שימוש בענן מביא איתו מגוון רחב של יתרונות, וגם סיכונים חדשים שיש לשים לב אליהם. כמו כן, שימוש בסביבות ענן דורש שינוי תפיסה, חשיבה ויצירתיות כאשר אנו רוצים להקים סביבה חדשה. טכנולוגיות בענן מתפתחות בקצב שיא, ושינויים קורים בתדירות גבוהה, כך שחשוב מאוד לבצע סקירה על צורת הארכיטקטורה שלנו באופן תקופתי, על מנת לוודא שאנו משתמשים בדרך המיטבית לנו להשגת היעד שלמטרתו אנו צורכים שירותים ענניים.
בנוסף, סקירת תצורת הארכיטקטורה לסביבות בענן מבטיחה לבעלי העניין שהתשתית הוגדרה כראוי על פי ההנחיות והשיטות המומלצות ותקני התאימות / הרגולציה.
עבור ארגונים ועסקים שכבר עברו לענן או מתחזקים סביבות ענן, לעיתים נרדשים שינויים בתצורת הרשת, הרשאות גישה למשתמשים, ארכיטקטורת יישומים ורכיבי הפלטפורמה וכמובן בקרות אבטחה. אך בנוסף לכל ההיבטים האלו, ואף על פי שארגונים מנהלים תהליכי תחזוקה סדירים, טעויות בארכיטקטורה, בחירת משאבים גדולים מהנדרש ושיטות עבודה מיושנות העשויות להוות ליקוי אבטחתי.
להלן כמה מדאגות האבטחה שאנו ממליצים לסקור במהלך סקירת תצורת ענן:
אימות, הרשאה וניהול זהות
יש לבצע הערכה לבקרות גישה, כולל פדרציה (Federation) ומימוש מנגנוני ניהול גישת זהות (באנגלית: Identity Access Management או בקיצור IAM). יש לבצע סקירה בקבוצות אבטחה כדי לוודא עקרונות אבטחה בסיסיים כמו מתן סט בסיסי של הרשאות לצורך ביצוע התפקיד של אותו משתמש (באנגלית: (Least privilege ושמירה על עקרון הפרדת תפקידים (באנגלית: (Separation of duties. חששות אחרים כוללים הגנה על חשבונות מורשים באמצעות טכנולוגיות מתאימות (לדוגמא: אימות דו שלבי).
תקשורת ורשתות בענן
יש לבדוק את תצורת הרשת העננית, לבידוד תקין וחציצה בין סביבות שונות בענן. לדוגמא, מיקום שרתים קריטיים ברשת וירטואלית ייעודית, ושרתים אחרים ברשת שונה. שימוש נכון בקבוצות אבטחת רשת ו ACL של רשתות, הצפנה מתאימה של תעבורת הרשת בסביבת הענן ומחוצה לה ובקרות אחרות, הנדרש להבטחת רשת מאובטחת בתשתית הענן.
מחשוב ענן
בחינה תקופתית של בחירת המכונות וירטואליות בענן על מנת לוודא שהן מותאמות כראוי לצורכי העבודה ומאובטחות מפני איומים שונים, כמו גישה לא מורשית.
אחסון בענן
לכל ארגון העובד בענן, קיים אחסון לשמירת המידע היקר לו. מידע זה יכול להיות מאוחסן במגוון תצורות, בין אם על גבי שרת, או שירות אחסון קבצים, אחסון אובייקטי Blob ועוד מגוון רחב של אופציות שונות לאחסון. על מנת לוודא שמידע זה שמור ומוגן מפני איומים שונים, יש לבצע סקירה תקופתית של כלל מערך ההרשאות, הגדרות הרשת והגישה למקור האחסון. במקרים רבים בעבר, מידע חשוב של חברות דלף עקב הגדרה לא נכונה לגישה למידע, כמו מתן הרשאת גישה למשתמש אנונימי. כמו כן חשוב לוודא שהמידע מוצפן לכל אורך הדרך, בין אם בזמן תנועה או בזמן האחסון.
שירותים מנוהלים
בענן קיימים אינספור שירותים מנוהלים שונים, שהגישה שלנו תהיה ספציפית מותאמת כלפי אותו השירות כאשר אנו באים להגן עליו. אך באופן כללי, תמיד יש לבחון את תצורת השירות, ולנסות לאתר מצבים של תצורה שגויה שעשויה לפגוע ברמת האבטחה.
חיסכון בעלויות והחזר על ההשקעה
עלויות השירותים בענן תמיד מהוות נושא רגיש כאשר אנו בוחנים היתכנות למעבר לענן. ארגונים שאימצו שירותי ענן נהנים מגישה לנתונים בכל מקום ובכל זמן. והענן מביא איתו יכולות שלא קיימות ברוב הסביבות המקומיות. מיגרציה לענן מצמצמת את עלות התשתית, עלות הניהול ותחזוקת הציוד, מה שמסייע להשגת החזר השקעה מהיר, לחיסכון, והאצת הזמן והדרך מפיתוח מוצר למוצר מוגמר.
סקירת ארכיטקטורה
לקוחות המכירים את מודל האחריות המשותפת של הענן יכולים להשתמש בבדיקת תצורה כמבחן לשימוש מיטבי בענן: עד כמה אתם משתמשים ביכולות האבטחה שספק הענן מציע? האם יש טעויות שעלינו לתקן במהירות האפשרית?
סקירת תצורת הארכיטקטורה וההטעמה בענן מתמקדת בעיקר בתשתית הענן ובאופן היישום שלהן. סקירה זו מספקת תובנות לגבי יעילות השימוש בענן, ובבקרות אבטחה שונות. בעוד שבדיקות חדירה מסורתיות בודקות זווית אבטחתית, סקירת ארכיטקטורה בודקת אספקטים אחרים, שבעקיפין גם יכולים להיחשב כאבטחה.
לסיכום
בשונה מסביבת On Prem שבה בחינה מחדש של ארכיטקטורת הסביבה מתבצעת במקרה של תקלה או במקרה בו אנו צריכים להחליף את החומרה, בסביבת הענן כדאי לנו לנצל את יתרון הגמישות ובכך לשמור על קדמה טכנולוגית וכמו כן גם על רמה גבוהה של אבטחת מידע. הענן מתחדש בתדירות גבוהה ומביא איתו פתרונות חדשניים שלא קיימים בסביבות מקומיות.
