✕ סגור 
צור קשר
תודה על ההתעניינות .

Thank you! Your submission has been received!

Oops! Something went wrong while submitting the form

אסטרטגיית Multi-Cloud: אלו האתגרים איתם תאלצו להתמודד

Eyal Estrin
|
קלה
|
Jul 16, 2018
alt="facebook"alt="linkedin"להרשמה לניוזלטר

הגירת מערכות לענן יכולה להיות מאתגרת עבור מרבית הארגונים. עבודה עם מספר רב של ספקי ענן עשויה להכפיל את האתגרים עימם נאלצים ארגונים להתמודד במספר רב של עולמות תוכן.

במאמר זה נדון בסיבות של ארגונים לבחון בעבודה עם מספר ספקי ענן, ונסביר מהם (מקצת) מהאתגרים עימם מתמודדים ארגונים ומהם (מקצת) אתגרי אבטחת המידע עימם מתמודדים ארגונים במעבר לעבודה עם מספר ספקי ענן.

הסבר כללי אודות מהו Multi-cloud ניתן למצוא בציטוט מתוך דוח של חברת Foresight Factory:

"Managing resources across two different clouds or more, regardless of location (i.e. Multiples of public and/or private cloud; a mix of on-premises and public cloud with integrated platforms)"

עפ"י דוח של חברת RightScale מתחילת 2019, ל-84% מארגוני ה-Enterprise בחו"ל יש כבר כיום אסטרטגיה לעבודה בסביבת Multi-cloud:

סיבות של ארגונים לעבור לעבודה בסביבת Multi-cloud

• נעילת ספק (Vendor Lock-in) -היכולת לחלק משאבים בין מספר ספקי ענן

• עלויות - היכולת לבחור בפתרון מיטבי מבחינת עלויות

• אמינות (Reliability) - היכולת להגר סביבות (workloads) בין ספקי ענן במקרה של בעיות זמינות (דורש תכנון מראש)

• סביבה מיטבית עבורה היישומים - היכולת לבחור בשירות המתאים לביצוע משימה בין ספקי הענן

• חדשנות - שימוש בטכנולוגיות דוגמת Containers ו-Serverless לצורך קיצור time to market

מה הם האתגרים בסביבות Multi-cloud?

פערי ידע

נוצר צורך להתמחות בסביבות שונות של ספקי ענן שונים. לכך מספר פתרונות אפשריים:

• הכשרה לאנשי התשתיות, מפתחים, אנשי בדיקות ו-DevOps בעבודה עם מספר ספקי ענן

• קורסים ללימוד עצמי, דוגמת: A Cloud Guru, Cloud Academy, Linux Academy

בקרה תקציבית (Cost Management)

קיים צורך לנהל תקציב ועלויות חודשיות במספר רב של חשבונות ובמספר רב של ספקי ענן. לכך מספר פתרונות אפשריים:

• הכשרה של אנשים ייעודיים (דוגמת תשתיות, DevOps או אנשי כספים/FinOps) בנושא השירותים בהם מבצע הארגון שימוש בענן (דוגמת מעבר שוטף על חשבוניות, הפקת דוחות שימוש וכו')

• הטמעה בפתרון לניהול בקרת תקציבית, דוגמת: CloudHealth, Cloudyn / Azure cost management, APPTIO

הטמעת סביבות (Environment Deployment)

כלומר, הצורך להטמיע סביבות מחשוב (שרתים, אחסון, תקשורת, אפליקציות וכו') במספר רב של ספקי ענן. פתרונות אפשריים:

• הכשרת העובדים בנושאי automation, שפות סקריפטים ו-Infrastructure as a Code

• הטמעת כלים ופתרונות דוגמת: Terraform, Ansible, Chef / Puppet

נעילת ספק (Vendor Lock-in)

היכולת להגר סביבות (workloads) בין מספר ספקי ענן הופכת חשובה מתמיד. פתרונות אפשריים:

• בניה מחדש (Re-architect) של יישומים על-בסיס Containers, Micro-services ו-API’s

• שימוש בפתרונות מנוהלים של Kubernetes, דוגמת:

Google Kubernetes Engine (GKE)

Amazon Elastic Container Service for Kubernetes (EKS)

Azure Kubernetes Service (AKS)

RedHat OpenShift

דוגמאות לאתגרי אבטחת מידע בסביבות Multi-cloud

קיים צורך להגן על נתוני הארגון המאוחסנים בענן, היכולת לבצע תחקור וטיפול באירועי אבטחת מידע וכו'. פתרונות אפשריים:

• הטמעה של פתרון SIEM/SOC מרכזי (העדפה לפתרון SaaS)

• שימוש בכלי ניטור מובנים בצד ספקי הענן, דוגמת:

Amazon GuardDuty

Azure Security Center

Azure Sentinel

Google Cloud Security Command Center

• שימוש בפתרונות automation דוגמת AWS CloudFormation Guardrails

ניהול זהויות

הצורך לנהל מספר רב של זהויות, טיפול באמצעי אימות חלשים במספר רב של ספקי ענן. פתרונות אפשריים:

• שימוש במנגנוני הזדהות מבוססי Federation (SAML, OAuth), דוגמת:

Okta

OneLogin

• מימוש הזדהות חזקה (Multi-factor authentication)

ממשקי פיתוח בלתי מאובטחים (Insecure API’s)

הצורך להגן על ממשקי פיתוח (API’s) החשופים לגישת לקוחות מכיוון האינטרנט, מפני מתקפות אפליקטיביות. פתרונות אפשריים:

• הטמעת תהליכי פיתוח מאובטח (SDLC) כחלק מתהליכי הפיתוח בארגון

Pushing Left, Like a Boss - By Tanya Janca

• הטמעת פתרונות דוגמת Salt Security

חולשות מערכת הפעלה ואפליקציות

קיים צורך להגן על סביבות הענן הארגוניות (ברמת מערכת הפעלה והשכבות האפליקטיביות) במספר ספקי ענן. פתרונות אפשריים:

• הטמעת מוצרי סריקה חולשות אבטחה דוגמת:

Tenable Nessus

• הטמעת פתרונות לאיתור גרסאות פגיעות של ספריות קוד פתוח, דוגמת:

WhiteSource

Synopsys Black Duck

Snyk

אובדן / גניבת נתונים (Data Loss / Data Leakage)

מתייחס לצורך לאתר מידע רגיש המאוחסן במספר רב של ספקי ענן. פתרונות אפשריים:

• שימוש בכלים מובנים בצד ספקי הענן, דוגמת:

Azure Information Protection

Amazon Macie

Google Cloud Data Loss Prevention

• הטמעת פתרונות Cloud Access Security Broker (CASB), דוגמת:

ForcePoint

Bitglass

McAfee MVISION Cloud

בקרה בלתי מספקת של ספקי הענן (Insufficient Due Diligence)

הצורך לבחון את בגרות הספקים בהיבטי אבטחת מידע ואיתנות פיננסית. פתרונות אפשריים:

• ביצוע תשאול הספק לגבי נושאים הרלוונטיים לארגון

• מעבר על דוחות SOC1 ו-SOC2 Type 2

• וידוא עמידת הספקים בתקן ISO 27001 (ניהול בקרות אבטחת מידע)

• וידוא עמידת הספקים בתקן ISO 27017 (בקרות עבור ספקי ענן)

• וידוא עמידת הספקים בתקן ISO 27018 (הגנה על מידע פרטי)

שימוש לרעה במשאבי ספקי הענן

הצורך להגן על מספר רב של סביבות ענן מפני פעילויות עוינות דוגמת מתקפות מניעת שירות, Denial of wallet (DoW), ניצול משאבים וכו'. פתרונות אפשריים:

• אכיפת בקרות הזדהות ותהליכי הענקת הרשאות

• הטמעת כלי בקרת/ניהול תקציב

• הפעלת אמצעי ניטור וחיפוש אחר אנומליות

• פרסום מסמכי שימוש נאות בשירות (Legal acceptance) עבור עובדים פנימיים ועבור ספקים צד ג'

מתקפות מניעת שירות (Denial of Service / Distributed Denial of Service)

• הצורך לשמור על זמינות סביבות במספר רב של ספקי ענן. פתרונות אפשריים:

• שימוש בכלים מובנים בצד ספקי הענן, דוגמת:

Azure DDoS Protection

AWS Shield

Google Cloud Armor

• הטמעת פתרונות הגנה מפני מתקפות DDoS מבוססי SaaS, דוגמת:

CloudFlare

Incapsula

מספר רב של נקודות כניסה לסביבות הענן (Multiple Entry Points)

קיים צורך לאפשר גישה לסביבות הענן ממספר רב של התקני-קצה וממספר רב של מקומות בעולם. פתרון אפשרי:

הטעמת מוצרי Zero trust access, דוגמת:

Luminate

BeyondCorp

Akamai Zero Trust Security

סיכום

קיימים מספר לא מבוטל של אתגרים במעבר ארגונים לסביבות Multi-cloud, אך ניתן לטפל ברובם ע"י שימוש במספר כללים בסיסיים:

• יצירת אסטרטגיה ארגונית לנושא Multi-cloud, תוך שמירה על המטרות הארגון ובגיבוי ההנהלה הבכירה

• השקעה בהכשרת עובדים

• יצירת מנגנוני בקרת תקציב

• הטמעת מנגנוני אימות והענקת הרשאות מרכזיים

• מנגנוני ניטור מרכזיים

• הפיכת כל פעולה למנגנון אוטומטי (הטמעה, שדרוג, ניטור, תגובה וכו')

• שילוב בקרות אבטחת מידע וצוותי אבטחת המידע כחלק מהתהליכים הארגוניים

מאת:אייל אסטרין, Cloud Architect

קישור למאמר המקורי באנגלית


רוצים להתעדכן בתכנים נוספים בנושאי אבטחת מידע וסייבר? הירשמו עכשיו לניוזלטר שלנו ותמיד תישארו בעניינים > להרשמה


הגירת מערכות לענן יכולה להיות מאתגרת עבור מרבית הארגונים. עבודה עם מספר רב של ספקי ענן עשויה להכפיל את האתגרים עימם נאלצים ארגונים להתמודד במספר רב של עולמות תוכן.

במאמר זה נדון בסיבות של ארגונים לבחון בעבודה עם מספר ספקי ענן, ונסביר מהם (מקצת) מהאתגרים עימם מתמודדים ארגונים ומהם (מקצת) אתגרי אבטחת המידע עימם מתמודדים ארגונים במעבר לעבודה עם מספר ספקי ענן.

הסבר כללי אודות מהו Multi-cloud ניתן למצוא בציטוט מתוך דוח של חברת Foresight Factory:

"Managing resources across two different clouds or more, regardless of location (i.e. Multiples of public and/or private cloud; a mix of on-premises and public cloud with integrated platforms)"

עפ"י דוח של חברת RightScale מתחילת 2019, ל-84% מארגוני ה-Enterprise בחו"ל יש כבר כיום אסטרטגיה לעבודה בסביבת Multi-cloud:

סיבות של ארגונים לעבור לעבודה בסביבת Multi-cloud

• נעילת ספק (Vendor Lock-in) -היכולת לחלק משאבים בין מספר ספקי ענן

• עלויות - היכולת לבחור בפתרון מיטבי מבחינת עלויות

• אמינות (Reliability) - היכולת להגר סביבות (workloads) בין ספקי ענן במקרה של בעיות זמינות (דורש תכנון מראש)

• סביבה מיטבית עבורה היישומים - היכולת לבחור בשירות המתאים לביצוע משימה בין ספקי הענן

• חדשנות - שימוש בטכנולוגיות דוגמת Containers ו-Serverless לצורך קיצור time to market

מה הם האתגרים בסביבות Multi-cloud?

