כמה מיתוסים נפוצים בנושא אבטחת מידע ופרטיות בענן

27 במאי 2014

תגיות: , , ,
תגובה אחת

אחד האתגרים המרכזיים כאשר מדברים עם לקוחות על המעבר לענן הינו נושא אבטחת המידע והפרטיות. ישנם אלה הטוענים שהוצאת האפליקציות אל מחוץ לכותלי הארגון מהווה סיכון, מעין "איבוד שליטה". במאמר זה אנסה לשבור כמה מיתוסים וסטיגמות לגבי אבטחת המידע בענן.

עם זאת, חשוב לוודא כי המעבר לטכנולוגיית הענן מתבצע על ידי מומחים טכנולוגים מוסמכים וכי צד הארגון הבהיר את צרכיו בצורה מלאה לספק השירות.

מיתוס 1 – ארגונים גדולים אינם בענן

כיום אפליקציות קריטיות רבות הפכו להיות מסופקות כשירות בענן Software as a Service בין אם זה מערכות CRM, מערכות ERP, ומגוון רחב של אפליקציות עסקיות ייעודיות. כיום ניתן לומר בבטחה שמרבית החברות הגדולות עושות שימוש ביישומי SaaS קריטיים. בנוסף, ארגונים גדולים גם משתמשים בשירותי data centers בו הם מארחים את היישומים הקריטיים שלהם לצד ארגונים אחרים. לראייה 57% מחברות ה- Fortune 500 משתמשות בשירותי ענן.

מיתוס 2 – הגנה בפני התקפות האקרים

התקפות האקרים הפכו להיות מתוחכמות וממוקדות בארגונים ספציפיים. רמת התחכום של התקפות אלו דורשת השקעה עצומה במנגנוני אבטחה שעד כה היו נחלתם של ממשלות וגופים צבאיים. אגב, התקפות שכאלה יכולות למצוא את דרכן גם לתוך יישומים אשר אינם פתוחים לאינטרנט. לכן דווקא ספקי שירותי הענן הגדולים, אשר זהו עיקר עיסוקם, יש את האמצעים והידע כדי להתגונן בפני התקפות אלו. להלן כמה דוגמאות לאמצעים המשמשים לצורך אבטחת המידע:

  • איתור חדירות והתקפות DDoS. מערכות לאיתור ומניעת חדירות, מניעת התקפות Denial of Service, בדיקות חדירה סדירות וכלי ניתוח פורנזי מסייעים בזיהוי והסרת איומים הן מבחוץ והן מתוך סביבת הענן.
  • ניטור ולוגים. האבטחה מנוטרת בעזרת מערכות ניטור, תיאום וניתוח מרכזיות המנהלות את כמויות המידע הגדולות המיוצרת על-ידי התקנים בתוך הסביבה, ומפעילות התראות בעת הצורך. בנוסף עומדות לרשות הלקוחות מספר רמות של ניטור, רישום ודיווח, המספקות להם רמות שונות של נראות לתוך סביבת הענן.
  • הפצת עדכוני אבטחה – מערכות פריסה משולבות מנהלות את ההפצה וההתקנה של עדכוני אבטחה. לקוחות יכולים להטמיע תהליכי ניהול עדכונים דומים במכונות הווירטואליות המותקנות בסביבת הענן בצורה אוטומטית ומיידית.
  • תקשורת מוצפנת. הצפנות SSL ו-TLS מובנות מאפשרות ללקוחות להצפין את התקשורת בתוך הפריסות וביניהן, מסביבת הענן למרכזי הנתונים המקומיים, ומצד הספק למנהלי המערכות והמשתמשים.
  • זהות וגישה. שירותי Active Directory ודומיהם מאפשרים ללקוחות לנהל את הגישה למגוון רחב של יישומי ענן ותוכנות אחרות. אימות רב-שלבי וניטור הגישה מציעים אבטחה מוגברת.
  • הצפנת נתונים. מרבית ספקי השירות מציעים טווח רחב של אפשרויות הצפנה ברמה של עד AES-256 סיביות, דבר זה מעניק ללקוחות גמישות ומאפשר להם להטמיע את שיטות ההצפנה המתאימות ביותר לצרכיהם.

