"הענן כבר כאן, יש להיזהר מהגשם שבאיומי האבטחה"

כך אמר גלעד ירון, ראש תחום שירותי אבטחת מידע, SECOZ - מרכז הגנת הסייבר של BDO ● לדבריו, "צריך שניים לטנגו, לקוח וספק - הממשק ביניהם הוא נקודת הכשל"

גלעד ירון, ראש תחום שירותי אבטחת מידע, SECOZ - מרכז הגנת הסייבר של BDO. צילום: ניב קנטור

"אמנם הראש בעננים, אבל הרגליים צריכות להיות בקרקע. הענן הוא כאן, הוא ההווה והוא העתיד – אולם יש לבצע את ההגירה אליו באופן מושכל, על מנת שלא להירטב מאיומי אבטחת המידע והסייבר". כך אמר גלעד ירון, ראש תחום שירותי אבטחת מידע, SECOZ – מרכז הגנת הסייבר של BDO.

ירון היה דובר המפתח בכנס Cloud Today – המהלך האסטרטגי להצלחה. הכנס, בהפקת אנשים ומחשבים, נערך היום (ב') באולם אירועים LAGO בראשון לציון, והנחה אותו יהודה קונפורטס, העורך הראשי של הקבוצה.

לדברי ירון, "קמתי בבוקר, צחצחתי שניים, המים זרמו בכיור והחשמל דלק. אין לי באר בחצר, אין לי מעין בגינה, אבל למרות זאת היו לי מים בברז". המשמעות של האנלוגיה, אמר ירון, היא כי "הענן קורה והוא כאן".

צילום ועריכת וידיאו: דותן גור
ירון ציטט מארגון התקינה הבינלאומי את חמשת ההיבטים המגדירים ענן. הראשון, אמר, "הוא שפתחתי ברז ויש מים. כלומר לקבל שירותי IT מהענן מה שצריך, מתי שאתה צריך ושהם יתקבלו בשירות עצמי". המאפיין השני, ציין, הוא "יכולת לגישה מהירה לרשת, מקליינטים שמנים ורזים". המאפיין השלישי הוא "למקורות יש מים והם לא מסומנים למי הם מיועדים, כלומר הצרכן יכול לקבל כל שירות שירצה, מתוך מאגר של שירותים".

המאפיין הרביעי של הענן, על פי ירון, "הוא גמישות ומהירות, משמע אג'יליות בקבלת ואספקת השירותים". המאפיין החמישי והאחרון הוא "מדדים המאפשרים מיטוב של הביצועים: אני יודע מה רוחב הפס, מה הקיבולת, הכל נמדד – מה שאני מקבל נמדד ואני משלם לפי צריכה". הוא ציין כי לענן יש שני אופנים לצריכה, פרטי וציבורי, כאשר ביניהם יש את המודל ההיברידי המשלב ביניהם.

הענן, ציין ירון, פועל במודלים לפלטפורמה כשירות, PaaS, תשתית כשירות, IaaS, ותוכנה כשירות, SaaS, "בכל ארגון גדול יש מאות שירותים המתקבלים כתוכנה כשירות. יותר ויותר ארגונים עוברים לעבודה במודל IaaS. כל מי שיכול עובר לעבוד בענן, המגבלות הרגולציה בתחומו".

"אם זה כל כך טוב, אז למה לא ללכת לשם? כי זה מפחיד", אמר ירון וציין את הסכנות במעבר לענן. לדבריו, "נושא אבטחת המידע בענן ואיומים בו עומד בראש סדר הדאגות של מנהלי ה-IT – ולאחריו היבטי הביצועים".

כר מרעה הקורא לגנבים

ירון ציין כי "ישנם כמה סיכונים שנדרש לטפל בהם בעת המעבר לענן: האחד, מי שולט? אנו, אנשי ה-IT, כבר לא שולטים במחשוב, עלינו לסמוך על מישהו אחר. השני, 'מחשוב צל', אנשים רוכשים תוכנות שלא דרך ה-IT. טוב או לא טוב – אבל זה קורה". לדבריו, "הסיכון הכי גדול כרוך בממשקים, כי עלולים להיות בהם חורים המאפשרים פריצה לאפליקציות".

סיכון שלישי, הוסיף, "הוא שהענן הוא תשתית מרובת שכנים, יש שכנים משמאל ומימין, ויש המפחדים כי השכנה מלמעלה תציץ או תאזין". עוד ציין ירון כי "גנבים מודרנים ומתוחכמים יעדיפו לפרוץ לבנק על פי האפשרות לפריצה לבית אחד. בענן יש ריכוז מידע, וככזה הוא מהווה 'כר מרעה' הקורא לגנבים".

סיכונים נוספים, על פי ירון, הם "מה קורה אם הלקוח הארגוני רוצה לעבור לענן אחר? זה לא פשוט; מה קורה אם פתאום הענן אינו זמין? מה טיב הגיבוי של ספקית הענן? מי החוליה החלשה בשרשרת? מה יקרה אם יפרצו לספק של הספק שלי? נדרש לבדוק את כל השרשרת".

"צריך שניים לטנגו, לקוח וספק", אמר ירון. "הממשק ביניהם הוא נקודת הכשל. עולם האבטחה בענן הולך ומתפתח במגוון שכבות. נדרש להגן מפני התקפות במגוון מימדים, על התווך על הרשת, על המשתמשים ועל האפליקציות. צריך לדאוג להצפנות, לוודא שספק הענן ינטר את מערכותיו, אם קורה אצלו משהו, אז חשוב שהוא ידווח ללקוח בהתראות זמן אמת. אם בכל זאת הענן נפל, יש לוודא את היבטי הגיבוי".

ירון סיכם באומרו כי "הענן קורה ויש להיערך אליו גם בהיבט האבטחה".

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים