר אנומליות
• פרסום מסמכי שימוש נאות בשירות (Legal acceptance) עבור עובדים פנימיים ועבור ספקים צד ג'
הצורך לשמור על זמינות סביבות במספר רב של ספקי ענן - פתרונות אפשריים:
• שימוש בכלים מובנים בצד ספקי הענן, דוגמת:
Azure DDoS Protection
AWS Shield
Google Cloud Armor
• הטמעת פתרונות הגנה מפני מתקפות DDoS מבוססי SaaS, דוגמת:
CloudFlare
Incapsula
הצורך לאפשר גישה לסביבות הענן ממספר רב של התקני-קצה וממספר רב של מקומות בעולם – ישנו פתרון אחד אפשרי:
הטעמת מוצרי Zero trust access, דוגמת:
Luminate
BeyondCorp
Akamai Zero Trust Security
קיימים מספר לא מבוטל של אתגרים במעבר ארגונים לסביבות Multi-cloud, אך ניתן לטפל ברובם ע"י שימוש במספר כללים בסיסיים:
• יצירת אסטרטגיה ארגונית לנושא Multi-cloud, תוך שמירה על המטרות הארגון ובגיבוי ההנהלה הבכירה
• השקעה בהכשרת עובדים
• יצירת מנגנוני בקרת תקציב
• הטמעת מנגנוני אימות והענקת הרשאות מרכזיים
• מנגנוני ניטור מרכזיים
• הפיכת כל פעולה למנגנון אוטומטי (הטמעה, שדרוג, ניטור, תגובה וכו')
• שילוב בקרות אבטחת מידע וצוותי אבטחת המידע כחלק מהתהליכים הארגוניים
קישור למצגת המקורית באנגלית:
https://www.slideshare.net/eyalestrin/security-challenges-in-a-multi-cloud-environment
עבור מרבית הארגונים, הגירת מערכות לענן עשויה להיות מאתגרת. עבודה עם מספר רב של ספקי ענן, עשויה להכפיל את האתגרים עימם נאלצים ארגונים להתמודד, זאת במספר רב של עולמות תוכן.
במאמר זה נדון בסיבות של ארגונים לבחון בעבודה עם מספר ספקי ענן, מהם (מקצת) מהאתגרים עימם מתמודדים ארגונים ומהם חלק מאתגרי אבטחת המידע עימם מתמודדים ארגונים במעבר לעבודה עם מספר ספקי ענן.
הסבר כללי אודות מהו Multi-cloud ניתן למצוא בציטוט מתוך דוח של חברת Foresight Factory:
עפ"י דו"ח של חברת RightScale מתחילת 2019, ל-84% מארגוני ה-Enterprise בחו"ל יש כבר כיום אסטרטגיה לעבודה בסביבת Multi-cloud:
ישנן מספר סיבות עיקריות שיכולות להשפיע על המעבר לסביבה זו:
נעילת ספק (Vendor Lock-in): היכולת לחלק משאבים בין מספר ספקי ענן
עלויות: היכולת לבחור בפתרון מיטבי מבחינת עלויות
אמינות (Reliability): היכולת להגר סביבות (workloads) בין ספקי ענן במקרה של בעיות זמינות (דורש תכנון מראש)
סביבה מיטבית עבורה היישומים: היכולת לבחור בשירות המתאים לביצוע משימה בין ספקי הענן
חדשנות ושימוש בטכנולוגיות: דוגמת Containers ו-Serverless לצורך קיצור time to market
הצורך להתמחות בסביבות שונות של ספקי ענן שונים.
ישנם מספר פתרונות אפשריים:
הכשרה לאנשי התשתיות, מפתחים, אנשי בדיקות ו-DevOps בעבודה עם מספר ספקי ענן ו/או קורסים ללימוד עצמי, דוגמת:
A Cloud Guru
Cloud Academy
Linux Academy
הצורך לנהל תקציב ועלויות חודשיות במספר רב של חשבונות ובמספר רב של ספקי ענן.
הפתרונות האפשריים הם:
• הכשרה של אנשים ייעודיים (דוגמת תשתיות, DevOps או אנשי כספים/FinOps) בנושא השירותים בהם מבצע הארגון שימוש בענן (דוגמת מעבר שוטף על חשבוניות, הפקת דוחות שימוש וכו')
• הטמעה בפתרון לניהול בקרת תקציבית, דוגמת:
CloudHealth
Cloudyn / Azure cost management
APPTIO
הצורך להטמיע סביבות מחשוב (שרתים, אחסון, תקשורת, אפליקציות וכו') במספר רב של ספקי ענן. הפתרונות האפשריים הם כדלקמן:
• הכשרת העובדים בנושאי automation, שפות סקריפטים ו-Infrastructure as a Code
• הטמעת כלים ופתרונות דוגמת:
Terraform
Ansible
Chef / Puppet
• בניה מחדש (Re-architect) של יישומים על-בסיס Containers,Micro-services ו-APIs
• שימוש בפתרונות מנוהלים של Kubernetes, דוגמת:
Google Kubernetes Engine (GKE)
Amazon Elastic Container Service for Kubernetes (EKS)
Azure Kubernetes Service (AKS)
RedHat OpenShift
הצורך להגן על נתוני הארגון המאוחסנים בענן, היכולת לבצע תחקור וטיפול באירועי אבטחת מידע וכו'. אלו הפתרונות האפשריים:
• הטמעה של פתרון SIEM/SOC מרכזי (העדפה לפתרון SaaS)
• שימוש בכלי ניטור מובנים בצד ספקי הענן, דוגמת:
Amazon GuardDuty
Azure Security Center
Azure Sentinel
Google Cloud Security Command Center
• שימוש בפתרונות automation דוגמת AWS CloudFormation Guardrails
הצורך לנהל מספר רב של זהויות, טיפול באמצעי אימות חלשים במספר רב של ספקי ענן.
