מדוע הענן הוא התשובה לטרנס' דיגיטלית בטוחה של ארגוני ממשלה?

מאת ניר עוז

ממשלות ברחבי העולם מעבירות עומסי עבודה לענן, וסביר שישמרו על סביבת ענן היברידית בעתיד הנראה לעין. אולם למרות שלענן היברידי יש יכולת להפוך את סביבות ה-IT לבטוחות יותר, שורה של חששות ומיתוסים ממשיכים לגרום למנהלי מערכות מידע ואבטחת מידע ממשלתיים להתקדם בזהירות עם הפריסה.

אלו האתגרים שאיתם  מתמודדים ארגונים ציבוריים בבחינת המעבר לענן:

ראשית, חוסר בהירות לגבי אחריות האבטחה בין הלקוח לספק עלול לטשטש במהירות את הקווים המתווים את האחריות על קביעת מדיניות אבטחה ושמירה על תקני תאימות, בייחוד במודל ענן היברידי. אי ודאות סביב תחומי האחריות עלולה להוביל לפריצות אבטחה חמורות.

מענה: ספקים מובילים מגדירים בבירור תחומי אחריות ומציעים מטריצה, המראה בבירור היכן אחריות  הלקוח והספק מצטלבות והיכן הן מתפצלות וגם מאפשרת למנהלי IT ממשלתיים להציג בפני עורכי הביקורת איזה ארגון אחראי לדרישות רגולטוריות ספציפיות ולפונקציות הדיווח והביקורת.
שנית, עננים היברידיים פירושם יותר עבודה עבור צוותי האבטחה. חשש פרגמטי זה נובע מהדאגה שעומסי העבודה הניהוליים על מחלקות ה-IT יוכפלו למעשה, אם הטכנאים ייאלצו לבצע את משימות ניהול המערכת הנוכחיות שלהם במקביל לאחריות חדשה סביב אבטחת שירותי הענן.

מענה: פלטפורמת הענן הנכונה  מצמצמת משימות ניהול המערכת. הפתרון יהיה  הטמעת מדיניות וכלים לריכוז ניהול האבטחה של המשאבים המקומיים ומשאבי הענן. ניהול תצורה הוליסטי הזמין ב-Google Cloud הוא דוגמה אחת לאופן שבו שירותי ענן יכולים לחזק את האבטחה בענן  היברדי. תצורה זו משמשת  את צוותי ה-IT לצורך פריסת בקרות אבטחה בכל הסביבה הדיגיטלית.

בנוסף, מנהלי IT חוששים שמעבר לענן יוביל  לאובדן  יכולת הגישה של עובדים וספקים חיצוניים לנתונים רגישים המאוחסנים בענן.

מענה: שירותי הענן הטובים ביותר מספקים נראות מלאה בקונסולת ניהול מרכזית, לצפייה בפעילות בכל סביבת הענן ההיברידית. בנוסף, ניהול המידע מאפשר לצוות האבטחה לנהל את הסביבה באופן מרוכז וליישם במהירות מדיניות חדשה לפי הצורך

אין ספק שענן היברידי הוא הבסיס לטרנספורמציה דיגיטלית, אבל המפתח לטרנספורמציה מאובטחת הוא בחירת ספק הענן המתאים לגופים ממשלתיים שונים.

מה חשוב שמנהלי מערכות מידע ואבטחת מידע  ייבחנו טרם בחירת ספק ענן ? תשובות לשאלות הבאות יעזרו לגופים אלו להתגבר על חששות הקשורים לאבטחת הענן.

1. מה רמת ה-Turnkey של הגדרות האבטחה?
מגוון רחב של הגדרות ברירת מחדל לאבטחה יסייע למחלקות IT להימנע מאחריות ניהולית מוגברת בעננים היברידיים. למעשה, הגדרות ענן מיטביות יכולות אפילו להפחית את עומסי העבודה של צוותי האבטחה. לדוגמה, Google Cloud מציע בקרות אבטחה קריטיות כמו הצפנת נתונים, אימות רב-שלבי ותיקון אוטומטי כברירת מחדל.

2. האם דירוג הביצועים שפורסם על-ידי ספק הענן לוקח בחשבון מצבי ניצול משאבים (Overhead) בהגדרות האבטחה?

ספקי ענן מפרסמים מספרים המתייחסים לביצועי נתונים מסורתיים כאשר מופעלות הגדרות אבטחה סטנדרטיות; אם ספק פוטנציאלי לא מציע זאת כסטנדרט, בקשו מפרט מעודכן כדי לבצע השוואות מדויקות.

3. איך נדע שקונסולת הניהול תיתן לנו את מלוא הנראות והשליטה הדרושות לנו?

הקונסולה אמורה להציג את התעבורה הזורמת אל הרשת הארגונית וממנה, כולל שירותי ענן. לא פחות חשוב- הכלי צריך לדווח למנהלי המערכת אילו משתמשים (פנימיים וחיצוניים) או ישויות דיגיטליות מנסים לגשת לנתונים וליישומים. בנוסף, יש לבקש רשימה של כל האינטגרציות שהוא מציע כחלק מהתחברות למוצרים של ספקי אבטחת סייבר אחרים.

4. אילו כלים אנליטיים מצורפים כסטנדרט כדי להעריך את מצב האבטחה של הענן ההיברידי שלנו?

יישומים מתוחכמים לביצוע אנליזה בנתונים של יומני רישום(access logs) ונתונים אחרים הקשורים לאבטחה, יסייעו לארגונים לחשוף פעילות רשת חריגה שעלולה להצביע על סיכונים מוגברים.

דרך מאובטחת לשיפור השירותים לאזרח

לפי מחקר של המרכז לממשל דיגיטלי ומחקרים אחרים, אימוץ הענן במגזר הציבורי ימשיך לגדול. מודל הענן ההיברידי בפרט, מאפשר לארגונים לשלב שירותים מודרניים במקביל לניצול ההשקעות במרכזי הנתונים הקיימים.  מנגד לעננים היברידיים יש פוטנציאל להציג אתגרים חדשים, כמו עומסים אדמיניסטרטיביים מוגברים או היעדר נראות למצב האבטחה של הסביבה המלאה. ספקי שירותי הענן המובילים מבינים את הסיכונים הללו ומציעים פתרונות מקיפים כמענה לבעיה זו. באמצעות הצגת השאלות הנכונות וקבלת מידע, ידעו מנהלי IT לבחור את ספק הענן המתאים לצורכי הארגון, כזה שיציע רמת שירות משופרת לציבור.

מעוניינים לשמוע עוד?

הקשיבו לפודקאסט ייעודי בנושא – SECURITY SOLUTIONS IN THE PUBLIC SECTOR.

הכותב הוא ארכיטקט פתרונות ענן, מגזר ציבורי, Google Cloud.