המלצות ליישום CASB מול Office 365

המעבר לענן והטרנפורמציה הדיגיטלית שהגיעה בעקבותיו פתחה בפני כולנו עולם דיגיטלי וחדש לגמרי, ללא גבולות, מהיר ודינמי. כתוצאה מכך הדרך שאנו יוצרים תוכן, צורכים תוכן, משתפים מידע ואוספים מידע גורמים לעבודה ולפעולות להיות פשוטות ויעילות והרבה יותר מאשר פעולות שנעשו לפני כן בסביבה המקומית.
במקביל לכך בצד הניהולי הפעולות נעשו בחלקן פשוטות יותר ומאפשרות לאמץ טכנולוגיות באופן מהיר יותר ויחד עם השינויים של המעבר לענן המידע הארגוני. האפליקציות והתשתיות בחלקן או ברובן נמצאות בענן ולכן הגישה למידע זמינה ונגישה מכל מקום וכל התקן קצה ולעיתים גם לגורמים לא מהימנים.

מצד אחד המידע הארגוני זמין למשתמשי הקצה, אך מצד שני שטח התקיפה של הארגון גדל באופן משמעותי וחושף את המידע הארגוני למתקפות חדשות כדוגמת מתקפות Illicit Consent, ולכן שטח התקיפה של הארגון גדל באופן משמעותי והגבולות נעשו מטושטשים ואף במקרים מסוימים אפילו אין גבולות במצב כזה גורמים מסוימים עלולים לגשת למידע מכל מקום, להוריד מידע ארגוני, לאשר אפליקציות זדוניות, לאפשר גניבת זהויות ולחשוף את כל המידע בענן לכל גורם.

אז מה עושים? ישנם רובדים שונים של אבטחת מידע של זהויות, אבטחת מידע למובייל והתקני וקצה וכן הלאה, אך אחד החשובים הוא פתרון CASB.

תצורות CASB ותמיכה מול Office 365

רובד הגנה מבוסס CASB הינו רובד אבטחה נדרש המיועד לבצע הגנה על המידע שעובר בין המשתמש לבין שירות הענן ולהבטיח גישה בטוחה מול שירותי ענן ואפליקציות שהם Sanctioned.

כאשר מיישמים CASB בכדי לאבטח גישה של אפליקציות  Sanctioned ושירותי ענן שונים כגון Office 365 עולות מספר שאלות כאשר המרכזית שבהן היא מהי תצורת CASB המתאימה לארגון בכדי לתת מענה נדרש לסיכוני אבטחת מידע? ישנם שלושה תצורות CASB שניתנות ליישום (בקצרה):

  • API – אינטגרציה מול שירות הענן ברמת API שאינה דורשת מנגנון או מערכת נוספת בין המשתמש לבין הענן.
  • Reverse Proxy – פריסה באמצעות גורם נוסף בין שירות הענן לבין התקני הקצה, כאשר תעבורה ומידע מתבססים על אינטגרציה מול מערכת Identity, אבל עדיין תעבורה עוברת דרך Reverse Proxy באופן מלא. לרוב נקרא פתרון CASB שהוא last mile.
  • Forward Proxy – פריסה באמצעות גורם נוסף בין שירות הענן לבין התקני הקצה, כאשר  התעבורה עוברת מול אותו CASB Proxy. האכיפה במצב זה היא מוגברת יותר מכיוון שהיא מבצעת בין היתר SSL man-in-the-middle. לרוב נקרא פתרון CASB שהוא last mile.

לתצורות הנ"ל ישנם יתרונות וחסרונות וכמו בכל רובד אבטחה גם כאן צריך לבדוק מהי התצורה המתאימה לארגון.

Image result for casb proxy

רגע לפני שמיישמים CASB בארגון חשוב מאוד מאוד לבצע תכנון קפדני,  מדגיש קפדני! הסיבה לכך היא שתצורה לא נכונה עלולה לגרום לבעיות בגישה בין התקני הקצה וכן משתמשים ובין שירות הענן ולפגוע בגישה לאפליקציות, באיכות השירות, ביצועים וכן הלאה.

מוקדם יותר השנה פרסמה Microsoft מסמך ומידע לגבי אינטגרציה של פלטפורמות אבטחה שונות המבצעות שינויים מול התעבורה שעוברת בין התקני הקצה והמשתמשים לבין שירות Office 365.
המידע עוסק בעיקר במקרים בהם רוצים לשלב פלטפורמות שמבצעות: סינון, הצפנה, שינוי בתעבורה ופעולות נוספות שנעשות ברמת protocol-level וכן content-level.

“Microsoft… does not recommend using third-party… traffic redirection or inspection devices, or any other network solutions that decrypt, inspect, or take protocol-level or content-level action on Office 365 user traffic.”

כאשר מיישמים רובד הגנה מול הענן בין אם זה Microsoft או ספקי ענן אחרים, חשוב מאוד להיצמד להמלצות והנחיות שניתנות מאותו ספק, על מנת למנוע מצבים בעייתים, תקלות ואף חשיפה לסיכוני אבטחה.

למה CASB Forward Proxy אינו מומלץ

ישנם יתרונות וחסרונות לצורת עבודה של API ושל CASB Forward Proxy, אבל התצורה של CASB Forward Proxy אינה מומלצת כלל, בין היתר בגלל הסיבות הבאות:

תאימות לאפליקציות, רכיבים וכלים

בשירות Office 365 לא נעשו בדיקות תאימות מול מערכות Security צד שלישי המבצעות שינויים מול רכיבים ואפליקציות שונות ברמת התוכן וברמת הפרוטוקול, ולכן מערכות אלה עלולות לגרום לבעיות תאימות מול אפליקציות וכלים הקיימים בשירות Office 365.
בפועל המשתמש חווה בעיות או עלול לחוות בעיות בגישה מול אפליקציות ורכיבים שונים בענן.

