עננים ואבטחה

ארגונים רבים בעולם משתמשים כבר בשירותי ענן. השאלה היא כבר לא אם לעבור לענן, אלא מתי לעבור לענן, כיצד לעבור לענן ולאיזה ענן לעבור.

מעבר לשירותי ענן חוסך עלויות רבות, כמו: עלויות חומרה, כח-אדם, מקום, תקורות וניהול. במקביל, מנגיש טכנולוגיות ויכולות לארגונים, במיוחד לארגונים קטנים עד בינוניים. בנוסף לחיסכון בעלויות, המעבר לשירותי ענן מאפשר להוציא למיקור חוץ אחריות ניהולית, אבטחתית, תפעולית, עמידות בתקנים וכמובן הגמישות והשרידות המאפיינים את הטכנולוגיה.

היתרונות והפוטנציאל הרב של שירותי מחשוב מבוסס ענן הובילו לצמיחה מהירה של שוק זה - לא עיוורון מחלקות ה-IT של ארגון כלפי תשתיות השירות המוצע (שמתקבל בברכה לא מעט) ולא סיכוני האבטחה שגלומים במחשוב שיתופי שמאפיינים את מחשוב הענן, עוצרים את הטכנולוגיה מלמצוא את דרכה אל הקרביים של ארגוני ענק בדמות CRM והסקטור הפיננסי שמפוכח ומחויב בעמידה ברגולציה תובענית ומתפתחת.

מה שקלאוד יודע להציע פשוט טוב מדיי – קבל בדיוק מה שאתה צריך בין אם storageים מבוזרים עם שרידות וקישוריות גבוהה לכל יבשת או אפליקציית קצה ברמת גימור והתאמה מלאים, במחיר חלקיק ממחיר מימוש הפתרון בתוך הבית, שלם על פי צריכה, הגדל נפח שימוש בכל שלב שתבחר ואל תדאג לתמיכה, הטמעה, רישיונות וכביכול – אבטחה.

וכך גם הסקירות והתחזיות ;

  • 2014 .readwrit

..."year of the cloud broker"

  • Gartner Says Worldwide Cloud Infrastructure-as-a-Service Spending to Grow 32.8 Percent in 2015
  • FORBES IDC predicts that by 2016, there will be an 11% shift of IT budget away from traditional in-house IT delivery, toward various versions of cloud computing as a new delivery model. By 2017, 35% of new applications will use cloud-enabled, continuous delivery and enabled by faster

אגב,

Gartner not only named cloud one of the top technology trends for 2015: It also proclaimed cloud as the new standard for application development

לא כל כך מהר.

אם כך, מדוע לא ממומש כל משאב בארגון בקלאוד? שילוב טכנולוגיה בארגון מחוייבת באבטחה ולכן בהגדרה - יש לדאוג..

סיכוני האבטחה שגלומים ביישום פתרונות מחשוב ענן אינם נובעים רק משיתופיות וחשיפה לאינטרנט

זליגות המידע מענני TARGET ב-2013 (110 מיליון פרטי לקוחות אשראי נחשפו) ו-APPLE ב-2014 (320 מיליון משתמשים נחשפו) כתוצאה מפריצות, בהחלט ממחישות את ההרתעה ומימדיה.

במימוש פתרונות מחשוב ענן, בהחלט גלומים  סיכונים רבים מהסיכונים בסביבת פנים הארגון ותהליך המעבר עצמו:

  • ריבוי דיירים (Multi Tenancy) על אפליקציה, תשתית המוצעת לשירות ו\או תשתית הוירטואליזציה המחזיקה את השירותים המוצעים, מעלה את הסיכון בחשיפת\זליגת המידע לגורמים לא מורשים.
  • תווך פומבי של רשת האינטרנט עליו עוברת תעבורת הארגון\משתמשים לרוב בהתקשרות עם שירות הענן גלויה ונגישה למתקפות
  • אחריות האבטחה ורמת השירות שאמורה  להיות מוסכמת מראש,לעתים רבות תשאר לא מוגדרת ו\או לא מובנת, תשאיר פתח לפערי אבטחה, אזורי אחריות no mans land, חוסר יכולת לנהל תאימות וניטור אירועי אבטחת מידע או לבקרם.
  • השקיפות של תשתיות השירות אל מול הלקוח, מקשה על הכנסת בקרות, מיפוי ושליטה במידע, הגישה אליו והגבלת הגישה אליו.

