הקבינט הבטחוני
אבטחת אפליקציות של תשתית קריטית בעת הגירה לענן
מאת רון בראולט, מנהל ניהול מוצר, ווינד ריבר
ככל שגדל מספר המכשירים וההתקנים המקושרים בהם משתמשים ביישומים צרכניים, מסחריים, תעשייתיים ורפואיים, כך מואץ גם המעבר למערכות ושירותים מבוססי ענן. וכברירת מחדל, אם משהו הוא חלק מה- IoT (אינטרנט של דברים), בהכרח יש נוכחות ענן – אפילו אם נוכחות זו היא משנית לייעוד המרכזי שלו.
נפוץ יותר כיום שיצרנים ועסקים ממצבים מחדש את רשתות התשתיות הקריטיות שלהם לאסטרטגיה של "ענן תחילה", מאחר שהוכח כי הדבר מספק יתרונות של שיפורי יעילות בהיבטי עלות בעלות כוללת וקלות שימוש. דבר זה מצביע על כך שהאמון בשירותי ענן הגיע לנקודת תפנית חיובית.
במקביל קורה, ויש הוכחות התומכות בכך, שלקוחות של שירותי ענן נכשלים בהבנת ההבדל בין שירותי ענן לאבטחת ענן. בקרב הלקוחות קיימת ההנחה, מבלי לוודא זאת בעצמם, כי שירותי ענן הינם מאובטחים. בעוד זה עשוי להיות נכון עבור ספקי שירות מסוימים, לא ניתן להשליך מכך על כולם. יש דוגמאות רבות לתשתיות חיוניות שנפרצו, ומידע רב ערך נגנב מהן.
ההנחה שכל תשתיות ענן נוצרו שוות, הינה טעות העלולה להוביל לכישלון. מעצם תכנונו מבוסס IoT על ארכיטקטורת רשת פתוחה יחסית, המאפשרת להוסיף מכשירים ואביזרים, להסירם ולהחליפם. זו ארכיטקטורה בה הנתונים זורמים באופן חופשי (ולרוב לא מוצפנים) בין מכשירים שלא בהכרח אומתו באופן מלא. לא מובטח שגישה לרשת תהיה מאובטחת, אלא אם כן התשתית תוכננה מהבסיס כלפי מעלה, לספק אבטחה עבור כל מכשיר וממנו אל הרשת.
הבנת האיום
עברייני סייבר הופכים למתוחכמים יותר, והמשמעות שהיא שמסוכן מאוד לזלזל בהם. במקום התקפה חזיתית, הם ישתמשו לעתים קרובות בהתקפות מרובות כיוונים, ויבחרו להפעיל במקביל או בשרשרת התקפות בהיקפים גדולים (Volumetric), ברמת אפליקציה וברמת הפרוטוקול. מערכות צריכות להיות מוכנות להדוף התקפות שכאלה, מכל מקום ממנו הן מגיעות ובכל דרך בה הן מופעלות.
יש דוחות המראים כי התקפות מרובות אפיקים צמחו ביותר מ- 300% בין 2015 ל- 2016, וזו ראייה לכך שהן יעילות מאוד וקשה להגן מפניהן. ככל שההתקפות משתנות ומתפתחות, כך גם חייבות לעשות ההגנות המותקנות. לשם כך נדרשת ארכיטקטורת פלטפורמה אשר תומכת בעדכונים מאובטחים ותיקונים לאורך כל מחזור החיים.
אבטחה בכל שלב
IoT מהווה רשת משולבת מורכבת ודינמית של מכשירים ושירותים שמגיעים מספקים שונים. היכולת לקשר ביניהם בדרך זו מתאפשרת על ידי הסטנדרטים שבבסיס הטכנולוגיה. אבל בעוד סטנדרטים אלה יכללו רכיבים מאובטחים, עדיין אין חובת שימוש בהם.
לפלטפורמת ענן יש היכולת לעשות סדר ב- IoT. כמשאב מרכזי, כל המכשירים והשירותים היוצרים רשת תשתית קריטית יכולים להתארח באופן פיזי, או כפי שנפוץ יותר כיום באופן וירטואלי, על הפלטפורמה הזאת. כך מתקבלת ההזדמנות לשבץ אבטחה בלב התשתית, אך לשם כך נדרשת פלטפורמה בה יש עדיפויות אבטחה לרוחב כל התכנון שלה.
לשירות IT טיפוסי יהיה מחזור חיים המתחיל בבניית קונספט ובעקבותיו תכנון. כאשר יתייצב הוא יוטמע לשירות, ולאורך חייו הפעילים ידרוש תחזוקה, יקבל עדכונים, וישתף נתונים. כל אחד משלבים אלה עלול להוות נקודת תורפה שהאקרים ישמחו לנצל אותה. פלטפורמות ענן צריכות להיות מודעות לכך, ולעשות כל מה שביכולתן כדי למזער סיכוני אבטחה. המשמעות היא שחייבים להעמיד את האבטחה בלב הפתרון.
