מהי אבטחת מידע בענן?
"הענן" הוא אחת מסביבות העבודה הממוחשבות הבולטות ביותר היום. במקביל, הוא גם סביבה החשופה מאוד לסיכוני אבטחה, ולכן יש חשיבות מיוחדת למציאת פתרונות מתאימים שיבטיחו עבודה יציבה ובטוחה בשימוש בענן לסוגיו וליישמם. צמד אחד זהו אתגר לא פשוט, אך מצד שני התחום בכללו ותיק ומציע לא מעט פתרונות בשלים, כך שבהחלט יש מה לעשות בנידון! המשיכו לקרוא וגלו איך נכון לאבטח מידע בענן, מהם האתגרים ואילו פתרונות קיימים.
אבטחת מידע בענן: השינוי הגדול בסביבת המחשוב
עולם המחשב עבר ועובר שינויים באופן רצוף וחלקם משמעותיים למדי, עם זאת מחשוב הענן אינו עוד שינוי שגרתי. כאשר מעבירים פעילות מסוימת לשירות מסוג זה או מתחילים פעילות חדשה היישר בענן, זה לא בדיוק כמו שינוי פנימי במחשוב שבתוך העסק. כך שלפני הכול, חשוב לזכור שמדובר בסוג מיוחד של סביבת מחשוב ושכדאי לגשת לכל הקשור לכך בתשומת לב מיוחדת ורבה, וכך בהחלט גם בהקשר של אבטחת מידע בענן. כמו כן, לא פשוט לבחור פתרונות מחשוב לעסק, מדובר בהחלטות כבדות משקל המשפיעות לטווח הארוך. הדבר נכון גם לגבי בחירת אבטחת מידע בענן וכל הקשור אליה.
הזדמנויות מול סיכונים
מחשוב ענן מספק לעסקים אפשרויות חדשות ומשמעותיות ביותר, ומצד שני הוא מציב גם סיכוני אבטחה חדשים. לכן, פעילות עסקית בענן חייבת ללכת יד ביד עם אבטחת מידע בענן ברמה גבוהה. מהסיבה הזאת חשוב לתכנן ביסודיות את אבטחת המידע בענן, כשם שמתייחסים לאבטחת המידע בכל הנוגע למחשוב הפנימי בעסק. ייתכן מצב שבו ההנהלה העסקית מעוניינת לנוע קדימה במהירות עם יוזמה מסוימת, הדורשת העברת חלק מהפעילות לענן או יצירת פעילות חדשה בענן. גם במקרה כזה, מוטב להתעכב קצת ולהבטיח מענה יסודי מספיק להיבט האבטחה ולא להתקדם מהר מדי ולקחת סיכונים.
הגנה על אתרים
הגנה על אתרי אינטרנט עסקיים הוא נושא רחב למדי. כדוגמה ממחישה בולטת – לאתרים עסקיים ואתרים של ארגונים למיניהם, חיוני לספק הגנה מפני DDOS (התקפות מניעת שירות) באופן שוטף. Distributed Denial of Service הוא סוג התקפה נפוץ וותיק וגם קל יחסית לתוקפים. עומד מאחוריו עיקרון פשוט ויעיל – לייצר פניות רבות מאוד לאתר שלכם בפרק זמן קצר, באופן אוטומטי ומלאכותי, כדי ליצור מעין פקק תנועה בכניסה אליו. אומנם, האתר לא יהיה בהכרח על הכוונת של תוקפים באופן רצוף, וייתכן שהוא יחווה התקפות כאלה אפילו לעיתים רחוקות למדי, אך אם וכאשר זה קורה, התקפה כזו מסוג מניעת שירות עלולה לגרום לנזקים רבים במגוון אופנים. עלות הנזקים והשלכותיהם השונות הן לעיתים גדולות מאוד מעלות הפעלת השירות למניעת נזקי התקפות כאלה.
חומת האש – פתרון ותיק וחיוני
אחד אמצעי ההגנה הקלאסיים בעולם אבטחת המידע הוא חומת אש. אם לומר זאת באופן אחר – זהו פתרון בולט מאוד, מאחר שארגונים לומדים מניסיונם שהוא מספק תוצאות טובות בפועל ולאורך זמן. חומת אש אפליקטיבית, או WAF, יכולה לספק פתרון למקרים של התקפות מניעת שירות (DDoS) שהזכרנו קודם. נוסף לה, יש פתרונות פיירוול מסוגים אחרים, כאשר לכל אחד היתרונות שלו, למשל חומת אש ייעודית (או dedicated firewall) מבוססת חומרה.
