כיצד להגן על הנתונים שלך בענן – שלב בחירת הספק ועד בחינת עמידה ברגולציות
מחשוב ענן הוא אספקת שירותי מחשוב כגון שרתים, אחסון, מסדי נתונים, רשתות, תוכנות, ניתוחים ומודיעין דרך האינטרנט. מחשוב ענן מציע יתרונות רבים, כגון מדרגיות, גמישות, עלות-יעילות וחדשנות. עם זאת, מחשוב ענן מציב אתגרים משמעותיים גם לאבטחת המידע, שכן נתונים ואפליקציות מועברים מההיקף המסורתי של הארגון לענן, שם הם עלולים להיחשף לאיומים ופגיעויות שונות.
על פי דוח של [McAfee] אימוץ הענן גדל ב-50% בשנת 2023, מונע על ידי מגיפת COVID-19 והמעבר לעבודה מרחוק. עם זאת, הדו"ח מצא גם כי 79% מהארגונים חוו לפחות אירוע אבטחה אחד הקשור לענן בשנה האחרונה, כגון פרצות נתונים, גניבת פרטי גישה, הדבקות תוכנות זדוניות, התקפות מניעת שירות או איומים פנימיים.
הדו"ח תיאר גם את אתגרי אבטחת הענן המובילים שעמם מתמודדים ארגונים, כגון חוסר נראות, תצורה שגויה, גישה לא מורשית, בעיות תאימות ואובדן נתונים.
במאמר זה, נדון בכמה מהשיטות וההמלצות המומלצות להגנה על הנתונים שלך בענן, בהתבסס על הסטנדרטים וההנחיות העדכניים ביותר מהתעשייה והאקדמיה. נעסוק בנושאים הבאים:
- כיצד לבחור ספק שירותי ענן מאובטח
- כיצד ליישם הצפנת נתונים וניהול מפתחות
- כיצד לאכוף בקרת גישה וניהול זהויות
- כיצד לנטר ולבקר פעילויות ותקריות בענן
- כיצד לעמוד בדרישות החוק והרגולציה
כיצד לבחור ספק שירותי ענן :
הצעד הראשון בהבטחת אבטחת הנתונים שלך בענן הוא בחירת ספק שירותי ענן cloud service provider (csp) מכובד ואמין. CSP היא חברה המציעה שירותי מחשוב ענן ללקוחות, כגון תשתית כשירות (IaaS), פלטפורמה כשירות (PaaS), או תוכנה כשירות (SaaS). CSP אחראי לספק את האבטחה הפיזית והלוגית של תשתית הענן, כגון שרתים, רשתות, אחסון ו-hypervisor. עם זאת, ה-CSP אינו אחראי לאבטחת הנתונים והאפליקציות שהלקוח מעלה או מריץ בענן. זה ידוע בתור מודל האחריות המשותפת, שבו ה-CSP והלקוח חולקים את האחריות לאבטחת סביבת הענן.
כדי לבחור CSP אשר שם דגש לאבטחת מידע , עליך לשקול את הגורמים הבאים:
- מדיניות האבטחה ונהלי האבטחה של ה-CSP, כגון איך הם מגנים על התשתית שלהם, איך הם מטפלים באירועים, איך הם מגיבים לבקשות אכיפה מגורמי חוק או צדדים שלישיים, וכיצד הם מודיעים ללקוחות על הפרות או שינויים כלשהם.
- אישורי האבטחה וההסמכות של ה-CSP, כגון ISO 27001, SOC 2, PCI DSS, HIPAA, GDPR ואחרים. אלו הם תקנים ותקנות המפרטים את הדרישות והשיטות המומלצות לניהול אבטחת מידע בתחומים ותעשיות שונות. CSP שהשיג את האישורים וההסמכות הללו מוכיח שהם יישמו את הבקרות והאמצעים הדרושים כדי להבטיח את אבטחת השירותים והנתונים של הלקוחות שלהם.
- תכונות האבטחה והאפשרויות המוצעות על ידי ה-CSP, כגון הצפנה, ניהול מפתחות, בקרת גישה, ניהול זהויות, רישום, ביקורת, גיבוי, שחזור ועוד. מדובר בכלים ומנגנונים המאפשרים ללקוח לשפר את אבטחת הנתונים והאפליקציות שלו בענן, בהתאם לצרכיו ולהעדפותיו הספציפיות.
- הסכמי האבטחה והחוזים בין ה-CSP ללקוח, כגון הסכם רמת השירות (SLA), תנאי השירות (TOS), מדיניות הפרטיות והסכם עיבוד הנתונים (DPA). מדובר במסמכים המגדירים את התפקידים והאחריות של ה-CSP והלקוח, את היקף השירותים ואיכותם, את הזכויות והחובות של שני הצדדים ואת הסעדים והחובות במקרה של מחלוקות או הפרות.
לפני בחירת CSP, עליך לבצע הערכה והערכה יסודית של הגורמים לעיל, ולהשוות CSPs שונים על סמך ביצועי האבטחה והמוניטין שלהם. עליך גם להתייעץ עם צוותי המשפט והציות שלך כדי להבטיח שה-CSP עומד בתקנות שלך ושות'
כיצד ליישם הצפנת נתונים וניהול מפתחות
השלב השני בהבטחת אבטחת הנתונים שלך בענן הוא יישום הצפנת נתונים וניהול מפתחות. הצפנת נתונים היא תהליך של הפיכת נתונים לצורה בלתי ניתנת לקריאה, באמצעות מפתח סודי ואלגוריתם. הצפנת נתונים מונעת גישה, שינוי או חשיפה בלתי מורשית של נתונים, גם אם הנתונים יורטו או נגנבים. ניהול מפתחות הוא תהליך של יצירה, אחסון, הפצה, סיבוב, ביטול והשמדה של המפתחות הסודיים המשמשים להצפנת נתונים. ניהול מפתחות מבטיח את הזמינות, השלמות והסודיות של המפתחות, ומונע הפרה או אובדן מפתח.
- ישנם שני סוגים של הצפנת נתונים: הצפנה במנוחה והצפנה במעבר. הצפנה במנוחה היא הצפנה של נתונים כאשר הם מאוחסנים במכשיר או התקן, כגון דיסק, קלטת או שירות אחסון בענן. הצפנה במעבר היא הצפנה של נתונים כאשר הם מועברים דרך רשת או ערוץ, כגון אינטרנט, VPN או שירות ענן. שני סוגי ההצפנה חיוניים להגנה על הנתונים שלך בענן, מכיוון שהנתונים עשויים להיות חשופים לאיומים ופגיעויות שונות במהלך אחסון או שידור.
- ישנם גם שני סוגים של ניהול מפתחות: הצפנה בצד השרת והצפנה בצד הלקוח. הצפנה בצד השרת היא הצפנת נתונים על ידי ה-CSP, תוך שימוש במפתחות שנוצרים ומנוהלים על ידי ה-CSP. ההצפנה בצד השרת נוחה וקלה לשימוש, שכן הלקוח אינו צריך לדאוג להצפנה ופענוח הנתונים, או ניהול המפתחות. עם זאת, הצפנה בצד השרת פירושה גם שהלקוח צריך לסמוך על ה-CSP עם האבטחה והפרטיות של הנתונים והמפתחות שלו, ושל-CSP עשויה להיות גישה לנתונים ולמפתחות, או שהוא עשוי להיאלץ לחשוף אותם לרשויות החוק. או צדדים שלישיים. הצפנה בצד הלקוח היא הצפנת הנתונים על ידי הלקוח, תוך שימוש במפתחות שנוצרים ומנוהלים על ידי הלקוח. ההצפנה בצד הלקוח מאובטחת ופרטית יותר, מכיוון שללקוח יש שליטה מלאה על הנתונים והמפתחות שלו, ושל-CSP אין גישה לנתונים או למפתחות, או שאינו יכול לחשוף אותם לאף אחד. עם זאת, הצפנה בצד הלקוח פירושה גם שהלקוח צריך לדאוג להצפנה ופענוח הנתונים, וניהול המפתחות, שעלולים להיות מורכבים ומאתגרים.
