לא ניתן להתכחש למהירות וליתרונות האחרים שהמחשוב בענן מציע. לפי התחזיות של Forrester, סך שוק הענן הציבורי הגלובלי יגיע בשנת 2018 ל-178 מיליארד דולר, וזאת לעומת 146 מיליארד דולר בשנת 2017, והוא ימשיך לצמוח בקצב גידול שנתי מורכב של 22%. ב-IDC צופים כי עד שנת 2020, למעלה מ-90% מהארגונים ישתמשו במספר רב של שירותים ופלטפורמות ענן.
עם זאת, ארגונים רבים מגלים כי האבטחה של שירותי ענן מרובים, ציבוריים, פרטיים או משולבים עלולה להיות מורכבת למדי. היכולת "לראות" מה קורה בכל שירותי הענן הללו הולכת ונעשית מאתגרת יותר, מה שהופך את האבטחה עצמה לאתגר עצום. חלק מהבעיה נעוץ בעובדה שמעולם לא היה תכנון ממשי של ריבוי עננים בארגון. לרוב, מדובר במשהו שקורה בצורה אורגנית, כאשר צוות ה-IT נכנס לתמונה לאחר מכן ו"תופר" אסטרטגיית אבטחה למצב הקיים.
איומים רבים, מעט שליטה
טבעו המבוזר של המידע מצמצם את יכולת הנראות ומביא למצבים בהם רמת סיכון האבטחה אינה ידועה – וסביר להניח שהיא תהיה גבוהה יותר משום שפגיעה במאגר מידע יחיד תספיק כדי לפגוע בארגון כולו. הידיעה היכן המידע מאוחסן או היכן משתמשים בו, או אילו נתונים משותפים או מנוהלים מחוץ לאתר בשירות ענן הם כולם פרמטרים לא ידועים. הסביבה הזו אכן "מעוננת", משום שאף אחד אינו יודע מה באמת קורה.
בעיית האבטחה האחרת חמורה יותר מסיכון הנראות ה"מעוננת", והיא קשורה בהשפעה ההולכת וגדלה במהירות שקשורה בפרופיל הסיכון של הפלטפורמות השונות, החשופות לאיומים שונים עם נקודות פגיעות ייחודיות. דבר זה גורם לנסיקה מהירה של רמת הסיכון. הדבר נכון במיוחד במצבים בהם המשתמש מתנהל באופן פחות מאובטח על פני שירותי הענן השונים, כולל שיתוף הרשאות או העלאה של מידע רגיש.
כל צורות ההתנהלות הללו יוצרות מצבים אשר נותנים דגש על האמרה הידועה כי חוזק האבטחה נמדד לפי החוליה החלשה ביותר – אימוץ מציאות הענן, וכן האינטראקציה של עובדי החברה עם מגוון מערכות גרמו לבדם לגידול משמעותי במספר החוליות החלשות. וההיגיון הפשוט אומר שההסתברות שאחד מהמקורות הללו ייפרץ גבוהה כעת יותר מבעבר, כשמספר המקורות עליהם היה צורך להגן היה קטן יותר. ובמקרה זה אינכם מגנים עליהם משום שלא מדובר בפלטפורמות שלכם. עם זאת, אתם חשופים לאיומים שקיימים בהן. זו הזירה ה"מעוננת" של הסיכון הגבוה.
אין דרך חזרה
לא ניתן לקחת בחזרה את השליטה על מה שכבר נעשה; אנשים משתמשים בשירותי ענן, וכיום כבר פחות מעשי למנוע מהם לגמרי את השימוש ויותר כדאי למצוא דרכים לאבטח אותם. לחילופין, מדובר בגישה של מיישם האבטחה, אחראי האבטחה ומתכנן האבטחה אשר נדרשים כולם לשנות את גישת השלילה של הארגון. הסיבה היא שלכל "לא" יש מעקף. וגישה זו רק תגרום ליצירה של סביבת IT חלופית ונחבאת אל הכלים, אשר תהווה סיכון נוסף ובלתי נראה לעין.
האינטרס העסקי תמיד ינצח את האבטחה. וכתוצאה מכך, אנשי האבטחה לא ינצחו אם הם ינסו לחסום גישה לשירותי ענן. במקום זאת, עליהם להתמקד במציאת כלים ובהנחת התשתית להתנהלות תקינה. בכך נכללת הגדרה של חשבון Dropbox ארגוני ואף של Google Apps ארגוניים, לדוגמה, וכן, מתן האפשרות לעובדים לגשת אל המערכות הללו כבר בשלב מוקדם. לא מדובר בפתרון מלא לכל הבעיות שקשורות בשירותי ענן מרובים, אך זו התחלה טובה. ניתן לספק את החשבונות הללו ואף לנהל את המדיניות שלהם מנקודה מרכזית בשלב מאוחר יותר. קל יותר לעשות זאת מאשר לאלץ את המשתמשים לחזור לגבולות המדיניות שלכם.
