אבטחת מידע בענן – הקדמה

אירגונים ניצבים היום בפני אתגרים בניהול מערכות מידע כמותם לא ידעו מעולם. הגלובליזציה, כמויות המידע, המורכבות וה-Time To Market בשילוב עם קיצוצי תקציב אילצו את האירגונים לייצר תשתיות IT לא יעילות. השימוש במשאבי מיחשוב ענן פותר חלק ניכר מן הבעיות ועוזר להתגבר על האתגרים, יחד עם זאת, אין להקל ראש בכל הקשור ל- אבטחת מידע בענן!

ג’פרי וויטמן מגרטנר אמר: “דרישות אבטחת המידע והמניעים שלה בענן שונים מהדרישות שב datacenter המסורתי…הדינמיות של הענן בשילוב העובדה שהלקוח לא הבעלים של התשתיות, מידת השקיפות החלקית שברו את המודלים המסורתיים של אבטחת המידע והארכיטקטורה”

מודל ארכיטקטורת הרשת המסורתי והריכוזי באירגוני אנטרפרייז “פיתח” סביבו מנגנוני אבטחת מידע ריכוזיים כדוגמאת Firewall, מנגנוני סינון דואר וכלים נוספים כגון VPN, כלי הגנה מפני DDoS , IDS/IPS וכו’.

נראה כאילו הזזת הכלים הללו אל עבר הענן היא משימה בלתי אפשרית ומהווה מחסום בפני המעבר לענן על אף יתרונותיו הרבים כגון גמישות, זמינות, עלות/תועלת משופרת, וכו’.

אבטחת מידע בענן

מודל השכבות באבטחת מידע בענן

ברור היה שיש לנקוט כאן בגישה שונה והיא מודל השכבות באבטחת המידע בענן.

“מעטפת לוגית” מסביב למידע הרגיש של הלקוח אינם מספיקים על מנת לאבטח את המידע ולצערנו חלק גדול מספקי הענן מסתפקים בזה.

האירגון חייב לתת את דעתו לרמת האבטחה של כל שיכבה בסביבת הענן: תשתית, מערכות ההפעלה, אפליקציות, רשת התקשורת וכו’.

יש צורך בשילוב ואינטגרציה של רכיבי הרשת עם רכיבי האבטחה על מנת לאבטח את שיכבת האפליקצייה והמידע הזורם אל הענן.

שכבות אבטחת המידע מחייבים את האירגונים להבין היטב את כל שכבות האפליקצייה והמידע אותו הם מעוניינים להעביר לענן יחד עם הבנה בסיסית ועמוקה של יכולות הענן וההבדלים בינו לבין התשתית האירגונית יביאו לכך שהארכיטקטורה אותה יבנו תהיה מאובטחת כהלכה.

ישנם מספר גורמים, אותם יש לקחת בחשבון כאשר מתכננים ארכיטקטורה מאובטחת בענן והם:

הדינמיות הגבוהה והאוטומצייה המאפשרת יצירת שירותים בענן במהירות צריכה לבוא לידי ביטוי גם ביצירת מנגנוני אבטחת מידע באופן מידי יחד עם השירותים.

אספקט נוסף הוא היכולת הגבוהה אצל חלק משחקני הענן לחלק את רשת הענן לסגמנטים שונים המאפשרת הפרדה בין סוגי מידע וסוגי שירותים (tiered application) בדומה ליכולות של רשת האירגונית. ובכך להנות מיתרונות הענן ללא ויתורים או פשרות אבטחתיות.

מודל זה של חלוקת הרשת לסגמנטים מאפשר לאירגון לייצר אפליקציות שונות ומגוונות המופרדות זו מזו הפרדה פיזית, אך יחד עם זאת מאפשרות את התקשורת החיונית לפעילות התקינה. משום שכל סגמנט מהווה מעין דאטה סנטר נפרד.

אבטחת מידע בענן

אחריות הלקוח ואחריות הספק

שליטה ובקרה של אבטחת המידע, הצורך בתאימות עם מערכות אחרות, המשכיות עיסקית, ועמידה בתקנים וסטנדרטים הם השיקולים העיקריים של האירגונים בבואם לשקול מעבר לענן ציבורי.