פתרונות משלימים לאבטחת מידע בענן
אבטחת מידע בענן מתבטאת גם במוצרים נוספים, כגון אנטי וירוס, והוא משמעותי מאוד בהקשר של מחשוב ענן וכפתרון ה-DLP. זו היא מערכת למניעת דליפת או אובדן מידע (Data loss prevention), אשר מספקת יכולות ניטור, דיווח ומניעה של מקרים כאלה. מדוע זה חשוב דווקא במחשוב ענן? מאחר שהמידע בשירותי ענן ממוקם מחוץ לארגון שמשתמש בשירות. זהו מידע בתנועה (אל מערכות ספק הענן וממנו לארגון) או במצב נייח כאשר הוא מאוחסן במערכות הספק. בשני המקרים, המידע עלול להיות מטרה לציטוט. כך עשוי לקרות שמידע עסקי רגיש יגיע לידיים לא מורשות ואף לגורמים זדוניים. יכולות להיות לכך סיבות רבות, כאשר דוגמה בולטת היא ריגול תעשייתי.
אתגר השליטה
אבטחת מידע בענן מתמודדת כפי שציינו עם האתגר של הוצאת מידע מחוץ לארגון. לכן, במבט רחב, הדבר מחייב שליטה מרבית במצב, גם מעבר לפתרונות כגון DLP. זו היא שליטה שיש לגבש וליישם מנקודת מבט אסטרטגית. יש לכך היבטי משנה רבים, ובהם:
- בחירת ספק – בחירת ספק ענן אמין חשובה ביותר, זאת מאחר שבסופו של דבר מעבירים אליו חלק מהשליטה במידע ובפעילויות שהעסק מבצע. יש מקרים שבהם העברת השליטה בלתי אפשרית בגלל תקנות מגבילות, אם כי זה מצב נדיר יחסית. במקרים אחרים, שיקולי סודיות ופרטיות מידע לקוחות עשויים להיות מקור להתלבטויות – האם להשתמש בשירות ענן מסוים ואצל איזה ספק? בכל מקרה, כדאי לבחור ספקי ענן בתשומת לב רבה, גם אם מדובר בשירותי ענן פשוטים יחסית ולא רגישים מאוד.
- עמידה בתקנות – עסקים צריכים להבין היטב מה היחס בין התקנות שבהן הם מחויבים לעמוד, לבין שירותי ענן שהם צורכים. ספקי הענן עצמם מחויבים לעמוד בתקנות כמובן.
- ניהול זהויות וגישה – היבט בולט של שליטה על שירותי הענן הוא ניהול הזהויות וניהול הגישה למערכות השונות בענן. שירותי ענן עשויים להרחיב מאוד את שמות המשתמש והסיסמאות שיש לנהל ואת ניהול הגישה למערכות שונות והבקרה עליה. זה לא בהכרח יפריע לאמץ שירותי ענן, אך חשוב להיות מודעים לכך ולהיזהר מסיכוני אבטחה שונים בהקשר זה.
- ניהול שינויים – אף שמחשוב ענן אינו חדש היום, השימוש בו עדיין כרוך פעמים רבות בשינויים לא קטנים בעסקים. חשוב לגשת לכך באופן מסודר, לפי שיטות מקובלות ומומלצות לניהול שינויים בעסק. אומנם המעבר לשירותי ענן וביצוע שינויים בפעילות בענן קל היום מתמיד, אך עשויה להיות כאן לעיתים לא מעט מורכבות, הן מבחינת ניהול תהליכי עבודה ואנשים והן מההיבט הטכני. למשל ברמה של ממשקי API וסיכוני אבטחה שהם עשויים להציב.
אבטחת מידע בענן –נהלים והדרכות
כחלק מהטיפול היסודי באבטחת המידע בענן, חשוב לקיים הדרכות מסודרות בעסק, זאת משום שפתרונות טכנולוגיים שונים לאבטחה לא תמיד מספיקים. כידוע, הגורם האנושי עלול לאפשר עקיפה של הגנות רבות, גם ללא כוונה. לדוגמה – מחשוב ענן עשוי להקל על עבודה מהבית ועל עבודה מרחוק בכלל, מצד שני הוא לא תמיד יתאים לכולם. במקרים כאלה, ייתכן שאנשים יעדיפו פתרונות מאולתרים שונים או שימוש בכלים ישנים יותר, שבהם הם עשו שימוש בעבודתם לפני המעבר לתחליף בענן. גרוע יותר מכך, עשוי להיות מצב של שימוש בלתי מוסדר בשירותי ענן. כלומר מצב שבו עובד מתחיל להשתמש בשירות ענן מסוים, מבלי לתאם זאת עם מחלקת המחשוב. משום שזה עשוי להיות שירות לא מאובטח מספיק ומאחר שאגף המחשוב לא יהיה מודע לכך, זו עלולה להיות בפועל מעין פרצת אבטחה מתמשכת. בעקבות כל אלה, יש חשיבות גדולה מאוד להתייחסות לשירותי ענן, במסגרת הגדרת מדיניות האבטחה וביצוע פעילויות הדרכה מתאימות. חשוב שעובדים ידעו מה מותר ומה אסור בהקשרים אלה ומי הכתובת במקרי שאלות והתלבטויות.
לסיכום
עם הקדמה הטכנולוגיה עבודה עם שירותי ענן היא כבר בדר חובה. עם זאת, חשוב לעבוד איתם בצורה בטוחה ונכונה כדי לשמור על סביבת עבודה מאובטחת ככל האפשר.