כאנשי אבטחה מקצועיים, עליכם להתרגל לעבוד יחד עם העסק ולא נגדו, משום שאז תהיו שותפים בתהליכים רבים שקשורים בשירותי ענן מרובים. לאחר שתעשו זאת, תוכלו להתחיל לחשוב כיצד להרחיב את השליטה ולהגיע לנראות הדרושה עבור אסטרטגיית אבטחה חזקה יותר.
.jpg)
?מי אחראי על האבטחה בענן
העיקרון המנחה במודל האחריות המשותפת בענן הוא שאם נגעתם בזה, זו האחריות שלכם. אם תשנו את אפשרויות התצורה בענן, תהיו אחראיים למה שיקרה כתוצאה מהשינוי הזה. אם העליתם נתונים לענן, באחריותכם לוודא שהם מאובטחים.
פעמים רבות ספקי שירות המחשוב בענן מציעים כמות רבה של תיעוד. הכל מתועד בצורה ברורה, וספקי שירות הענן עושים כמיטב יכולתם כדי להגדיר את הסכמי השירות וכדי להבהיר מהם הסיכונים שכרוכים במינוף פלטפורמות הענן. הם מתעדים את התכונות שהם מציעים – גמישות ואבטחה – וגם את התכונות שאינן כלולות. המשמעות היא שהמשתמש אחראי, עד כמה שזה קשה, לקרוא היכן עובר הגבול בין אחריותו של ספק שירותי הענן לבין אחריותו שלו לשמירה על המשך פעולת השירותים.
תפקידכם הוא להבין היכן מסתיימת אחריותו של ספק השירות והיכן מתחילה האחריות שלכם. לאחר מכן, תוכלו להתחיל לגבש אסטרטגיה לאבטחת נתונים, כולל הצפנתם והבטחה שיהיו זמינים בזמן המתאים תוך עמידה גם בדרישות הסודיות.
החדשות הטובות הן שהענן מציע מספר כלים מצוינים אשר יוכלו לתמוך בבנייה של תשתיות ושל יישומים הרבה יותר עמידים מהתשתיות הקודמות, משום שניתן לבנות את הגמישות והאבטחה אל תוך המערכת אם ייעשה שימוש נכון בכלים הללו.
שקט נפשי ואבטחה בענן
המירוץ לשירותי הענן המרובים החל. אין טעם להתנגד לו והדבר אף יפגע ביעילותם של צוותי האבטחה. לא ניתן לאמץ את סביבת שירותי הענן, על כל היתרונות שבה, תוך הקרבת האבטחה ולכן עליכם להשלים עם המציאות בה ישנן סביבות ענן מרובות. יצירה של תמונת אבטחה חזקה בענן תוסיף לשקט הנפשי.
כדי שאבטחת שירותי הענן המרובים תהיה יעילה, עליה להיות משולבת. דבר זה יספק נראות ברורה ואבטחה עקבית שהינן קריטיות למדי בפלטפורמות שונות. על האבטחה להיות גם דינמית וגמישה, עם יכולת לנוע יחד עם עומסי העבודה והיישומים שבענן תוך כדי התרחבותם.
אסטרטגיית אבטחה שתתאים את עצמה למאפיינים הללו תיצור הזדמנות לגיבוש של נקודת בקרה אחידה ומרכזית, אשר תאפשר הטמעה של נראות ומדיניות בסביבת שירותי הענן המרובים שלכם. גישה זו מאפשרת להטמיע הגנות ברחבי הענן, במקומות בהם יישומים ונקודות הקצה מתקשרים בצורה מאובטחת, למזעור הסיכונים. במצב בו מיושמת אבטחה יזומה אשר מוטמעת בצורה עקבית ברחבי התשתית, הארגון יוכל לנצל את יתרונות העלות, הגמישות והסקלביליות של הענן תוך הימנעות מנקודות התורפה של האבטחה.
המאמר בחסות פורטינט
מאת: ליאור כהן, מנהל בכיר לתחום מוצרים ופתרונות, אבטחת ענן, פורטינט
רוצים להתעדכן בתכנים נוספים בנושאי אבטחת מידע וסייבר? הירשמו עכשיו לניוזלטר שלנו ותמיד תישארו בעניינים > להרשמה
לא ניתן להתכחש למהירות וליתרונות האחרים שהמחשוב בענן מציע. לפי התחזיות של Forrester, סך שוק הענן הציבורי הגלובלי יגיע בשנת 2018 ל-178 מיליארד דולר, וזאת לעומת 146 מיליארד דולר בשנת 2017, והוא ימשיך לצמוח בקצב גידול שנתי מורכב של 22%. ב-IDC צופים כי עד שנת 2020, למעלה מ-90% מהארגונים ישתמשו במספר רב של שירותים ופלטפורמות ענן.
עם זאת, ארגונים רבים מגלים כי האבטחה של שירותי ענן מרובים, ציבוריים, פרטיים או משולבים עלולה להיות מורכבת למדי. היכולת "לראות" מה קורה בכל שירותי הענן הללו הולכת ונעשית מאתגרת יותר, מה שהופך את האבטחה עצמה לאתגר עצום. חלק מהבעיה נעוץ בעובדה שמעולם לא היה תכנון ממשי של ריבוי עננים בארגון. לרוב, מדובר במשהו שקורה בצורה אורגנית, כאשר צוות ה-IT נכנס לתמונה לאחר מכן ו"תופר" אסטרטגיית אבטחה למצב הקיים.
איומים רבים, מעט שליטה
טבעו המבוזר של המידע מצמצם את יכולת הנראות ומביא למצבים בהם רמת סיכון האבטחה אינה ידועה – וסביר להניח שהיא תהיה גבוהה יותר משום שפגיעה במאגר מידע יחיד תספיק כדי לפגוע בארגון כולו. הידיעה היכן המידע מאוחסן או היכן משתמשים בו, או אילו נתונים משותפים או מנוהלים מחוץ לאתר בשירות ענן הם כולם פרמטרים לא ידועים. הסביבה הזו אכן "מעוננת", משום שאף אחד אינו יודע מה באמת קורה.
בעיית האבטחה האחרת חמורה יותר מסיכון הנראות ה"מעוננת", והיא קשורה בהשפעה ההולכת וגדלה במהירות שקשורה בפרופיל הסיכון של הפלטפורמות השונות, החשופות לאיומים שונים עם נקודות פגיעות ייחודיות. דבר זה גורם לנסיקה מהירה של רמת הסיכון. הדבר נכון במיוחד במצבים בהם המשתמש מתנהל באופן פחות מאובטח על פני שירותי הענן השונים, כולל שיתוף הרשאות או העלאה של מידע רגיש.
כל צורות ההתנהלות הללו יוצרות מצבים אשר נותנים דגש על האמרה הידועה כי חוזק האבטחה נמדד לפי החוליה החלשה ביותר – אימוץ מציאות הענן, וכן האינטראקציה של עובדי החברה עם מגוון מערכות גרמו לבדם לגידול משמעותי במספר החוליות החלשות. וההיגיון הפשוט אומר שההסתברות שאחד מהמקורות הללו ייפרץ גבוהה כעת יותר מבעבר, כשמספר המקורות עליהם היה צורך להגן היה קטן יותר. ובמקרה זה אינכם מגנים עליהם משום שלא מדובר בפלטפורמות שלכם. עם זאת, אתם חשופים לאיומים שקיימים בהן. זו הזירה ה"מעוננת" של הסיכון הגבוה.
אין דרך חזרה
לא ניתן לקחת בחזרה את השליטה על מה שכבר נעשה; אנשים משתמשים בשירותי ענן, וכיום כבר פחות מעשי למנוע מהם לגמרי את השימוש ויותר כדאי למצוא דרכים לאבטח אותם. לחילופין, מדובר בגישה של מיישם האבטחה, אחראי האבטחה ומתכנן האבטחה אשר נדרשים כולם לשנות את גישת השלילה של הארגון. הסיבה היא שלכל "לא" יש מעקף. וגישה זו רק תגרום ליצירה של סביבת IT חלופית ונחבאת אל הכלים, אשר תהווה סיכון נוסף ובלתי נראה לעין.
האינטרס העסקי תמיד ינצח את האבטחה. וכתוצאה מכך, אנשי האבטחה לא ינצחו אם הם ינסו לחסום גישה לשירותי ענן. במקום זאת, עליהם להתמקד במציאת כלים ובהנחת התשתית להתנהלות תקינה. בכך נכללת הגדרה של חשבון Dropbox ארגוני ואף של Google Apps ארגוניים, לדוגמה, וכן, מתן האפשרות לעובדים לגשת אל המערכות הללו כבר בשלב מוקדם. לא מדובר בפתרון מלא לכל הבעיות שקשורות בשירותי ענן מרובים, אך זו התחלה טובה. ניתן לספק את החשבונות הללו ואף לנהל את המדיניות שלהם מנקודה מרכזית בשלב מאוחר יותר. קל יותר לעשות זאת מאשר לאלץ את המשתמשים לחזור לגבולות המדיניות שלכם.
כאנשי אבטחה מקצועיים, עליכם להתרגל לעבוד יחד עם העסק ולא נגדו, משום שאז תהיו שותפים בתהליכים רבים שקשורים בשירותי ענן מרובים. לאחר שתעשו זאת, תוכלו להתחיל לחשוב כיצד להרחיב את השליטה ולהגיע לנראות הדרושה עבור אסטרטגיית אבטחה חזקה יותר.
?מי אחראי על האבטחה בענן
העיקרון המנחה במודל האחריות המשותפת בענן הוא שאם נגעתם בזה, זו האחריות שלכם. אם תשנו את אפשרויות התצורה בענן, תהיו אחראיים למה שיקרה כתוצאה מהשינוי הזה. אם העליתם נתונים לענן, באחריותכם לוודא שהם מאובטחים.
פעמים רבות ספקי שירות המחשוב בענן מציעים כמות רבה של תיעוד. הכל מתועד בצורה ברורה, וספקי שירות הענן עושים כמיטב יכולתם כדי להגדיר את הסכמי השירות וכדי להבהיר מהם הסיכונים שכרוכים במינוף פלטפורמות הענן. הם מתעדים את התכונות שהם מציעים – גמישות ואבטחה – וגם את התכונות שאינן כלולות. המשמעות היא שהמשתמש אחראי, עד כמה שזה קשה, לקרוא היכן עובר הגבול בין אחריותו של ספק שירותי הענן לבין אחריותו שלו לשמירה על המשך פעולת השירותים.
תפקידכם הוא להבין היכן מסתיימת אחריותו של ספק השירות והיכן מתחילה האחריות שלכם. לאחר מכן, תוכלו להתחיל לגבש אסטרטגיה לאבטחת נתונים, כולל הצפנתם והבטחה שיהיו זמינים בזמן המתאים תוך עמידה גם בדרישות הסודיות.
החדשות הטובות הן שהענן מציע מספר כלים מצוינים אשר יוכלו לתמוך בבנייה של תשתיות ושל יישומים הרבה יותר עמידים מהתשתיות הקודמות, משום שניתן לבנות את הגמישות והאבטחה אל תוך המערכת אם ייעשה שימוש נכון בכלים הללו.
שקט נפשי ואבטחה בענן
המירוץ לשירותי הענן המרובים החל. אין טעם להתנגד לו והדבר אף יפגע ביעילותם של צוותי האבטחה. לא ניתן לאמץ את סביבת שירותי הענן, על כל היתרונות שבה, תוך הקרבת האבטחה ולכן עליכם להשלים עם המציאות בה ישנן סביבות ענן מרובות. יצירה של תמונת אבטחה חזקה בענן תוסיף לשקט הנפשי.
כדי שאבטחת שירותי הענן המרובים תהיה יעילה, עליה להיות משולבת. דבר זה יספק נראות ברורה ואבטחה עקבית שהינן קריטיות למדי בפלטפורמות שונות. על האבטחה להיות גם דינמית וגמישה, עם יכולת לנוע יחד עם עומסי העבודה והיישומים שבענן תוך כדי התרחבותם.
אסטרטגיית אבטחה שתתאים את עצמה למאפיינים הללו תיצור הזדמנות לגיבוש של נקודת בקרה אחידה ומרכזית, אשר תאפשר הטמעה של נראות ומדיניות בסביבת שירותי הענן המרובים שלכם. גישה זו מאפשרת להטמיע הגנות ברחבי הענן, במקומות בהם יישומים ונקודות הקצה מתקשרים בצורה מאובטחת, למזעור הסיכונים. במצב בו מיושמת אבטחה יזומה אשר מוטמעת בצורה עקבית ברחבי התשתית, הארגון יוכל לנצל את יתרונות העלות, הגמישות והסקלביליות של הענן תוך הימנעות מנקודות התורפה של האבטחה.
המאמר בחסות פורטינט
מאת: ליאור כהן, מנהל בכיר לתחום מוצרים ופתרונות, אבטחת ענן, פורטינט
רוצים להתעדכן בתכנים נוספים בנושאי אבטחת מידע וסייבר? הירשמו עכשיו לניוזלטר שלנו ותמיד תישארו בעניינים > להרשמה
לפרטים נוספים ויצירת קשר עם נציג אורקל
הודעתך לא התקבלה - נסה שוב מאוחר יותר