מה חשוב לדעת על אבטחה בסביבה מרובת עננים?

גישת ריבוי עננים הפכה פופולרית בקרב חברות רבות. סקר של גרטנר מ-2020 מצא, כי 81% מהמשתמשים בענן ציבורי הם צרכני שימוש של ספקי ענן מרובים. לאור כך, נושא האבטחה בריבוי עננים הופך לאתגר משמעותי. לגישת ריבוי העננים יש יתרונות וחסרונות. החסרונות כוללים: דרישה לאנשי תפעול וניהול מיומנים בסביבה, שילוב מספר פלטפורמות צולבות, המאתגרות מבחינת אבטחה בהתחשב בכך שספקי ענן משתמשים בטכנולוגיות שונות, משטח ההתקפה של הארגון גדל, והעברת נתונים בין הפלטפורמות עלולה להוביל לבעיות ביצועים ואמינות, המאתגרות את האבטחה.

היתרונות בריבוי עננים

• הימנעות מתלות בספק יחיד: המאפשרת לארגונים להימנע מ"נעילת ספקים" וחופש להשתמש במספר שכבות טכנולוגיות מספקי ענן תחרותיים.
• חיסכון בעלויות: היכולת לבחור את ספק הענן המציע את המחיר הטוב ביותר עבור הפונקציות הספציפיות שהארגון צריך יכולה להוביל לחיסכון משמעותי בעלויות. כך, חברה עשויה להשתמש ב-GCP עבור יכולות ניתוח הנתונים, ב-Amazon EC2 עבור תשתית וב-Azure עבור ניהול מסדי נתונים.
• הפחתת סיכוני השבתה: אמנם, רוב הספקים שומרים על SLA של 99% זמינות, אך הסיכוי להשבתה קיים. סיכוי להשבתה אצל שני ספקי ענן ציבורי הוא תרחיש לא סביר.
• עמידה בתקנות ציות ורגולציה: ככל שטביעת הרגל העננית של הארגון גדלה והאופרציה העסקית חוצה גבולות גיאוגרפיים, שימוש בריבוי עננים מאפשר לארגון לבחור את מרכז הנתונים הטוב ביותר על סמך המיקום הגיאוגרפי.

מודל האחריות משותפת

אימוץ טכנולוגיית ענן אינו מעביר את אחריות האבטחה לספק. בין אם הארגון משתמש במודל IaaS, SaaS או PaaS, הארגון בלבד אחראי באופן מלא על הנתונים, החשבונות וניהול הגישה. לאור ככך, אסטרטגיית ריבוי עננים לא מצמצת את אחריות האבטחה הקשורה לרכיבי ענן מסוימים ולא ניתן להעביר אחריות מלאה לספק הענן.

ניהול אבטחה בסביבה מרובת עננים

ריבוי עננים מאלץ את הארגון לנהל את האבטחה, המורכבת משלושה מרכיבים מרכזיים: זמינות, יושרה (אינטגרטי) וחיסיון. את האבטחה בסביבת ריבוי עננים ניתן לשפר על ידי: אבטחת זיהוי נכון של הנכס, זיהוי סיכונים בשלב מוקדם ותעדוף הסיכונים.

ניהול עמדות אבטחה בענן (Cloud Security Posture Management – CSPM) – נראות ברורה על פני הפלטפורמות השונות חיונית לניהול האבטחה. למרות האפשרות להגדרת אבטחה באמצעות הכלים של כל ספק, הדבר אינו מבטיח אבטחה הולמת. מכיוון שהענן אינו מספק את כל תצורות האבטחה החיוניות, יש צורך להפעיל כלים ושירותים מובנים הדרושים לכך, לדוגמה: Google Cloud Security Command Center ו-Azure Security Center הם שני פתרונות CSPM ספציפיים לספקים אלה. הפתרונות מודיעים על הגדרות שגויות והפרות תאימות ומבצעים בדיקות סטטוס מתמשכות.

אבל פתרון CSPM נפרד לא יפתור את בעיות ניהול האסטרטגיה. למרות שחלק מהשירותים כוללים אינטגרציות לסביבות ריבוי עננים, עדיין יש להן מגבלות בהפעלה בסביבות ריבוי עננים, דבר הדורש כלים מיוחדים לאבטחה מקצה לקצה של האפליקציות השונות.