הגנה היום ובעתיד
אמון הוא הדם שזורם בעורקי אבטחה, והדבר נכון גם לגבי IoT. כאשר פותחה משפחת מוצרי Wind River Titanium Cloud כדי לספק יכולות רשת וירטואליות (NFV) עבור אפליקציות של תשתיות קריטיות, תכננה אותה ווינד ריבר כך שתספק הגנה מקיפה נגד איומים קיימים עתה, ונגד תקיפות שעלולות להתפתח בעתיד. המשמעות היא שכל היבט במשפחת המוצרים שפותחה, צריך להיות מאובטח כבר משורת הקוד הראשונה. לדוגמא, כאשר נוצר המבנה הסופי, החלקים הקריטיים שלו (כמו מערכת ההפעלה, ה- kernel שלו וכל המודולים ש ה- kernel), קיבלו חתימת הצפנה מווינד ריבר לפני המשלוח, כך שניתן יהיה לאתר בכל זמן כל ניסיון לחבל בקוד.
אבל אבטחה מתחילה הרבה לפני נקודה זאת. בדיקות קוד הן חובה כבר בשלב הפיתוח, וברגע שמוכן לשחרור כל Titanium Cloud runtime כפוף למבחנים קפדניים תוך שימוש בכלי אבטחה חיצוני, אשר ינסה לגלות ולנצל כל פרצה, כולל חולשות בתצורה או אפיקי התקפה אפשריים.
רק לאחר שכל החולשות האפשריות מזוהו ומתוקנות, המוצר נחתם באופן מוצפן ומוכן לשחרור. לאחר ההתקנה ובמהלך האתחול הראשוני, כל החלקים הקריטיים של המערכת נבדקים, ביט אחרי ביט, על ידי קושחה ברמת המערכת הבסיסית. הדבר מבטיח כי המערכת שהתקבלה זהה למערכת שסופקה; כשהיא מאומתת על ידי חתימות של מפתח הצפנה ציבורי התואם לתהליך שנקרא UEFI Secure Boot וחתימות X.509.
אמצעי האבטחה לא מסתיימים כאן. באתר עצמו מאחסן תהליך ההתקנה את תעודות ה- TLS (אבטחת שכבת העברה) של הלקוח עצמו ב- TPM (מודול פלטפורמה אמין) של החומרה. תעודות ה- TLS משמשות במהלך כניסה לניהול המערכת – האחסון שלהן ב- TPM שומר אותן נפרדות מהחומרה עצמה, והן מספקות הגנה נוספת כנגד חדירה באמצעות גישה ברמת החומרה. הדבר מאפשר להתגבר על איומים הנוצרים מגישה פיזית למערכת. כפלטפורמה ל- NFV, ה- Titanium Cloud מארח מכונות וירטואליות שמספקות את הרמות הגבוהות ביותר של אבטחה. כשמופעלת על ידי המערכת מכונה וירטואלית, היא מקבלת TPM וירטואלי משלה, המשמש כדי להכיל ולהגן על המידע החשוב הרלוונטי למכונה – מבודד לחלוטין מהפלטפורמה שבבסיסו, ובכך מתקבלת שכבת הגנה נוספת. הארכיטקטורה גם תומכת בהגירה מאובטחת של כל נתון המוחזק ב- TPM כאשר מתבצעת הגירה חיה של מכונה וירטואלית.
אבטחת זמן ריצה
מגוון אמצעי אבטחה נוספים משולבים לתוך הפלטפורמה, ומספקים הגנה נוספת במהלך זמן ריצה. אלה כוללים פילטרים משובצים ברשת, רשימות בקרת גישה (ACL), פיירוולים ומנגנוני בקרת מדיניות QoS (איכות שירות). צעדים אלה מגנים גם על הפלטפורמה וגם על השירותים שהיא מריצה מפני איומים העלולים לנבוע מתוך או מחוץ לרשת.
ספקי פלטפורמה מתבקשים לעקוב אחר פורומים של אבטחה, כגון US-CERT, כדי להישאר מעודכנים לגבי כל פרצה מדווחת שעלולה להשתייך לכל אחד מהשירותים הפועלים על הפלטפורמה. ווינד ריבר עוקבת אחר מדיניות זו, ומנפיקה עדכונים והתראות בכל עת שמזוהה איום אפשרי.
סיכום
בעוד היתרונות של תשתיות קריטיות המתארחות בענן, מעודדים יותר חברות, ממשלות וארגונים אחרים להגר לפלטפורמות המסופקות כשירות, עולה גם החשיבות של אבטחה כוללת ומקיפה.
אין פתרונות פשוטים לכך, והוספת אבטחה רק בנקודת השימוש אינה מספיקה. אבטחה צריכה להיות משובצת עמוק בתוך החומרה, התוכנה, ופילוסופיית התכנון של הספק.
אבטחה היא אתגר רב-פנים, שלא ניתן לטפל בו באמצעות פתרון יחיד. בעוד הוא יכול להגן מפני איומים מסוימים, הוא עדיין לא מספק אבטחה מקיפה. הדרך היחידה להילחם באיום של פשיעת הסייבר, היא להטמיע אבטחה כבר בשלב התכנון, משורת הקוד הראשונה ולכל אורך הפיתוח, כפי שנעשה ב- Titanium Cloud. כך ניתן לשמר אבטחה לאורך כל מחזור החיים של כל שירות הרץ על גבי הפלטפורמה.