אבטחת מידע בענן – היכן נופלת האחריות?

Google+ Pinterest LinkedIn Tumblr +

מאת:  סטפן שמידט, סמנכ"ל אבטחת מידע, AWS

עבור ארגונים רבים, הרעיון של העברת תשתית ה- IT לענן הנו אטרקטיבי מאוד. היתרונות המרכזיים בכך הם חסכון בעלויות, סקלאביליות, ומתן זמן רב יותר למיקוד בשירותים ובאפליקציות החשובים ללקוחות.

גופים מאמצים מוקדמים רבים גם למדו, כי מעבר לענן יכול לסייע להם להגביר את שקיפות האבטחה  ואת היעילות שלה. בעוד היתרונות של מעבר לענן ברורים, אנו נדרשים לשאול ולענות על מספר שאלות על מנת לבצע את המעבר בצורה מאובטחת ויעילה. לדוגמא – מי אחראי על אבטחת מידע בכל רמה?

בראש ובראשונה הצבת אבטחה

אבטחה צריכה להיות בראש סדר העדיפויות של כל ספק ענן בעל מוניטין. אך עדיין, ספקים שונים מציעים רמות שונות של אבטחת מידע, כך שחשוב להבין מי בעל האחריות בכל רמה. ספקי תוכנה כשירות בענן נושאים ברוב האחריות על אבטחת מידע. ספקי פלטפורמה כשירות הם בעלי אחיזה נמוכה יותר בעוגת האבטחה, בעוד ספקי תשתית כשירות (IaaS), לקוחות וספקי ענן חולקים באחריות. במבט על אבטחה פיסית, ספק הענן אחראי לניהול שומרים, גדרות, שערים, אזעקות, ומצלמות אבטחה במרכזי הנתונים. הספק חייב להבטיח עמידה בתקנות המחמירות ביותר – בתכנון ובפעילות עצמה. אבטחה וירטואלית, על אלפי ועשרות אלפי שרתים, מתגים, נתבים ומכונות וירטואליות במרכזי נתונים אלה, הנה תחום אחריות נוסף שנכנס בהגדרת פעילות ספק מחשוב הענן.

לקוח מחשוב ענן בעל מודעות, ידרוש כי ספק הענן יציג אישורים והרשאות לרמת אבטחת המידע שהוא מציע. אישורים אלה מסופקים על ידי גופים מבקרים חיצוניים, אשר מודדים את בקרות אבטחת המידע, כפי שנקבעו עבור תעשיות הפועלות תחת רגולציה כבדה, כגון ממשלות, גופי בריאות ופיננסים.

התקן המקובל ביותר בעולם מבין האישורים הוא ISO-27001, אשר פותח על ידי ארגון התקנים הבינלאומי, והבקרות שלו מקובלות על חברות ברחבי העולם. ספקי תשתית ענן צריכים גם לעבור ביקורת שירות ארגוני 1, 2 ו-3 (SOC 1,2,3), כדי להבטיח כי הם עומדים במדיניות הפנימית שלהם. היכולת של מבקרים חיצוניים לאמת את האבטחה של תשתית טכנולוגית אצל ספק מחשוב ענן, מסייעת למנהל אבטחת המידע לבצע הערכה של טכנולוגיות הענן שהוא מעוניין לרכוש. לקוחות גם אוהבים לראות תעודות ואישורים התואמים לתחומים שלהם, כגון  תקן PCI DSS Level 1 שנועד לתעשיית התשלומים בכרטיסי אשראי. 

הפינה הפרטית שלך בענן

ספקים מסוימים, כגון שירותי הענן של אמזון (AWS), גם מציעים ללקוחות את האפשרות לבנות אזור מבודד משלהם בענן, כדי ליצור את מה שאנו מכנים 'ענן פרטי וירטואלי'. במקרה כזה, ללקוחות יש שליטה מלאה על הסביבה הוירטואלית שלהם, כולל בחירת טווח כתובות ה- IP, יצירת רשתות משנה, הגדרת טבלאות ניתוב ונקודות גישה לרשת, ואת חוקי הפיירוול שלהם. שירות זה משמש ארגונים המעוניינים להשתמש בענן כהרחבה של מרכזי הנתונים הקיימים, תוך שמירה על הגמישות והעלויות הנמוכות של הענן. לא קיים כלל ניגוד בין אספקה של תשתית לפי ביקוש, לבין שמירה על הבידוד המאובטח שחברות רגילות לקבל בתשתית הקיימת בארגונים.

חברה אחת שמנצלת את הטכנולוגיה הזו היא Rail Settlement Plan. החברה היא חלק מתאגיד ATOC, והיא החברה שמספקת שירותי IT וקמעונאות למפעילי הרכבות בבריטניה. לחברה יש למעלה מ- 10,000 נקודות מכירת כרטיסים ברחבי בריטניה, והיא אחראית על כל כרטיסי הרכבת במדינה. החברה העבירה לאחרונה את ה- IT שלה ל- AWS, כדי לספק למפעילי הרכבת מערכת גמישה מבוססת ענן, שניתן להרחיב להיקף של עד מיליארד כרטיסים בשנה עד 2018, ללא צורך בהשקעה בחומרת מחשוב. כדי לאבטח את המערכת שלה, החברה ניצלה את יתרונות כלי האבטחה של AWS, כגון ה- Amazon Virtual Private Cloud ואת ניהול הגישה והזהויות. בנוסף היא הפעילה עבור התשתית שלה תבניות אבטחת מידע, המנצלות בצורה הטובה ביותר את אמצעי האבטחה שכבר בנויים בענן של אמזון.

שותפות באחריות האבטחה

בעוד הענן יכול לספק רמה של אבטחת מידע פיסית ולוגית גבוהה מאשר זו שרוב הארגונים יכולים להרשות לעצמם, חשוב לציין כי אבטחת מידע בכללותה, היא אחריות משותפת בין הלקוח וספק מחשוב הענן. ספקי מחשוב ענן יכולים מאובטחים מאוד, אך אם לקוח מפעיל אפליקציה שאינה מעודכנת או הנה פגיעה, הוא לוקח על עצמו סיכון לפריצה. באופן דומה, לקוח המפעיל אפליקציה מאובטחת מאוד בענן שאינו מאובטח כראוי, הנו בעל סיכון זהה. מטבעה של האחריות המשותפת הזו מתקבלות הגמישות והשליטה, שמאפשרות ללקוחות להפעיל אפליקציות העונות על הצרכים שלהם.

לרוב הארגונים אין הפריווליגיה להקדיש משאבים לאבטחה פיסית או וירטואלית. ספק ענן מוביל צריך להשקיע באופן אקטיבי בטכנולוגיות הגנה, עיבוד וכוח אדם. ניתן ליצור אבטחת מידע בהיקף נרחב בענן, ומאחוריה אנו מצפים לראות ארגונים ממשיכים לפעול בחדשנות בתחום ה- IT, ולקטוף את פירות הפעילות בסביבה טכנולוגית מאובטחת, זמינה ויעילה מאוד.

שתף.

.