באמצעות שינוי מודל החשיבה למודל של חלוקת אחריות בין ספק הענן והלקוח, ניתן מענה לצרכים ולשיקולים אלו.

נהוג לחלק את עולם הענן לשלושה מודלים – IaaS, PaaS ו-SaaS. חלוקת האחריות בין הלקוח לספק הענן שונה בכל אחד מן המודלים:

במודל IaaS –  משאבי חומרה וירטואלית או פיזית אשר מסופקת כשירות.

האחריות של ספק הענן היא לאבטח את תשתית הענן ברמת מערכת ההפעלה, שכבת הוירטואליזצייה, שרתים, איחסון, רכיבי הרשת.

האחריות של הלקוח – לאבטח את שכבות ה-middleware, האפליקצייה והמידע. כלומר, כל אותם שיקולים ופעולות הננקטות בפנים האירגון על מנת להגן על שכבות אלו, צריכות להיעשות גם בענן – כגון anti malware, DLP, ניטור, SIEM, auditing על פעולות המשתמש וכו’.

במודל PaaS – בו הענן משמש כפלטפורמת פיתוח, יהיה ספק הענן אחראי (בנוסף לתחומי אחריות בעולם ה-IaaS) לאבטח גם את שכבת ה-middleware. הלקוח לעומת זאת יהיה אחראי על אבטחת האפליקצייה והמידע בלבד.

במודל SaaS – ספק הענן אחרי על אבטחת כל השכבות. תפקיד הלקוח הוא לנהל משא ומתן על רמות השירות והשרידות  – SLA.

כפי שניתן לראות, אבטחת המידע בענן מצריכה גישה שונה בכל מודל.

בעוד שבמודל ה-IaaS חלק ניכר מן האחריות מונח על כתפי הלקוח שאחראי על קופניגורציית רכיבי הרשת, תחזוקת מערכות ההפעלה וכו’, לספק הענן תפקיד חשוב באבטחת כלל הענן ותשתיות ה-automation/orchestration.

 

על מנת לעמוד בדרישות אלו ולספק מענה מיטבי ללקוח על מנת שהוא יוכל לממש את חלקו באחריות המשותפת,

להלן הדרישות בהן פלטפורמת הענן צריכה לעמוד

  • רכיבי התוכנה והחומרה צריכים להיות מייצרנים מובלים ומוכרים בתעשייה
  • שכבת ניהול הענן חייבת לספק אוטומצייה מלאה של תהליכי ה-provisioning וה-billing
  • ממשק המשתמש חייב לאפשר למשתמשים לבצע קונפיגורצייה של כלל הרכיבים שתאפשר להם לעמוד בדרישות אבטחת המידע בדיוק באותו האופן בו הם היו עושים זאת בתשתית הפנימית שלהם
  • יש לאפשר מתן כתובות IP פרטית לשרתים אשר תאפשר להם להיות מנותקים לגמרי מהאינטרנט ומשירותים אחרים
  • חיבור לרשת האינטרנט יתאפשר רק לאחר מתן כתובת IP ציבורית ויצירת VIP או NAT
  • Client to Site VPN – לאפשר גישה לכתובות IP פנימיות לצרכי עבודה או ניהול דרך טווח מאובטח ללא חשיפה לאיומים חיצוניים
  • יש לתת ללקוח שליטה מלאה על ה-credentials של השרתים
  • יש לאפשר routing בין כתובות IP פנימיות בסיגמנטים שונים של הלקוח ב-layer 2 על מנת לאפשר ללקוח לייצר multi tiered application- תוך הגדרת חוקי Firewall בין הסגמנטים השונים ברשת
  • שכבת הניהול של הענן צריכה להיות מבוססת על הרשות role based כדי להבדיל בין סוגי אדמיניסטרטורים שונים
  • כל פעולות האדימינטסירצייה צריכיות להרשם ב-audit trail מפורט ביותר
  • על שכבת הרשת להיות בנוייה עם היתירות הנדרשת על מנת לספק את השרידות הראויה
  • על מרכיבי הרשת להיות בנויים על רכיבים פיזיים ולא וירטואליים או רכיבי אבטחת מידע ברמת מערכת ההפעלה על מנת לספק את הביצועים הנדרשים ורמת האבטחה הגבוהה

