כיצד לאבטח בתבונה את המעבר לענן היברידי

מייסדי אקווה סקיוריטי: אמיר ג'רבי, סמנכ"ל הטכנולוגיות (מימין), ודרור דוידוף, המנכ"ל | צילום: דיוויד גארב
מייסדי אקווה סקיוריטי: אמיר ג'רבי, סמנכ"ל הטכנולוגיות (מימין), ודרור דוידוף, המנכ"ל | צילום: דיוויד גארב

השילוב בין ענן ציבורי לפרטי יוצר אתגרי אבטחה מרובים. כך תוודאו שהיישומים שלכם מוגנים בכל רגע – כבר משלב הפיתוח

רני אסנת
Cloud Time 2022
|
ינואר 2022

ארגונים רבים משתמשים, באופן מתוכנן ומכוון או לא, בספקי ענן שונים ובארכיטקטורות ענן פרטי. יש סיבות מגוונות למעבר לענן – החל ביכולת לצמוח בצורה מהירה ללא תכנון ארוך-טווח של תשתיות, וכלה בגמישות רבה באספקת שירותים ללקוחות. אך מכיוון שלפעמים ישנן תקנות המחייבות תשתית מקומית, או שישנה העדפה לנהל יישומים מסוימים על גבי תשתית פרטית, ארגונים רבים אינם מוותרים על אופציה זו ומנהלים תשתית היברידית, ואף בוחרים לא להשתמש בספק ענן ציבורי יחיד אלא שומרים לעצמם את היכולת לדלג בין ספקים שונים.

הגישה ההיברידית לענן יוצרת אתגרי אבטחה מגוונים. בין השאר, ארגונים מתמודדים עם שאלות כגון כיצד אפשר לאבטח סביבות שונות של ענן פרטי וספקי ענן ציבורי שונים באופן עקבי ואחוד. בנוסף, ספקי ענן שונים מציעים יכולות דומות, אך לכל אחד כלי ניהול שונים ויכולות מעט שונות – כך שגם כאן, עולה הצורך לוודא שהם מאובטחים בצורה אחידה. סוגיה אחרת היא המעבר בין ספקי ענן שונים בלי לפגוע בטיב האבטחה.

 

מדוע כלי האבטחה המיושניםכבר אינם יעילים מספיק

חשוב לדעת כי כלי אבטחה מיושנים יותר, שלא נולדו בענן, לא יכולים להגן עליו. ראשית, הם לא בנויים להשתלב בתהליכי הפיתוח המואצים (עשרות מונים) לעומת תהליכי הפיתוח בעבר. במקום לשחרר גרסאות כל כמה חודשים, ארגונים כיום עוברים לשחרור רציף המתרחש ברמה יומיומית. הדבר מחייב שילוב של האבטחה כבר בשלבי הפיתוח, ובאופן אוטומטי – כדי לא להאט את המפתחים.

בנוסף, סביבות הענן מורכבות ומגוונות, ולא ניתן להסתמך על כלים שהתרגלו "להתחבר" לתשתית קבועה. אם בעבר ידענו שיש שרת קבוע ליישום מסוים, כגון שרת אימייל, כיום אי אפשר לצפות לקביעות כזו. מסד נתונים יכול לרוץ על מכונה וירטואלית מסוימת עכשיו, ואחרת בעוד שעה – ואולי מחר הוא ירוץ בכלל על ענן אחר. כלי אבטחה מודרניים מקושרים ליישומים, ולא לכתובת או שרת מסוים.

 

כלי האבטחה של ספקיות הענן –פתרון חלקי בלבד

כל ספקיות הענן פועלות בהתאם ל"מודל האחריות המשותפת" (Shared Responsibility Model) שבאופן פשטני למדי מבדיל בין אבטחה "של הענן" שבאחריותן, לבין "אבטחה בענן" שבאחריות הלקוח. בנוגע לאבטחה הפיזית של מרכזי מחשוב, הלקוחות לא צריכים לדאוג - ספקיות הענן עושות זאת ברמה גבוהה מאוד. אך לגבי כל השאר, האחריות מוטלת ברובה על הלקוח, וגרטנר מנבאת שעד 2025, 99% התקריות והפריצות בענן יהיו באשמת הארגונים המשתמשים בענן.

הכלים שספקיות הענן נותנות כמענה לצרכי האבטחה נותנים פתרון חלקי בלבד, מייצרים תלות נוספת בספק הענן, ואינם יעילים באופן שווה על סביבות ענן שונות. המטרה שלהם היא בעיקר להסיר מכשולים בדרך לשימוש בשירותי אותו ספק.

