הענן ובעיות אבטחה

יום ו', 3 באוקטובר 2014

אתר PCoN:

מחשוב הענן הולך וכובש מקום של כבוד במערך המחשוב של הארגון המודרני, הן בצורה מסודרת ומוצהרת והן "בדלת האחורית" בדמות מגמות הקונסיומריזציה וה-Shadow IT. הענן מציע חלופות אטרקטיביות ונוחות לתפיסות המחשוב המסורתיות בתחומים רבים, אך מהפכה זו גובה מחיר בדמות סיכוני אבטחה רבים. אפילו שאלה זניחה לכאורה כמו היכן ממוקם באופן פיזי השרת עליו מאוחסן המידע, טומנת בחובה השלכות אבטחה משמעותיות.

  האיומים השונים בענן כוללים בין היתר אובדן מידע רגיש, פגיעה בפעילות הארגון, הפרת רגולציות, נזק למוניטין הארגוני, חטיפת חשבונות ושיבוש בפעילות העסקית (עקב תקלה אצל ספק השירות או מתקפות DOS).

  קיימים כיום כלים מגוונים המאפשרים שימוש בטוח בענן. בין אלה ניתן למנות את כלי הניטור והתיעוד, כלים לניהול זהויות והרשאות, כלים לביצוע בדיקות חדירה וכלי ויזואליזציה שונים. בנוסף, ניתנת תשומת לב מיוחדת לשכבת ה-APIבין הלקוח לספק, וקיימים פתרונות לאבטחת נקודת תורפה זו. במקביל, גם חברות האבטחה הגדולות, דוגמת McAfeeו-Kaspersky, מציעות פתרונות אבטחה לענן, המיועדים לשפר את האבטחה בצד הלקוח. כלים כאלה, זמינים לעתים בעצמם, כשרות.

  ספקי שירותי הענן נוקטים גם הם צעדים שונים להגברת רמת האבטחה של שירותיהם. בין הצעדים האלו: אבטחה פיזית של המתקנים, ביצוע בדיקות חדירה באופן שוטף, ותיעוד ודיווח של כל הפעילות בשירות (מורשית ושאינה כזו).

  למרות נקיטת כל צעדי האבטחה, עדיין קיימות מגבלות בדרך לאבטחת הענן. עצם העובדה שחלק ממערך האבטחה מוצא אל מחוץ לארגון מקשה לפקח באופן יעיל על נושא זה. בנוסף, היבטים רגולטוריים עלולים להגביל את היכולת להשתמש בשרותי ענן. עוד סיכון שראוי לזכור, מגיע מספק השרות עצמו, כולל עובדים ספציפיים ותהליכי עבודה לא בטוחים.

  בנק ישראלאישר לאחרונה לבנקים לשמור נתוני לקוחות בשרותי ענן, אם כי במסגרת מגבלות מסויימות (ראה בגלובס- bit.ly/1201-21-bank). הבנקים מעוניינים בכך לשם הוזלת עלויות, אך מנגד, כל הוצאת מידע לשרות חיצוני כרוכה בסיכון, כולל בהיבט פרטיות המידע.

  עוד נזכיר, את פרשת אדוארד סנודן וה-NSA שחשפה עד כמה יכול הענן להיות פרוץ, והביאה לכך ש-90% מהמנמ"רים הושפעו ממנה ו-62% בלמו העברת פעילויות מסויימות לענן בעקבותיה (לפי NTT Communications). 

·  התרחבות מגוון האיומים– עם התגברות השימוש במחשוב ענן, גדלים מספר ומגוון האיומים בתחום בכלל ובהגנה על המידע בענן בפרט.איומים אלה כוללים בין השאר, גניבת מידע ארגוני רגיש, גניבת זהות ומניעת גישה לשרותים.   

·  Shadow IT– תופעת Shadow IT- שימוש במערכות מחשוב בארגון ללא ידיעת ואישור המנמ"ר, כולל במכשירים אישיים (קונסיומריזצייה) הולכת ומתגברת. היא מעודדת שימוש בלתי מוסדר בשרותי ענן אישיים (דוגמת Dropbox), שפותח פתח לסיכוני אבטחה רבים.

·  הבשלת תחום אבטחת הענן– לאחר מספר שנים של צמיחה והתפתחות, תחום שירותי הענן בכלל ותחום אבטחת שירותים אלה בפרט, מגיע בזמן האחרון להבשלה.

·  התרחבות הרגולציה – נושא הרגולציה רלבנטי משני כיוונים: מחד, רגולציות לתחומי עסקים שונים (כבנקאות) מתייחסים יותר ויותר גם לשימוש בשרותי ענן. מאידך, מתפתחת הרגולציה לשרותי הענן עצמם.

  אלו סוגי הפתרונות הקיימים והשכיחים כיום בתחום זה:

·  אבטחה פיזית של האתרים- אבטחה של מתקני ספק שרות הענן, עם בקרת גישה פיזית והגנה ממגוון הסיכונים הפיזיים (דוגמת הצפה, הפסקת חשמל, פריצה).

·  כלי הצפנה –פתרונות הצפנה שונים (חינמיים ובתשלום) מאפשרים הגנה על התעבורה ועל המידע המאוחסן בענן. עם זאת, יש להקפיד על אחסון מפתחות ההצפנה בנפרד משאר המידע, עדיף בתוך הארגון.

·  ניהול הזדהות– מערכות ניהול זהויות והזדהות מאפשרות שליטה וניטור על הגישה לשירותי הענן מחוץ לסביבה הארגונית המאובטחת, וכן מאפשרות הגדרת הרשאות גישה שונות לדרגים שונים בארגון.

·  ניהול סיסמאות– לרוב מתחברים לשירות ענן באמצעות שם משתמש וסיסמה ייחודיים. כלי ניהול סיסמאות מאפשרים תיעוד וניהול הסיסמאות הארגוניות, תוך שמירה על רמת אבטחה גבוהה (למשל, החלפת סיסמה אחת לפרק זמן מסוים, כך שסיסמה שנחשפה תועיל לתוקף רק לפרק זמן קצר יחסית).

·  כלי ויזואליציה –ויזואליציה של המידע הקשור לאבטחה יכולה לסייע באיתור ומניעת התקפות ותקלות או לחילופין להקל על ניהול הזהויות וההרשאות בארגון.

·  כלי ניטור ותיעוד– מתווספים כלי תוכנה המשמשים לזיהוי וניטור השימוש הארגוני במחשוב ענן. מערכות אלה יכולות לנטר ולדווח  גם על שימוש לא מורשה בענן, ובכך להקל על תחקיר תקלות וכשלי אבטחה. 

בדיקות חדירה –בעזרת מומחים וכלים שונים, ניתן לבצע בדיקות חדירה, גם ברמה הפנים-ארגונית וגם במערכות חיצוניות כמו התקשורת בין הארגון לספק וגם בשרות עצמו. בדיקות אלו מספקות תובנות חשובות בנושא האבטחה, מסייעות בזיהוי נקודות תורפה ופרצות ומאפשרות את חיזוקה של מערכת האבטחה. עם זאת, עולות כאן שאלות חשובות, לגבי בדיקות החדירה שספק השרות עושה אצלו, אם בכלל ונכונותו לשתף פעולה עם בדיקות כאלה, מצד הארגון

  לסיכום - קיים מענה לאיומים השונים שמזמן הענן, אך יש להיות מודעים לאיומים אלו ולהקפיד על יישום פתרונות מתאימים כדי להפיק ממחשוב הענן את מירב היתרונות.