עו"ד יהונתן קלינגר: "כדי שהענן יצליח – צריך להבטיח את אמון הלקוחות בשימוש בו"
הדברים נכונים בעיקר לגבי הענן הציבורי - אמר עו"ד קלינגר במסלול אבטחת ענן בכנס Cloudcon 2011 ● לדבריו, "הפתרון לכך הוא הגברת השקיפות מצד ספקי הענן, כדי שמנהלי הארגונים יוכלו לדעת מי ראה את המידע, מי ביצע תחזוקה ומתי"
"כדי שהשימוש בענן למטרות עסקיות יתרחב, צריך להגביר את רמת האמון שחשים המשתמשים הארגוניים, ובמיוחד מי שאחראי עליהם, בעבודה מול שרתים שנמצאים במקום לא ידוע ושאין שליטה במי שצופה בהם", כך אמר עו"ד יהונתן קלינגר.
עו"ד קלינגר דיבר במסלול אבטחת ענן שהתקיים במסגרת כנס Cloudcon 2011. הוא אמר, כי "היכולת של אנשי ה-IT בחברות המשתמשות בענן לגשת למידע אינה רק תיאורטית ואגבית, כמו במהלך תחזוקה, למשל. מדובר באיום מעשי לחלוטין".
לדבריו, "הפתרון לכך הוא הגברת השקיפות מצד ספקי הענן, כדי שמנהלי הארגונים יוכלו לדעת מי ראה את המידע, מי ביצע תחזוקה ומתי".
הוא הסביר, כי בתביעות משפטיות, יכול צד אחד לאגור מידע על הצד השני באמצעות גלישה בגוגל (Google) או באמזון (Amazon), ואף לראות מסמכים שלו. "בעולם הפיזי, אם מישהו היה מוציא נגדי צו תפיסה של מסמכים, הייתי מתחיל בדיון איתו", ציין. "בעולם הווירטואלי, חברות הענן, כמו אמזון, קודם כל מספקות לכל מי שהוציא צו משפטי את מבוקשו. אחר כך זה כבר מאוחר מדי".
"אבטחת הענן – לא דבר פשוט"
מוטי אלון, מנהל מוצר בחברת סייפנט (Safenet), הסביר שאבטחת המידע בענן איננה דבר פשוט, משום שבענן עצמו יש מספר שכבות: תשתית כשירות, פלטפורמה כשירות ותוכנה (או אפליקציה) כשירות. לדבריו, כשמעבירים תוכנה ממרכז המיחשוב המקומי לענן, חייבים לתת את הדעת לאבטחת כל השלבים, שאחרת – אחד מהם עלול להיות החוליה החלשה שדרכה יפרוץ האקר למערכת.
ברמת התשתית מנה אלון את ההגנה על הדיסקים ועל התקשורת שבה עוברים הנתונים מענן אחד לשני. ברמת הפלטפורמה, חברת הענן צריכה להבטיח שלא תהיה דליפה בין בסיסי נתונים של לקוחות וכן לדאוג שהלקוח יעמוד בתנאי הרגולציה המוכתבים לו. כך, למשל, באירופה חל איסור להעביר מידע ממדינה למדינה, ולפיכך – צריך לדאוג שהממשקים בין האפליקציה לבסיסי הנתונים או לקבצים תהיינה מוגנות. בשלב האפליקציה, צריכים ספקי הענן והלקוחות לדאוג להצפנה ולהגנות נוספות על הנתונים שעוברים בתוך היישום.
בהמשך תיאר אלון את מוצרי סייפנט העונים על בעיות אלה.
לנהל את המערכת מתוך מסך המשתמש
גיא בז'רנו מחברת Live Person סיפר כיצד, כספקית שירות אך גם כלקוח של חברות ענן שונות, דואגת החברה לעמוד בדרישת האמון.
"אנשים חששו מאובדן השליטה, ושאין שקיפות. הם לא יודעים מה קורה, וזו הסיבה מדוע האמון כל כך ירוד. אנחנו נותנים להם יכולת לנהל את המערכת שלהם בעצמם, מתוך מסך המשתמש", אמר. "אפשר להשיג אמון", הוסיף. "עובדה שיש לקוחות שנותנים בנו אמון ומפקידים את המידע הרגיש בידינו".
בז'רנו המליץ למשתתפי האירוע להבין תחילה מהו הסיכון. "בקשו בקרות רלוונטיות, הדגישו את ה-SLA המבוקש. פגשו את איש אבטחת המידע, אל תסתפקו באיש המכירות. בבואכם לדבר עם הספק החדש, שימו לב עד כמה הוא קשוב לצרכים שלכם, או שהוא נותן לכם סיסמאות כלליות של אבטחה. תבדקו אם הוא פרו-אקטיבי ומאתר את הבעיה לפני שהלקוח חווה אותה", אמר.
"נכון שמאבדים שליטה בענן", סיכם בז'רנו, "אבל במקום שניתן לקבל שליטה עליו צריך להיות שקוף. צריך לבדוק אצל הספק האם יש לו צוות אבטחה והאם יש לו מפת דרכים".
"הענן קורה – בגלל הגמישות"
גלעד פרן, מנכ"ל חברת פורטיקור, שאל האם נתונים יכולים לעמוד בסטנדרטים של בטיחות בענן הציבורי ואיך עושים את זה.
"כשמדברים על הענן, יש עובדת חיים אחת מוצקה: הענן קורה, ולא בגלל אבטחה אלא בגלל הגמישות. אתה משלם רק על מה שאתה משתמש, ורק בכל חודש – ולא שלוש שנים מראש. הוא קורה גם בגלל הסקלבליות".
הוא הוסיף, כי "צריך לדאוג שהספקים ישקיעו באבטחה וכן בעמידה בסטנדרטים. כדי שפתרון שלם יעמוד בסטנדרטים, גם הלקוחות צריכים לעמוד בהם. זה אפשרי כיום, בענן, וצריך לדעת איך לעשות זאת".
"האויב מבפנים"
רועי הדר, סגן נשיא למוצרים בחברת סייברארק, דיבר על "האויב מבפנים" – בעיות אבטחה בתוך הארגון. "כמעט חצי מהפרצות באבטחת המידע נובע משימוש לרעה בהרשאות", אמר.
הוא הוסיף, כי "בעולם הרגיל, של מרכזי המיחשוב, מנהלי הרשת, מנהלי השרתים ומנהלי בסיסי הנתונים יושבים אתכם באותו משרד. ראיינתם אותם לפני ששכרתם אותם ואתם עושים להם שיחות משוב. בעולם של מיקור-החוץ יש לכם ספק ואתם רואים את האנשים שלו. בעולם הענן אתה לא יודע מי הם, איפה הם בכלל. אאוטסיידרים הופכים לאינסיידרים. אלה אנשים שיש להם גישה ישירה קבועה למידע הכי רגיש שלך".
בהמשך, תיאר הדר את פתרונות סייברארק.
תגובות
(0)