הגירת מערכות לענן יכולה להיות מאתגרת עבור מרבית הארגונים. עבודה עם מספר רב של ספקי ענן עשויה להכפיל את האתגרים עימם נאלצים ארגונים להתמודד במספר רב של עולמות תוכן.
במאמר זה נדון בסיבות של ארגונים לבחון בעבודה עם מספר ספקי ענן, ונסביר מהם (מקצת) מהאתגרים עימם מתמודדים ארגונים ומהם (מקצת) אתגרי אבטחת המידע עימם מתמודדים ארגונים במעבר לעבודה עם מספר ספקי ענן.
הסבר כללי אודות מהו Multi-cloud ניתן למצוא בציטוט מתוך דוח של חברת Foresight Factory:
"Managing resources across two different clouds or more, regardless of location (i.e. Multiples of public and/or private cloud; a mix of on-premises and public cloud with integrated platforms)"
עפ"י דוח של חברת RightScale מתחילת 2019, ל-84% מארגוני ה-Enterprise בחו"ל יש כבר כיום אסטרטגיה לעבודה בסביבת Multi-cloud:
סיבות של ארגונים לעבור לעבודה בסביבת Multi-cloud
• נעילת ספק (Vendor Lock-in) -היכולת לחלק משאבים בין מספר ספקי ענן
• עלויות - היכולת לבחור בפתרון מיטבי מבחינת עלויות
• אמינות (Reliability) - היכולת להגר סביבות (workloads) בין ספקי ענן במקרה של בעיות זמינות (דורש תכנון מראש)
• סביבה מיטבית עבורה היישומים - היכולת לבחור בשירות המתאים לביצוע משימה בין ספקי הענן
• חדשנות - שימוש בטכנולוגיות דוגמת Containers ו-Serverless לצורך קיצור time to market
מה הם האתגרים בסביבות Multi-cloud?
פערי ידע
נוצר צורך להתמחות בסביבות שונות של ספקי ענן שונים. לכך מספר פתרונות אפשריים:
• הכשרה לאנשי התשתיות, מפתחים, אנשי בדיקות ו-DevOps בעבודה עם מספר ספקי ענן
• קורסים ללימוד עצמי, דוגמת: A Cloud Guru, Cloud Academy, Linux Academy
בקרה תקציבית (Cost Management)
קיים צורך לנהל תקציב ועלויות חודשיות במספר רב של חשבונות ובמספר רב של ספקי ענן. לכך מספר פתרונות אפשריים:
• הכשרה של אנשים ייעודיים (דוגמת תשתיות, DevOps או אנשי כספים/FinOps) בנושא השירותים בהם מבצע הארגון שימוש בענן (דוגמת מעבר שוטף על חשבוניות, הפקת דוחות שימוש וכו')
• הטמעה בפתרון לניהול בקרת תקציבית, דוגמת: CloudHealth, Cloudyn / Azure cost management, APPTIO
הטמעת סביבות (Environment Deployment)
כלומר, הצורך להטמיע סביבות מחשוב (שרתים, אחסון, תקשורת, אפליקציות וכו') במספר רב של ספקי ענן. פתרונות אפשריים:
• הכשרת העובדים בנושאי automation, שפות סקריפטים ו-Infrastructure as a Code
• הטמעת כלים ופתרונות דוגמת: Terraform, Ansible, Chef / Puppet
נעילת ספק (Vendor Lock-in)
היכולת להגר סביבות (workloads) בין מספר ספקי ענן הופכת חשובה מתמיד. פתרונות אפשריים:
• בניה מחדש (Re-architect) של יישומים על-בסיס Containers, Micro-services ו-API’s
• שימוש בפתרונות מנוהלים של Kubernetes, דוגמת:
• Google Kubernetes Engine (GKE)
• Amazon Elastic Container Service for Kubernetes (EKS)
• Azure Kubernetes Service (AKS)
דוגמאות לאתגרי אבטחת מידע בסביבות Multi-cloud
קיים צורך להגן על נתוני הארגון המאוחסנים בענן, היכולת לבצע תחקור וטיפול באירועי אבטחת מידע וכו'. פתרונות אפשריים:
• הטמעה של פתרון SIEM/SOC מרכזי (העדפה לפתרון SaaS)
• שימוש בכלי ניטור מובנים בצד ספקי הענן, דוגמת:
• Google Cloud Security Command Center
• שימוש בפתרונות automation דוגמת AWS CloudFormation Guardrails
ניהול זהויות
הצורך לנהל מספר רב של זהויות, טיפול באמצעי אימות חלשים במספר רב של ספקי ענן. פתרונות אפשריים:
• שימוש במנגנוני הזדהות מבוססי Federation (SAML, OAuth), דוגמת:
• Okta
• OneLogin
• מימוש הזדהות חזקה (Multi-factor authentication)
ממשקי פיתוח בלתי מאובטחים (Insecure API’s)
הצורך להגן על ממשקי פיתוח (API’s) החשופים לגישת לקוחות מכיוון האינטרנט, מפני מתקפות אפליקטיביות. פתרונות אפשריים:
• הטמעת תהליכי פיתוח מאובטח (SDLC) כחלק מתהליכי הפיתוח בארגון
• Pushing Left, Like a Boss - By Tanya Janca
• הטמעת פתרונות דוגמת Salt Security
חולשות מערכת הפעלה ואפליקציות
קיים צורך להגן על סביבות הענן הארגוניות (ברמת מערכת הפעלה והשכבות האפליקטיביות) במספר ספקי ענן. פתרונות אפשריים:
• הטמעת מוצרי סריקה חולשות אבטחה דוגמת:
• הטמעת פתרונות לאיתור גרסאות פגיעות של ספריות קוד פתוח, דוגמת:
• Snyk
אובדן / גניבת נתונים (Data Loss / Data Leakage)
מתייחס לצורך לאתר מידע רגיש המאוחסן במספר רב של ספקי ענן. פתרונות אפשריים:
• שימוש בכלים מובנים בצד ספקי הענן, דוגמת:
• Azure Information Protection
• Google Cloud Data Loss Prevention
• הטמעת פתרונות Cloud Access Security Broker (CASB), דוגמת:
• Bitglass
בקרה בלתי מספקת של ספקי הענן (Insufficient Due Diligence)
הצורך לבחון את בגרות הספקים בהיבטי אבטחת מידע ואיתנות פיננסית. פתרונות אפשריים:
• ביצוע תשאול הספק לגבי נושאים הרלוונטיים לארגון
• מעבר על דוחות SOC1 ו-SOC2 Type 2
• וידוא עמידת הספקים בתקן ISO 27001 (ניהול בקרות אבטחת מידע)
• וידוא עמידת הספקים בתקן ISO 27017 (בקרות עבור ספקי ענן)
• וידוא עמידת הספקים בתקן ISO 27018 (הגנה על מידע פרטי)
שימוש לרעה במשאבי ספקי הענן
הצורך להגן על מספר רב של סביבות ענן מפני פעילויות עוינות דוגמת מתקפות מניעת שירות, Denial of wallet (DoW), ניצול משאבים וכו'. פתרונות אפשריים:
• אכיפת בקרות הזדהות ותהליכי הענקת הרשאות
• הטמעת כלי בקרת/ניהול תקציב
• הפעלת אמצעי ניטור וחיפוש אחר אנומליות
• פרסום מסמכי שימוש נאות בשירות (Legal acceptance) עבור עובדים פנימיים ועבור ספקים צד ג'
מתקפות מניעת שירות (Denial of Service / Distributed Denial of Service)
• הצורך לשמור על זמינות סביבות במספר רב של ספקי ענן. פתרונות אפשריים:
• שימוש בכלים מובנים בצד ספקי הענן, דוגמת:
• הטמעת פתרונות הגנה מפני מתקפות DDoS מבוססי SaaS, דוגמת:
מספר רב של נקודות כניסה לסביבות הענן (Multiple Entry Points)
קיים צורך לאפשר גישה לסביבות הענן ממספר רב של התקני-קצה וממספר רב של מקומות בעולם. פתרון אפשרי:
הטעמת מוצרי Zero trust access, דוגמת:
• Luminate
סיכום
קיימים מספר לא מבוטל של אתגרים במעבר ארגונים לסביבות Multi-cloud, אך ניתן לטפל ברובם ע"י שימוש במספר כללים בסיסיים:
• יצירת אסטרטגיה ארגונית לנושא Multi-cloud, תוך שמירה על המטרות הארגון ובגיבוי ההנהלה הבכירה
• השקעה בהכשרת עובדים
• יצירת מנגנוני בקרת תקציב
• הטמעת מנגנוני אימות והענקת הרשאות מרכזיים
• מנגנוני ניטור מרכזיים
• הפיכת כל פעולה למנגנון אוטומטי (הטמעה, שדרוג, ניטור, תגובה וכו')
• שילוב בקרות אבטחת מידע וצוותי אבטחת המידע כחלק מהתהליכים הארגוניים
מאת:אייל אסטרין, Cloud Architect
קישור למאמר המקורי באנגלית
רוצים להתעדכן בתכנים נוספים בנושאי אבטחת מידע וסייבר? הירשמו עכשיו לניוזלטר שלנו ותמיד תישארו בעניינים > להרשמה
הגירת מערכות לענן יכולה להיות מאתגרת עבור מרבית הארגונים. עבודה עם מספר רב של ספקי ענן עשויה להכפיל את האתגרים עימם נאלצים ארגונים להתמודד במספר רב של עולמות תוכן.