לצורך זה ישנם פתרונות אפשריים:
• שימוש במנגנוני הזדהות מבוססי Federation (SAML, OAuth), דוגמת:
Okta
OneLogin
• מימוש הזדהות חזקה (Multi-factor authentication)
הצורך להגן על ממשקי פיתוח (API’s) החשופים לגישת לקוחות מכיוון האינטרנט, מפני מתקפות אפליקטיביות.
אלו הפתרונות האפשריים:
• הטמעת תהליכי פיתוח מאובטח (SDLC) כחלק מתהליכי הפיתוח בארגון
Pushing Left, Like a Boss - By Tanya Janca
• הטמעת פתרונות דוגמת Salt Security
מדובר בצורך להגן על סביבות הענן הארגוניות (ברמת מערכת הפעלה והשכבות האפליקטיביות) במספר ספקי ענן עם מספר פתרונות אפשריים:
• הטמעת מוצרי סריקה חולשות אבטחה דוגמת Tenable Nessus
• הטמעת פתרונות לאיתור גרסאות פגיעות של ספריות קוד פתוח, דוגמת:
WhiteSource
Synopsys Black Duck
Snyk
הצורך לאתר מידע רגיש המאוחסן במספר רב של ספקי ענן. פתרונות אפשריים:
• שימוש בכלים מובנים בצד ספקי הענן, דוגמת:
Azure Information Protection
Amazon Macie
Google Cloud Data Loss Prevention
• הטמעת פתרונות Cloud Access Security Broker (CASB), דוגמת:
ForcePoint
Bitglass
McAfee MVISION Cloud
הצורך לבחון את בגרות הספקים בהיבטי אבטחת מידע ואיתנות פיננסית - פתרונות אפשריים:
• ביצוע תשאול הספק לגבי נושאים הרלוונטיים לארגון
• מעבר על דו"חות SOC1 ו-SOC2 Type 2
• וידוא עמידת הספקים בתקן ISO 27001 (ניהול בקרות אבטחת מידע)
• וידוא עמידת הספקים בתקן ISO 27017 (בקרות עבור ספקי ענן)
• וידוא עמידת הספקים בתקן ISO 27018 (הגנה על מידע פרטי)
הצורך להגן על מספר רב של סביבות ענן מפני פעילויות עוינות דוגמת מתקפות מניעת שירות, Denial of wallet (DoW), ניצול משאבים וכו'. ישנם מספר פתרונות אפשריים:
• אכיפת בקרות הזדהות ותהליכי הענקת הרשאות
• הטמעת כלי בקרת/ניהול תקציב
• הפעלת אמצעי ניטור וחיפוש אחר אנומליות
• פרסום מסמכי שימוש נאות בשירות (Legal acceptance) עבור עובדים פנימיים ועבור ספקים צד ג'
הצורך לשמור על זמינות סביבות במספר רב של ספקי ענן - פתרונות אפשריים:
• שימוש בכלים מובנים בצד ספקי הענן, דוגמת:
Azure DDoS Protection
AWS Shield
Google Cloud Armor
• הטמעת פתרונות הגנה מפני מתקפות DDoS מבוססי SaaS, דוגמת:
CloudFlare
Incapsula
הצורך לאפשר גישה לסביבות הענן ממספר רב של התקני-קצה וממספר רב של מקומות בעולם – ישנו פתרון אחד אפשרי:
הטעמת מוצרי Zero trust access, דוגמת:
Luminate
BeyondCorp
Akamai Zero Trust Security
קיימים מספר לא מבוטל של אתגרים במעבר ארגונים לסביבות Multi-cloud, אך ניתן לטפל ברובם ע"י שימוש במספר כללים בסיסיים:
• יצירת אסטרטגיה ארגונית לנושא Multi-cloud, תוך שמירה על המטרות הארגון ובגיבוי ההנהלה הבכירה
• השקעה בהכשרת עובדים
• יצירת מנגנוני בקרת תקציב
• הטמעת מנגנוני אימות והענקת הרשאות מרכזיים
• מנגנוני ניטור מרכזיים
• הפיכת כל פעולה למנגנון אוטומטי (הטמעה, שדרוג, ניטור, תגובה וכו')
• שילוב בקרות אבטחת מידע וצוותי אבטחת המידע כחלק מהתהליכים הארגוניים
קישור למצגת המקורית באנגלית:
https://www.slideshare.net/eyalestrin/security-challenges-in-a-multi-cloud-environment
הודעתך לא התקבלה - נסה שוב מאוחר יותר
Oops! Something went wrong while submitting the form