ביצועים וזמינות

בתצורת CASB Forward Proxy כאשר ישנה מערכת נוספת באמצע, אותה מערכת גורמת להפרעה תקינה של המידע אשר עובר מתוך המשתמש אל הענן וגורם לבעיות ביצועים ולעיתים בעיות זמינות מול הענן בגלל אותו גורם שנמצא בתווך.

הפרה של תנאי שימוש

פתרון CASB אשר מיירט ומפענח את המידע אשר עובר מתוך המשתמש אל הענן עלול לגרום לשינויים בפרוטוקול ובהעברת המידע, ולכן במצב כזה מוביל להפרה של תנאי השימוש מול שירות Office 365.

הבטחה לתאימות (לא ממשקי API)

ישנם מאמרים ומסמכים רבים המתארים מצבים של תאימות לאינטגרציה מול מערכות צד שלישי, ולכן Microsoft מחויבת להודיע על שינויים לגורמי צד שלישי רק כאשר מדובר על שינויים ברמת API בלבד!
במילים אחרות Microsoft יכולה לבצע שינוי מול אופן העבודה מבלי להודיע על כך, ולכן חוזר ואומר
Microsoft מחויבת להודיע על שינויים מראש על על פלטפורמות אשר מבצעות אינטגרציה ברמת API.

עדכוני כלים ואפליקציות

כידוע הענן מביא איתו דינמיות ולכן אפליקציות, רכיבים וכלים שונים מתעדכנים באופן שבועי, בתצורות CASB Proxy כאשר ישנו חוסר תאימות מול אפליקציה או רכיב כלשהוא, משתמשים עלולים למצוא את עצמם במצב של בעיות מול אותה אפליקציה והגישה אליה מול הענן.

תמיכה

במצבים בהם ישנה בעיה ותקלה מול Office 365, תצורת CASB Forward Proxy משפיעה באופן ישיר על אופן איתור הבעיה וביצוע Troubleshooting, ולכן הדבר הראשון המתבקש הוא לבטל את הגישה באמצעות CASB Proxy בכדי לוודא מהיכן מגיעה התקלה.

בעיות נוספות בשטח

הסיבות המופיעות מעלה הם מובנות אבל בשטח המצב עגום יותר בגלל הסיבות הבאות:

  • תצורת CASB Forward Proxy אמורה או צריכה להגן על גישה מתוך מכשירים שיש להם תוכן זדוני ולחסום אותם, בפועל שום CASB אינו יכול להיות מוצר ומענה של Mobile Security בגלל שקוד זדוני יכול לרוץ באופן מוסתר ברמת אפליקציה ומערכת CASB אינה תזהה זאת לעולם.
    בשטח ובבדיקות מערכות CASB אינן עוצרות התקני קצה עם תוכן זדוני אשר דורשות גישה לענן.
  • מערכות מבוססות API – כיום מוכח שמערכות אשר מבוססות API עובדות בצורה מהירה יותר, נכונה יותר ומגיבה לאירועי אבטחה באופן מהיא יותר מאשר מערכות שאינן מבוססות API.
  • זהויות וגישה – מערכות CASB Forward Proxy אינן מערכות IAM ואינן יודעות לנהל אינטגרציה נכונה מול גישה וזהויות, בשטח אינן יודעות לזהות בעיות של גניבת זהוית.
  • בתמיכה מול Microsoft כאשר ישנו CASB Forward Proxy ישנה דרישה לביצוע בדיקות באופן ישיר מול הענן ולכן אנו אין ברירה אלא לבטל לזמן מסוים את העבודה מול CASB Proxy ולעיתים באופן גורף מול כלל המשתמשים.
  • כאשר ישנה מערכת זהויות (IAM) בארגון גם אז החיבור מול מערכת CASB עלול לגרום לבעיות ולכן התניה של Reverse Proxy צריכה להיעשות רק על גבי אפליקציות ספציפיות בלבד ולפי תנאים שונים, וכל זאת בכדי למנוע השפעה על מערכת הזהויות בגישה אל כלל שירותי הענן, הרכיבים והאפליקציות.

לסיכום

למרות הכל עדיין מומלץ לעבוד ולבצע אינטגרציה עם מערכת CASB, אך מאוד חשוב לוודא שהמערכת תהיה מבוססת על API בלבד, וכל זאת בכדי למנוע מצבים בעייתים מול שירות Office 365.
אז רגע לפני שמיישמים CASB מומלץ מאוד לתכנן ולהבין את כל המשמעויות וההשלכות של CASB מבוסס Proxy, ואילו בדיוק המצבים שבהם אבטחת מידע גורמת נזק לארגון ואינה מויעלה כלל ויתרה מכך חושפת אותו לבעיות וסיכונים.



:קטגוריותSecurity, כללי

תגים: , , ,

להשאיר תגובה

הזינו את פרטיכם בטופס, או לחצו על אחד מהאייקונים כדי להשתמש בחשבון קיים:

הלוגו של WordPress.com

אתה מגיב באמצעות חשבון WordPress.com שלך. לצאת מהמערכת /  לשנות )

תמונת גוגל פלוס

אתה מגיב באמצעות חשבון Google+ שלך. לצאת מהמערכת /  לשנות )

תמונת Twitter

אתה מגיב באמצעות חשבון Twitter שלך. לצאת מהמערכת /  לשנות )

תמונת Facebook

אתה מגיב באמצעות חשבון Facebook שלך. לצאת מהמערכת /  לשנות )

מתחבר ל-%s

This site uses Akismet to reduce spam. Learn how your comment data is processed.

%d בלוגרים אהבו את זה: