מה זה היברידי Cloud בִּטָחוֹן?

אבטחת ענן היברידית מתייחסת לאסטרטגיות, טכנולוגיות ונהלים תפעוליים שנועדו להגן על נתונים, יישומים ותשתיות בסביבות ענן ציבוריות ופרטיות כאחד.

גישה זו מבטיחה כי בקרות אבטחה מיושמות באופן עקבי, ללא קשר למקום מיקומי הנכסים, על ידי שילוב ניהול זהויות וגישה (IAM), הצפנה, פילוח רשת וניטור מתמשך.

מסגרת אבטחה ענן היברידית בנויה היטב מסייעת לארגונים לנהל סיכונים בסביבות דינמיות מרובות פלטפורמות, להסתגל לאיומים תוך תמיכה בתאימות ובחוסן תפעולי.

בפריסות היברידיות בעולם האמיתי, ארגונים משתמשים בתשתית אחת עבור המערכות והנתונים העיקריים שלהם, בעוד שהשנייה משמשת לגיבויים. במקרה של כשל, ארגונים יכולים לעבור בין השתיים.

עם זאת, סביבות היברידיות לעיתים קרובות מציגות נקודות עיוורות בתחום האבטחה. אלה יכולות לכלול ממשקי API לא מאומתים, פריסות לא מורשות חסרות תצורות אבטחה ותצורות שגויות.

למרות שאין סביבה מאובטחת לחלוטין, ניתן להפחית משמעותית את הסיכון. יישום שיטות עבודה מומלצות מוכחות מסייע לארגונים לחזק את הגנותיהם ולהגביל את החשיפה.

בתוך סביבת ענן היברידית, משטח התקיפה גדול יותר, ותצורה שגויה אחת או מדיניות גישה חלשה עלולות להוביל לפריצה.  

אפילו המודיעין והביטחון של צבא ארה"ב חוו דליפות מידע שנגרמו כתוצאה מתצורות שגויות. 

ישנו גם לחץ של תאימות לתקנות, כאשר כללים שונים חלים בהתאם למקום שבו הנתונים מאוחסנים או משותפים. 

לבסוף, האופי המפוצל של מערכות היברידיות מסבך את תכנון ההתאוששות מאסון ותכנון כשל, כך שקשה יותר לנהל את המשכיות העסק.

איומים בסביבות אלה נובעים משילוב של פערים טכניים ופיקוח אנושי. 

המעבר המהיר לעבודה מרחוק ולתשתיות ענן בעקבות מגפת הקורונה רק הגביר את הסיכונים הללו, שכן ארגונים רבים ביצעו את המעבר ללא מסגרות אבטחה מפותחות במלואן. 

כדי להתמודד כראוי עם אתגרים אלה, עלינו תחילה להבין את הבעיות.

תצורה שגויה נותרה אחת הבעיות הנפוצות ביותר בענן, המתבטאת בבקרות גישה לא מוגדרות כראוי, אחסון חשוף או רכיבים מיושנים. 

דאגה רצינית נוספת היא תנועה רוחבית לאחר פריצה; ברגע שתוקפים חודרים לתשתית שלך, הם יכולים לנוע בין מערכות, ולחפש נכסים רגישים. 

המודל ההיברידי, המשתרע על פני פלטפורמות מרובות, מקשה על זיהוי וחסימה של פעילות מסוג זה. 

לבסוף, גם איומים מבפנים מהווים סיכון ממשי, במיוחד כאשר ההרשאות אינן מנוהלות בקפדנות. 

Cloud איומים ספציפיים כמו תוכנות זדוניות, תוכנות כופר ופרצות נתונים נפגעים קשה יותר בסביבות היברידיות, שבהן נתונים עוברים כל הזמן בין מערכות מקומיות לפלטפורמות ענן . 

תנועה זו מרחיבה את משטח ההתקפה, ומעניקה ליריבים יותר הזדמנויות לחמוק מבלי שיבחינו בהם. 

קבוצות כופר משתמשות כיום בכלים המונעים על ידי בינה מלאכותית כדי לעקוף הגנות סטנדרטיות, בעוד שפרצות נתונים הופכות למזיקות יותר. 

העלאות קבצים חמושות הפכו גם הן לאיום גובר במסגרות ענן היברידי.  

גורמים זדוניים לעיתים קרובות מטמיעים תוכנות זדוניות בקבצים לכאורה תמימים כדי לעקוף מסנני אבטחה ולשלוח מטענים מבלי שייבחנו.  

טכנולוגיות כמו Deep CDR ( ניתוק ושחזור תוכן ) יכולים לנטרל איומים אלה על ידי הסרת קוד זדוני מקבצים לפני שהם עלולים לגרום נזק כלשהו. 

הגדרות היברידיות יכולות גם לטשטש את קווי האחריות, מה שמוביל לנקודות תורפה בבקרות גישה או בתיקונים. 