במאמר זה נדון בסיבות של ארגונים לבחון בעבודה עם מספר ספקי ענן, ונסביר מהם (מקצת) מהאתגרים עימם מתמודדים ארגונים ומהם (מקצת) אתגרי אבטחת המידע עימם מתמודדים ארגונים במעבר לעבודה עם מספר ספקי ענן.
הסבר כללי אודות מהו Multi-cloud ניתן למצוא בציטוט מתוך דוח של חברת Foresight Factory:
"Managing resources across two different clouds or more, regardless of location (i.e. Multiples of public and/or private cloud; a mix of on-premises and public cloud with integrated platforms)"
עפ"י דוח של חברת RightScale מתחילת 2019, ל-84% מארגוני ה-Enterprise בחו"ל יש כבר כיום אסטרטגיה לעבודה בסביבת Multi-cloud:
סיבות של ארגונים לעבור לעבודה בסביבת Multi-cloud
• נעילת ספק (Vendor Lock-in) -היכולת לחלק משאבים בין מספר ספקי ענן
• עלויות - היכולת לבחור בפתרון מיטבי מבחינת עלויות
• אמינות (Reliability) - היכולת להגר סביבות (workloads) בין ספקי ענן במקרה של בעיות זמינות (דורש תכנון מראש)
• סביבה מיטבית עבורה היישומים - היכולת לבחור בשירות המתאים לביצוע משימה בין ספקי הענן
• חדשנות - שימוש בטכנולוגיות דוגמת Containers ו-Serverless לצורך קיצור time to market
מה הם האתגרים בסביבות Multi-cloud?
פערי ידע
נוצר צורך להתמחות בסביבות שונות של ספקי ענן שונים. לכך מספר פתרונות אפשריים:
• הכשרה לאנשי התשתיות, מפתחים, אנשי בדיקות ו-DevOps בעבודה עם מספר ספקי ענן
• קורסים ללימוד עצמי, דוגמת: A Cloud Guru, Cloud Academy, Linux Academy
בקרה תקציבית (Cost Management)
קיים צורך לנהל תקציב ועלויות חודשיות במספר רב של חשבונות ובמספר רב של ספקי ענן. לכך מספר פתרונות אפשריים:
• הכשרה של אנשים ייעודיים (דוגמת תשתיות, DevOps או אנשי כספים/FinOps) בנושא השירותים בהם מבצע הארגון שימוש בענן (דוגמת מעבר שוטף על חשבוניות, הפקת דוחות שימוש וכו')
• הטמעה בפתרון לניהול בקרת תקציבית, דוגמת: CloudHealth, Cloudyn / Azure cost management, APPTIO
הטמעת סביבות (Environment Deployment)
כלומר, הצורך להטמיע סביבות מחשוב (שרתים, אחסון, תקשורת, אפליקציות וכו') במספר רב של ספקי ענן. פתרונות אפשריים:
• הכשרת העובדים בנושאי automation, שפות סקריפטים ו-Infrastructure as a Code
• הטמעת כלים ופתרונות דוגמת: Terraform, Ansible, Chef / Puppet
נעילת ספק (Vendor Lock-in)
היכולת להגר סביבות (workloads) בין מספר ספקי ענן הופכת חשובה מתמיד. פתרונות אפשריים:
• בניה מחדש (Re-architect) של יישומים על-בסיס Containers, Micro-services ו-API’s
• שימוש בפתרונות מנוהלים של Kubernetes, דוגמת:
• Google Kubernetes Engine (GKE)
• Amazon Elastic Container Service for Kubernetes (EKS)
• Azure Kubernetes Service (AKS)
דוגמאות לאתגרי אבטחת מידע בסביבות Multi-cloud
קיים צורך להגן על נתוני הארגון המאוחסנים בענן, היכולת לבצע תחקור וטיפול באירועי אבטחת מידע וכו'. פתרונות אפשריים:
• הטמעה של פתרון SIEM/SOC מרכזי (העדפה לפתרון SaaS)
• שימוש בכלי ניטור מובנים בצד ספקי הענן, דוגמת:
• Google Cloud Security Command Center
• שימוש בפתרונות automation דוגמת AWS CloudFormation Guardrails
ניהול זהויות
הצורך לנהל מספר רב של זהויות, טיפול באמצעי אימות חלשים במספר רב של ספקי ענן. פתרונות אפשריים:
• שימוש במנגנוני הזדהות מבוססי Federation (SAML, OAuth), דוגמת:
• Okta
• OneLogin
• מימוש הזדהות חזקה (Multi-factor authentication)
ממשקי פיתוח בלתי מאובטחים (Insecure API’s)
הצורך להגן על ממשקי פיתוח (API’s) החשופים לגישת לקוחות מכיוון האינטרנט, מפני מתקפות אפליקטיביות. פתרונות אפשריים:
• הטמעת תהליכי פיתוח מאובטח (SDLC) כחלק מתהליכי הפיתוח בארגון
• Pushing Left, Like a Boss - By Tanya Janca
• הטמעת פתרונות דוגמת Salt Security
חולשות מערכת הפעלה ואפליקציות
קיים צורך להגן על סביבות הענן הארגוניות (ברמת מערכת הפעלה והשכבות האפליקטיביות) במספר ספקי ענן. פתרונות אפשריים:
• הטמעת מוצרי סריקה חולשות אבטחה דוגמת:
• הטמעת פתרונות לאיתור גרסאות פגיעות של ספריות קוד פתוח, דוגמת:
• Snyk
אובדן / גניבת נתונים (Data Loss / Data Leakage)
מתייחס לצורך לאתר מידע רגיש המאוחסן במספר רב של ספקי ענן. פתרונות אפשריים:
• שימוש בכלים מובנים בצד ספקי הענן, דוגמת:
• Azure Information Protection
• Google Cloud Data Loss Prevention
• הטמעת פתרונות Cloud Access Security Broker (CASB), דוגמת:
• Bitglass
בקרה בלתי מספקת של ספקי הענן (Insufficient Due Diligence)
הצורך לבחון את בגרות הספקים בהיבטי אבטחת מידע ואיתנות פיננסית. פתרונות אפשריים:
• ביצוע תשאול הספק לגבי נושאים הרלוונטיים לארגון
• מעבר על דוחות SOC1 ו-SOC2 Type 2
• וידוא עמידת הספקים בתקן ISO 27001 (ניהול בקרות אבטחת מידע)
• וידוא עמידת הספקים בתקן ISO 27017 (בקרות עבור ספקי ענן)
• וידוא עמידת הספקים בתקן ISO 27018 (הגנה על מידע פרטי)
שימוש לרעה במשאבי ספקי הענן
הצורך להגן על מספר רב של סביבות ענן מפני פעילויות עוינות דוגמת מתקפות מניעת שירות, Denial of wallet (DoW), ניצול משאבים וכו'. פתרונות אפשריים:
• אכיפת בקרות הזדהות ותהליכי הענקת הרשאות
• הטמעת כלי בקרת/ניהול תקציב
• הפעלת אמצעי ניטור וחיפוש אחר אנומליות
• פרסום מסמכי שימוש נאות בשירות (Legal acceptance) עבור עובדים פנימיים ועבור ספקים צד ג'
מתקפות מניעת שירות (Denial of Service / Distributed Denial of Service)
• הצורך לשמור על זמינות סביבות במספר רב של ספקי ענן. פתרונות אפשריים:
• שימוש בכלים מובנים בצד ספקי הענן, דוגמת:
• הטמעת פתרונות הגנה מפני מתקפות DDoS מבוססי SaaS, דוגמת:
מספר רב של נקודות כניסה לסביבות הענן (Multiple Entry Points)
קיים צורך לאפשר גישה לסביבות הענן ממספר רב של התקני-קצה וממספר רב של מקומות בעולם. פתרון אפשרי:
הטעמת מוצרי Zero trust access, דוגמת:
• Luminate
סיכום
קיימים מספר לא מבוטל של אתגרים במעבר ארגונים לסביבות Multi-cloud, אך ניתן לטפל ברובם ע"י שימוש במספר כללים בסיסיים:
• יצירת אסטרטגיה ארגונית לנושא Multi-cloud, תוך שמירה על המטרות הארגון ובגיבוי ההנהלה הבכירה
• השקעה בהכשרת עובדים
• יצירת מנגנוני בקרת תקציב
• הטמעת מנגנוני אימות והענקת הרשאות מרכזיים
• מנגנוני ניטור מרכזיים
• הפיכת כל פעולה למנגנון אוטומטי (הטמעה, שדרוג, ניטור, תגובה וכו')
• שילוב בקרות אבטחת מידע וצוותי אבטחת המידע כחלק מהתהליכים הארגוניים
מאת:אייל אסטרין, Cloud Architect
קישור למאמר המקורי באנגלית
רוצים להתעדכן בתכנים נוספים בנושאי אבטחת מידע וסייבר? הירשמו עכשיו לניוזלטר שלנו ותמיד תישארו בעניינים > להרשמה
לפרטים נוספים ויצירת קשר עם נציג אורקל
הודעתך לא התקבלה - נסה שוב מאוחר יותר
