מתודולוגיית אבטחת המידע בענן

השינויים הטכנולוגיים והצורך המתמיד בהתייעלות וחסכון, שלח ארגונים רבים וחברות בסדרי גודל שונים לפעול ולהתבסס על שירותי ענן המנוהלים על ידי ספקי שירותי ענן (Cloud Service Providers – CSP) .

ספקי שירותי ענן מאפשרים ללקוחות לפעול באמצעות שירותים אפליקטיביים מבוססי ענן (Software as a Service – SaaS), פלטפורמה תפעולית אצל ספק ענן (Platform as a Service – PaaS) ותשתיות תקשורת ומחשוב ייעודיות אצל ספק ענן (Infrastructure as a Service – IaaS). כמו כן, כיום ניתן לקבל שירותים נוספים דוגמת שירותי אבטחה בהם Security as a Service (SecaaS), מהם ניתן לרכוש שירותי הגנה שונים כגון WAF, DLP ועוד.

ניוד פעילות הארגון לתשתית מבוססת ענן חושפת את הארגון במידת מה לסיכוני אבטחת מידע ושרידות. במיוחד אם ספק הענן (Cloud Service Provider – CSP) לא יפעל באופן מיטבי כדי לספק שירותים איכותיים ובטוחים. לאור מגוון הסיכונים הקיימים והחשיפות הידועות הוקם לפני מספר שנים, ארגון בשם CSA שמטרתו העיקרית להוות בסיס מידע ומתודולוגיה בשאלות כיצד יש לאבטח שירותי ענן באופן ראוי. ארגון ה-CSA גיבש מתודולוגיה לאבטחת ענן, על בסיס הגדרות ודרישות של תקנים מקצועיים דוגמת NIST, ISO27001 ו- PCI DSS המבוססת על 14 פרקים, תחת שלושה מודולים שונים המתייחסים בין היתר למבוא לארכיטקטורת ענן, הערכת סיכונים, ניהול מידע ואבטחתו הפיזית והלוגית, הצפנה, ניהול אירועי אבטחת מידע, ניהול המשכיות עסקית, ממשל ארגוני, ציות ובקרה, סוגיות משפטיות, חוזים וניהול ראיות תאימות לחוקים ודרישות רגולציה.

כנגזרת מהמתודולוגיה שגובשה, ייצר ארגון ה- CSA, מטריצת בקרות שמטרתה לשקף את מידת מוכנות ספק שירותי הענן (CSP) בהיבטי אבטחת מידע, ניהול סיכונים ושרידות ללקוחותיו וללקוחות פוטנציאלים אשר מעוניינים לרכוש את שירותיו. ארגון המספק שירותי ענן (CSP) יכול לענות על שאלון עצמאי המבוסס על אותן בקרות, ולהציג לראווה את מידת עמידתו באותן בקרות באתר ה-CSA. בנוסף לכך, ארגון ה- CSA מנפיק הסמכה תחת השם STAR לצורך מדידת ספקי שירות הענן (CSP).

לגופים המספקים שירותי ענן (CSP) נציע לפעול במתווה המפורט:

• מילוי שאלון הערכה עצמית (CAIQ – Consensus Assessments Initiative Questionnaire)

סקירת הסטטוס הנוכחי של החברה המספקת שירותי ענן וזיהוי פערים בנושאי אבטחת מידע וניהול סיכונים בהתאם לדרישות תקינה הנסמכות על מסמך בקרות להסמכה עפ"יCloud Security Alliance (CSA), "CLOUD CONTROLS MATRIX VERSION 3.0".

מתווה הפעילות:

• פעילות זו מבוססת על תשאול הגורמים הרלוונטיים אצל ספק שירותי הענן (CSP), בחינת מדיניות הארגון והנהלים הרלוונטיים, קיומן של הסמכות קודמות והשוואת הממצאים לדרישות. במידת הצורך, ניתן לשלב מבדקי Hands-on לתשתיות ואפליקציות נדרשות לצורך הערכת רמת עמידתן בדרישות.
• שאלון מלא המסכם את המצב הרצוי מול המצב המצוי בפועל בכל אחת מהבקרות הנדרשות, הוא תוצר של שלב הסקירה.

ליווי בתהליך הסמכת STAR

סקירת הסטטוס הנוכחי של ספקית שירותי הענן וזיהוי פערים בנושאי אבטחת מידע וניהול סיכונים בהתאם לדרישות תקינה (STAR Certification) הנסמכות על מסמך בקרות להסמכה עפ"יCloud Security Alliance (CSA), "CLOUD CONTROLS MATRIX VERSION 3.0".

המלצות לאופן טיפול בפערים וליווי הארגון ביישומן.

מתווה הפעילות:

• פעילות זו מבוססת על תשאול הגורמים הרלוונטיים אצל ספק שירותי הענן (CSP), בחינת מדיניות הארגון והנהלים הרלוונטיים, קיומן של הסמכות קודמות והשוואת הממצאים לדרישות. בנוסף יבוצעו מבדקי Hands-on לתשתיות ולאפליקציות לצורך הערכת רמת עמידתן בדרישות.
• טיפול בפערים יבוצע ע"י גורמי הארגון בסיוע יועצים מיומנים ומומחים או באחריות מלאה הכוללת טיפול מלא ע"י אבנת בנושאים דוגמת הקשחת רכיבים, מבדקי חדירה וכו'.

לגופים המעוניינים להשתמש בשירותי ענן ניתן להציע:

• ייעוץ וליווי העברת שירותים לענן

1. איפיון הצורך – הגדרה ותיחום של השירות שיועבר לענן כולל התייחסות לסוג הענן (SaaS / PaaS / Iaas)

2. הכנות נדרשות בצד הארגון כולל התייחסות להיבטי רגולציה ותקינה

3. תהליכי עבודה לביצוע המעבר

4. בחירת ספק מתאים

נושאים נוספים בהם אבנת יכולה לסייע:

• סיוע בגיבוש נוהל עבודה עבור צוות אבטחת מידע והתמודדות עם אירועי סייבר. היקף העבודה ישתנה בהתאם לארגון.
• בדיקת הערכותם של ספקים חיצוניים באשר למוכנותם לספק שירותים בשגרה ובעת חירום.
• מתן מענה פורנזי (Forensic analysis) לאירועי אבטחה, מצד הלקוח ומצד ספק שירותי ענן (CSP).
• תחזוקה ובקרה- ביצוע בקרות תקופתיות על העדכניות והתאימות של פתרון הענן, מצד הלקוח ומצד ספק שירותי ענן (CSP).

הכותב הוא מומחה אבטחת מידע בענן, בחברת אבנת סייבר ואבטחת מידע