בעקבות CloudCon | אבטחה בעולם הענן – אתגרים ופתרונות
בכנס CloudCon האחרון, הציגו שי צלליכין, המנהל הטכנולוגי הראשי (CTO) של חברת קומסק, וגבי רייש, ראש תחום ניהול מוצרים בצ'ק פוינט, את האתגרים העיקריים בתחום אבטחת המידע במיחשוב ענן. בעקבות הכנס ראיינו את שני המומחים.
לדברי גבי רייש מצ'ק פוינט, בתחום מיחשוב הענן קיימים שלושה סוגים: ענן פרטי שבו ספק השירות והצרכן שייכים לאותו ארגון, ענן ציבורי שבו הספק והצרכן שייכים לארגונים שונים, וענן היברידי שהוא שילוב של שני הסוגים הראשונים."בעולם הענן הפרטי קיים אתגר רציני כיצד מגינים על המכונות הוירטואליות מפני תקיפות חיצוניות, ובמיוחד כיצד מגינים עליהן אחת מפני השניה במקרה שהן שוכנות על אותה מכונה פיזית אך שייכות לסביבות הגנה שונות כגון משאבי אנוש וכספים".
שי צלליכין מקומסק מציין, כי "בענן ציבורי קיימת סכנה ל-Loss of Governance. למעשה המשתמש אינו שולט על מה שמתרחש בתוך הענן. לא תמיד ניתן לבצע מבדקי חדירות, ולא תמיד ניתנת לצרכן גישה לביצוע של חקירה במקרה של אירוע אבטחת מידע". בעיה נוספת עלולה לנבוע מהעובדה שבעולם הענן מקובל כי ספקי השירות גם הם לקוחות ענן של מישהו אחר.
רייש מצ'ק פוינט אופטימי מעט יותר: "הענן הציבורי אמנם מציב אתגרים רבים אך כשם שאנו נותנים אמון בבנק כשאנו מפקידים דברי ערך בכספת שלו – כך עלינו לתת אמון בספק השירות של הענן הציבורי שחשוב לו להגן על נכסי המידע של לקוחותיו".
המנהל הטכנולוגי הראשי של קומסק מדגיש כי אין עדיין סטנדרט אחיד ליישום אבטחת מידע בענן או לתאימות לרגולציות. גם ריבוי "דיירים" בענן ציבורי עלול ליצור בעיה של אבטחת מידע. והאתגר הוא ליצור הפרדה מלאה כדי שלא תהיה זליגת מידע.
אתגר נוסף הוא תאימות לחוקים ותקנות.. צלליכין מציין כי, לדוגמה, "תקן האבטחה PCI לכרטיסי אשראי הוא בעל דרישות מורכבות וקשה לספקן במיחשוב ענן. בנוסף לכך, במיחשוב ענן המשתמש יכול להיות במדינה אחת וספק השירות במדינה אחרת, ואפילו ייתכן מצב ששרתי הענן ממוקמים במדינה שלישית. לפיכך יש לוודא שקיימים הסכמי הגנה על פרטיות, סודיות, או נהלי אבטחה בהתאם למקובל במדינת המשתמש".
קומסק יצרה שירות ספציפי הנקרא "מוכנות אבטחתית למיחשוב ענן" (Cloud Readiness). השירות כולל בדיקה של התחומים אותם מבקש הארגון להעביר למיחשוב ענן, ושורה של המלצות. התהליך מבוסס על נסיון של קומסק ועל מחקרים שהיא מבצעת, על מתודולוגיה של ENISA (הסוכנות האירופית לאבטחת רשתות ומידע) ועל מתודולוגיה של ארגון ה-CSA (ר"ת Cloud Security Alliance).
צ'ק פונט מספקת פתרונות אבטחה לענן פרטי וציבורי. "יש לנו גם אפשרות להשתמש במיחשוב ענן לצורך אספקת אבטחת מידע ללקוחותינו, במודל של Security as a Service" אומר רייש. הוא מציין כי לחברה יש מוצר בשם Security Gateway – Virtual Edition (או בקיצור: VE) שניתן להתקינו על מכונה וירטואלית, דבר ההופך את המוצר ל-Firewall ו-IPS של כל המערך הוירטואלי.
רייש אומר כי יותר ויותר מפעילים (operators) מתחילים לבנות עננים משל עצמם כדי לספק שירות ענן ציבורי ללקוחותיהם. "ה-VE הינו תשתית קריטית עבור מפעילים אלו. הוא מגן על המכונה הוירטואלית ותוך כדי כך גם מגן על השירות שהמפעילים מספקים ללקוחותיהם".
יחד עם זאת, מדגיש רייש, המשתמש עצמו יכול לבצע מספר דברים שיחזקו את האבטחה. דוגמא אחת – יש לוודא כי מי שניגש למיחשוב הענן מטעם הארגון אכן מורשה לעשות זאת. דוגמא אחרת – מידע רגיש המאוחסן בענן ציבורי רצוי להצפין, כך שגם אם חלילה מתרחשת תקיפה וחדירה לענן – המידע מוצפן. רייש מציין כי לצ'ק פוינט יש פתרונות לשני תחומים אלו.