✕ סגור 
צור קשר
תודה על ההתעניינות .

Thank you! Your submission has been received!

Oops! Something went wrong while submitting the form

לאן נעלמה חוות השרתים שלנו?

Moshe Ferber
|
קלה
|
February 27, 2020

סיומו של העשור הזה מסמל עבורי גם סיום של כעשור ניסיון עם ענן ציבורי. עשור שבו חוויתי איך טכנולוגיית מחשוב ענן הפכה ממשהו צדדי, למיינסטרים. מתחילת עשור זה, זכורה לי בעיקר ההרגשה המתסכלת של הדיסוננס בין הפוטנציאל הטמון בטכנולוגיה החדשה הזו, לבין  הזלזול בעולם האנטרפרייזים, כאשר ניסיתי לדבר על היתרונות של הטכנולוגיה העננית. באותה תקופה רק הסטרטאפים המוזרים ביותר הגיעו להרצאות שלי בנושא ורוב הקולגות שלי חשבו שמדובר אולי על טכנולוגיה מעניינת, אבל לא רלוונטית לחיי היום יום שלהם

על כן, השנים האחרונות של העשור הפכו לחוויה מתקנת. זכיתי לראות כיצד התובנה כי שירותי ענן יכולים להיות מאובטחים יותר מחלחלת למגוון מגזרים והשילוב של השיפור בהיצע שירותי הענן. פיזור הערפל הרגולטורי והידע שנאסף על תפעול נכון של שירותים אלה, הביא אותנו כיום למצב  שבו ארגוניי ענק מסתמכים על התשתית הזו במדיניות של Cloud First.

הפריחה הזו באימוץ מחשוב ענן מביאה אותי עם תחילת העשור הנוכחי לסיטואציה אירונית ביותר. לאחר שבמשך שנים ארוכות עמדתי על הבמות והסברתי כיצד מחשוב ענן יכול לשפר את אבטחת המידע והתחננתי לקהל שיפעיל מחשבה עצמאית, כיום אני מוצא את עצמי יותר ויותר נאלץ לעצור ארגונים מלרוץ קדימה ולשאול אותם את השאלות הקשות: האם יש לכם את הידע הארגוני המתאים לעבור לשירות זה? האם אתם מבינים את הסיכונים הצפויים? האם יש לכם בארגון את הכלים הנכונים כדי לבצע לדוגמא ניטור של שירות זה או אחר?  

המורכבות של שירותי IaaS/PaaS, עקומת הלימוד התלולה שנדרשת כדי להתמקצע בהם, השימוש בטכנולוגיות חדשות אשר לעיתים אינן בשלות לחלוטין לצד העדר ידע מספק על האופן שבו יש לאבטח אותן, גורם לכך שכל מיגרציה, גם אם פשוטה טכנית, יכולה לגרום לאתגרים תפעוליים. לפעמים זה נגמר בסתם השבתה מעצבנת או חשבונית של כמה אלפי דולרים מבוזבזים, אך לעיתים זה מסתיים בכותרת מאוד לא נעימה בעיתון, חקירת רגולטור והרבה תסכול ולחץ מצד הנהלת הארגון.

מדוע היום אני כבר לא אומר "רוצו קדימה" אלא "עצרו לחשוב"

אז אחרי שעברתי את המסלול הזה של "דוחף קדימה" בתחילת העשור עד לעצירה מחושבת בסוף העשור, מה הייתי מאחל לארגונים בעולם (ולעצמי) בעשור הבא  בצעו אימוץ אחראי של מחשוב ענן. הטכנולוגיות של הספקיות השונות יכולה לעזור לכם לבנות אפליקציות טובות יותר ומאובטחות יותר, אבל נדרש ידע ארגוני מקדים כיצד לבנות ארכיטקטורה נכונה בסביבות אלו (וידע שבא מאינטגרטור הוא חיוני, אך לעיתים לא מספק את התמונה הגדולה).

