אבטחת מידע בפתרונות ענן לניהול משאבי אנוש

המעבר של ארגונים למחשוב ענן איננו בבחינת חדשה כבר זמן רב. ארגונים רבים נמצאים בשלבים מתקדמים של הגירת תשתיות המחשוב שלהם לענן, וחברות מחקר צופות, כי כבר בתחילת שנת 2019, תתרחש נקודת המפנה בה סה"כ ההוצאה בעולם על פתרונות IT בענן, תעלה על ההוצאה הארגונית על טכנולוגיות IT שאינן בענן.

בפועל, המשמעות היא שארגונים מחזיקים יותר ויותר מערכות ותשתיות בענן, החל מתשתיות פיתוח, אחסון, אימייל, CRM, ERP ועוד. משתנים נוספים שנכנסים למשוואה הנם; יכולת המשתמשים להשתמש בפתרונות הענן תוך שימוש במגוון רחב של Devices – תוך דגש על מובייל, וכן היכולת של מנהלים בארגון ליצור התקשרות עם ספקי ענן "מתחת לרדאר" של גוף ה- IT וה- Compliance בארגון.

מגמה זו יוצרת אתגר חדש לארגון סביב יצירת שליטה ארגונית מרוכזת על השימוש בפתרונות ענן, בהיבטי אבטחה, Compliance, Cyber וכדומה.

אתגר זה הצמיח בתקופה האחרונה תעשיה שלמה של פתרונות המציעים מעטפת אבטחה ארגונית, לכלל פתרונות הענן בהם משתמש הארגון. המשפחה הבולטת ביותר בתוך מגוון פתרונות אלה נקראת (CASB (Cloud Access Security Broker.

פתרונות CASB, מספקים שכבה של אמצעי הגנה שאינם זמינים באמצעות Firewalls, Application Firewall, וכלים אחרים של Web Access Gateways. אמצעי הגנה אלה לוקחים בחשבון מראש את סוג האיומים הטמונים בפתרונות ענן, ומציעים מרחב יכולות התחברות וניטור רלוונטיות, וכל זאת בדגש על SaaS (למרות שקיימת מגמה ברורה להתרחבות של עולמות PaaS ו- IaaS).

אז מה בעצם פתרונות ה- CASB מציעים:

  • Shadow Cloud Detection – אפשרות לנטר את השימוש בשירות הענן, להבין מי משתמש, כיצד משתמש, איזה פעולות מבצע, מאיפה, באמצעות איזה Devices ועוד.
  • Access Control – למרות שיכולת זו ניתנת בדרך כלל כחלק מפתרון הענן הספציפי, פתרונות CABS לעיתים מספקים יכולת משלימה, המאפשרת ניהול גישה ברמה גרנולרית יותר ממה שפתרון הענן יכול להציע.
  • Data Security – פתרונות CABS מאפשרים יצירת בקרות על סוגי מידע רגיש, כגון אזהרות או התראות במידה והתבצעה גישה למידע מסוים.
  • Cyber Security – יכולות לשלוט על גישה של סוגי Devices או Devices ספציפיים, כמו גם האפשרות לנטר התנהגויות חריגות כדי למנוע חטיפה של חשבונות, כופרות ונוזקות.
  • Compliance – פתרונות אלה מאפשרים יצירת שגרות ניטור מנוהלות אשר מסייעות בעמידה בדרישות Compliance.

לאחרונה, הוציאה חברת המחקר KuppingerCole דוח השוואתי המספק תיאור מפורט של השחקנים במרחב ה- CASB, ובין השאר מונה חברות כגון אימפרבה, FireLayers, CipherCloud, מייקרוסופט (על בסיס Adallom הישראלית), IBM Security, NetScope, CensorNet, SkyHigh Networks כחברות הבולטות בתחום זה.

למרות האמור לעיל, צריך לזכור כי תחום ה- CASB הוא תחום יחסית חדש, שהטמעתו נתקלת בלא מעט קשיים, וכלל לא ברור אם בעוד כמה שנים נראה כלי CASB כסטנדט ארגוני. המכשולים הם בין השאר – הצורך בביצוע אינטגרציה ספציפית בין כלי ה- CASB לכל אחד משירותי הענן אותם הארגון צורך מחד, ומאידך פיתוח יכולות ניטור מתקדמות בתוך שירותי הענן עצמם, שמייתרים לעיתים את הצורך בכלי חיצוני.

יכולת מעניינת נוספת הנה בתחום ה- Active Encryption.

כמעט כל ספקי הענן, מספקים היום יכולת הצפנה במצב Rest, כלומר המידע מוצפן כשהוא במצב "מנוחה" בבסיס הנתונים. יכולת זו הנה אפקטיבית מאוד כאשר קיימת פריצה לבסיס הנתונים, אולם זהו תרחיש שאינו חלק מהאיומים המסוכנים והקריטיים ביותר עמם ארגונים נדרשים להתמודד כיום, ובפרט איומים בשכבת האפליקציה (Application layer) כגון: גניבת זהות, גניבת חשבון במערכת, פריצה ל- API, ואף דרישה מרשות ממשלתית לחשיפת מידע (לדוגמה Patriot Act בארצות הברית, מחייב חברות תוכנה אמריקראיות לחשוף מידע על לקוחותיהן במידה וידרשו לכך על ידי רשויות פדרליות).

גישה מעניינת לבעיה זו מוצעת כיום על ידי חברת CipherCloudי(www.ciphercloud.com) המאפשרת כיום הצפנה של המידע בכל המצבים (Data in Transit, Data in Use, Data on Mobile Devices). על קצה המזלג, הפתרון של CipherCloud מאפשר הצפנה של המידע לפני יציאתו של המידע את הארגון, תוך שימוש במפתחות הצפנה בהם מחזיק הארגון עצמו. המידע שמאוחסן בסופו של דבר בשרתי ספק שירות הענן הוא מידע מוצפן, שלספק הענן אין כל יכולת לפענח, מכיוון שמפתח ההצפנה פשוט אינו בחזקתו.

לסיכום, פתרונות הענן של החברות המובילות היום הנם בדרך כלל פתרונות ברמת אבטחה גבוהה, אך יחד עם זאת, ובהתאם לרמת הרגישות הארגונית לנתונים, תמיד ניתן להוסיף שכבות הגנה נוספות.

כלי ה- CASB, מאפשרים כלי ניטור אשר יכולים לסייע בצמצום הסיכוי להתרחשות אירוע אבטחה. כלי ה-Active Encryption של CipherCloud מאפשר צמצום הנזק לכדי נזק אפסי, וזאת במידה וארוע אבטחתי כזה מתרחש בכל זאת, משום שבנקודת הקצה מאוחסן מידע מוצפן שאין דרך מעשית לפענחו.

לאחרונה, ביצענו מספר בדיקות מקיפות לשילוב פתרון הענן של SuccessFactors SAP עם פתרון CipherCloud וזאת על בסיס אינטגרציה אותן פיתחו שתי החברות. התרחישים כיסו מצבים של הזנת נתונים באמצעות CipherCloud ובחינת ההצפנה שלהם, בחינת של השפעת ההצפנה על תהליכי חיפוש אינטגרציה ודוחות ועוד. התוצאות היו מדהימות, ואנו מאמינים כי לקונספט זה של Active Encryption צפויה הצלחה רבה.


אודות הבלוג

AKT הינה חברת הייעוץ למשאבי אנוש הגדולה בישראל. החברה מונה כ-100 יועצים ואנשי מקצוע ופועלים בה הצוותים המובילים בתחומם. אנו משרתים למעלה מ-100 לקוחות, מהארגונים הגדולים במשק, הרואים באנשיהם את המשאב המשפיע ביותר על תוצאותיהם העסקיות. בבלוג זה נשתף בניסיון ובידע שצברנו במאות הפרויקטים שניהלנו לאורך השנים.

הירשמו לעדכונים באימייל

פוסטים אחרונים

פוסטים לפי נושאים