תקציר מאפיינים לאבטחת תוכן בענן בעידן ה-BYOD
מאת דוד אלוש, מנכ"ל ומייסד חברת CloudCom נציגת Box בישראל
החשש למעבר לענן מובן וימשיך להדיר שינה כל עוד נהיה חשופים לפלטפורמות טכנולוגיות המהוות חלק בלתי נפרד ממערכות התפעול היום יומיות של כולנו. יחד עם זאת ולשם כך נקבעו תקני אבטחה בהן נבחנות מערכות אלו ונסקרות בתקציר זה (למאמר המלא) תוך הבחנה בשבע מעגלי אבטחה.
1. מעגל ראשון – הגדרות אפליקטיביות-מעגל זה כולל פרמטרים המוגדרים תחת מדיניות ארגונית ומכיל בין היתר את האפשרות לקביעת חוזק סיסמא, הגבלת מספר תווים, שימוש בספרות, אילוץ שימוש בתווים מיוחדים,אפשרות אילוץ איפוס סיסמה, אפשרות מניעת שימוש חוזר בסיסמא ועוד.
2. מעגל שני SSO (ר"ת Single Sign-on) – שימוש ב-SSO מנטרל באופן מיידי פריצות אבטחה מהחמורות בנמצא בתוך כך המשתמש לא אמור להידרש לזכור מספר ססמאות רב. התחברות למחשב האירגוני שלו תספק תעודת אוטנטיקציה במעבר שקוף. זכירת מספר גדול של סיסמאות לעיתים מביאה את המשתמש להוריד אותם לכתב (פריצת אבטחה חמורה) ולעיתים מאלצת את המשתמש "למחזר" סיסמא אחת במספר מערכות וחלקן מחוץ לארגון. בנוסף בכל גישה למכשיר נייד נדרשת גם החלת מדיניות SSO ומוצפן באמצעות SSL.
3. מעגל שלישי – הרשאות וניהול רישום (Full Audit Trail) – מעגל זה כולל בין היתר דרישת מעקב על כל תנועה של משתמש וקובץ במערכת, מי יצר, מי העלה, מי צפה, מי הוריד, קיומה של מערכת דוחות בקרה ותפעול לאיתור וניתוח כל פעילות בין היתר של מיון וסינון דוחות בפילטרים של קבוצות משתמשים, תאריכים, קבצים, ומשתמשים, מתן אתראות מפני פריצה אפשרית ונסיונות חדירה ועוד.
4. מעגל רביעי – הצפנת Data – מעגל זה כולל הצפנה אוטומטית של מידע בכל שלב של העלאה והורדה רצוי בסטנדרט של 256 AES/BIT – צופן מקובל שאומץ כתקן ההצפנה הסימטרית הרשמי של ממשלת ארה"ב וכן ישנה דרישה בתקן להבטיח שגם לעובדיו הבכירים ביותר של נותן השירות לא תהיה את היכולת לפענח מסמך כלשהו בשום דרך ובשום צורה שהיא.
5. מעגל חמישי – הרשת – על הרשת המאחסנת להיות מנוטרת באופן שוטף בפני איומים ובעלת קישורים מאובטחים נוספים לשדרת האינטרנט על מנת שתוכל להבטיח רמת ביצועים גבוהה, יתירות וזמינות מקסימאלית. על כל שרתי הרשת להיות מצויים מאחורי חומת אש איתנה (Firewall) המאפשרת נגישות סלקטיבית לשרותי המערכת במקביל לתהליכים אוטומטים ברקע לצורך בדיקות חדירה חיצוניות.
6. מעגל שישי – חוות השרתים – על חוות שרתים לעמוד בסטדנרטים ותקנים כאלו שיאפשרו בין היתר רמת יתירות גבוהה, גיבוי תחת אבטחה פיזית 24\7 ומאויישות בשומרים רצוי אף חמושים והכל תחת מדיניות גישה מחמירה וקפדנית, הכוללת מערכות לזיהוי ביומטרי, כספות וכלובים לאכסון מידע "רגיש". על ספק השירות להצהיר גם על עמידה בתקני ביקורת לספקי שירותים כדוגמת SSAE 16 Type II והרחבה של תקן SAS 70. תקן המבטיח כי נותן שירות עומד בתקנים חשבונאים מחמירים.
7. מעגל שביעי – משרדי נותן השירות ועובדיו-האבטחה מתחילה במשרדי נותן השירות עצמו, על פי התקנים יש לוודא קיומם של פרוצדורות עבודה במדיניות החברה. כל עובד צריך לעבור הכשרת בטיחות בה מועברים לו הפרוצדורות וההליכים הנוגעים לענייני אבטחה. קיומו של תקן SAS-70 audit report, יבטיח כי מתנהל רישום ותעוד מפורט לכך.
הכותב הינו דוד אלוש, מנכ"ל ומייסד חברת CloudCom, נציגת Box בישראל – פלטפורמת בינלאומית לניהול ושיתוף תוכן מאובטח מוצפן בענן.
למידע נוסף – טלפון 054-4637000 | מייל