 

טכנולוגיות יעילות לאבטחת ענן

החדשות הטובות הן שטכנולוגיות כגון קונטיינרים וקוברנטיס (Kubernetes) דווקא מאפשרות לייצר אבטחה טובה יותר, וכזו שגם קל יותר להעביר ללא מאמץ מיוחד בין סביבות ענן פרטי וציבורי – אם האבטחה מיושמת כראוי, כמובן. מכיוון שמדובר בטכנולוגיות שקל יחסית להשתמש בהן בסביבות שונות, אם מצמידים להן כלי אבטחה שפותחו במיוחד לטפל בהן, ניתן לוודא באותה קלות שמדיניות האבטחה מיושמת באופן אחיד ללא קשר למיקום שבו יישום מסוים רץ.

בגלל המורכבות של סביבות הענן, יש צורך בגישה הוליסטית שמגינה על יישומים מתחילת תהליך הפיתוח שלהם ובמשך זמן ההרצה ויודעת לטפל במגוון פערי אבטחה – בין אם מדובר בבעיות קונפיגורציה, בחולשות בקוד, או בפעילות החשודה כניסיון התקפה.

אם עושים זאת נכון, האבטחה בענןי כולה להיות טובה יותר מגישות אבטחה מיושנות, מאחר שהיא משולבת בכל תהליכי הפיתוח וניהול היישומים, ומספקת נראות טובה יותר ומעקב אחר חלקיקי פעילות ברמות שלא התאפשרו בעבר עבור יישומים מונוליתיים שהיו בגדר "קופסה שחורה" עבור כלי אבטחה.

 

רני אסנת | צילום: יח"צ אקווה סקיוריטי

גישת האבטחה שנוצרה עבור הענן

אקווה סקיוריטי נולדה בענן, עם תחילת השימוש בטכנולוגיות Cloud Native כגון קונטיינרים ו-Serverless, ב-2015. הגישה המקיפה של אקווה, המתחילה משלבי הפיתוח ודואגת לייצר סביבה מאובטחת עוד לפני שלב הרצת היישומים בענן, ואז גם בזמן ההרצה, מספקת הגנה חסרת תקדים מבחינת יכולת השליטה של ארגונים בתקינות היישומים ובאיתור ומניעה של כל סטייה קטנה מההתנהגות המצופה מהם.

הודות לתמיכה הרחבה של אקווה בפלטפורמות ניהול וספקי הענן השונים, ארגונים גדולים ברחבי העולם, כולל רבע מהחברות המופיעות ברשימת Fortune 500 ומחצית מעשרת הבנקים הגדולים בעולם, משתמשים באקווה כדי לעבור לתשתיות ענן היברידי בצורה מאובטחת ובהתאם לרגולציות קפדניות.

עתיד האבטחה בענן יכול להיות בהיר, אבל כרגע הוא מעונן למדי. כמות המתקפות ששמות להן למטרה תשתיות ענן וברמת תחכום גבוהה עולות משמעותית בשנתיים האחרונות. צוות מחקר הסייבר של אקווה מצא, למשל, ששרת ענן המריץ קונטיינרים יחווה ניסיונות התקפה תוך פחות משעה, והתקפות אלה עלולות להביא לתוצאות הרסניות - משימוש לרעה בתשתית לכריית מטבעות קריפטו, ועד גניבת סיסמאות ונתונים.

הפער שקיים כרגע נובע מריצה מהירה לענן ופערי ידע ויכולות. אך פלטפורמה כמו זו של אקווה מסוגלת לא רק לגשר על הפערים, אלא לספק אבטחה ברמה הרבה יותר מקיפה ויעילה בהשוואה לגישות האבטחה המיושנות יותר שאין להן את היכולת להבחין בפריצות במהלך זמן הפיתוח או בשינויי התנהגות יישומים בזמן אמת. העולם צועד לקראת גישה שיטתית ואוטומטית הרבה יותר שלאבטחה, כזו שמהווה חלק אינטגרלי משיטות הפיתוח והניהול של יישומים בענן.

 

*הכותב הוא סמנכ"ל בכיר לענייני אסטרטגיה בחברת Aqua Security, המפתחת פתרונות אבטחת מידע לסביבות הענן.

 

Aqua Security – תעודת זהות

תחום פעילות: אבטחת יישומי ענן

מייסדים: דרור דוידוף ואמיר ג'רבי

מנכ"ל: דרור דוידוף

שנת הקמה: 2015

מספר עובדים: 500

מיקום משרדים: רמת גן,בוסטון, לונדון, סינגפור, הידרבאד

למידע נוסף: www.aquasec.com

יש לכם רעיון למגזין משלכם? צרו קשר