מודל Platform As A Service – PaaS הינו אחד מתוך שלושת מודלי השירות בענן. המאפיין העיקרי שלו הוא אספקת כל השירותים הדרושים למפתחים לצורך בניית, הרצת ותחזוקת אפליקציות ושירותים מבלי הצורך לבנות ולתחזק את התשתית הנלווית לכך. מודל זה מאפשר לנו להתמקד בפונקציונאליות המערכת על פני הצד התשתיתי שלה.
לקוחות שוקלים מעבר לשירות PaaS כאשר ישנה כוונה להשקעה עתידית במערכת מידע קיימת או בעת השקת אפליקציות מודרניות הנולדות לענן. במודל זה אנו מסירים מעצמנו אחריות מסוימת העוברת לספק הענן ואיתה מבחירה יורדת רמת השליטה שלנו. מכאן שנוצרה סברה שמא מודל זה מאובטח פחות משימוש בחוות שרתים בחצר הלקוח (On-Premise) ולכן לעיתים נוטים שלא לבחור בו.
נדון כעת מדוע מודל PaaS על Microsoft Azure בהכרח יותר מאובטח מאשר On-Premise.
לסביבת On-Premise טיפוסית ישנן תחומים רבים אשר באחריותנו לתת להם מענה בסוגיות של אבטחת המידע. אך מפאת מחסור בתקציב, משאבים, ידע או ניהול לא נכון ישנם תחומים רבים אשר האחריות עליהם לא מתממשת. דבר היוצר סביבה בה תוקפים יכולים לנצל פגיעויות ברבדים שונים. על ידי העברת אחריות א"מ לספק הענן, ארגונים יכולים לקבל כיסוי אבטחתי נרחב יותר המאפשר להם לבצע הקצאה מחדש של משאבים ותקציבים לצרכים עיסקיים.
ארגונים יכולים בקלות לשפר את יכולות ה Threat Detection ואת זמן התגובה שלהם לאירועי התקפות ולהנות מיכולות ה Cloud Intelligence - ל Microsoft גישה לטלמטריה עצומה הרואה ומנתחת דפוסי התנהגות של מיליוני מכונות וירטואליות ב Azure, יכולות איסוף וקורולציה לדפוסי התקפות ובדיקה האם הן מתבצעות על לקוחות בזמן אמת.
Defense Econometric - כשמדובר בפתרונות א"מ, ידוע לכל כי לא ניתן למדוד את ההשקעה של הארגון במונחים של החזר השקעה (ROI). ההנחה הרווחת היא שיש לנסות לצמצם את הפסד ה ROI ככל שניתן. אך ניתן לגרום למצב בו התוקף נאלץ להגדיל את ההשקעה שלו בתקיפה ובכך להפוך אותה לבלתי משתלמת עבורו. כלומר להפוך את הדילמה שלנו להיות הדילמה של התוקף, האם משתלם לו לתקוף אותנו. מצב כזה עשוי לגרום לתוקף לחפש יעד תקיפה אחר.
הדרך לשבור את המודל הכלכלי של התוקף היא ע"י שלילת האפשרות שלו להפעיל את ה Known Attack Playbook – אלו הן תקיפות סטנדרטיות וידועות, לרוב חוזרות על עצמן. לצד יכולות של Incident Response הכוללות זיהוי מהיר של התקיפה, מהירות התגובה והתאוששות בחזרה למצב טרם התקיפה.
מיפוי של קהילת ה OWASP לעשרת הפגיעויות לאפליקציות Web מראה כי מרביתן הן פגיעויות ברמת קוד האפליקציה. אך שניים עיקריים מתוכן הינם Security Misconfiguration ו Using Components with Known Vulnerabilities.
Security Misconfiguration - דוגמת הקשחות חסרות. לכאורה מקרה שלא אמור לקרות בהינתן ארגונים שמטמיעים שימוש ב Golden Image שעבר התאמת הקשחה או בכלי אוטומציה דוגמת DSC.
Using Components with Known Vulnerabilities – דוגמת אי התקנת Security Patches באופן שוטף. מקרה שכיח מאוד לכל ארגון ולו משום שהדבר לא נמצא בראש סדרי העדיפויות.
Azure PaaS לא מאבטח את קוד האפליקציה אך מטפל ישירות בשני סיכונים אלו. בהינתן האחריות לספק הענן לטיפול בפגיעויות אלו העלנו את רמת א"מ לשירות ה Web שלנו.
תקיפת תשתית האפליקציה עד לרמת מערכת ההפעלה היא דבר מורכב ומסובך כשמדובר בשירות PaaS. לרשות Microsoft מחלקות של אנשי א"מ העובדים מסביב לשעון הכוללים אנשי תקיפה והגנה (Red and Blue Teams) שמטרתם לחשוף ולמנוע פגיעויות א"מ לרבדים אלו.
המתנגדים למעבר לשירות PaaS עשויים לטעון שהמעבר לענן מחייב אותם לשמור סיסמאות ומפתחות בגישה לשירותי ה PaaS השונים כגון ה Storage Accounts או Certificates לאתרים. דבר אשר לא קורה במערכות הפרוסות ב On-Premise. המענה לכך מטופל בקלות במסגרת יישום מתודולוגיית ניהול מפתחות ב HSM כמו Azure Key Vault Service.
בתמורה לסיכון החדש שלקחנו על עצמנו, נקבל את האחריות המלאה של ספק הענן לא"מ ולנטרול הסיכונים לרמת התשתית שתוארו לעיל.
יתרון נוסף במעבר ל PaaS מתרחש בעת מתקפת DDOS. Microsoft מספקת הגנת DDOS בנפחים גבוהים ואף משתמשת ב Scrubbing Center כדי לפלטר תעבורה שאיננה לגיטימית ולהעביר רק תעבורה חוקית. לכך נוסיף את היכולת לביצוע Scale Out לאפליקציה בצורה אוטומטית (אולי אף למיקום גיאוגרפי אחר) ובכך להבטיח את המשך רמת השירות של האפליקציה על פי הזמינות שהגדרנו.
נתבונן בדוגמא לאבטחת שירות Web כ PaaS ב Microsoft Azure:
•ה Host אשר מריץ את השירות מנוהל ע"י Microsoft, מותקנים עליו כל עדכוני א"מ האחרונים, תוכנת Antimalware, Firewall Host – כל זה בצורה אוטומטית ושקופה.
ניתן להפעיל שירותי Threat Protection ו Threat Detection – ההפעלה (והתשלום במקרה של ה Advanced) היא באחריות הארגון, ההרצה והניהול היא ע"י Microsoft. מבוצע באמצעות Azure Security Center שעליו ארחיב בהמשך.
•ניתן אף להטמיע פתרונות משלימים כגון WAF, NG FW ו IPS כאשר כאן הארגון צורך אותם מ Microsoft Marketplace, הניהול של אותם מוצרים הוא באחריות הארגון.
•כמובן שאת כל הלוגים ניתן לייצא למערכת ה SIEM הארגונית שלנו לקבלת מסך יחיד המציג את תמונת המצב האבטחתית.
כלי נוסף ש Azure מספק הינו ה Azure Security Center (ASC) – מטרת ASC הינה להיות ה One Stop Shop לכל צורכי א"מ לסביבה שלנו. הכלי מספק Visibility לפגיעויות ברמות סיווג שונות ולפי וקטורים שונים (מכונות וירטואליות, רשת, אפליקציה, בסיסי נתונים ומידע). ואף כלי לביצוע Remediation לאותן פגיעויות במספר לחיצות כפתור, גם פתרונות א"מ צד שלישי מה Marketplace.
חלק מרכזי וחשוב ב ASC הינו ה Alerts – בו נראה את כל אירועי הא"מ שקרו לסביבה שלנו, אם זה אירוע בודד או מספר אירועים שקושרו יחד לאירוע מתגלגל. הכלי מתבסס על יכולות Machine Learning חזקות ואלגוריתמים מורכבים לחיזוי, איסוף וניתוח התקפות על פני כל ה Attack Surface עליו מיקרוסופט אחראית.
לסיכום, מעבר אפליקציות מ On-Premise ל Azure PaaS מחייב בראש ובראשונה את ההבנה בכך שישנו צורך בשינוי תפיסת א"מ. מסורתית ב On-Premise היקפי ההגנה נעו סביב תחום התקשורת כציר מרכזי. לשירותי PaaS נספק מענה אבטחתי טוב יותר אם נבין שהיקפי ההגנה נעים סביב Identity and Data ולכן חשיבה כתקשורת במרכז היא פחות רלוונטית.
לכך נוסיף יכולות מובנות המסופקות ע"י Microsoft כגון ה Intelligence Cloud , ניהול עד לרמת מערכת ההפעלה ו Azure Security Center והרי שקיבלנו מענה אבטחתי טוב יותר.
מודל Platform As A Service – PaaS הינו אחד מתוך שלושת מודלי השירות בענן. המאפיין העיקרי שלו הוא אספקת כל השירותים הדרושים למפתחים לצורך בניית, הרצת ותחזוקת אפליקציות ושירותים מבלי הצורך לבנות ולתחזק את התשתית הנלווית לכך. מודל זה מאפשר לנו להתמקד בפונקציונאליות המערכת על פני הצד התשתיתי שלה.
לקוחות שוקלים מעבר לשירות PaaS כאשר ישנה כוונה להשקעה עתידית במערכת מידע קיימת או בעת השקת אפליקציות מודרניות הנולדות לענן. במודל זה אנו מסירים מעצמנו אחריות מסוימת העוברת לספק הענן ואיתה מבחירה יורדת רמת השליטה שלנו. מכאן שנוצרה סברה שמא מודל זה מאובטח פחות משימוש בחוות שרתים בחצר הלקוח (On-Premise) ולכן לעיתים נוטים שלא לבחור בו.
נדון כעת מדוע מודל PaaS על Microsoft Azure בהכרח יותר מאובטח מאשר On-Premise.
לסביבת On-Premise טיפוסית ישנן תחומים רבים אשר באחריותנו לתת להם מענה בסוגיות של אבטחת המידע. אך מפאת מחסור בתקציב, משאבים, ידע או ניהול לא נכון ישנם תחומים רבים אשר האחריות עליהם לא מתממשת. דבר היוצר סביבה בה תוקפים יכולים לנצל פגיעויות ברבדים שונים. על ידי העברת אחריות א"מ לספק הענן, ארגונים יכולים לקבל כיסוי אבטחתי נרחב יותר המאפשר להם לבצע הקצאה מחדש של משאבים ותקציבים לצרכים עיסקיים.
ארגונים יכולים בקלות לשפר את יכולות ה Threat Detection ואת זמן התגובה שלהם לאירועי התקפות ולהנות מיכולות ה Cloud Intelligence - ל Microsoft גישה לטלמטריה עצומה הרואה ומנתחת דפוסי התנהגות של מיליוני מכונות וירטואליות ב Azure, יכולות איסוף וקורולציה לדפוסי התקפות ובדיקה האם הן מתבצעות על לקוחות בזמן אמת.
Defense Econometric - כשמדובר בפתרונות א"מ, ידוע לכל כי לא ניתן למדוד את ההשקעה של הארגון במונחים של החזר השקעה (ROI). ההנחה הרווחת היא שיש לנסות לצמצם את הפסד ה ROI ככל שניתן. אך ניתן לגרום למצב בו התוקף נאלץ להגדיל את ההשקעה שלו בתקיפה ובכך להפוך אותה לבלתי משתלמת עבורו. כלומר להפוך את הדילמה שלנו להיות הדילמה של התוקף, האם משתלם לו לתקוף אותנו. מצב כזה עשוי לגרום לתוקף לחפש יעד תקיפה אחר.
הדרך לשבור את המודל הכלכלי של התוקף היא ע"י שלילת האפשרות שלו להפעיל את ה Known Attack Playbook – אלו הן תקיפות סטנדרטיות וידועות, לרוב חוזרות על עצמן. לצד יכולות של Incident Response הכוללות זיהוי מהיר של התקיפה, מהירות התגובה והתאוששות בחזרה למצב טרם התקיפה.
מיפוי של קהילת ה OWASP לעשרת הפגיעויות לאפליקציות Web מראה כי מרביתן הן פגיעויות ברמת קוד האפליקציה. אך שניים עיקריים מתוכן הינם Security Misconfiguration ו Using Components with Known Vulnerabilities.
Security Misconfiguration - דוגמת הקשחות חסרות. לכאורה מקרה שלא אמור לקרות בהינתן ארגונים שמטמיעים שימוש ב Golden Image שעבר התאמת הקשחה או בכלי אוטומציה דוגמת DSC.
Using Components with Known Vulnerabilities – דוגמת אי התקנת Security Patches באופן שוטף. מקרה שכיח מאוד לכל ארגון ולו משום שהדבר לא נמצא בראש סדרי העדיפויות.
Azure PaaS לא מאבטח את קוד האפליקציה אך מטפל ישירות בשני סיכונים אלו. בהינתן האחריות לספק הענן לטיפול בפגיעויות אלו העלנו את רמת א"מ לשירות ה Web שלנו.
