אבטחת מידע ושירותי ענן – הילכו שניהם יחדיו?

מאת אלכסנדר גצין, מנהל פרויקטי אבטחת מידע בחברת EXTREME.

ארגונים רבים בעולם משתמשים כבר בשירותי ענן. השאלה היא כבר לא אם לעבור לענן, אלא מתי לעבור לענן, כיצד לעבור לענן ולאיזה ענן לעבור.

היתרונות העצומים של חיסכון עצום בעלויות והפוטנציאל הרב של שירותי מחשוב מבוסס ענן הובילו לצמיחה מהירה של שוק זה. סיכוני האבטחה שגלומים במחשוב שיתופי שמאפיינים את מחשוב הענן, לא עוצרים את הטכנולוגיה מלמצוא את דרכה אל הקרביים של ארגוני ענק אפילו כמו הסקטור הפיננסי המפוכח שמחויב בעמידה ברגולציה תובענית ומתפתחת.

מה שהענן יודע להציע הוא פשוט טוב מדי: קבל בדיוק מה שאתה צריך בין אם מדובר באחסון מאגרי נתונים מבוזרים עם שרידות וקישוריות גבוהה לכל יבשת או אפליקציית קצה ברמת גימור והתאמה ללקוח, במחיר חלקיק ממחיר מימוש הפתרון בתוך הבית. שלם על פי צריכה, הגדל נפח שימוש בכל שלב שתבחר ואל תדאג לתמיכה, הטמעה, רישיונות וכביכול – אבטחה.

אם כך, מדוע לא ממומש כל משאב בארגון בענן? שילוב טכנולוגיה בארגון מחויבת באבטחה ולכן בהגדרה – יש סיבה לדאוג…

סיכוני האבטחה שגלומים ביישום פתרונות מחשוב ענן אינם נובעים רק משיתופיות וחשיפה לאינטרנט. מכת פריצות חשבונות Amazon Web Services לטובת  bitcoin miningוזליגת המידע מענני APPLE ב-2014 (320 מיליון משתמשים נחשפו) כתוצאה מפריצות, בהחלט ממחישות את סיבת ההירתעות וממדיה.

במימוש פתרונות מחשוב ענן בהחלט גלומים סיכונים רבים יותר מהסיכונים הקיימים בסביבת מחשוב פנים ארגונית:

ריבוי דיירים (Multi Tenancy) על אפליקציה, תשתית המוצעת לשירות ו\או תשתית הווירטואליזציה המחזיקה את השירותים המוצעים, מעלה את הסיכון בחשיפת\זליגת המידע לגורמים לא מורשים.

אחריות האבטחה ורמת השירות שאמורה  להיות מוסכמת מראש, לעתים רבות תישאר לא מוגדרת ו\או לא מובנת, תשאיר פתח לפערי אבטחה, אזורי אחריות לא ברורים – no man's land, חוסר יכולת לנהל תאימות וניטור אירועי אבטחת מידע או לבקרם.

השקיפות של תשתיות השירות אל מול הלקוח מקשה על הכנסת בקרות, מיפוי ושליטה במידע, הגישה אליו והגבלת הגישה אליו.

אבל הפתרונות הם רבים:

שירותי ענן מוצעים כיום ללקוחות על ידי הספקים המוכרים והנחשבים בעולם דוגמת אמזון, יבמ, גוגל וכדומה. קיימת התייחסות ישירה לטכנולוגיה בתקנים בינלאומיים ומקומיים, קיים ארגון הנחיה ייעודי בשם CSA – Cloud Security Alliance שמקדיש את עצמו לענן ואשר כותב Best Practices בנושאי אבטחת מידע, מסמיך ארגונים ובעלי מקצוע ומוביל את התחום אל אופק מוגן, מבוקר ובטוח לשימוש.

מבין המשאבים הממשיים שהוא מציע ניתן למצוא את ה- .Cloud Control Matrix – CCM זהו מסמך אקסל שמכיל יותר מ-300 בקרות (ע”פ סעיפים) שניתן ומומלץ לממש עבור פתרונות ענן כדי להבטיח ביטחון לקוח ורמת אבטחת מידע.

אנשי מקצוע יכולים גם לקבל כיום CCSK –  Certificate of Cloud Security Knowledge הסמכת אבטחת מידע שדורשת ומוכיחה ידע בתחום של מימוש בקרות ענן, ניהול סיכונים, התנהלות עם פתרונות מחשוב ענן, לקוח מחשוב ענן\ספק ועוד 10+ תחומים נלווים.

ניתן בהחלט לומר שהדעה הקדומה על הקושי באבטחת מידע בענן נחשפה כאחת. טכנולוגיות ענן, כטכנולוגיה שיתופית פתוחה לרשת (או במימוש אחר שלה), אינה פסולה על סמך מאפיינים האלו או אחרים. אנו נמשיך לצפות וליהנות מפתרונות טכנולוגיות ענן מרשימים ונפוצים ובמימושי אבטחה יעילים ויצירתיים בתחום.