כדי ליישם הצפנת נתונים וניהול מפתחות, עליך לשקול את הגורמים הבאים:
- הרגישות והערך של הנתונים שלך, כגון נתונים אישיים, נתונים פיננסיים, נתוני בריאות, קניין רוחני, סודות מסחריים ואחרים. ככל שהנתונים שלך רגישים ובעלי ערך רב יותר, כך עליך להחיל יותר הצפנה וניהול מפתחות, וככל שתעדיף יותר הצפנה בצד הלקוח על פני הצפנה בצד השרת.
- סוג ורמת ההצפנה וניהול המפתחות המוצעים על ידי ה-CSP, כגון הצפנה סימטרית, הצפנה אסימטרית, הצפנה היברידית, גיבוב, חתימות דיגיטליות, אורך מפתח, סיבוב מפתח, גיבוי מפתח, שחזור מפתח ועוד. אלו הן שיטות וטכניקות שונות המשפיעות על האבטחה והביצועים של ההצפנה וניהול המפתחות. עליך לבחור את ההצפנה וניהול המפתחות המתאימים ביותר לדרישות האבטחה והציפיות שלך, ואשר תואמים ליישומים ולמכשירים שלך.
- העלות והמורכבות של ההצפנה וניהול המפתחות, כגון החומרה, התוכנה, כוח האדם והזמן הנדרש להטמעה ותחזוקה של הצפנה וניהול מפתחות. הצפנה וניהול מפתחות עשויים לגרור עלויות נוספות ומורכבות עבור פעולות הענן , כגון שטח אחסון מוגדל, מהירות עיבוד מופחתת, רוחב פס מוגבר, זמן השהייה מוגבר, טעויות אנוש מוגברות ועוד. חשוב לאזן בין היתרונות והחסרונות של הצפנה וניהול מפתחות, ולבצע אופטימיזציה של תהליכי ההצפנה וניהול המפתחות שלך.
כיצד לאכוף בקרת גישה וניהול זהויות
השלב השלישי בהבטחת אבטחת הנתונים בענן הוא לאכוף בקרת גישה וניהול זהויות. בקרת גישה היא תהליך של הענקת או שלילת גישה לנתונים ולמשאבים, בהתבסס על הזהות והתכונות של המשתמשים והמכשירים. ניהול זהויות הוא תהליך של אימות וניהול הזהות והתכונות של המשתמשים והמכשירים, כגון שמות משתמש, סיסמאות, תפקידים, הרשאות, אישורים ואחרים. בקרת גישה וניהול זהויות מבטיחים שרק משתמשים ומכשירים מורשים ומאומתים יכולים לגשת לנתונים ולמשאבים שלך בענן, ושמשתמשים ומכשירים לא מורשים ולא מאומתים נחסמים או מוגבלים.
ישנם שלושה סוגים של בקרת גישה: בקרת גישה לפי שיקול דעת (DAC), בקרת גישה חובה (MAC) ובקרת גישה מבוססת תפקידים (RBAC). DAC הוא בקרת הגישה שבה הבעלים של הנתונים או המשאב מחליט מי יכול לגשת אליהם, ויכול להאציל או לבטל את זכויות הגישה לאחרים. MAC הוא בקרת הגישה שבה זכויות הגישה נקבעות על ידי רשות מרכזית או מדיניות, ואינן ניתנות לשינוי על ידי הבעלים או המשתמש. RBAC הוא בקרת הגישה שבה זכויות הגישה מבוססות על התפקידים והאחריות של המשתמשים, והוקצו על ידי מנהל או מערכת
כיצד לנטר ולבקר פעילויות ותקריות בענן בענן:
ניטור וביקורת בענן הם תהליכים הכוללים איסוף, ניתוח ודיווח על הביצועים, הזמינות, האבטחה והתאימות של משאבי ושירותי ענן. ניטור וביקורת בענן יכולים לעזור לארגונים:
- איתור ותגובה לאירועי אבטחת מידע והפרות.
