שירות Cloud App Security

המידע שעובר בשירותי הענן השונים משאיר אותנו אנשי הסיסטם ואבטחת המידע עם חוסר ידיעה וחוסר שליטה לגבי: המידע שעובר, איומים ופירצות שכבר קיימות. למעשה החלק האפור שנקרא Shadow IT ולמעשה הוא הבעיה אנו צריכים לתת לה מענה וכאן נכנס שירות Cloud App Security.

שירות Cloud App Security או בשמו הקצר CAS הוא רכיב חשוב ואף קריטי במעבר אל שירותי הענו השונים. CAS הינו פתרון מקיף שמסייע לארגונים לנצל את כל היתרונות וכל היכולות הקיימים של אפליקציות ענן ומשפר את יכולות הניהול של הארגון (Visibilty & Activity).
בנוסף לכך CAS מספק שיפור משמעותי ע”י הגנה על מידע חיוני על גבי הענן, הכלים והיכולות שמגיעים עם CAS מאפשרים לנו לעבור אל הענן בצורה בטוחה יותר בגלל אפשרויות ניהול ואכיפה, כגון:

• מענה של Shadow IT
• הערכת סיכונים על מידע שעובר
• אכיפת מדיניות בהתאם לסיכונים ולרגולציה ארגונית
• תחקור פעילויות של אפליקציות ומידע שעובר בכדי לתת מענה מיידי
• מענה ועצירה של איומים על מסך תחקור ואכיפה שנעשית

שירות CAS מאפשר לנו לזהות, לחקור ולשלוט במידע שעובר על גבי הענן ולתת מענה לאיומים בצורה מיידית. בסופו של תהליך שירות CAS צריך לתת לנו מענה בכדי שנוכל לדעת איזה אפליקציות מאושרות וניתן לחתום אותם ואיזה אפליקציות אינן מאושרות. (Sanctioned Apps).

ארכיטקטורה, מבנה ותהליך

כאשר אנו עובדים עם CAS המבנה של השירות מורכב מתצורה של מספר מאפיינים ושלבים שמלווים אותנו. אותם מאפיינים מאפשרים לנו לחלק את הפעולות שאנו מבצעים בכל איום, מקרה ופעולה שאנו מבצעים מול שירות CAS.

מבנה ושלבים

המבנה בנוי מארבעה שלבים:

Discover – בשלב זה אנו משיגים את הראות והצפיה לגבי כל האפליקציות בארגון ע”י ביצוע גילוי אפליקציות, גיולי פעולות, גילוי אפליקציות צד שלישי וגילוי של מידע וקבצים שעוברים מול סביבת שירותי הענן. למעשה בשלב זה אנו כבר מתחילים לתת מענה לנושא Shadow IT בכדי לגלות מה עובר לנו בארגון ולכסות את החלק האפור שאיננו מכירים כלל.

Investigate – שלב קריטי שבו מתבצע החקירה של כל המידע שעובר וכל המידע שזיהינו בשלב הקודם. חקירת האפליקציות נעשית ע”י כלי זיהוי מסוג forensics בכדי יכולו לבצע חקירה מעמיקה על כל אפליקציה, משתמשים, קבצים ומידע נוסף שעובר מול שירותי הענן. במהלך החקירה שירות CAS מוצא תבניות על גיב המידע שנמצא ונותן פלט של דוחות או ומידע על המידע שנחקר.

Control – בשלב זה או מתחילים לשלוט על המידע שנאסף ונחקר ומתחילים להקטין סיכונים ע”י הגדרת מדיניות והתראות על פעולות שנעשות מול שירותי הענן, כדוגמת: התראה לגבי גישה למסמך מסוים. בשלב זה אנו כבר יודעים איזה אפליקציות מסווגות כאפליקציות Sanctioned.

Protect – בשלב האחרון שלאחר איסוף, חקירת המידע ושליטה על הפעולות אנו כבר מבצעים הגנה על האפליקציות השונות שאנו מסווגים אותם שאפליקציות sanction/unsanction וע”י כך אנו מחילים פעולות מסוימות בכדי להגן על המידע, כגון: שליטה על הרשאות או אכיפת DLP ועוד.

ארבעת השלבים של CAS מאפשרים לנו לקבל את כל המידע ובהתאם לכך לזהות מהם האיומים שמסתובבים ברשת הארגונית ולהגן על המידע בארגון. כל אותם שלבים מכסים לנו את הנושא העצום של Shadow IT בכדי שנוכל לדעת ולתת מענה לאותו חלק שאיננו מכירים בארגון שלנו.
המבנה והמאפיינים אשר שייכים לקטגוריה של Security Framework קיימים בפתרונות Cyber ואבטחת מידע נוספות, כגון: ATA, EMS וכו’.

חשוב להדגיש כי תהליך הזיהוי עובד עם מנגנון גילוי מבוסס ענן וללא Agent למינהם, ולכן מאפשר לנו ליישם את הפתרון בצורה פשוטה יותר.

ארכיטקטורה

שירות Cloud App Security הינו שירות מבוסס ענן בלבד שעובד בתצורת API וללא Proxy, כאשר עובדים בתצורת API בענן יש לתצורה מספר אפשרויות ויתרונות:

יישום מהיר ופחות מורכב מפתרון מקומי

אינטגרציה מלאה מול שירות הענן השונים של: Office 365, Azure

עבודה מול מרקט של 13,000 אפליקציות ויותר

עבודה מול Firewall ומול Proxy רבים, כגון: Cisco, BlucOat, CheckPoint, Squid ועוד

זיהוי ותחקור מהיר של מידע ארגוני

מכיוון שתצורת CAS מבוססת ענן החיבור אל שירותי הענן האחרים נעשה בתצורת API, תצורת API-based integrationמאפשרת חיבור ישיר אל שירות Office 365 או שירות Azure באמצעות קונקטורים אפליקטיביים (App COnnectors).
אותם קונקטורים אפליקטיביים שקיימים בשירות CAS מאפשרים את החיבור מול כל אותם קונקטורים שקיימים בשירות Azure ומאפשרים לקבל מידע פרטני על כל מידע ופעולה.
*קונקטורים בשירות Azure מסווגים לפי קונקטורים שונים, כדוגמת: Core, Enterprise, Triggers, Custom Connector.

החיבור של CAS מול שירותי הענן של Azure ושל Office 365 קיים כבר ולכן היישום של CAS מצריך את שיוך השירות, ביצוע הגדרות מול Firewall וביצוע ארבעת השלבים Framework Security.
לאחר איסוף כל אותם לוגים ע”י שירות CAS באמצעות מנגנון Cloud Discovery מתבצע התחקור מול שירותי הענן ע”י API באמצעות הקונקטורים הקיימים.

איך עובד זיהוי המידע (Cloud Discovery)

בתהליך של גילוי המידע ע”י מנגנון Cloud Discovery השירות מנתח את כל הלוגים, התעבורה והאפליקציות שעוברות דרך Firewall ארגוני ודרך האפליקציות הארגוניות בשירות הענן, ולכן הגילוי נעשה בשני קטגוריות/סוגי גילוי אשר קשורים אחד אל השני:

זיהוי אפליקציות (Discovery Apps)

הקטלוג (Cloud app catalog) של האפליקציות כולל 13,000 אפליקציות אשר מדורגות ע”י 50 ערכים (לפחות) ומספקות ראות (visibility) מתמשכת של שירותי הענן ובכדי לתת מענה מול Shadow IT.
Cloud app catalog מדרג את הסיכון לכל אפליקציה ע”י פרמטרים, כגון: רגולציות, תקנים ועוד.  האפליקציות בענן מעודכנות ע”י תהליך שמתרחש כל הזמן:

ביצוע מדיניות עפ”י SOC 2 בכדי לבדוק את המידע של האפליקציה

בדיקת המידע ע”י אלגוריתם שונה בכדי לבדוק כותרות שונות על גבי פרוטוקולים, כדוגמת HTTP

ניתוח מידע של ערכים כדוגמת Encryption at rest

פעולה שמתבצעת על גבי אפליקציה מסוימת עובדת עדכון מול הקטלוג

*חשוב להדגיש שכל הזמן מתווספים לקטלוג אפליקציות נוספות וכל העת מתבצע עדכון לאפליקציות הקיימות.

זיהוי תעבורה ולוגים (Traffic Logs)

בשלב הזיהוי של לוגים ותעבורה אשר יוצאת מתוך Firewall ארגוני מאפשר לנו לנצל ולנתח את המידע מול שירות CAS ולכן ככל שהמידע יותר מפורט כל הראות (visibility) שלנו בשירות יהיה טוב יותר.
יחד עם זאת ישנם Firewall מסוימים אשר אינם יכולים לספק מידע מסוים בתוך הלוגים, כדוגמת: Firewallשל Cisco ASA אינו יכול לתת מידע לגבי כמות מידע שהועלו או הורדו (Amount of uploaded or downloaded data) ולכן אינו יכול לתת דפוסי צריכה ושימוש.

מנגנון Cloud Discovery דורש לוגים מבוסס web עם הערכים הבאים:

זמן ותאריך הפעולה

מקור של כתובות IP

מקור של משתמשים שונים

כתובות IP ייעודיות

קישורים ייעודים

סה”כ כמות מידע

פעולות

בכדי לבצע גילוי של תעבורת לוגים אנו נדרשים לתמוך בדרישות הבאות::

תמיכה בסוגי Firewall\Proxy השונים

מבנה הלוגים שקיימים  לפי סטנדרטים

לוגים עד 90 יום

לוגים תקינים שמכילים מידע לגבי התעבורה

סיכום

שירות Cloud App Security נותן לנו מענה לנושא Shadow IT עם שירות מבוסס API שמאפשר לנו יישום מהיר מול שירותי הענן הקיימים.
ביישום של CAS אנו למעשה מזהים ומגלים את האיומים וע”י כך אנו יכולית להגן ולשלוט על המידע שעובר בארגון.