הפלטפורמות בתוך מערך היברידי יכולות להיות כפופות לחוקים שונים לגבי היכן יש לאחסן נתונים וכיצד יש לטפל בהם.

הצמיחה באימוץ ענן היברידי, שהואצה על ידי מגפת הקורונה, הפכה את האבטחה לקריטית מאי פעם.

ארגונים עברו במהירות לעבודה מרחוק ולתשתית ענן, אך לרבים לא היו מסגרות אבטחה מתאימות לסביבה מבוזרת ורב-פלטפורמתית שכזו. עלייה זו באימוץ ענן יוצרת נקודות כניסה נוספות לתוקפים ומסבכת את ניהול התאימות.

במערכת כה מגוונת, קשה להתאים את התהליכים לדרישות רגולטוריות כמו GDPR, המחייבת נתונים מסוימים להימצא בתוך האיחוד האירופי.

בהתחשב בכל הסיכונים, אבטחת ענן היברידית עדיין מציעה שילוב חזק של יתרונות, במיוחד בהשוואה למערכות בענן יחיד או מקומיות .

כמה עקרונות מפתח בסיסיים לאבטחת ענן היברידי כוללים אבטחת אפס אמון, המבטיחה שאף ישות לא תהיה מהימנה כברירת מחדל, ושיקולי אבטחת שרשרת האספקה.

האחרונים מתמקדים בהגנה על תלויות ותוכנות של צד שלישי.

כדי לארגן נוהלי אבטחה, צוותים רבים מיישמים את מטריצת בקרות Cloud (CCM) מה- Cloud ברית הביטחון.  

ה-CCM מפרק תחומי בקרה ספציפיים לענן - כמו ניהול זהויות, אבטחת תשתית ותאימות - ומתאים אותם לתקנים גלובליים כמו ISO ו-NIST.  

זה גם מסייע בהגדרת תפקידים ואחריות במודלי שירות IaaS, PaaS ו-SaaS, דבר מועיל במיוחד במערך היברידי. 

כלי CSPM מטפלים בסיכון של טעויות אנוש - הגורמים המובילים לבעיות אבטחה - על ידי איתור ותיקון של תצורות שגויות.

הענן ההיברידי הוא גם גורם מאפשר רב עוצמה וגם סביבה מסוכנת במיוחד. 

בהקשר זה, מסגרת אבטחה בענן היברידית דורשת גישה ברורה ורב-גונית, עם כמה אלמנטים מרכזיים.

IAM מייצג מסגרת בקרת גישה, המבטיחה שרק האנשים הנכונים ייגשו למשאבים הנכונים בזמנים הנכונים מהסיבות הנכונות. 

IAM הוא מרכזי בסביבות היברידיות שבהן זהויות משתרעות על פני שירותי ענן מקומיים ושירותי ענן מרובים.  

במסגרת IAM, שתי שיטות יעילות ביותר:

• בקרת גישה מבוססת תפקידים (RBAC)
• ניהול גישה מורשית (PAM)

RBAC מקצה הרשאות בהתבסס על תפקידו של משתמש בארגון, ומגביל את הנתונים והפעולות שהוא יכול לגשת אליהם או לבצע. תפקידים מבוססים בדרך כלל על פונקציות עבודה (למשל, מפתח, אנליסט, משאבי אנוש), ולכל תפקיד יש קבוצה מוגדרת מראש של הרשאות גישה.

שיטה זו אוכפת את עקרון ההרשאות הנמוכות ביותר, ומבטיחה שמשתמשים יקבלו גישה רק למה שהם צריכים. היא גם מסייעת בממשל ובתאימות על ידי מבנה הגישה בצורה לוגית.

בניגוד ל-RBAC, אשר מקצה הרשאות רק על סמך פונקציות עבודה, PAM משמש לאבטחה וניהול גישה לחשבונות פריבילגיים, כלומר אלו עם הרשאות ניהול או גישה למערכות קריטיות.

במערך היברידי, PAM חיוני לאבטחת שכבות ניהול תשתית (למשל, בקרי תחום, פורטלים של ניהול ענן) ולשליטה בגישה לקונסולות ניהול ענן (למשל, AWS root, Azure global admin).

SOC היא יחידה מרכזית שעוקבת אחר, מזהה, מגיבה ומפחיתה איומי אבטחה. 

יחידה זו משתמשת באנשים, תהליכים וטכנולוגיה כדי לתאם זיהוי ותגובה לאיומים, תוך ניטור מסביב לשעון.

ה-CASB הוא נקודת אכיפת מדיניות אבטחה בין צרכני שירותי ענן (ארגונים) לספקים.

בתוך CASB, ארגונים אחראים על מה שהם מעלים וכיצד הם מקיימים אינטראקציה עם הענן, גם אם הם לא מפעילים את התשתית.

