שיפור נוהלי האבטחה בעידן הענן (04.26.24)
מחשוב ענן משגשג וקליטת השירותים מבוססי הענן גדלה משמעותית בשנים האחרונות. כמעט בכל הארגונים הקטנים, הבינוניים והארגונים יש איזושהי יוזמה לשינוי דיגיטלי או אסטרטגיית מחשוב ענן. אבטחה היא מרכיב עיקרי בתעשייה, וההגנה על נתונים רגישים ומידע מועדף היא בראש סדר העדיפויות.
ספקי שירותי ענן מפעילים פלטפורמות מאובטחות מהותיות שתוכננו מהיסוד לשמירה על נכסים עסקיים ושליטה. גישה בשיטה הגיונית, אך מאובטחת. למרבה המזל, בבחירת שותף ייעודי לענן, עסקים יכולים לבחור להתחבר ישירות לפלטפורמת אבטחה כשירות קיימת, כזו שתוכננה כבר להתעלות על השיטות הטובות ביותר בתעשייה וכזו שיכולה להקל על המורכבות הטכנית ועלויות עצומות של גישה ביתית, DIY.
אבטחת הענן היא אחריות משותפת בין הספק, הצרכן וכל צד שלישי רלוונטי. אין ספק שקבלת החלטות אבטחה חיונית בעידן הענן, כל הפלטפורמות מבוססות הענן חייבות לצרוך שירותי תשתיות ענן בשקידה. עדיין קיים סיכוי ממשי מאוד שמנהל מערכת חסר חשד עשוי להגדיר שגוי של שרת ענן, מה שעשוי להשאיר את הדלת פתוחה לרווחה לכל המערכת. ילידים או מערכות שעוברים לספק ענן, אבטחה מלאה עקב בדיקת חריצות. תהליך זה נועד להבין כיצד נתונים רגישים משותפים וגישה אליהם. הידיעה המדויקת של הנתונים שיש לך, כיצד אתה מעבד ומשתנה את הנתונים והיכן נתונים אלה נשמרים או מועברים היא רכיב נדרש לבדיקת אבטחה.
ניתוח הוא פעילות מאתגרת וגוזלת זמן להשלים, אך חיוני לזהות נתונים רגישים או מוסדרים ולנקוט בפעולות מתאימות כדי להגן עליהם. לספקים רבים יש כלים מבוססי סוכנים שיכולים לשלוח את נתוני תצורת המערכת וההתקנה ישירות לבדיקה. התהליך האוטומטי לוקח מספר דקות לתצורה, אך הוא יכול לסייע ביצירת סכמה של הסביבה הקיימת.
המידע שנאסף עוזר לביקורת על פלטפורמת הענן הקיימת או המוצעת, והוא כלי נהדר לזיהוי ומניעת שרת תצורה שגויה. זה יכול גם לחשוף כל התנהגות זדונית או בלתי צפויה המתרחשת ברשת. דוגמאות לכך כוללות משתמשים המשתפים אישורים, שירותי מערכת הפועלים בחשבון משתמש בספריה פעילה, מדיניות סיסמא חלשה או הרשאות קבצים ותיקיות חלשות.
המטרה היא לפתור את הבעיות לפני המעבר לענן. זה בשלב מוקדם זה שבו הכשרת העובדים כבר אמורה להתקיים. שיתוף מידע והצעת הדרכה אודות השאיפות העתידיות של אסטרטגיית הענן הם התחלה נהדרת. התאמן בנוגע לגינוני השותפים, המשתמשים והמחשבים שנבחרו, וספק פרטים אודות שיטות עבודה מומלצות בנושא אבטחה כדי לסייע במניעת תוכנות זדוניות, וירוסים ותוכנות כופר.
הגנה על שירותי ענןחייבת להתבצע עבודה רבה בכדי לארכיטקטורה של אדריכל פלטפורמת הענן של הארגון. ברגע שעומסי עבודה בייצור מתחילים לפעול בענן, יש לבחון מחדש את ארכיטקטורת האבטחה כדי לוודא שהיא מתאימה למטרה. רוב ההגנות על שכבת החומרה כגון הצפנה, פילוח רשת וחומות אש כבר יהיו במקום, והתהליכים יותאמו היטב על ידי הספק.
יש ליצור ולבדוק מספר מדיניות אבטחה. אלה מכסים היבטים חשובים הנוגעים לשליטה בנתונים. קיבולת האחסון הכמעט בלתי מוגבלת של הענן היא פנייה ענקית לעסקים. עם זאת, סוג האחסון והבקרות שהוצבו הם בעלי משמעות רבה. מדיניות לגבי אילו נתונים נשמרים ובאיזה מיקום? האם נתונים רגישים מותרים מעבר לים, או שעליהם להישאר בחו"ל מסיבות של תאימות?
בדליים לאחסון חייבים להיות בקרות ביקורת הנוגעות ליצירה ומחיקה של נתונים. יש לבדוק בקרות גישה כדי להבטיח שלמשתמשים מורשים יש הרשאות נכונות לתפעל קבצים. מתקיימים בקרות כדי לפקח על תקופת השמירה והמחיקה של הנתונים, יש עסקים שבוחרים לשמור נתונים עד שבע שנים, לאחר תקופה זו על הארגון מחויב למחוק את הנתונים. אחסון בענן יכול להפוך את הרוב המכריע של כאב הראש הזה לאוטומטי.