תקיפת תשתית האפליקציה עד לרמת מערכת ההפעלה היא דבר מורכב ומסובך כשמדובר בשירות PaaS. לרשות Microsoft מחלקות של אנשי א"מ העובדים מסביב לשעון הכוללים אנשי תקיפה והגנה (Red and Blue Teams) שמטרתם לחשוף ולמנוע פגיעויות א"מ לרבדים אלו.
המתנגדים למעבר לשירות PaaS עשויים לטעון שהמעבר לענן מחייב אותם לשמור סיסמאות ומפתחות בגישה לשירותי ה PaaS השונים כגון ה Storage Accounts או Certificates לאתרים. דבר אשר לא קורה במערכות הפרוסות ב On-Premise. המענה לכך מטופל בקלות במסגרת יישום מתודולוגיית ניהול מפתחות ב HSM כמו Azure Key Vault Service.
בתמורה לסיכון החדש שלקחנו על עצמנו, נקבל את האחריות המלאה של ספק הענן לא"מ ולנטרול הסיכונים לרמת התשתית שתוארו לעיל.
יתרון נוסף במעבר ל PaaS מתרחש בעת מתקפת DDOS. Microsoft מספקת הגנת DDOS בנפחים גבוהים ואף משתמשת ב Scrubbing Center כדי לפלטר תעבורה שאיננה לגיטימית ולהעביר רק תעבורה חוקית. לכך נוסיף את היכולת לביצוע Scale Out לאפליקציה בצורה אוטומטית (אולי אף למיקום גיאוגרפי אחר) ובכך להבטיח את המשך רמת השירות של האפליקציה על פי הזמינות שהגדרנו.
נתבונן בדוגמא לאבטחת שירות Web כ PaaS ב Microsoft Azure:
•ה Host אשר מריץ את השירות מנוהל ע"י Microsoft, מותקנים עליו כל עדכוני א"מ האחרונים, תוכנת Antimalware, Firewall Host – כל זה בצורה אוטומטית ושקופה.
ניתן להפעיל שירותי Threat Protection ו Threat Detection – ההפעלה (והתשלום במקרה של ה Advanced) היא באחריות הארגון, ההרצה והניהול היא ע"י Microsoft. מבוצע באמצעות Azure Security Center שעליו ארחיב בהמשך.
•ניתן אף להטמיע פתרונות משלימים כגון WAF, NG FW ו IPS כאשר כאן הארגון צורך אותם מ Microsoft Marketplace, הניהול של אותם מוצרים הוא באחריות הארגון.
•כמובן שאת כל הלוגים ניתן לייצא למערכת ה SIEM הארגונית שלנו לקבלת מסך יחיד המציג את תמונת המצב האבטחתית.
כלי נוסף ש Azure מספק הינו ה Azure Security Center (ASC) – מטרת ASC הינה להיות ה One Stop Shop לכל צורכי א"מ לסביבה שלנו. הכלי מספק Visibility לפגיעויות ברמות סיווג שונות ולפי וקטורים שונים (מכונות וירטואליות, רשת, אפליקציה, בסיסי נתונים ומידע). ואף כלי לביצוע Remediation לאותן פגיעויות במספר לחיצות כפתור, גם פתרונות א"מ צד שלישי מה Marketplace.
חלק מרכזי וחשוב ב ASC הינו ה Alerts – בו נראה את כל אירועי הא"מ שקרו לסביבה שלנו, אם זה אירוע בודד או מספר אירועים שקושרו יחד לאירוע מתגלגל. הכלי מתבסס על יכולות Machine Learning חזקות ואלגוריתמים מורכבים לחיזוי, איסוף וניתוח התקפות על פני כל ה Attack Surface עליו מיקרוסופט אחראית.
לסיכום, מעבר אפליקציות מ On-Premise ל Azure PaaS מחייב בראש ובראשונה את ההבנה בכך שישנו צורך בשינוי תפיסת א"מ. מסורתית ב On-Premise היקפי ההגנה נעו סביב תחום התקשורת כציר מרכזי. לשירותי PaaS נספק מענה אבטחתי טוב יותר אם נבין שהיקפי ההגנה נעים סביב Identity and Data ולכן חשיבה כתקשורת במרכז היא פחות רלוונטית.
לכך נוסיף יכולות מובנות המסופקות ע"י Microsoft כגון ה Intelligence Cloud , ניהול עד לרמת מערכת ההפעלה ו Azure Security Center והרי שקיבלנו מענה אבטחתי טוב יותר.
לפרטים נוספים ויצירת קשר עם נציג אורקל
הודעתך לא התקבלה - נסה שוב מאוחר יותר