מערכות CASB מסייעות בזיהוי וניהול של מערכות מידע צלליות, תנועת נתונים והתנהגות משתמשים, ומעניקות ל-IT נראות לכלי עבודה לא מורשים הנמצאים בשימוש.

עבור התשתית ההיברידית, מערכות CASB מאפשרות ממשל מאוחד. בדרך זו, אבטחה ותאימות מקומיים אינם נפגעים כאשר נתונים מועברים לענן.

במערך ההיברידי, אדריכלי אבטחה זקוקים למערכת של כלים, פרקטיקות ומדיניות שניתן ליישם בצורה חלקה במערכות ענן ובמערכות מקומיות.

CSPM הם כלים אשר מעריכים ומנהלים באופן אוטומטי תצורות ענן. מטרתם היא לזהות תצורות שגויות, הפרות תאימות והגדרות מסוכנות בסביבות ענן. 

הם שימושיים במיוחד עבור עננים היברידיים, מכיוון שהגדרות אלו דינמיות ומורכבות, עם שינויים תכופים בענן ציבורי ובסביבות מקומיות.

יותר תהליך מאשר כלי, זה מתייחס לאיסוף וניתוח מתמשכים של יומני רישום, מדדים ואירועי אבטחה כדי לזהות איומים. 

כדי שזה יעבוד, הניטור צריך להיות משולב עם תהליך מוגדר לחקירת אירועים ותגובה לאירועים. 

בסביבה היברידית, תהליך זה מספק תצוגה מאוחדת של איומים על פני מכשירים או תוכנות מפוזרים כגון אפליקציות ענן, SaaS, חומות אש מקומיות, שרתים ונקודות קצה.

לבסוף, יש לנו שימוש בכלים וסקריפטים לאכיפת מדיניות אבטחה באופן אוטומטי. מדיניות זו יכולה להיות השבתת משאבים שאינם תואמים, אכיפת הצפנה או חסימת שירותים לא מאושרים. 

אכיפה אוטומטית מבטיחה שכללי אבטחה עוברים עם עומס העבודה, בין אם הוא נוחת ובין אם לאו.

בנוסף לכל הכלים והמדיניות, מסגרת האבטחה של הענן ההיברידי בנויה גם על טקטיקות תפעוליות כגון:

כשמדובר בהגנה על תשתית ענן היברידית, האתגר הוא פחות בטכנולוגיות בהן נעשה שימוש, ויותר בתיאום ובעקביות בכל הסביבות.

מטבעה, תשתית ענן היברידית נשלטת על ידי כלים, מדיניות ובקרות מרובים.

זה מאלץ צוותי אבטחה להשתמש בפלטפורמות מרובות, מה שמגדיל את הסיכון לתצורה שגויה.

יתר על כן, אם מערכת אחת משתנה, היא לא מסתנכרנת אוטומטית עם האחרות. זה מוביל לסיכונים נוספים של חוסר תשומת לב.

האופי המגוון של המערכת ההיברידית מוביל גם לחוסר תובנה עקבית לגבי מי ניגש למה, היכן נמצאים הנתונים וכיצד משאבים מוגדרים בכל הסביבות.

נתונים מפוזרים יכולים להסתיר סיכונים קריטיים.

התמודדות עם אתגרים אלה דורשת אסטרטגיות שמטרתן ניהול אסטרטגי של מורכבות, צמצום משטחי תקיפה והבטחת בקרות עקביות בסביבות מקומיות ובסביבות ענן.

הרעיון הוא ליצור מערכת כללים משותפת בכל הסביבות, ובכך להימנע מהסתבכות במורכבות של כל הגדרה. 

ארגונים יכולים לפרוס מערכת זהויות אחת כדי לנהל מי יכול להתחבר ולמה הוא יכול לגשת.  

כלים כמו Azure AD או Okta תומכים בכניסה יחידה ובאימות רב-גורמי. 

רעיון נוסף הוא לבנות תבניות מדיניות עבור צרכים חוזרים ונשנים כמו כללי סיסמה, כללי רשת ודרישות הצפנה. 

לבסוף, כל מדיניות האבטחה צריכה להתאים לתקנים חיצוניים כמו GDPR, HIPAA או ISO 27001 כדי להישאר מוכנים לביקורות.

אם כל צוות בוחן נתונים שונים בכלים שונים, התקפות עלולות לחמוק מעיניהם.

כדי להימנע מנקודות עיוורות, ארגונים צריכים לאסוף יומני רישום והתראות במקום אחד באמצעות כלי SIEM או SOAR, תוך שימוש בכלי נקודות קצה שעובדים על פני מערכות שונות.

כמו כן, יעזור אם לצוותים יהיה לוח מחוונים יחיד המציג התראות חשובות בכל המערכות. זה עוזר לאנשי אבטחה להגיב מהר יותר ולזהות דפוסים.