נדרשים כלים מתאימים לניטור ובקרה ויש לאזן את ההתלהבות מטכנולוגיות חדשניות אל מול בשלות וידע מתודולוגי. רוצים לאמץ קונטיינרים? כמובן, אבל כדאי למנוע כל גישה ישירה לקונטיינרים עצמם אלא אם דרך פרוקסי.  רוצים לפתח ב-- serverless? נהדר, אבל כדאי לשים דגש על עקרונות פיתוח מאובטח. באופן כללי, שירותי IaaS/PaaS מאפשרים לארגון לאמץ תשתית אמינה ובטוחה, אבל זה רק אומר כי עכשיו כדאי לשים דגש חזק מאוד על מתודולוגיית הפיתוח המאובטח בארגון – תחום שבו מסורתית, רוב הארגונים חלשים יותר.

אז איך עושים את זה? איך מביאים את הידע הארגוני לרמה נדרשת? קודם כל יש להחליט מי הספק הראשי עליו הארגון יקים את רוב התשתית. לספקים הגדולים בתחום יש מגוון אמצעי הדרכה ועשרות שעות של הדרכות וידאו וחומרים כתובים, מחומרים חינמיים ועד הסמכות מלאות בתשלום. אופציות טובות של קורסים זולים יחסית אפשר גם למצוא ב- Linux academy, A-Cloud-Guru ודומיהם. שיפור הידע הארגוני בתחום פיתוח מאובטח הוא קשה יותר כי החומרים פחות מובנים ונדרש לשלב יועצים חיצוניים, הדרכות מסודרות (לדוגמה OWASP/SANS) ומינויSecurity champions  בצוותי הפיתוח השונים. ולסיום, מי שרוצה ללמוד באופן רוחבי וגורף את נושא אבטחת הענן יכול להקדיש זמן לאחת ההסמכות השונות בתחום כגון CCSP  או CCSK או דומיהם.

מאת: משה פרבר, CSA Israel chairman

*גילוי נאות – כותב דברים אלה היה שותף בפיתוח חלק מההסמכות הרשומות בכתבה.

סיומו של העשור הזה מסמל עבורי גם סיום של כעשור ניסיון עם ענן ציבורי. עשור שבו חוויתי איך טכנולוגיית מחשוב ענן הפכה ממשהו צדדי, למיינסטרים. מתחילת עשור זה, זכורה לי בעיקר ההרגשה המתסכלת של הדיסוננס בין הפוטנציאל הטמון בטכנולוגיה החדשה הזו, לבין  הזלזול בעולם האנטרפרייזים, כאשר ניסיתי לדבר על היתרונות של הטכנולוגיה העננית. באותה תקופה רק הסטרטאפים המוזרים ביותר הגיעו להרצאות שלי בנושא ורוב הקולגות שלי חשבו שמדובר אולי על טכנולוגיה מעניינת, אבל לא רלוונטית לחיי היום יום שלהם

על כן, השנים האחרונות של העשור הפכו לחוויה מתקנת. זכיתי לראות כיצד התובנה כי שירותי ענן יכולים להיות מאובטחים יותר מחלחלת למגוון מגזרים והשילוב של השיפור בהיצע שירותי הענן. פיזור הערפל הרגולטורי והידע שנאסף על תפעול נכון של שירותים אלה, הביא אותנו כיום למצב  שבו ארגוניי ענק מסתמכים על התשתית הזו במדיניות של Cloud First.

הפריחה הזו באימוץ מחשוב ענן מביאה אותי עם תחילת העשור הנוכחי לסיטואציה אירונית ביותר. לאחר שבמשך שנים ארוכות עמדתי על הבמות והסברתי כיצד מחשוב ענן יכול לשפר את אבטחת המידע והתחננתי לקהל שיפעיל מחשבה עצמאית, כיום אני מוצא את עצמי יותר ויותר נאלץ לעצור ארגונים מלרוץ קדימה ולשאול אותם את השאלות הקשות: האם יש לכם את הידע הארגוני המתאים לעבור לשירות זה? האם אתם מבינים את הסיכונים הצפויים? האם יש לכם בארגון את הכלים הנכונים כדי לבצע לדוגמא ניטור של שירות זה או אחר?  