מיתוס 3 – זליגת מידע קריטי בין לקוחות

ישנם כאלה שחוששים מהעובדה שהמידע הקריטי שלהם יושב על תשתית משותפת אשר פתוחה לאינטרנט. אך שירותי הענן כוללים אופציות שונות המבטיחות בידוד מוחלט:

  • בידוד. ניתן לעשות שימוש בבידוד רשת כדי למנוע תקשורת בלתי רצויה בין פריסות, ובקרות גישה חוסמות משתמשים בלתי מורשים. המכונות הווירטואליות אינן מקבלות תעבורה נכנסת מהאינטרנט, אלא אם הגדיר הלקוח אפשרות כזאת.
  • רשת וירטואלית. לקוחות יכולים להקצות מספר פריסות לרשת וירטואלית מבודדת ולאפשר לפריסות אלה לתקשר אחת עם השנייה באמצעות כתובות IP פרטיות.
  • חיבור פרטי. לקוחות יכולים להשתמש ב-ExpressRoute כדי ליצור חיבור פרטי למרכזי הנתונים שבתשתית הענן מבלי שהנתונים יעברו באינטרנט.

מיתוס 4 – זליגת מידע על ידי עובדים

גם בנושא הגישה של עובדי חברת שירותי הענן ישנם ונחוצים כמה מנגנוני הגנה המנטרלים גישה שכזו:

  • שלילת הרשאות. אנשי התפעול והתמיכה של ספק השירות אינם מקבלים גישה לנתוני הלקוחות כברירת מחדל. אם וכאשר ניתנת להם גישה כזו, היא מנוהלת ונשמרת בקפידה רבה. הגישה של מרכז הנתונים למערכות השומרות את נתוני הלקוחות נמצאת תחת בקרה קפדנית באמצעות תהליכי "תא נעילה" (lock box).
  • אבטחה פיזית עם ניטור 24 שעות ביממה. מרכזי נתונים נבנים, מנוהלים ומנוטרים פיזית במטרה להגן על נתונים ושירותים מפני גישה בלתי מורשית, כמו גם מפני איומים סביבתיים.

מיתוס 5 – אירוח בענן משמעו אחריות בלעדית של ספק השירות

המעבר לענן אינו כרוך באובדן השליטה ולא בהסרת האחריות. למעשה, סביבות הענן דורשות אחריות משותפת, הן של הלקוח והן של ספק השירות. צד הספק אחראי לפלטפורמה ותפקידו לספק ללקוחות שירות ענן העומד בצרכי האבטחה, הפרטיות והתאימות שלהם.

הלקוחות, מצדם, אחראים לסביבה שלהם מרגע שהשירות מסופק, ובכלל זה יישומים, תוכן נתונים, מכונות וירטואליות, אישורי גישה ותאימות לדרישות תקינה החלות על הענף הספציפי שלהם.

 

מיתוס 6 – שירותי הענן לא יאפשרו לי לעמוד בדרישות רגולטוריות

לכל דרישה ישנן ההתאמות הנדרשות אשר יכולות לאפשר אותה במסגרת שירותי הענן. דרשו לקבל מספק השירות שלכם מידע מפורט אודות תוכניות האבטחה והתאימות שלו, לרבות דוחות ביקורת וחבילות תאימות. לאחר מכן תוכלו לבחון את השירותים המוצים לכם אל מול דרישות החוק והרגולציה החלות על ארגוניכם.
למרבית ספקי השירות הגדולים ישנה האפשרות לאספקת שירותי ענן תואמים המאומתים באופן בלתי תלוי, וכמובן פיתוח מסגרת תאימות נרחבת המאפשרת תכנון וביצוע שירותים תוך שימוש במערך אחד של בקרות, שמשמעותו האצה ופישוט של התאימות למערך מגוון של דרישות תקינה, כמו גם הסתגלות מהירה לשינויים רגולטוריים פתאומיים בענף.

לסיכום, עבור מרבית הארגונים השאלה "האם לחבר את היישומים העסקיים לאינטרנט" כבר אינה רלוונטית. זה כבר לא "האם?" אלא "כיצד?". ודווקא בתקופה מאתגרת מבחינת אבטחת מידע, במקום שכל ארגון יתמודד לבדו כנגד האיומים, הגיוני וראוי ששירותי ענן מרכזיים ירכזו את המומחיות והמשאבים הדרושים לתת מענה אפקטיבי, תוך אספקת מענה ראוי להיבטי פרטיות, מניעת זליגת מידע וכו'.

אני מזמינה אתכם ללמוד יותר על Microsoft Azure

או פשוט לקבל 200$ ולהתנסות בשירותי Azure חינם למשך חודש!

אנחנו תמיד עומדים כאן לשירותיכם אז אנא – צרו עימנו קשר

Rachel Yehezkel

רחלי יחזקאל – Technical Evangelist, Microsoft

 

 

הוסף תגובה
facebook linkedin twitter email

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

תגובה אחת

  1. עיוטיייייייייעידוטא22 בדצמבר 2014 ב 1:08

    את חמודה חבל על הזמן!!!פנים כאלו מתוקות לא ראיתי הרבה זמן,בזכות הפנים המדהימות שלך התעניינתי גם בכתבה,כתבה מעניינת ומועילה תודה רבה על הנחת שגרמת לי

    הגב