אתגרי אבטחה בעולם החדש
כתב: לב אנדלמן, ה-CTO של SkyWiz מקבוצת TeraSky.
חלק גדול מאתגרי האבטחה בעולם הענן נובעים מהעובדה שמדובר בגישה של חלוקת אחריויות. אם בעבר התקנו פיירוול ובדקנו כל התראה על פריצה בניסיון לתקן אותה, הרי שבענן הציבורי השירותים שלנו יכולים להיות מנוהלים, או שפשוט אין לנו גישה לשרתים ברמה הפיזית. בהתאם לכך, גם תחזוקת האבטחה לא באמת נמצאת בשליטתנו המלאה – וזהו האתגר הראשון, שלרבים עדיין קשה להתרגל אליו.
האתגר השני נובע מכך שבענן, המשאבים הם דינמיים. לדוגמה, אם נשתמש ב-VM זמני של Google cloud (קרי, Preemptible VM) כדי להריץ עליו תהליך מוגדר כלשהו בפיתוח, הרי שאותו משאב ישרת אותנו לפרק זמן לא ידוע מראש, ואז ייעלם. אפשר כמובן לקחת הרבה מכונות כאלה למשימות הרלוונטיות ולהעלים אותן אחרי זמן קצר יותר, אך העניין הוא שבכל פעם יהיה צורך להתקין סוכן (Agent) על המכונה שהרמנו לזמן קצוב. זה נכון גם להגדרות בפיירוול ולסריקות אבטחה שצריך לעשות בכל פעם מחדש. זוהי משימה שגוזלת זמן, ובמידה מסוימת גם מסבכת את יכולת השליטה על היבטי האבטחה.
האתגר השלישי נובע מכך שבענן הכול משותף. בסופו של דבר, כולנו משתמשים בענן ברשת משותפת, בשרתים משותפים, ולמעשה חולקים את משאבי המחשוב עם לקוחות ומשתמשים אחרים, שמגיעים מארגונים אחרים ואפילו ממדינות שונות. אנשים רבים בתעשייה עדיין לא התרגלו לרעיון הזה והם מתקשים לקבל אותו בשוויון נפש.
עבודה בקונטיינרים והשלכותיה על האבטחה בארגונים
מעבר לענן, גם לעבודה בקונטיינרים יש השלכות ייחודיות על אתגרי האבטחה בארגונים. האתגר הראשון והעיקרי טמון ברשת המקשרת. הפיירוולים המסורתיים לא מסוגלים לרוב לנתח את התקשורת הפנימית שעוברת ביניהם.
אתגר אבטחה שני הכרוך בקונטיינרים נובע מכך שאנחנו מריצים את הקוד הפרטי שלנו בתוך קונטיינרים שלא אנחנו יצרנו, כך שאנחנו לא יכולים להיות בטוחים ב-100% שאין פרצות אבטחה. רק לפני כמה חודשים אירע מקרה מפורסם בו מפתח יצר קונטיינרים שנראו תקינים ומומלצים לשימוש, ואפילו זכו למספר מכובד של מיליוני הורדות, עד שהתברר שאותו מפתח שתל בקונטיינרים בוט של כריית מטבעות וירטואליים בשם Monero (שהגיע בעקבות כך לשווי של 90 אלף דולר), ולמעשה רתם את כוח המחשוב שלהם לגריפת הון לכיסו הפרטי.
כדי להתמודד בהצלחה עם אתגרי האבטחה של העולם החדש, מומלץ לבחון כלי אבטחה ותהליכים שיתאימו לסביבות גמישות, דינמיות ומבוססות ענן וקונטיינרים. פתרונות אבטחה מסורתיים לא יספקו מענה מלא לארגונים שמטמיעים כלי פלטפורמה כשירות (PaaS) כמו OpenShift של רד-האט או קוברנטיס של Google Cloud. חייבים לבצע סריקה לקונטיינרים במהלך תהליך הבניה, ולהמשיך ולבדוק אותם במהלך הריצה. חשוב להתייחס לשירותים המנוהלים שאין אליהם גישה ישירה, דרך קבצי לוג וממשקי API. אחת האפשרויות היא לפנות ליועצים מנוסים שכבר ליוו חברות בתהליכם אלה.
בכל שלב במסע של הארגון לאימוץ שירותי ענן חשוב להבין את הבעיות הטכניות וכן את האתגרים העסקיים, ולתכנן בהתאם לכך את ארכיטקטורת סביבת הענן. על ידי שימוש בכלים ובפתרונות המתאימים ניתן לשפר את היעילות והיציבות של סביבת הפיתוח בארגון, ולקצר את זמני ההגעה לשוק של פתרונות וגרסאות חדשות.
הכותב הוא בעל ניסיון וידע עמוקים ביישום ובהטמעה של מערכי ענן במגוון רחב של סביבות טכנולוגיות מתקדמות. הוא חי ונושם טכנולוגיה, ומיישם אותה בכיף.
צוות המומחים של SkyWiz מקבוצת TeraSky ישתתף ויציג ב-Red Hat Israel Forum 2018, שייערך ב-12 בנובמבר במרכז הכנסים אווניו שבקריית שדה התעופה. אתם מוזמנים לבקר בדוכן, ולדבר איתם על הכלים השונים והשיטות שעובדות בשטח.