מעוניינים לאבטח את הענן הארגוני? 4 צעדים קריטיים שאסור לכם לפספס
מאת: אוהד רייכברג, 4.11.19, 16:43

ארגונים צריכים לכלול 4 תפישות כחלק מאסטרטגיות פריסת הענן שלהם. ללא מסגרת אבטחה בעלת עוצמה, משולבת ואוטומטית, שתוכננה כדי להתפרש, לגדול ולהתאים את עצמה לכל הרשת שלכם, אתם עפים ללא רשת ביטחון, ופושעי הסייבר התוקפניים של היום מוכנים ומסוגלים לנצל את החולשות שלכם למטרותיהם הזדוניות.


התכונה החשובה ביותר של הענן זו היכולת לפרוס, לנהל ולהפיץ אפליקציות עסקיות קריטיות בצורה מהירה ופשוטה יותר מאשר בכל שיטה אחרת, וזאת בהינתן גישה בזמן אמת לעובדים וללקוחות למידע קריטי בכל מקום שבו הם נמצאים ומכל מכשיר שהם משתמשים בו.

מדובר בעניין הדורש משאבים היכולים לנוע ולהתאים את עצמם ואפליקציות פשוטות ואינטואיטיביות לשימוש בעלות גישה לנתונים בזמן אמת, שניתנות לעדכון במהירות. כך, שיתאימו למגמות המשתנות ללא הרף. גם תהליכי עבודה פנימיים בין מכשירים וסוגי ענן שונים צריכים להיות זמינים ביותר, גמישים ובעלי תגובה מהירה כדי לתמוך בפונקציות קריטיות ולהשלים ביצוע של טרנסאקציות.

האבטחה מהווה מרכיב קריטי נוסף בכל סביבת ענן שהיא, במיוחד כאשר פושעי הסייבר מחפשים לנצל את שטח התקיפה המתרחב במהירות. כדי לשמור על יעילות, האבטחה צריכה להיות גמישה ודינמית בבואנו להגן על תשתית הענן. חשוב להבין, שלא ניתן להגן על סביבת ענן באמצעות שימוש בפתרונות אבטחה מסורתיים, כפי שלא ניתן לבנות ענן באמצעות שימוש ברכיבי רשת מסורתיים ואסטרטגיות פריסת אפליקציות מסורתית.

אבטחה יעילה מגינה לא רק על החיבורים שבין הנתונים למשתמשים, אלא גם מאבטחת כל חיבור לכל התקן פיזי או וירטואלי לאורך כל התשתית המבוזרת וכוללת את ההתקנים הנעים באופן קבוע לאורך ואפילו בין התקנות של multi-cloud. 

סביבה זו מביאה עמה מורכבויות שונות הנובעות משימוש בפתרונות אבטחה שונים, כמו פריסת פתרונות אבטחה המינים רק בפלטפורמת ענן מסוימת אחת ובעלי הגבלות פונקציונליות. פריסות אלו יצרו הגבלות לפוטנציאל האמיתי של הענן. ארגונים רבים מידי נכשלו להתמודד עם אתגר אבטחה זה בצורה הוליסטית, כאשר לעיתים קרובות הם הוצפו ע"י ההיקף וקנה המידה של האתגר.

כדי להתמודד עם האתגרים השונים, ארגונים צריכים לכלול את 4 התפישות הבאות כחלק מאסטרטגיות פריסת הענן שלהם:

1. פריסת ענן המבוססת על אבטחה: פרצות אבטחה נוטות להיות תוצאה של פושעי סייבר נחושים המנצלים את החוליה החלשה ביותר בשטח התקיפה של הארגון. עבור ארגונים רבים, האימוץ של הענן הרחיב את שטח התקיפה שלהם בצורה מעריכית. כדי להתמודד עם החוליות החלשות הללו, יש צורך באכיפה קבועה של אבטחה בכל מקום, גם כאשר התשתית נמצאת במצב של שטף קבוע.

