יישום אבטחת מידע בשירותי ענן
יום ג‘ 08.06.21
סיכום מפגש
מרכז מצוינות תשתיות IT וענן של הלשכה לטכנולוגיות המידע בישראל מסכם מיטאפ מרתק בנושא יישום אבטחת מידע בענן הציבורי.
חיים קושיצקי מנכ"ל XPLG דיבר על החשיבות בהימנעות מנעילה של יצרן הענן הציבורי ואיך מייצרים יכולת לעבור מהר ובצורה שקופה בין העננים בעולם של שינויים מאוד מהירים.המעבר לענן מחייב לייצר סגמנטציה מאוד קפדנית על מנת לאפשר מעבריות של תתי רשתות דבר שגוזר אתגר מובנה לגישת המשתמשים.
חיים הציג את טל כהן, מנהל חטיבת דיגיטל וחדשנות דיגיטלית בהראל. טל שיתף שהאתגר הגדול בהראל אינו מסתכם בפירוק מונוליטים ג'אוויים, אלה באיך מתמודדים עם המצב בהיברידי בו מערכות ליבה רצות ב- On-Prem ומערכות הדיגיטל נמצאות בענן. במצב בו יש מאות ETL שהושקעו בהם עשרות שנות אדם, מורכב מאוד לשנות אותם ועל כן הם חיפשו מוצר לסנכרון מידע לענן שיספק רמת ביצועים גבוהה מחד מבלי להתפשר על האבטחה מאידך. לאחר בחינה של מוצרים רבים הם בחרו ב- PortX המאפשר לקחת מידע ממערכות ה- Legacy באופן מהיר.
לאחר שבהראל הופכים את המידע לקבצי JSON ה- PortX מעביר אותו לAWS לאחר כיווץ והצפנה במהירות שיא בהשוואה לטכנולוגיות מתחרות (בפועל הוא עובד כמו streamer).
ניצן לוי מאוניברסיטת בר אילן דיבר על מעבר מאובטח לענן בארבעה שלבים:
-
השלב הראשון הוא הערכה. דו"ח מקינזי מראה ש-70% הפרויקטים לא מסתיימים בזמן, בתקציב ובתכולה וזה לא שונה לגבי פרויקטי מעבר לענן. לשלב הערכה יש תפקיד מכריע בהצלחת המעבר אם זה מבחינת ניתוח נכון של הצרכים העסקיים, הערכת עלויות, ניהול השינוי בארגון, עדכון תהליכי DevOps ועוד.
-
השלב השני הוא תכנון המעבר בו יש להתייחס לכל הפערים שהיו בשלב הראשון בתכנון מדוקדק.
-
השלב השלישי והרביעי מבוצעים באופן משולב - שלב המיגרציה לענן ומינוף יכולות הענן לטובת הארגון.
כאשר ישנן 6 אסטרטגיות מיגרציה המכונות R6:
ReHost, RePlatform, RePurchase, Retire, Retain, ReFactor/ReArchitect
והכי חשוב לנשום עמוק ולהתמיד בתוכנית העסקית.
יהונתן פלדות, ארכיטקט הגנה בסייבר מבנק ישראל, הסביר שכשמדברים על הענן חשוב להבין שהענן בנוי by design לשיתוף מידע וזאת לעומת הרשת שלנו שהיא On Prem שמתוכננת בדיוק ההפך. כשיש מגבלה מסחרית רגולטורית על הנתונים, סוגיה זו מהווה אתגר גדול מאוד. כל דבר בענן זה שירות והחיבור בין השירותים נועד כאמור לשיתוף ואז אתגר הגישה לנתונים הופך להיות מורכב פי כמה.
Geo-ip לא אפקטיבי גם כי שירותי ענן מדלגים בין מיקומים שונים בעולם וגם כי התקפות מאופיינות ע"י הבדלים במכשיר התוקף, באפליקציה אליה הוא ניגש, והאם כתובת/מיקום המקור אופיינית למשתמש.
פרצה נוספת היא משתמשי Guest פשוטים שבברירת המחדל שלהם הם לא מאובטחים (לדוגמה לא מחייביםMFA ) ועם המעבר לענן הכמות של משתמשים אלו עולה והיקף השימושים שלהם מתרחב ואז יש לנו פרצת אבטחה משמעותית.
אסף לוי, ה- CISO של אל על, נתן מספר טיפים חשובים למעבר לענן. הציע לאפשר לצוותים הטכניים להכיר היטב את האקו-סיסטם של הענן המיועד. שנית, להתחיל את המעבר עם מידע
ו-workload שהם בעדיפות ארגונית נמוכה ובסיכון נמוך. שלישית, לבצע מעבר איטי של המשתמשים ולבסוף לתקשר את השינוי בארגון.
במעבר לענן פתאום מגלים שיותר מידי משתמשים קיבלו יותר מידי הרשאות וסוגיה נוספת שנחשפת זה שבעולם ה- DB לרוב הם לא מוצפנים ב- On-Prem וכשעולים לענן חייבים הצפנה. כמו כן, יש להתחשב ברגולציות שהארגון כפוף אליהם ויש לדאוג לניטור של המערכות (SIEM).
תודה לקבוצת אמן על האירוח, לדוד בן טולילה, סגן יו"ר הלשכה ומוביל מרכז המצוינות תשתיות IT וענן בלשכה לטכנולוגיות המידע.
תודה לכול מי שנרשם ולכול מי שהגיע.
היה כיף גדול.
נשמח לראותכם במפגשים הקרובים שלנו.