בניית אסטרטגיית אבטחת ענן לסביבה היברידית

פורסם במגזין TECH-IL

ענן היברידי משלב תשתית מקומית / ענן פרטי – עם ענן ציבורי ומאפשר  לנתונים ולאפליקציות לעבור בין הסביבות. אבטחתו כוללת הגנה על נתונים, יישומים ותשתיות הן ברשת הפנימית, הן בענן הציבורי והן בענן הפרטי. זה כולל תהליכים עסקיים, עומסי עבודה וניהול על פני מספר סביבות IT.

האתגרים העומדים בפני ארגונים בעת יישום אסטרטגיית ענן היברידי

1. ציות וחקיקה

כדי להפוך את התאימות לניתנת לניהול בסביבה היברידית, חיוני להבטיח שכל שינויי התצורה והתשתית יהיו אוטומטיים, ניתנים לשחזור ומבוקרים אוטומטית.

2. העברת נתונים ודליפה

נתונים רגישים יכולים להיפגע במספר דרכים,: השחתה, הרס, גישה לא נכונה או אובדן לגיטימי. בסביבת ענן היברידי, קיים סיכון שענן פרטי מאובטח ישותף בזדון או בטעות לענן הציבורי.

3. פערי נראות, בקרה ושליטה

כאשר לקוחות מתחילים לפרוס תשתית כמו עננים פרטיים , בשילוב עם עננים ציבוריים, קשה לראות ולשלוט במערכות המבוזרות והמרובות הללו. פרצות, אירועי אבטחה או הפרות ממשיות יכולות להיעלם מעיניהם של אנשי ה IT ואבטחת המידע. בנוסף, מודל האחריות המשותפת יכול להיות מבלבל ולהקשות על זיהוי שגיאות תצורה.

4. סיכוני שרשרת אספקה

ספקים קטנים בשרשרת האספקה הם כמעט תמיד החולייה החלשה. בעוד וצוות האבטחה של הארגון מיומן, בעל משאבים ומתורגל בשמירה על היגיינת ענן היברידי, לא ניתן להיות בטוחים כי זהו מצב אצל השותפים בשרשרת האספקה,

שלבים בבניית אסטרטגיית אבטחת ענן היברידי

1. סטנדרטיזציה של תהליכים

כישלון בתיקון תהליכים עסקיים, או תהליכי אבטחה בין בענן הציבורי לפרטי סולל את הדרך לטעיות אנוש ופערי אבטחה.

2. הצפנת נתונים באופן עקבי (בתנועה ובמנוחה)

כאמצעי אבטחה כללי, יש להצפין נתונים במעבר ובמנוחה. ספקי שירותי ענן רבים כוללים הצפנת נתונים אך חיוני לתאם הצפנה בין עננים ציבוריים ופרטיים, ולהבטיח שימוש באותה רמת הצפנה.

3. הגדרת כלים ותהליכים מאובטחים עבור הענן

ארגון תהליכי אבטחה בזרימות עבודה אוטומטיות יכולה להפחית את הסבירות לטעיות אנוש ופרקטיקות אד הוק.

4. קביעת מדיניות המשכיות עסקית והתאוששות מאסון

ארגונים חייבים לפתח תוכניות גיבוי והתאוששות כדי להבטיח פעולה חלקה במצבי חירום . זה כולל הטמעת גיבויים אוטומטיים של נתונים, גיבויים מבוססי Image של מכונות וירטואליות ובמידת הצורך אתר התאוששות מאסון שלם המאוחסן באתר מרוחק או באזור ענן.

5. ניהל גישה על פני סביבות היברידיות

ניהול זהות וגישה (IAM) הוא קריטי להגנה על נכסים בסביבת ענן פרטית/ציבורית מעורבת.

על ארגונים לתעדף ולאכוף עיקרון של גישה בצורת least privilege בעננים פרטיים וציבוריים ולהבטיח כי לעובדים, קבלנים ומשתמשים אחרים תהיה גישה רק למשאבים להם הם זקוקים.

6. מינוף פלטפורמת הגנת עומסי עבודה בענן (CWPP)

CWPP מספק דרישות הגנה ספציפיות עבור כל עומס עבודה בסביבות היברידיות ומרובות עננים כגון: נראות עומסי עבודה, הערכת סיכונים, זיהוי ותיקון פגיעויות, תמיכת זרימת עבודה של DevSecOps.

7. בידוד התשתית הקריטית ביותר

מערכות קריטיות, בין אם הן פרוסות על משאבי ענן ציבוריים/ פרטיים, צריכות להיות מבודדות ממערכות אחרות ולאפשר גישה למינימום משתמשים.

8. מינוף ניהול עמדות אבטחה בענן (CSPM)

CSPM (Cloud Security Posture Management) הם כלים ופתרונות אבטחה המעריכים באופן אוטומטי שיטות עבודה מומלצות ופגיעיות אבטחה בסביבת ענן. ה- CSPM מספק את הצעדים הדרושים לפתרון בעיות, לרב באמצעות אוטומציה והוא מתאים במיוחד לסביבות ענן היברידיות מכיוון שהוא מספק נראות ושליטה על מערכות שונות ומפוזרות.

לאחר שזיהנו את הפגיעות ונקודות החולשה, נוכל להיערך ולתעדף את תיקון החולשות ע"פ רמת סיכון/השפעה/צורך. מערכות היברידיות דורשות תשומת לב מיוחדת ופלטפורמה אבטחה היברידית נכונה אשר תיתן מענה לאתגרים ספציפיים במיוחד בכל הקשור לאבטחת נתונים ונראות תשתית.