Cloud Native Security: From Code to the Cloud

מושג ה Cloud Native שמאחוריו עומדים אימוץ מסיבי של תשתיות הענן ומודרניזציה של אפליקציות, יצר מציאות סייבר מורכבת, שונה מהותית ממה שהכרנו עד היום הדורשת ידע, כלים ומיומנויות שונים ממה שהיינו רגילים עד כה. 

להמשיך לעשות אבטחת מידע בענן מבוסס אפליקציות מודרניות בדרך שהיינו רגילים עד כה הינה גישה מוטעת. האיומים הם שונים, הרבדים עליהם נדרש להגן השתנו, האפליקציות המודרניות לא דומות לאפליקציות מונוליטיות שהיו בעבר וגם תהליכי הפיתוח השתנו ומשלבים אבט"מ כבר משלב כתיבת הקוד.

האם מומחי ענן ומומחי DevOps,  צריכים להשלים פערי ידע בתחום אבטחת מידע על מנת ליישם אבטחת מידע בסביבה המודרנית? או אלו הם מומחי סייבר שצריכים להשלים פערי ידע בעולמות הענן ותהליכי פיתוח אפליקציות מודרניות? ברור שהיום קיים מחסור במומחים המבינים היטב גם את עולם הענן והאפליקציות המודרניות וגם את תחומי האבטחת מידע. 

אבטחת מידע Cloud Native מתחילה משלב כתיבת הקוד (Shift Left Security), לאורך כל שלבי תהליך ה CI/CD וממשיכה במימוש מנגנוני הגנה בענן.

האלמנטים המרכזיים בתפיסת ה Cloud Native Security

ישנן מעל 10 קטגוריות שונות המהוות איום אבטחה, אליהן יש להתייחס בבניית ארכיטקטורת Cloud  Native מאובטחת, תוך הבנה שכל קטגוריה שלא טופלה מהווה פרצה עבור תוקף. בין אותן הקטגוריות ניתן למנות תשתיות ענן שהוקמו כלל ללא התייחסות להיבטי אבטחת מידע ונשארו חשופות ופגיעות. היום כשרוב הפעולות הנוגעות בהקמה ושינויים בסביבת הענן מתבצעות בצורה אוטומטית Infrastructure as-a-Code , תהליך המאפשר לפרוס סביבות שלמות בלחיצת כפתור, אך גם יכול להשמיד סביבות שלמות ולייצר פרצות אבטחתיות באותה קלות של לחיצת כפתור ולכן נדרשים מנגנוני הגנה כבר ברובד האוטומציה. מתקפות אחרות מגיעות ברבדים של מערכות ההפעלה, האפליקציות והסרווסים השונים – כגון  בשכבת ה serverless.  כל נושא ניהול זהויות, הרשאות ובקרות גישה גם נשאר לא מספיק מטופל, עם הרשאות יתר בשכבות השונות, כגון שכבת ה API. המפתחים מורידים היום 90% אחוז מהקוד ממקורות באינטרנט ויחד איתו את המתקפות ששזורות בתוכו. אפשר להמשיך למנות עוד ועוד אזורים המהווים משטח תקיפה מצוין עבור התוקף. ואם מדובר בסביבת ענן היברידית, מרובת עננים, הכוללת יישומים שרצים ב DC הארגוני, מתחברים לשירותים בענן אחד או יותר ושירותים המיושמים במספר עננים , האירוע הופך להרבה יותר מורכב ומשמעותי.

אז איך מגינים? – תפיסת הגנה רב מימדית

על מנת לתת מענה כולל אנחנו מציגים תפיסה של Cloud Native Security Stack, אשר כוללת בתוכה 5 רבדים מרכזיים: שכבת הגנה על תשתיות ענן, שכבת הגנה על תשתיות האוטומציה והסקלבליטי, שכבת הגנה על תשתית אפליקטיבית ותהליכי פיתוח, רובד מדיניות וניהול סיכונים, ומכלול זיהוי אירועים ומיטיגציה. ארגון שרוצה להגן על עצמו צריך ליישם הגנה בכל אחד מהמימדים.

 שכבת הגנה על תשתיות הענן הכוללת לרוב 8 מודולים מרכזיים:

• Identity & Entitlement Management – ניהול זהויות והרשאות גישה של אישויות אנושיות ואובייקטים.
• זיהוי מרחב החשיפה, Posture Management – כלים המתמקדים בזיהוי הגדרות תצורת ענן שגויות ברמה אבטחתית, נכסים חשופים ומאפשרים מעקב תאימות תצורת ענן לתקנים ורגולציות שונות.
• רובד הגנה על נכסי ה Data והגנת הפרטיות על מידע רגיש
• ניהול חולשות, Vulnerability Management  – כלים אוטומטיים לזיהוי חולשות, הסורקים באופן רציף את העומסים הרצים בסביבת הענן לזיהוי חולשות תוכנה וחשיפה ברמה רשתית.
• Workload Protection – הגנה על הWorkloads  הרצים בסביבת. אבטחת עומסי עבודה, כגון מכונות וירטואליות, שירותי Function as a Service. כלים אלו סורקים אחר פגיעויות, תצורת הסביבה, סיסמאות ועוד.
• היבטי קישוריות מאובטחת – Cloud Network Security. רובד העוסק בהגנה על קישוריות בתוך הענן, קישוריות אל מול סביבה ארגונית ואל מול עננים ושירותים אחרים.
• הגנה על קונפיגורציה של תשתית הענן. כלים הסורקים את הגדרות קונפיגורציה תצורת הסביבה ומזהים סטיות ממדיניות.
• הגנה על סביבות הקונטיינרים. הגנה על האפליקציה בתוך הפודים והקונטיינרים, על תקשורת בין הקונטיינרים, זיהוי תצורות קונטיינרים שגויות.

חלק ממודולים אלו מהווים אבני בניין של תפיסת CNAPP ( Cloud-Native Application Protection Platform ) – תפיסה המגירה רבדים שונים הבאים יחד להגן על פעילות הארגון בענן.

שכבת הכנה על תשתית האוטומציה וסקלביליטי – כלים המשמשים לזיהוי איומים בפריסת תשתית כקוד IaC על בסיס סריקת קוד מקור המשמש לפריסת התשתית בענן וזיהוי אנומליות בקוד לפני הפריסה/שינוי הסביבה בענן.

שכבת הגנה על תשתיות הפיתוח והאפליקציה הכוללת 5 מודולים מרכזיים

• הגנה על הקוד על בסיס סריקה של קוד מקור שהורד ממקורות חיצוניים כנגד איומים מושתלים והפרת זכויות יוצרים. סריקת קוד בשלבי ה CI באופן סטאטי, דינאמי ואינטראקטיבי.
• הגנה על Container Images, על בסיס סריקתם בשלב הימצאותם ב repository, בשלב הריצה סביבת הייצור, זיהוי חולשות במערכת ההפעלה והגדרות בתוך הקונטיינרים.
• בניית תהליכי CI/CD  מאובטחים, המאפשרים ניהול שרשרת הספקה (שרשרת פיתוח בצורה מאובטחת על כל שלביה החל משלבי ה CI ועד לשלבי ה CD.
• ניהול סיסמאות וזיהוי סיכונים הנוגעים לסיסמאות ששוזרו בקוד בצורה לא בטוחה.
• הגנה על תשתיות ה Data , הכולל ניהול הרשאות גישה למידע, יצירת עותקים חסינים, בקרה וסינון אבטחתי של data  הנכנס ויוצא מ ואל בסיסי הנתונים ואגמי מידע בענן.

שכבת משילות ותאימות למדיניות העוקפת שמדיניות תצורה ואבטחת מידע במידה עומדת בהגדרות שהארגון הגדיר או נדרש לעמוד בהן, לרבות תהליכים אוטומטיים להחזרת סביבה למצב אבטחתי תקין בעת זיהוי סטיות מהתקן

שכבת זיהוי אירועי סייבר וניהול משברי סייבר הכוללת כלי SIEM ו SOC, מתודולוגיות וכלים טכנולוגיים לזיהוי מתקפות, כלי חקירה לניתוח ווקטורי מתקפה ועדויות על אירוע סייבר, בניית קשרים ביניהם ליצירת אירוע והמלצות למיטיגציה של האירוע בצורה ידנית או אוטומטית.

מטודולוגיה, כלים וטכנולוגיות

מגוון כלים, מוצרים וטכנולוגיות להגן על תשתית הענן הוא אינסופי וכולל כלים מובנים שיש לספקי הענן (עשרות כלים ייחודים לכל ספק שנדרש להכיר), כלים של חברות אבט"מ מוכרות שפיתחו לצד הפורטפוליו של מוצרי הגנה מסורתיים סוויטות שלמות של כלים ומוצרים לתחום הגנה על הקוד וסביבות הענן, ועשרות מוצרי קוד פתוח המנסים לתת מענה בתחום.

על מנת לבחור בארכיטקטורת הגנה נכונה עבור הארגון נדרשת הבנה מתודולוגית מעמיקה, ידע וניסיון באותם כלים, היכולת לבחור בסט כלים אופטימלי בהתאם לסוג הארגון והארכיטקטורה, לצד ניסיון בהטמעה ושרות באותם כלים. כל זה בנוסף להבנה הנדרשת בתחום תשתיות הענן ותהליכי פיתוח מודרניים.

חברת בינת מספקת מעטפת Cloud Native Security רחבה החל משלבי כתיבת הקוד ועד ליישום בסביבת יצור בענן. אנחנו בבינת משקיעים הרבה מאוד בתחום זה ומחזיקים שורה רחבה של מומחים  , גם בתחום הענן וגם בתחום אבטחת מידע , בעלי ידע וניסיון מוכח בתחום cloud native security.