- זיהוי והפחתת פגיעויות ואיומים בענן
- הבטחת עמידה בתקני אבטחת מידע ותקנות
- מיטוב ניצול ויעילות של משאבי הענן
- שיפור איכות שירות הענן ושביעות רצון הלקוחות
ישנן שיטות וכלים שונים שניתן להשתמש בהם כדי לנטר ולבקר פעילויות ואירועים בענן. חלק מהשיטות והצעדים המומלצים כוללים:
- הבנת משטח התקיפה של סביבת ענן: ארגונים צריכים לזהות ולבצע ניתוח של כל נכסי הענן והשירותים שבהם הם משתמשים, ולמפות את התלות ההדדית והקשרים ביניהם. ארגונים צריכים גם לפקח על התצורה והסטטוס של נכסים ושירותי ענן, ולזהות כל שינוי או חריגות שעלולים להצביע על בעיית אבטחה².
- הגדר בקרות גישה והצפנה חזקות: ארגונים צריכים ליישם מנגנוני אימות והרשאה חזקים כדי לשלוט מי יכול לגשת למשאבים ולשירותים בענן, ואילו פעולות הם יכולים לבצע. ארגונים צריכים גם להצפין נתונים במעבר ובמצב מנוחה, ולנהל מפתחות הצפנה בצורה מאובטחת³.
- קבע תקני שיתוף ושיתוף פעולה חיצוניים: ארגונים צריכים להגדיר ולאכוף מדיניות וכללים לשיתוף ושיתוף פעולה עם גורמים חיצוניים, כגון לקוחות, שותפים או ספקים. ארגונים צריכים גם לפקח ולבקר את הפעילויות וההרשאות של משתמשים חיצוניים, ולבטל גישה בעת הצורך¹.
- עדכונים של מערכות ואפליקציות ענן: ארגונים צריכים לעדכן את מערכות הענן והאפליקציות שלהם עם עדכוני האבטחה האחרונים. ארגונים צריכים גם לבדוק את התאימות והפונקציונליות של העדכונים לפני פריסתם לסביבות פרודקשיין.
- שימוש בכלים מקוריים בענן או של צד שלישי לניטור וביקורת בענן: ארגונים יכולים למנף את הכלים והשירותים המובנים או המוצעים על ידי ספקי שירותי ענן, כגון AWS CloudTrail, Azure Monitor או Google Cloud Operations, כדי לנטר ולבקר פעילויות ותקריות בענן. לחלופין, ארגונים יכולים להשתמש בכלים ופתרונות של צד שלישי, כגון BitSight, Exabeam או DevOps, כדי לשפר את יכולות הניטור והביקורת בענן שלהם.
כיצד לעמוד בדרישות החוק והרגולציה בסביבת ענן:
דרישות משפטיות ורגולטוריות בסביבת ענן יכולות להשתנות בהתאם לתעשייה ולגיאוגרפיה. עמידה ברגולציה מתייחסת למשמעת ולתהליך של הבטחה שחברה פועלת לפי החוקים שנאכפים על ידי הגופים המנהלים בגיאוגרפיה שלהם או בכללים הנדרשים על פי תקני התעשייה שאומצו מרצון
לדוגמה, אם אתה מטפל בנתוני שירותי בריאות, ייתכן שיהיה עליך לציית לחוק הניידות והאחריות של ביטוח הבריאות (HIPAA) 1. אם אתה מטפל בפרטי כרטיס אשראי, ייתכן שיהיה עליך לציית לתקן אבטחת המידע של תעשיית כרטיסי התשלום (PCI DSS )
ספקי ענן שואפים להבטיח שהפלטפורמות והשירותים שלהם עומדים בתקנות הרלוונטיות . עם זאת, ארגונים צריכים גם לאשר שהיישומים שלהם, התשתית שבה תלויות יישומים אלה והשירותים הניתנים על ידי צדדים שלישיים מאושרים גם הם כמתאימים
כדי לשמור על תקני ציות בענן, חשוב לסווג את נכסי המידע, לכלול בחוזה את הזכות לביקורת סביבת הענן, אסטרטגיית יציאה, תוכנית המשכיות עסקית, נהלים ובקרות לניהול שירותי IT ותכנון מחדש של פעולות. . מודל להבטחת מבנה הצוות והיכולות הנכונות לניהול שירותי ענן
אם אתה זקוק למידע מפורט יותר על הצעות תאימות של Azure, אתה יכול לבקר ב-Microsoft Trust Center 1. יש להם שפע של מידע על איך ליישם אסטרטגיית תאימות.
כותב המאמר: עידן צברי , סמנכ"ל שירותי מומחה ואבטחת מידע