ועוד

ב-2006 Amazon הציעה לראשונה את שירות ה-AWS שלה לשוק הפתוח, עדיין יש שאריות של דעות קדומות אודות קלאוד ותשתיות פתוחות לאינטרנט ולקוחות קלאוד שאינם מבדילים בין ענן פרטי לפומבי..

היום, תחום הקלאוד והטכנולוגיות מוכרת ע"י ארגוני סקירה וסטנדרטיזציה מובילים כמו: Gartner ENISA, ISC2, שירותי קלאוד מוצעים ללקוחות מהספקים המוכרים והנחשבים בעולם דוגמת Amazon, Google, IBM, וכו'. קיימת התייחסות ישירה לטכנולוגיה בתקנים בינלאומיים ומקומיים, קיים ארגון הנחיה ייעודי שמקדיש את עצמו לקלאוד כותב  Best Practices, מסמיך ארגונים ובעלי מקצועי ומוביל את התחום אל אופק מוגן מבוקר ובטוח לשימוש.

היום, תחום מחשוב הענן נחשב לאחד מהתחומים הכי חמים בשוק. לצד הסוגיה הכי מאתגרת בו – אבטחה. מה שמעניין מאוד, אגב.

הארגון המדובר, שמספק בין היתר הנחיה, BEST PRACTICES, הכשרה והסמכה הוא ה CSA     Cloud Security Alliance.

מבין המשאבים הממשיים שהוא מציע ניתן למצוא את ה- Cloud Control Matrix - CCM זהו מסמך אקסל שמכיל יותר מ-300 בקרות (ע"פ סעיפים) שניתן ומומלץ לממש עבור פתרונות ענן כדי להבטיח ביטחון לקוח ורמת אבטחת מידע.

CCSK –  Certificate of Cloud Security Knowledge הסמכת אבטחת מידע שדורשת ומוכיחה ידע בתחום של מימוש בקרות קלאוד, ניהול סיכונים התנהלות עם פתרונות מחשוב ענן, לקוח מחשוב ענן\ספק ועוד 10+ תחומים נלווים.

ניתן בהחלט לומר שהדעה הקדומה נחשפה כאחת. טכנולוגיות ענן, כטכנולוגיה שיתופית פתוחה לרשת (או במימוש אחר שלה), אינה פסולה על סמך המאפיינים האלו או אחרים.

אנו נמשיך לצפות וליהנות מפתרונות טכנולוגיות ענן מרשימים ונפוצים ובמימושי אבטחה יעילים ויצירתיים בתחום.

עוד תחזית מעניינת - אם יש סברה שקלאוד ואבטחה לא הולכים ביחד (אם ניתן לומר משהו דומה לאור שוק הSecurity As A Service -  הפורח);  (Forbes)

אלכס

 

 

 

 

 

 

נכתב על ידי  אלכס גצין, מנהל פרויקטים באבטחת מידע

גצין אלכס

על המחבר:

אלכסנדר גצין, מנהל פרויקטי אבטחת מידע מטעם חברת EXTREME.

מומחה אבטחת מידע מרקע טכני, התחיל את דרכו בממר"ם, מאז מילא תפקידי הדרכה, ANALYST אבטחה, אינטגרציה, ניהול פרויקטים ותפקידים אחרים בתחום אבטחת מידע ותקשורת.

Extreme group חברה מובילה בתחום אספקת פתרונות IT, מעסיקה למעלה מ-200 מומחי IT. בין לקוחותיה נמנים יותר מ-50 חברות מובילות בישראל.

לאלכס הסמכות טכניות בתחומי התקשורת (CCNA), אבטחת מידע (צוות התערבות, ניתוח וSIEM), מערכות אבטחה וטכנולוגיות (CCSE, SYM SIEM, CA ועוד) ואבטחת קלאוד (CCSA).

No Comments Yet.

Leave a comment