המורכבות של שירותי IaaS/PaaS, עקומת הלימוד התלולה שנדרשת כדי להתמקצע בהם, השימוש בטכנולוגיות חדשות אשר לעיתים אינן בשלות לחלוטין לצד העדר ידע מספק על האופן שבו יש לאבטח אותן, גורם לכך שכל מיגרציה, גם אם פשוטה טכנית, יכולה לגרום לאתגרים תפעוליים. לפעמים זה נגמר בסתם השבתה מעצבנת או חשבונית של כמה אלפי דולרים מבוזבזים, אך לעיתים זה מסתיים בכותרת מאוד לא נעימה בעיתון, חקירת רגולטור והרבה תסכול ולחץ מצד הנהלת הארגון.

מדוע היום אני כבר לא אומר "רוצו קדימה" אלא "עצרו לחשוב"

אז אחרי שעברתי את המסלול הזה של "דוחף קדימה" בתחילת העשור עד לעצירה מחושבת בסוף העשור, מה הייתי מאחל לארגונים בעולם (ולעצמי) בעשור הבא  בצעו אימוץ אחראי של מחשוב ענן. הטכנולוגיות של הספקיות השונות יכולה לעזור לכם לבנות אפליקציות טובות יותר ומאובטחות יותר, אבל נדרש ידע ארגוני מקדים כיצד לבנות ארכיטקטורה נכונה בסביבות אלו (וידע שבא מאינטגרטור הוא חיוני, אך לעיתים לא מספק את התמונה הגדולה).

נדרשים כלים מתאימים לניטור ובקרה ויש לאזן את ההתלהבות מטכנולוגיות חדשניות אל מול בשלות וידע מתודולוגי. רוצים לאמץ קונטיינרים? כמובן, אבל כדאי למנוע כל גישה ישירה לקונטיינרים עצמם אלא אם דרך פרוקסי.  רוצים לפתח ב-- serverless? נהדר, אבל כדאי לשים דגש על עקרונות פיתוח מאובטח. באופן כללי, שירותי IaaS/PaaS מאפשרים לארגון לאמץ תשתית אמינה ובטוחה, אבל זה רק אומר כי עכשיו כדאי לשים דגש חזק מאוד על מתודולוגיית הפיתוח המאובטח בארגון – תחום שבו מסורתית, רוב הארגונים חלשים יותר.

אז איך עושים את זה? איך מביאים את הידע הארגוני לרמה נדרשת? קודם כל יש להחליט מי הספק הראשי עליו הארגון יקים את רוב התשתית. לספקים הגדולים בתחום יש מגוון אמצעי הדרכה ועשרות שעות של הדרכות וידאו וחומרים כתובים, מחומרים חינמיים ועד הסמכות מלאות בתשלום. אופציות טובות של קורסים זולים יחסית אפשר גם למצוא ב- Linux academy, A-Cloud-Guru ודומיהם. שיפור הידע הארגוני בתחום פיתוח מאובטח הוא קשה יותר כי החומרים פחות מובנים ונדרש לשלב יועצים חיצוניים, הדרכות מסודרות (לדוגמה OWASP/SANS) ומינויSecurity champions  בצוותי הפיתוח השונים. ולסיום, מי שרוצה ללמוד באופן רוחבי וגורף את נושא אבטחת הענן יכול להקדיש זמן לאחת ההסמכות השונות בתחום כגון CCSP  או CCSK או דומיהם.

מאת: משה פרבר, CSA Israel chairman

*גילוי נאות – כותב דברים אלה היה שותף בפיתוח חלק מההסמכות הרשומות בכתבה.

Moshe Ferber
http://www.israelclouds.com/blog/where-is-the-datacenter-the-challenges-in-moving-to-the-cloud
http://www.israelclouds.com/blog/where-is-the-datacenter-the-challenges-in-moving-to-the-cloud

הירשם לרשימת דיוור של IsraelClouds

Thank you! Your submission has been received!

Oops! Something went wrong while submitting the form