פערי ידע

נוצר צורך להתמחות בסביבות שונות של ספקי ענן שונים. לכך מספר פתרונות אפשריים:

• הכשרה לאנשי התשתיות, מפתחים, אנשי בדיקות ו-DevOps בעבודה עם מספר ספקי ענן

• קורסים ללימוד עצמי, דוגמת: A Cloud Guru, Cloud Academy, Linux Academy

בקרה תקציבית (Cost Management)

קיים צורך לנהל תקציב ועלויות חודשיות במספר רב של חשבונות ובמספר רב של ספקי ענן. לכך מספר פתרונות אפשריים:

• הכשרה של אנשים ייעודיים (דוגמת תשתיות, DevOps או אנשי כספים/FinOps) בנושא השירותים בהם מבצע הארגון שימוש בענן (דוגמת מעבר שוטף על חשבוניות, הפקת דוחות שימוש וכו')

• הטמעה בפתרון לניהול בקרת תקציבית, דוגמת: CloudHealth, Cloudyn / Azure cost management, APPTIO

הטמעת סביבות (Environment Deployment)

כלומר, הצורך להטמיע סביבות מחשוב (שרתים, אחסון, תקשורת, אפליקציות וכו') במספר רב של ספקי ענן. פתרונות אפשריים:

• הכשרת העובדים בנושאי automation, שפות סקריפטים ו-Infrastructure as a Code

• הטמעת כלים ופתרונות דוגמת: Terraform, Ansible, Chef / Puppet

נעילת ספק (Vendor Lock-in)

היכולת להגר סביבות (workloads) בין מספר ספקי ענן הופכת חשובה מתמיד. פתרונות אפשריים:

• בניה מחדש (Re-architect) של יישומים על-בסיס Containers, Micro-services ו-API’s

• שימוש בפתרונות מנוהלים של Kubernetes, דוגמת:

Google Kubernetes Engine (GKE)

Amazon Elastic Container Service for Kubernetes (EKS)

Azure Kubernetes Service (AKS)

RedHat OpenShift

דוגמאות לאתגרי אבטחת מידע בסביבות Multi-cloud

קיים צורך להגן על נתוני הארגון המאוחסנים בענן, היכולת לבצע תחקור וטיפול באירועי אבטחת מידע וכו'. פתרונות אפשריים:

• הטמעה של פתרון SIEM/SOC מרכזי (העדפה לפתרון SaaS)

• שימוש בכלי ניטור מובנים בצד ספקי הענן, דוגמת:

Amazon GuardDuty

Azure Security Center

Azure Sentinel

Google Cloud Security Command Center

• שימוש בפתרונות automation דוגמת AWS CloudFormation Guardrails

ניהול זהויות

הצורך לנהל מספר רב של זהויות, טיפול באמצעי אימות חלשים במספר רב של ספקי ענן. פתרונות אפשריים:

• שימוש במנגנוני הזדהות מבוססי Federation (SAML, OAuth), דוגמת:

Okta

OneLogin

• מימוש הזדהות חזקה (Multi-factor authentication)

ממשקי פיתוח בלתי מאובטחים (Insecure API’s)

הצורך להגן על ממשקי פיתוח (API’s) החשופים לגישת לקוחות מכיוון האינטרנט, מפני מתקפות אפליקטיביות. פתרונות אפשריים:

• הטמעת תהליכי פיתוח מאובטח (SDLC) כחלק מתהליכי הפיתוח בארגון

Pushing Left, Like a Boss - By Tanya Janca

• הטמעת פתרונות דוגמת Salt Security

חולשות מערכת הפעלה ואפליקציות

קיים צורך להגן על סביבות הענן הארגוניות (ברמת מערכת הפעלה והשכבות האפליקטיביות) במספר ספקי ענן. פתרונות אפשריים:

• הטמעת מוצרי סריקה חולשות אבטחה דוגמת:

Tenable Nessus

• הטמעת פתרונות לאיתור גרסאות פגיעות של ספריות קוד פתוח, דוגמת:

WhiteSource

Synopsys Black Duck

Snyk

אובדן / גניבת נתונים (Data Loss / Data Leakage)

מתייחס לצורך לאתר מידע רגיש המאוחסן במספר רב של ספקי ענן. פתרונות אפשריים:

• שימוש בכלים מובנים בצד ספקי הענן, דוגמת:

Azure Information Protection

Amazon Macie

Google Cloud Data Loss Prevention

• הטמעת פתרונות Cloud Access Security Broker (CASB), דוגמת:

ForcePoint

Bitglass

McAfee MVISION Cloud

בקרה בלתי מספקת של ספקי הענן (Insufficient Due Diligence)

הצורך לבחון את בגרות הספקים בהיבטי אבטחת מידע ואיתנות פיננסית. פתרונות אפשריים:

• ביצוע תשאול הספק לגבי נושאים הרלוונטיים לארגון

• מעבר על דוחות SOC1 ו-SOC2 Type 2

• וידוא עמידת הספקים בתקן ISO 27001 (ניהול בקרות אבטחת מידע)

• וידוא עמידת הספקים בתקן ISO 27017 (בקרות עבור ספקי ענן)

• וידוא עמידת הספקים בתקן ISO 27018 (הגנה על מידע פרטי)

שימוש לרעה במשאבי ספקי הענן

הצורך להגן על מספר רב של סביבות ענן מפני פעילויות עוינות דוגמת מתקפות מניעת שירות, Denial of wallet (DoW), ניצול משאבים וכו'. פתרונות אפשריים:

• אכיפת בקרות הזדהות ותהליכי הענקת הרשאות

• הטמעת כלי בקרת/ניהול תקציב

• הפעלת אמצעי ניטור וחיפוש אחר אנומליות

• פרסום מסמכי שימוש נאות בשירות (Legal acceptance) עבור עובדים פנימיים ועבור ספקים צד ג'

מתקפות מניעת שירות (Denial of Service / Distributed Denial of Service)

• הצורך לשמור על זמינות סביבות במספר רב של ספקי ענן. פתרונות אפשריים:

• שימוש בכלים מובנים בצד ספקי הענן, דוגמת:

Azure DDoS Protection

AWS Shield

Google Cloud Armor

• הטמעת פתרונות הגנה מפני מתקפות DDoS מבוססי SaaS, דוגמת:

CloudFlare

Incapsula

מספר רב של נקודות כניסה לסביבות הענן (Multiple Entry Points)

קיים צורך לאפשר גישה לסביבות הענן ממספר רב של התקני-קצה וממספר רב של מקומות בעולם. פתרון אפשרי:

הטעמת מוצרי Zero trust access, דוגמת:

Luminate

BeyondCorp

Akamai Zero Trust Security

סיכום

קיימים מספר לא מבוטל של אתגרים במעבר ארגונים לסביבות Multi-cloud, אך ניתן לטפל ברובם ע"י שימוש במספר כללים בסיסיים:

• יצירת אסטרטגיה ארגונית לנושא Multi-cloud, תוך שמירה על המטרות הארגון ובגיבוי ההנהלה הבכירה

• השקעה בהכשרת עובדים

• יצירת מנגנוני בקרת תקציב

• הטמעת מנגנוני אימות והענקת הרשאות מרכזיים

• מנגנוני ניטור מרכזיים

• הפיכת כל פעולה למנגנון אוטומטי (הטמעה, שדרוג, ניטור, תגובה וכו')

• שילוב בקרות אבטחת מידע וצוותי אבטחת המידע כחלק מהתהליכים הארגוניים

מאת:אייל אסטרין, Cloud Architect

קישור למאמר המקורי באנגלית


רוצים להתעדכן בתכנים נוספים בנושאי אבטחת מידע וסייבר? הירשמו עכשיו לניוזלטר שלנו ותמיד תישארו בעניינים > להרשמה


Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.
Eyal Estrin
בואו נעבוד ביחד
צרו קשר