אלי שלמה

עוד יום של סייבר בענן

הגנה בסביבת Multi Hybrid Clouds

by · 06/11/2020

מצב של סביבה היברידית מרובת עננים היא מנת חלקם של לא מעט ארגונים ועד לשנת 2022 השיפט לסביבת Multi Hybrid Cloud יגדל באופן משמעותי ויגיע עד ל 28% לארגונים בינונים וגדולים.

האסטרטגיה של Cloud First תהיה אסטרטגיה מרכזית של ארגונים, ומי שלא יקח חלק בכך ככל הנראה לא יוכל לשרוד בעולם הדיגיטלי ולא יוכל לספק מענה דיגיטלי ללקוחות, ספקים וכן הלאה.

מידע נוסף המאמר של גרטנר בנושא Modernize IT Infrastructure in a Hybrid World

הערה: בעקבות C-19 אפשר לראות בשנה האחרונה הבדלים ופערי ענק בין ארגונים טכנולוגים לבין ארגונים שאינם טכנולוגים והתמודדות עם אתגרים ברמת עובדים וברמת שירות ללקוחות החברה

גישת אבטחה בענן (CSPM, CWPP,  CNSP)

בסביבות היברידיות מרובות עננים יש כל כך הרבה מערכות, רכיבים וטכנולוגיות מגוונות המבוססות על תצורות IaaS, PaaS ועל SaaS. כאשר הרשת המקומית נמתחת מהסביבה המקומית והמוכרת אל ענן אחד או יותר, ולעיתים אל טכנולוגיות שאינן מוכרות, אנו יכולים לאבד את השליטה, הבנה והבקרה על הנעשה.

כיום סביבות היברידיות נמתחות לסביבת מרובת עננים, ואם נקח לדוגמה סביבה עם חיבור אל שירות Office 365, ובנוסף לכך מחוברת אל רכיב מסוים בסביבת Azure ונוסיף לזה גם עוד רכיב בסביבת AWS – מהר מאוד מצאנו את הסביבה שלנו נפרסת על גבי שלושה סביבות נוספות.

במצב כזה אנו מוצאים את הרשת שלנו נמתחת על גבי מספר סביבות שונות שלא בהכרח הטכנולוגיות מוכרות לנו בכולן, ויתרה מכך, אני לא חייב להכיר כל טכנולוגיה שהיא.

הגישה באבטחת מידע בענן השתנתה בשנתיים האחרונות והתעצבה לשלושה קטגוריות הגנה מרכזיות של CSPM, CWPP,  CNSP כאשר האחרונה שבהן היא CNSP.

טיפ: גם בימים האלה הגישה משתנה מעת לעת בגלל הדינמיות של הטכנולוגיות בענן

כאשר מיישמים אבטחה לסביבה היברידית מרובת עננים עולות כל כך הרבה שאלות, כמו:

  • האם צריך ליישם Blueprint
  • מהם השכבות שאני צריך בכל סביבה
  • האם אני יכול לעבוד עם אותם כלים לכלל הסביבות
  • איך מקטינים את הסיכונים ומגדילים את החיכוך עם התוקף
  • האם אני צריך פתרונות מתקדמים כולל שילוב SOC מנוהל (או לא מנוהל)

אלה הן רק חלק מזערי מכל אותן שאלות שצריכות להישאל כאשר מבצעים אבטחת מידע בענן!

אז מהן למעשה כל אותן קטגוריות? ולמה חשוב להתפקס בהן כאשר מיישמים אבטחת מידע בסביבה היברידית מרובת עננים?

הקטגוריה של Cloud Security Posture Management ובקצרה CSPM (בעבר נקרא גם Cloud Infrastructure Security Posture Assessment) היא הקטגוריה שבה אנו למעשה מטפלים בסיכונים, מיסקונפיגורציות, פערים ובעיות אבטחה בתצורות IaaS ובתצורות PaaS.

מתוך DOME9 – זיהוי רכיבים בענן עם פערי אבטחה ומיסקונפיגורציה

7a8bb d9 compliance azure

הקטגוריה של Cloud Workload Protection Platforms ובקצרה CWPP היא הקטגוריה שאיתה אנו מבצעים הגנה מתקדמת על הרכיבים בענן, שבד"כ מבוססים על Agent או Agent-less על תצורות IaaS ותצורות PaaS.

הגנה באמצעות CWPP מתבטאת בהגנה על משאבים מגוונים בכל סביבת ענן שהיא, בהגנה על מכונות בסביבה מקומית ובאפשרויות הגנה מתקדמות על גבי רכיבי Native בענן כמו Container וכן הלאה. המטרה הנוספת היא גילוי, זיהוי ומניעת בעיות אבטחה.