שלמות הנתונים חיונית בעידן הענן. מומלץ מאוד שכל הנתונים בענן יהיו מוצפנים, רצוי להשתמש במפתחות ההצפנה שלך. יש לבצע אמצעים למניעת העברת נתונים למכשירים חיצוניים, כגון מחסן נתונים לכונן עט USB. סוויטות אבטחה רבות מציעות פונקציונליות זו מחוץ לקופסה.
נוהג אבטחה חשוב נוסף הוא מעקב מתמיד אחר פגיעויות אבטחה בסביבה כולה. זו משימה מכריעה שעשויה לדרוש צוות אנשי מקצוע בתחום האבטחה לבצע. פלטפורמות אבטחה משמשות לסריקת כתובות IP חיצוניות הפונות לציבור מהאינטרנט הציבורי, וגם אנשי מקצוע של SecOp סורקים רשתות ומערכות פנימיות לאיתור חולשות.
פעילות זו יוצרת מספר רב של פעולות הנדרשות לתיקון הפגיעות. דוגמאות אופייניות כוללות חולשות שנמצאות במערכת ההפעלה וביישומים, צופי אבטחה חלשים המשמשים באתרים, וסיסמאות חלשות או ברירת מחדל בהן משתמשים. הסריקות הושלמו גם כנגד מאגר נרחב של נקודות תורפה ידועות. כל פגיעות מדווחת והיא כוללת את החומרה ואת הסיכון האפשרי לנצל.
אימות מולטי פקטורים (MFA) הוא התקן הצפוי לאבטחת גישה לשירותי ענן. השיטה הנפוצה ביותר לקבל גישה היא לספק שם משתמש, סיכה אישית וקוד מאובטח ממכשיר, בדרך כלל טלפון נייד. הגנות אלה נמצאות בדרך כלל בשכבת הרשת, כגון הפעלת מנהרת VPN לענן היעד VPS, אך ניתן להשתמש בהן כשכבת אבטחה נוספת לאתרים ולשרתי ייצור רגישים.
ארגונים רבים הולכים צעד קדימה ומסמנים את כל תעבורת הרשת באמצעות שירות סינון הבודק חבילות עם כניסתם או יציאתם לרשת. גישה זו משפרת את יכולות הרישום והמעקב, אך פשוט מאוד לרשום שחורים כתובות לא מורשות.
SecOpsלאחר שמערכות המחשב של הארגון הוטמעו בענן, ישנן דרישות פעילות תפעוליות יומיומיות רבות. . תהליכים אלה נועדו לשפר את שיטות העבודה המומלצות בתחום האבטחה בעידן הענן. עדכון ושינוי מתמיד של מדיניות הגישה לענן מסייע לעסקים להקשיח את הגישה ומסייע להבטיח למשתמשים המאושרים גישה למערכת בלבד.
ניהול מידע אבטחה מחייב נהלים טכניים עדכניים ונהלי הפעלה מתועדים זמינים לפלטפורמת הענן. זה משרת מספר מטרות. זה עוזר בהעברת ידע והכשרת עובדים ומספק לארגון יכולות רציפות עסקית. שיטות עבודה מומלצות בתחום האבטחה מכתיבות כי נהלי הפעלה מחדש של המערכת ושחזור נתונים זמינים במקרה של כשל במערכת.
על התיעוד להגדיר במפורש כיצד הארגון מעבד ומטפל במידע, מגדיר את מדיניות הגיבוי, כולל דרישות תזמון (התחלה / זמן סיום של משימות), וכוללים הוראות לטיפול בשגיאות או בתנאים חריגים אחרים, כמו גם אופן עיבוד המידע הסודי ונפטר מאובטח.
תרגול האבטחה של SecOps מכסה את תהליך ניהול השינויים. זה כולל רישום שינויים משמעותיים, תכנון ובדיקת שינויים, כולל הערכות השפעה. כל השינויים חייבים להיות מאושרים על ידי פאנל הכולל קציני אבטחה, וכל האנשים הרלוונטיים יתעדכנו.
שיטות אבטחה אחרות שיש לציין כוללות תכנון ניהול יכולות, והפרדה בין מתקני פיתוח, בדיקה וייצור. יישום בקרות נגד תוכנות זדוניות והבטחת בקרות האנטי-וירוס. גיבויי המערכת וגיבויי הנתונים הושלמו והמידע נשמר בהתאם לחקיקה המקומית (GDPR או CCPA).
רישום וביקורת מפורטת של שירותים הם מאוד רצויים. ניתן לאסוף ולשמור רשומות בפלטפורמת SIEM. זה כולל את רמות הרישום המתאימות שמופעלות בשרתי אינטרנט, שרתי יישומים ומוצרי מסדי נתונים. אזורים אחרים כוללים ניטור גישה מורשית, ניסיונות גישה לא מורשים, התראות מערכת וכל שינוי שנעשה בהגדרות אבטחת המערכת.
סרטון יוטיוב: שיפור נוהלי האבטחה בעידן הענן
04, 2024