יותר ויותר חברות פונות לענן כאמצעי יעיל ואפקטיבי יותר לניהול של יישומים ונכסים עסקיים אחרים שלהן. סביבת הענן אידיאלית בכך שהיא מציעה מהירות, גמישות ואפשרויות גדילה שחברה לא מסוגלת להשיג באופן פנימי. עם זאת, הענן טומן בחובו קשת של חששות ואתגרים, שצוינו, בחלקם, בדוח שפרסמה ספקית פתרונות האבטחה אלגוסק.
בסקר שבוצע על-ידי ארגון Cloud Security Alliance עבור אלגוסק, הדאגה המובילה בקרב 700 המשתתפים מתחום ה-IT הייתה האבטחה. רוב של 81% הביעו חששות משמעותיים הקשורים לאבטחה בעת העברת נתונים לפלטפורמת ענן ציבורי. הסיכון לאובדן או לדליפה של מידע אישי או מידע רגיש של לקוח דורג כחשש הגדול ביותר בנושא האבטחה.
המשיבים הצביעו על חששות אבטחה ספציפיים בעת הרצת יישומים בענן ציבורי. חששות אלו כללו גישה בלתי מורשית לנתונים שנמצאים בענן, חדירה לאזורים רגישים יותר של הרשת (בענן או בסביבה מקומית), נתונים פגומים, הפסקות שירות כתוצאה מהתקפות מניעת שירות וניצול לרעה של משאבים.
השימוש בשירות של ספקית ענן אמור, במצב אידיאלי, להקל על המאמצים הכרוכים בניהול של היישומים ויתר הנכסים בתוך החברה. עם זאת, אנשי IT עדיין צריכים לנהל את האבטחה בענן הציבורי, ומשימה זו כרוכה באתגרים משלה. המכשול הגדול ביותר שהוזכר בתחום זה היה איתור פרואקטיבי של בעיות הקשורות בתצורה שגויה וסיכוני אבטחה מול ספקיות שירותי ענן ציבורי.
בנוסף, המשיבים בסקר הצביעו על אתגרי אבטחה נוספים בענן הציבורי, ובהם היעדר נראות לכלל המערך בענן, עמידה בתקנים והכנה לביקורות, ניהול של סביבת ענן וסביבה מקומית בו-זמנית, ניהול סביבה מרובת עננים והיעדר מומחיות באבטחת סביבות מוטות-ענן.
כמו כן, בסקר הועלו שאלות הנוגעות לסביבות מרובות עננים. אכן, שימוש במספר ספקיות מפחית את התלות בספקית אחת. אך סביבה מרובת עננים מוסיפה גם היא אתגרים.
מבין המשיבים, 66% ציינו כי הם מסתמכים על מספר ספקיות שירותי ענן, כאשר 35% דיווחו כי הם משתמשים בשלוש ספקיות או יותר. העובדה כי ארגונים עשויים להשתמש הן בענן פרטי והן בענן ציבורי תורמת גם היא למורכבות. רוב של 55% מהנשאלים ציינו כי הם משתמשים בסביבת ענן היברידית, הכוללת ענן ציבורי אחד לפחות וענן פרטי אחד לפחות. כ-35% ציינו כי הם משתמשים בשילוב של סביבת ענן היברידית וסביבה מרובת עננים.
“בזמן שחברות מכל הגדלים מנצלות את הערך של טכנולוגיית ענן והיתרונות שבמהירות ובגמישות המשופרות שהיא מציעה, הן גם מתמודדות עם חששות ייחודיים חדשים בתחום האבטחה, במיוחד כאשר הן משלבות מספר שירותי ענן ופלטפורמות ענן בסביבת IT קיימת ומורכבת,” מסר ג’ון יאו, סמנכ”ל מחקר גלובלי ב-Cloud Security Alliance בהודעה לעיתונות. “ממצאי הסקר ממחישים את החשיבות עבור הארגון שבניהול ונראות הוליסטיים של טכנולוגיית הענן בסביבות הרשת ההיברידיות, שמורכבותן הולכת ועולה, במטרה לשמור על רמת האבטחה, להפחית את הסיכון להפסקות שירות ולבעיות הקשורות בתצורה שגויה ולעמוד בדרישות ביקורת ובתקנים.”
כיצד ניתן לשפר את האבטחה של ספקיות הענן?
כדי להתמודד עם חלק מהסיכונים והאתגרים שבשימוש בספקיות ענן, אלגוסק מציעה את ההמלצות הבאות.
- עמידה בתקנים ואבטחה מובנות
ספקיות הענן מציעות כיום כלים לניהול האבטחה ולעמידה בתקנים, אשר חלק גדול מהם תואמים הנחיות ממשלתיות מסוימות ותקנות בענף. אנשי IT יכולים לעשות שימוש בכלים מוטי הענן הללו.
- קבלת אחריות לאבטחה בארגון
אין ספק שעל ארגונים לבסס תחומי אחריות משותפים בנושא האבטחה מול ספקיות שירותי הענן שלהם. עם זאת, על עסקים לנהל את האבטחה גם באופן פנימי. מדובר בהגדרת מחלקה שאחראית על האבטחה בענן, ביסוס של קווי מדיניות ברורים לרוחב היחידות בארגון והגברה של הידע והמודעות של כל העובדים בנושא.
- איתור שגיאות תצורה וסיכוני אבטחה
ספקיות שירותי ענן ממשיכות להוסיף תכונות במטרה לשפר את רמת האבטחה של מוצריהן. על ארגונים להישאר מעודכנים בנוגע לשירותים כאלו. בנוסף, תמיד יש ליידע לקוחות על בעיות הקשורות בשגיאות תצורה של שירותים החשופים לציבור, פרטי הזדהות בלתי מספקים ושימוש לרעה בכל תכונה אחרת של שירותי ענן.
- שימוש באוטומציה בעת הצורך
אוטומציה של רכיבי אבטחה מסוימים יכולה לסייע בניהול של סביבת ענן מורכבת. פונקציות וכלים אוטומטיים כגון יומן פעולות, אגרגציה של נתונים, איתור איומים וניהול מדיניות אבטחה הם רק חלק מהדרכים בהן ארגונים יכולים להשתמש כדי לזהות במהירות פערי אבטחה, אי עמידה בתקנים, שגיאות תצורה של שירותים והפסקות שירות.
הסקר המקוון נערך על-ידי CSA מדצמבר 2018 ועד פברואר 2019, והוא נשלח לכ-700 אנשי מקצוע בתחומי האבטחה וה-IT בארגונים במגוון גדלים ומיקומים. כ-500 ארגונים השיבו למרבית השאלות מתוך 20 השאלות שבסקר.
אודות אלגוסק
אלגוסק היא החברה המובילה של פתרונות ניהול אבטחת רשת בענן, ברשת המקומית ובפלטפורמות היברידיות.
הטכנולוגיה של אלגוסק מאפשרת ללקוחותיה לפשט ולנהל באופן אוטומטי את אבטחת הרשת הארגונית באופן שעונה על צרכים עסקיים משתנים. בעזרת אלגוסק, ארגונים יכולים לנהל את השינויים במדיניות אבטחת המידע באופן מהיר, יעיל ובטוח ובאפס מגע על פני הענן, SDN
* תרגום מכתבת מקור מאת לאנס וויטני, כפי שהופיעה במגזין TechRepublic