נראות נכסים – סיכונים מוערכים על סמך איומים בנכסים פגיעים. זיהוי הנכסים הקיימים במרחב הוא הצעד הראשון לקראת זיהוי סיכונים. מכיוון ששירותי ענן מציעים גמישות רבה, במיוחד בתצורת IaaS, קורה כי עובדים יוצרים סביבות בדיקה ועוזבים אותן ללא השבתה מתאימה. בארגונים גדולים התהליכים והנהלים לא תמיד מתאימים לכל אחד מהצוות, או שהם פשוט מוזנחים. ללא נראות של כל הצוותים, המאפשרת לראות כיצד הם פועלים על פי פרוטוקולים ושומרים על סביבה נקייה, משטח ההתקפה יכול לגדול בקלות עקב הצטברות של משאבים ללא השגחה, כגון VMs או קונטיינרים שאפילו לא הוכרו כנכסים פעילים.

ניהול סיכונים מרכזי מצריך איחוד משאבים אלו, סטנדרטיזציה, קביעת אמצעי אבטחה בסיסיים והבטחת שליטה בנכסים – מתצורות, ניהול גישה ועוד. נראות נכונה של הנכסים תבטיח תקשורת רציפה בין המשאבים הפזורים ותאפשר לארגון זמינות וניצול מיטבי של אלו.

תעדוף סיכונים – רוב יצרני הענן מציעים כלים ושירותים המסייעים בזיהוי סיכוני אבטחה פוטנציאליים בסביבתם, אך כעת נדרשים צוותי האבטחה לתעדף מידע זה. לא ניתן לתקן את כל הממצאים בו זמנית, ולעיתים יש אילוצי זמן ו/או כוח אדם, לכן נדרשת התמקדות בסיכונים בעדיפות גבוהה. שימוש בכלי תעדוף לסיווג ממצאי סיכונים על סמך חומרה וקריטיות יפשטו תהליך זה.

ניהול ותיקון – לאחר זיהוי הסיכונים ותיקונם, בסביבה מרובת עננים נדרש גם מעקב אחריהם. אוטומציה ותזמור של ניהול סיכוני אבטחה מאפשרים חיסכון בזמן ומניעה מהגדרות שגויות העלולות להוביל לסיכונים במערכות השונות. חובה לתקן את כל הסיכונים שזוהו ולעקוב מקרוב אחר התהליך, כדי להבטיח ששיתוף הפעולה בין צוותים מבוצע בצורה אופטימלית. שימוש בספרי משחק (Play books) מובנים יכול להפוך את תהליך התיקון לאוטומטי ולפנות את הצוות האחראי מכל התראה.

דיווח – בעוד שכלי האבטחה המובנים המוצעים על ידי AWS, Azure ו-GCP יכולים לעזור לזהות את הסיכונים בסביבת הענן, בסביבות מרובות עננים יש נקודות עיוורות, והכלים של יצרני הענן עלולים לפספס סיכונים קריטיים. דיווח ותובנות מעמיקות מאפשרים למנהלי הארגון ולאחראים על אבטחת המידע לקבל החלטות נכונות ולהתאים את עמדת האבטחה לפי הצורך. פלטפורמת ניהול סיכונים אחידה, האוספת מידע ומציגה סיכונים בריבוי עננים, חיונית לאבטחה טובה.

הרחבת כלי האבטחה לסביבה מרובת עננים ואינטגרציות לצד שלישי

בעידן הענן של ימינו ובנוף האיומים המתקדם, היכולות של פתרונות ניהול סיכונים מסורתיים כבר אינם מספקים. בעוד שכלי האבטחה המקוריים (של ספק הענן) הם נקודת התחלה טובה, יש להם מגבלות, במיוחד כשמדובר בסביבות מרובות עננים,  הדורשות כלי ניהול ואבטחה המסוגלים לזהות נכסים, להציג נראות עמוקה, כמו גם לזהות ולתעדף את הסיכונים בכל הפלטפורמות הקיימות.

הכותב הוא מהנדס פריסייל בבינת תקשורת ומחשבים.