מודל אבטחת המידע של ספק הענן צריך לכלול

  • אבטחה פיזית 24X7X365
  • צילום ה data center במצלמות CCTV
  • הרשאות גישה למורשים בלבד
  • הרשאות גישה למורשים בלבד על ידי two factor authentication
  • רמת שרידות גבוהה של מתקני ה-data center תוך אספקת SLA גבוה

אבטחת מידע של תוכנת הענן

  • על מערכת ה-orchestration להיות בנויה ולהכריח עבודה בתצורה של multi tenant
  • מערכת הניהול צריכה לתמוך בהרשאות שונות לעובדים שונים
  • מערכת IDS מונחית חתימות צריכה להגן על פלטפורמת הענן
  • אין לשמור סיסמאות ב-clear text

אבטחת תשתיות

  • ניטור כנגד איומים בזמן אמת של
  • מתקפות DDOS
  • תעבורת רשת חריגה
  • תקלות חומרה
  • בעיות ניתוב כלליות וכו’
  • התקנת security patches בכל שכבות הניהול
  • נוהל לטיפול באירועי אבטחת מידע
  • חוזי תמיכה 247X365 לכל רכיבי ה-Firewall וה-VPN

אילו שאלות עליי לשאול את ספק הענן שלי

  1. אבטחת הרשת:
  2. האם אתה מספק Vlans יעודיים ללקוחות שלך?
  3. כיצד ארכיטקטורת ה-Data Center שלך תורמת לאבטחת המידע?
  4. האם כל לקוחותיך יכולים לקבוע את ההרשאות למשתמשים שלהם?
  5. כיצד לקוחותיך יכולים להיות בטוחים שהרשתות שלהם מאובטחות?
  6. גישת משתמשים מאובטחת:
  7. האם אתה מספק SSL VPN ללקחות שלך?
  8. כיצד אתה מאבטח את חשבונות האדמין?
  9. האם אתה מספק הרשאות גישה?
  10. האם אתה מאפשר הוספה/הורדה/שינוי של חוקי Firewall דרך ממשק הניהול שלך?
  11. כיצד אתה מנטר ומספק דוחות audit על המערכת?
  12. עמידה בתקנים:
  13. באילו תקנים הענן שלך עומד?
  14. באיזו תדירות אתה מבצע audit לעמידה בתקנים?
  15. כיצד אתה עומד ברגולציות של שמירת המידע בגבולות מדינת ישראל?
  16. כיצד אתה דואג לכך שמידע נשמר בארץ?
  17. אבטחת מכונות וירטואליות:
  18. באילו פרוטוקולים אתה תומך על מנת לאבטח אפליקציות שרצות על מכונות וירטואליות?
  19. כיצד אתה מאבטח את המכונות הוירטואליות שרצות בענן?
  20. כיצד אתה מבטיח בידוד של סביבות לוגיות של מערכות אחת מן השניה?
  21. האם ללקוחותיך יש ניראות אל תוך המכונות הוירטואליות שלכם?
  22. אילו כלי ניטור אתה מספק על המכונות הוירטואליות?
  23. אבטחת המידע:
  24. אילו מנגנונים אתה מספק על מנת למנוע מן המידע לזלוג בין לקוחות שונים?
  25. באילו טכנולוגיות אבטחת מידע אתה משתמש על מנת לשמור על המידע (כגון הצפנה, מיסוך וכו’)?
  26. תאר את מנגנוני ההצפנה שלך
  27. DR והמשכיות עיסקית:
  28. האם אתה מספק שירותי גיבוי?
  29. האם אתה מספק שירותי DR?
  30. האם אתה מספק שירות של שמירת גיבויים מחוץ לאתר?
  31. אבטחה פיזית:
  32. תאר כיצד ה-Data Center והמתקנים שלך מאובטחים?

גיל שני, CTO, MedOne