היות והתשתיות מתרחבות ומשתנות במהירות רבה, חיוני, שתוכנית אבטחה כוללת תהיה הדרישה הבסיסית לכל שינוי הנעשה ברשת. הדאגה לכך, שכלי אבטחה, פוליסות ותהליכים מתאימים יימצאו במקומם לפני השילוב של משאבים חדשים, מאפשרת לאבטחה להתאים את עצמה בסנכרון עם שינויי התשתית והאפליקציות.

דבר זה דורש בחירת כלי אבטחה המבינים את התשתית, שבה הם מוקמו, ויכולים לפעול בקביעות גם לאורך כל הסביבות, ובכלל זה ה-multi-cloud, כדי לאכוף פוליסות ולוודא נראות המאפשרת אפליקציות וחיבוריות מאובטחות החל ממרכז הנתונים ועד לענן. חשוב להבין, שאפילו שינויים קלים ביכולת ההסתגלות והאכיפה יכולים ליצור פערי אבטחה, שפושעי הסייבר מוכנים ויכולים לנצל לטובתם.  
  
2. אבטחת cloud-native: היות ונתונים ותהליכי עבודה יצטרכו לעבור דרך התשתית ועד לענן, האבטחה צריכה לתפקד בצורה קבועה. בחירת פיירוול ענן מהספק המגן על הנכסים הפיזיים של הארגון לא בהכרח תפתור את הבעיה. כל הפתרונות השונים צריכים לתקשר בצורה רציפה עם שירותי הענן ולרשום את עצמם לשירותים הללו, כמו גם לזהות משאבים מבוססי-ענן באותה צורה הגיונית, שבה הם מזהים משאבים אחרים.

הטכנולוגיה הבסיסית, שמשמשת להגנה על רשתות, שונה מהותית מהטכנולוגיה המשמשת להגנה על משאבים מבוססי-ענן, אך שיטות ניהול האבטחה צריכות להישאר דומות. לכן, חשוב מאוד לבצע אינטגרציה מקומית לתשתית הענן.

חלק מהבעיה זה העניין לפיו סביבות ענן פועלות בצורה שונה מאוד זו מזו וארגונים יכולים לעיתים להישאר עם סט הטרוגני של טכנולוגיות בשימוש, עם בקרות אבטחה שונות בסביבות ענן שונות. דבר זה יכול ליצור אתגרים נוספים באשר לתיאום ואכיפה של אבטחה.

בנוסף לאינטגרציה מקומית של הענן, כלי האבטחה צריכים להיות בעלי היכולת לתרגם פוליסות בזמן אמת. כך, שניתן יהיה לאכוף אותן בקביעות וברציפות לאורך כל הסביבות השונות. דבר זה דורש בחירת ספק בעל פתרונות הניתנים לשילוב באופן מקומי לכמה שיותר פלטפורמות ענן כדי לוודא אבטחה וחיבוריות קבועות החל ממרכז הנתונים ועד לענן ללא תלות בתשתית הענן.
 
3. מפרטים מרובים: אכיפה קבועה של אבטחה תלויה בפריסת אותם פתרונות אבטחה לאורך פלטפורמות רבות ככל האפשר ובמפרטים רבים ככל האפשר. לדוגמא, אפליקציות צריכות להיות בעלות יכולת לתקשר עם פתרונות אבטחה מבוססי-ענן כדי לזהות ולהגן על טרנסאקציות ונתונים ספציפיים. אפליקציות מבוססות-קונטיינרים צריכות להיות בעלות גישה לכלי אבטחה ממוקדי-קונטיינרים כדי לבצע אינטגרציה פשוטה של פונקציות אבטחה לתוך שרשרת האפליקציות. באופן אידאלי, יש לתפעל כלים אלה בצורה זהה לזו של פתרונות הנפרסים בכל מקום לאורך התשתית המבוזרת שלכם, כולל סניפים מבוזרים והתקני קצה.

יחד עם זאת, אל תפלו בפח ותחשבו, שגרסה וירטואלית של פיירוול הרשת שלכם תתאים לפריסת הענן או הקונטיינר שלכם. כפי שצוין קודם לכן, כל מפרט של פתרון זקוק לאינטגרציה מקומית לסביבה, שבה הוא ממוקם, במידה ואתם מעוניינים באכיפה עקבית, שמשולבת עם היכולת להתמודד עם האתגרים הייחודיים של סביבות אינדיבידואליות.
 
