מהות "האחריות המשותפת" בשירותי ענן ציבוריים

מעברם של ארגונים לשימוש בשירותי ענן ציבוריים מגלם יתרונות רבים לצד סיכוני אבטחת מידע. המפתח לניהול המידע ואבטחתו בענן הוא בהבנת מהות אחריותם המשותפת (Shared Responsibility) של ספק שירותי הענן והארגון.

בדיונים רבים שאני שותף להם הנושא הזה כמעט ולא עולה. לכאורה, הארגונים מניחים שאחריות ספק שירותי הענן הינה סופית ומוחלטת וזוהי טעות רווחת. תחום אחריותו של ספק שירותי הענן הינה רחבה ונוגעת בשירותי התשתית, באבטחת המידע ברמת הרשת והקשחת תשתיות ואבטחת הגישה של משתמשים לשירותים אותם הוא מספק. לצד אחריות זו, הארגון נושא באחריות לניטור וגילוי סיכוני אבטחת מידע, ניהול הגישה של המשתמשים וליישומי ניתוח פעילותם באמצעות לוגים, הגנה על יישומים, בקרת תצורה, ועוד.

האחריות המשותפת היא זו המבטיחה בסופו של תהליך שאבטחת המידע מטופלת באופן נכון ומתאים לארגון.

ארגון חייב ליישם מדיניות במספר תחומים בפעולתו בשירותי ענן ציבוריים על מנת לתת מענה לסוגיות אבטחת המידע:

• מדיניות אבטחת מידע בענן – על הארגון להכיר את מדיניות אבטחת המידע של ספק שירותי הענן שלו ואת האמצעים אותם הוא מיישם ובהתאם לכך ליישם מדיניות ארגונית הכוללת פתרונות הגנה ואמצעי אבטחה מגוונים המתייחסים לאחריות הארגון באבטחת המידע בענן. בין הפתרונות הנדרשים ניתן למנות WAF – Web Application Firewalls, Antivirus, DLP – data Leakage Prevention, Intrusion dedection, Encryption, Identity management, IPtables. הארגון חייב לבצע סקרים עיתיים הבוחנים את מערך אבטחת המידע המשותף, בחינת חולשות והאמצעים הנדרשים על מנת לטפל בהם.

•    מדיניות גישת משתמשים ליישומי ענן – הארגון חייב לקבוע מדיניות גישה והפעילות שמשתמשים יכולים לבצע ביישומי ענן, כגון עריכה, הוספה, הורדה וכד'. ליישם אינטגרציה ל-Active Directory הארגוני, ליישם אמצעי זיהוי מתקדמים וגמישים ברמת SSO – Single Sign On ו-Multi-Factor Authentication, להטמיע מערכת CASB – Cloud Access Security Broker וליישם פתרון DLP. על הארגון לבחון את המדיניות גם בגלישה מחוץ לארגון, מרשתות זרות ומהתקנים שונים כגון מכשירים חכמים ומחשבים ניידים, מגאוגרפיות שונות, בשעות הפעילות השונות ומרמת הרגישות של היישום.

•    מדיניות לוגים – קבלת לוגי פעילות מלאים הכוללים Activity logs ו-Audit Trail ויבואם למערכות ה-SIEM הארגוניות לביצוע קורלציות בין פעילויות, שיפור אבטחת המידע, וביצוע פעולות מניעה נדרשות.

•    מדיניות אבטחת הקוד – משימה ארגונית המחייבת בדיקות איכות ואבטחת מידע של היישומים המועלים לענן על מנת לצמצם את יכולות הפריצה וההתקפה על היישומים, וסקירת קוד שוטפת לאחר העלאת היישום לפעילות כולל עדכון שוטף של Patchים לשיפור אבטחת המידע ביישומים.

למשתמשים תפקיד מהותי ביצירת הסיכונים והחשיפות. הדבר מחייב היערכות נכונה של הארגון. במסגרת זו על הארגון לזהות את פעילות המשתמשים, להבחין בין פעילות מאושרת לבין פעילות Shadow IT, לבחור יישומי ענן המתאימים לצרכי הארגון והעומדים במדיניות שנקבעה, וליישם מדיניות אפקיבית של דלף מידע.

גורם הידיעה הוא המורכב ביותר. בידי ארגונים אין שקיפות לפעילות ה-Shadow IT ולא הכלים לאיתורה. הארגון גם לא יודע באם בחירה שלו ביישום מסוים עומדת במדיניות שלו. המידע הזה שכה רלוונטי לארגון יתקל בשני מחסומים, אין לארגון את הכלים לבחון את רמת המוכנות של היישום לשימוש בארגון והתאמתה למדיניות שהארגון מיישם, והחסם השני – ארגונים אינם מוודאים ברמה המשפטית של ה-EULA – End User Licence Agreement שביישומים שבהם עושה הארגון שימוש, המידע  הינו בבעלותו.

רק ארגון שיבחין בין סוגי האחריות של ספק שירותי הענן ושלו, יידע לגבש מדיניות אבטחת מידע אפקטיבית תוך הפחתה משמעותית של ניהול הסיכונים בשירותי ענן ציבוריים. זוהי מהותה של האחריות המשותפת.

הכותב הינו מייסד ויו"ר מוביסק טכנולוגיות.