אבטחת מחשוב ענן

    אבטחת מחשוב ענן

    פורסם ב 28-08-2019

    אבטחת מחשוב ענן – הגדרה

    אבטחת מחשוב ענן הולכת יד ביד עם ההבנה של עסקים וארגונים את הצורך והיתרונות של סביבת עבודה בענן. אבטחה של מחשוב ענן מהווה חלק מרכזי בכל ארגון ובכל אסטרטגייתIT אשר הפנימה את הסיכונים ואת אתגרי האבטחה הכרוכים בסביבת עבודה בענן. בגלל האופי של מחשוב ענן כמשאב משותף, ניהול זהויות המשתמשים, פרטיות המשתמשים ובקרת הגישה של המשתמשים – הם התחומים העיקריים המעסיקים את תחום האבטחה של מחשוב הענן. אבטחה בענן הינה ארכיטקטורה של טכנולוגיות ושיטות מבוססות בקרה, שמטרתן להציב כללי ציות לתקנות ולאסטרטגיית האבטחה בענן ולהגן בפועל על מידע, יישומים, נתונים ותשתיות הקשורים לשימוש במחשוב ענן. הגדרה זו נכונה גם לגבי מימושים של תוכנה כשירות (SaaS), פלטפורמה כשירות (PaaS) ותשתית כשירות (IaaS).

    צרו עמנו קשר לרכישת אחסון לאתר במחירים משתלמים!

    אבטחה מחשוב ענן כוללת מגוון רחב של מגבלות אבטחה המופעלות הן על ידי משתמש הקצה והן על ידי ספק שירותי הענן, כאשר לרוב יעסוק משתמש הקצה בעיקר במדיניות האבטחה של ספק שירות הענן: היכן וכיצד מאוחסן המידע ואופן הגישה למידע זה ומאידך, יעסוק ספק שירות הענן בטווח שבין אבטחה פיזית של תשתית הענן, מנגנוני בקרת הגישה למידע בענן, עד ביצוע ותחזוקה של אסטרטגיית האבטחה.

    הלכה למעשה, על תהליכי אבטחה של מחשוב ענן לטפל בבקרת האבטחה של ספק שירות המחשוב בענן כדי לשמור על אבטחת הנתונים של הלקוחות ופרטיותם, תוך עמידה בתקנים נדרשים. תהליכי אבטחה של מחשוב ענן יכללו גם המשכיות עסקית ותוכנית גיבוי במקרה של פריצת האבטחה בענן. בנקודה זו חשוב להזכיר כי היות ותחום המחשוב בענן מתפתח כל הזמן במהירות רבה, יש לבצע שכתוב, התאמות וכוונון של כל אסטרטגיית אבטחה כך שתעמוד תמיד במבחן המציאות של עולם המחשוב בענן.

    מחשוב ענן – אבטחה מפני איומים חיצוניים ופנימיים

    אבטחת מחשוב ענן הנה אחד הגורמים העלולים להרתיע עסקים וארגונים לעבור לסביבת עבודה בענן, בעיקר כשמדובר בענן ציבורי. ללא אמצעי אבטחה נאותים, הנתונים המאוחסנים ומעובדים בענן עלולים להפוך למטרה לגניבת מידע ואף לפריצות אבטחה ולתקיפות כופר.

    אבטחה בענן היא בבחינת עמוד תווך של ארכיטקטורת – IT כאשר המידע של הארגון או בית העסק יוצא מגבולות מרכז הנתונים הפרטי, לענן שירות מחשוב ענן ציבורי. במצב זה, הופכת ההגנה על מידע זה מפני גופים זרים או גופים בלתי מורשים, להיות המפתח של אבטחת מחשוב הענן. אחת הדרכים הטובות ביותר לעשות זאת, היא באמצעות הצפנת המידע המאוחסן בענן. הצפנה של המידע המאוחסן בענן ממירה את הנתונים לפורמט שאינו ניתן לזיהוי על ידי מי שאינו מורשה לראותו. חושב לציין כי ללא הצפנת המידע בענן, בייחוד בעולם הנייד, מידע הארגון או העסק עלול להיות פגיע אם ייפול לידיים הלא נכונות. כמו כן, אחת החובות הכלולות באבטחה של מחשוב בענן במישור ההצפנה, הינה להצפין את המידע הן כשהוא מועבר ברשת והן כשהוא סטטי (ללא שימוש, כמו למשל מידע מגובה). כמו כן, יש להגן על המידע ולהצפין אותו מפני סיכון של יירוט המידע (Man in the Middle). עם זאת, יש לזכור כי ארגונים ובתי עסק לא יכולים להתקיים בהנחה שעקב הצפנת המידע, הם מוגנים לחלוטין.

    הארכיטקטורה הטכנולוגית של אבטחת מחשוב ענן לא יכולה להסתמך על שיטות אבטחה מסורתיות כגון חומת אש המפקחת על התנועה לתוך סביבת הענן וממנה החוצה ואשר מזהירה לקוחות מחשוב ענן מפני פעילות זדונית הקשורה למידע שלהם המאוחסן בענן. מרכזי נתונים המספקים את שירות מחשוב הענן אמנם מפעילים חומות אש המהוות פעמים רבות את קו ההגנה הראשון בארכיטקטורת האבטחה של מחשוב ענן, אולם חובה ליישם בקרות אבטחה נוספות ושכבות אבטחה אפקטיביות לשם הגנה על מידע המאוחסן בסביבת הענן.

    אבטחה בסביבת מחשוב ענן חייבת לקחת בחשבון מצב הנקרא BYOD – Bring You Own Device ובו העובדים בארגון או בבית העסק משתמשים בציוד קצה פרטי לצורך גישה למידע המאוחסן בענן. גמישות, נוחות ויכולת העובדים לגשת ליישומים, מידע ונתונים בענן הארגוני בכל עת ובכל מקום באמצעות מחשבים אישיים או מכשירים ניידים, מהווים אתגר אבטחה משמעותי ל- IT בארגון. על מנת לצמצם את הסיכון, על הארגון ליצור ולקיים מדיניות אבטחה ברורה ונוקשה וכן, להפעיל מנגנוני בקרה ואבטחה של כל ההתקנים הניגשים למידע המאוחסן בענן.

    ממשקי API בענן הינם מנוע לפיתוח אפליקציות ומאפשרות אוטומציה וייעול הניהול של שירותי המחשוב בענן. יחד עם זאת, ממשקי API הינם גם הם מקור לדאגה בכל הקשור לאבטחה בסביבות מחשוב ענן. כדי למזער את הסיכונים הכרוכים בממשקי ה- API בענן, על ארגונים לוודא כי ספקי שירות מחשוב ענן מיישמים ומפעילים מערכות ניטור ואבטחה לממשקי API, לרבות בדיקות ופעולות אבטחה יזומות וכן, הדרכה לעובדים ולמשתמשים כיצד לזהות בעיות אבטחה בממשקי API.

    דרכים מוצעות לבחינת אסטרטגיה של אבטחת מחשוב ענן

    אבטחה של סביבת מחשוב ענן דורשת הערכה מחודשת של אסטרטגיית – IT בארגון, על מנת לייצר יכולת להתמודד עם אתגרי אבטחה וסיכוני אבטחה. השלב המקדמי ליצירת אסטרטגיה לאבטחת בענן מורכבת לרוב מסקר שנועד לחקור את היכולות של ספק סביבת מחשוב הענן לעמוד בדרישות האבטחה של הארגון כנגד סיכוני אבטחה חיצוניים ופנימיים. נציין, כי ספקי מחשוב ענן רבים יספקו בדרך כלל את הכלים הדרושים לצורך אבטחה, אולם מכיוון שלא קיימת אסטרטגיית אבטחת מידע אחידה, הוספת כלי אבטחה של צד שלישי נחוצים כדי לטפל בסיכוני אבטחה ספציפיים ובכדי לעצב את אסטרטגיית האבטחה של סביבת המחשוב בענן סביב הצרכים הספציפיים של הארגון.

    היבט נוסף לבחינת אסטרטגיית אבטחה למחשוב בענן אצל ספק השירות, ניתן ליישם באמצעות בחינת הסמכות האבטחה, הצהרות העמידה בתקנים, אישורים והערכות האבטחה שבוצעו הן ביוזמת ספק שירות המחשוב בענן והן על ידי גופים מוסמכים. יש לציין כי בעוד אישורי אבטחה לסביבת מחשוב ענן עשויים לספק לארגון או למשתמשים רמה מסוימת של בטחון, הם לא תמיד מספיקים כדי להבטיח כי המידע שלהם יהיה מאובטח. לרוב, תהיינה הסמכות האבטחה לסביבת המחשוב בענן מבוססות על שני מרכיבים עיקריים: אחד – פעולות אד הוק שנועדו לפתח מסגרת לבדיקות האבטחה בהן יש לנקוט על מנת להגן על המידע בענן, שתיים – פיתוח תהליכים על ידי צדדים שלישיים במטרה להבטיח כי מסגרת הבדיקות שבשלב הקודם, ייושמו.

    אסטרטגיית אבטחה של מחשוב ענן צריכה לכלול היבט של רב שכבתיות. על פי גישה זו, על ספק שירות מחשוב ענן ליצור בסביבת המחשוב בענן מעין אזור מפורז ממנו תתקיים למשל תעבורת אינטרנט (מנוטרת כמובן), בניגוד לשאר סביבת המחשוב בענן אשר תהיה סגורה לתעבורת אינטרנט ישירה על מנת להגן על מסדי נתונים, יישומים מקוונים וכדומה. דרך פעולה זו מאפשרת גם ליצור שכבת ביניים, כלומר שכבת אבטחה העומדת בין הרמה העליונה המפורזת של סביבת המחשוב בענן, לבין האזור הסגור ומתווכת ביניהם.

    כדי להבטיח אסטרטגיה יעילה של אבטחה לסביבת מחשוב ענן, יש לבחון תמיד מודל אחריות משותף, או גישה שבה גם ספק שירות מחשוב ענן וגם לקוחותיו יהיו אחראים במשותף אחראים להיבטים מסוימים של אבטחה. ארגונים חייבים להגדיר בבירור את האחריות שלהם, יחד עם אחריות ספק מחשוב הענן ולקבוע איזה צד אחראי לא רק על היבטים מסוימים של אבטחת המידע בענן, אלא על אבטחת יישומים, מכונות וירטואליות, ממשקי API ותצורות שירות הענן. כדי ליצור מודל מוצלח של אחריות אבטחה משותפת לסביבת המחשוב בענן, ארגונים זקוקים לשקיפות ולבקרת האבטחה של ספק שירותי הענן שלהם. זאת ניתן לקבל באמצעות בחינת הסמכות האבטחה, הצהרות עמידה בתקנים, אישורים והערכות האבטחה של ספק השירות – כפי שפורט קודם. יחד עם זאת, יש לזכור כי אלו משקפים את מצב האבטחה של סביבת המחשוב בענן אצל ספק השירות במהלך תקופת זמן מסוימת ולכן, אישורים אלו לא צריכים להיות הדרך היחידה שבה הארגון מעריך את אסטרטגיית אבטחת מחשוב הענן של ספק שירות פוטנציאלי.

    השותפים שלנו

    Skip to content