4. ניהול מרכזי: אחת התלונות הגדולות ביותר של מנהלי רשת היא, שהם לא יכולים לראות ולנהל את כל הרשת שלהם דרך קונסולה אחת המרחיבה את הנראות לאורך רשתות וירטואליות ופיזיות. פתרון ניהול, שיכול לראות ולסגור את השערים כנגד התקפה באזור אחד של הרשת, אך לא באזור אחר, ככל הנראה, יוביל לפגיעה בתשתית.

כדי להתמודד עם הפערים באכיפת אבטחה, ארגונים זקוקים לניהול אחוד כדי להרוויח נראות ולהגדיר פוליסות אבטחה קבועות לאורך כל התשתית ולנהל סיכונים בצורה יעילה. פתרונות אבטחה צריכים לחלוק ולתאם מודיעין איומים; לקבל וליישם אורקסטרציה מרכזית ושינויי קונפיגורציה ולתאם בין כל המשאבים. כך, שיגיבו לאיומים שאותרו.

חשבו מחדש על האבטחה שלכם
יש להבין, שכבר עבר זמנם של מודלי אבטחה מסורתיים בהם מיקום ההתקנים נמצא בשער הכניסה של הרשת כדי לפקח על התעבורה הצפויה. כיום, אבטחה צריכה להתפרש על פני התשתית המבוזרת שלכם, להתאים את עצמה בצורה דינמית בעת גידול משאבי האפליקציות, ולהסתגל בצורה אוטומטית ככל שהתשתית ממשיכה להתאים עצמה ללא הרף לדרישות המשתנות.

וחשוב לא פחות, האבטחה צריכה להבטיח פונקציונליות קבועה ואכיפת מדיניות ללא קשר למפרט שלה או למקום, שבה היא נפרסה. כדי להשיג זאת, ייתכן ותצטרכו לחשוב מחדש על תשתית האבטחה הנוכחית שלכם.

אם הענן הולך לשחק תפקיד משמעותי בעתיד של הארגון שלכם, ההמלצה החמה היא למצוא ספק יחיד המסוגל לתמוך בכל מחזור החיים של האפליקציות, מפות הדרכים של התשתית ותוכניות ההתרחבות שלכם, עם דגש על פתרון המספק הגנה ופונקציונליות קבועות לאורך מרחבים מרובים של עננים ציבוריים ופרטיים, אפילו אם משמעות הדבר היא להחליף את חומרת האבטחה המסורתית הפרוסה כיום באתר המקומי.

מינוף יכולות אינטגרציה מקומיות של סט כלי הגנה מקיפים, אוטומטיים ובעלי ניהול מרכזי הוא בסיס האבטחה ההכרחי, שיאפשר לכם אכיפת מדיניות אחידה, שיתוף איומים, ניהול ואורקסטרציה מרכזיים, ותצוגה אחידה לאורך התשתית המבוזרת כולה.

כל אלה יעצימו את הארגון שלכם עם הביטחון לפרוס כל אפליקציה על כל תשתית ענן שהיא. ללא מסגרת אבטחה בעלת עוצמה, משולבת ואוטומטית, שתוכננה כדי להתפרש, לגדול ולהתאים את עצמה לכל הרשת שלכם, אתם עפים ללא רשת ביטחון, ופושעי הסייבר התוקפניים של היום מוכנים ומסוגלים לנצל את החולשות שלכם למטרותיהם הזדוניות.

מומלץ לקרוא אודות פתרונות ה-multi-cloud של פורטינט המספקים את הנראות והבקרה הדרושות לאורך תשתית הענן, ומאפשרים אפליקציות וחיבוריות מאובטחות ממרכז הנתונים ועד לענן.
 
מאת: אוהד רייכברג, נובמבר 2019.
דירקטור אזורי בפורטינט ישראל