מתוך Azure Defender – זיהוי של ניסיונות תקיפה מול מכונה עם RDP פתוח.

Azure Security Center

הקטגוריה של Cloud-Native Security Platform בקצרה CNSP לוקחת אותנו כמה צעדים קדימה בהגנה על רכיבים שהם Native בענן כמו Kubernetes, Container ואפליקציות נוספות וכן מאפשרות לבצע הגנה גם על תהליכי פיתוח מול אותם רכיבי Native בענן.

הגנה באמצעות CNSP מתקדמת יותר באפליקציות Native, בהגנה על תהליך הפיתוח ותהליכי DevOps אשר נעשים מול הענן.

אם נקח את האופן שבו אנו מבצעים אבטחה על סביבות היברידיות מרובות עננים אנו למעשה צריכים לבצע את השלבים הבאים בהגנה:

  • מיפוי של כלל הרכיבים, הבנה איזה טכנולוגיות קיימות, הקטנה של שטח התקיפה וסגירה של כלל הפערים עם CSPM.
  • הגנה על סביבות היברידיות מרובות עננים עם CWPP מאפשרת לבצע זיהוי של מתקפות שונות כמו מתקפות Password Spray או מתקפות RDP, או DDOS וכן הלאה.
  • בשלב מתקדם יותר אפשר להתבסס על CNSP ולהוסיף הגנה על אפליקציות, נתונים, פיתוח ורכיבי Native.

השכבות והחלקים שעליהם אנו צריכים להגן מתבססות על הדרישות הבאות:

Blueprint (including Automation)
Identity Protection
Infrastructure Security (IaaS)
Compliance & Data Privacy
Security Risk Analysis
Shadow and Visibility
Data Protection (data at rest and data in transit)
Governance (including Enforcement)
Threat Detection & Continuous Monitoring
Audit, Logging, and log archive
Configuration Management
Environment Lockdown
Vulnerability Management
Patch Management
Secure DevOps
SIEM integration
SOC Automation

מתוך מאמר Multi Cloud-Native Security Platform

CSPM, CWPP,  CNSP

חשוב להדגיש כי מודל Zero Trust הוא חלק מתוך הגנה על תצורות IaaS או PaaS אך אינו חלק מהותי בהגנה מבוססת CSPM וכן CWPP.

כלים ואפשרויות הגנה

לאחר שמבינים מהם שכבות ההגנה שצריך בסביבות Multi-Hybrid-Cloud אנו צריכים לבחור את הכלים הנכונים, ומהם הכלים הנכונים? הכלל שצריך להנחות אותנו הוא כלים אחידים לכלל הסביבות בין אם זאת הסביבה המקומית או Azure או AWS.

במידת האפשר מומלץ לשלב רכיב אבטחה מקומי מול רכיב אבטחה בענן של אותו וונדור וזאת על מנת לאפשר הרחבה של היכולות משני הצדדים, למשל, אינטגרציה של Firewall מקומי ושל Firewall בענן של אותו וונדור שמאפשר לעבוד עם ממשקים זהים.

ישנם מצבים שבהם קשה מאוד לעבוד עם כלי אחד ועם נקח כלים שנותנים מענה לקטגוריות של CSPM ושל CWPP אנו יכולים למצוא פערים עצומים כי אין כלי אחד כזה שיכול לתת מענה לכל סביבות הענן הקיימות.

טיפ: הכלי הנראה מאוד מבטיח לסביבות היברידיות מרובות עננים הוא Azure Defender

אם נקח כלי להגנה ברמת CWPP, החפיפה בין כלים חיצוניים לטובת הגנה כזאת אינם מאפשרים הגנה מפני מתקפות בסיסיות, למשל, כלים כמו DOME9 או RedLock אינם יודעים לזהות אפילו התקפות זהויות כמו Brute force מול מכונה עם RDP פתוח לעולם (בסיסי לא?), ולכן, במצבים כאלה אנו מוצאים את הכלי החיצוני נותן מענה של 70% ושם אנו צריכים לאפשר מנגנון הגנה CWPP של ספק הענן בכדי לגשר על הפער הקיים.

למשל, בסביבת Multi-Hybrid-Cloud עם עננים כמו Azure ועם AWS אנו צריכים להגן על משאבים מקומיים ועל משאבי ענן ולכן אנו צריכים לעבוד עם כלי כמו DOME9 (אן כל אחד אחר) שהוא כלי טוב אבל לצד זה אנו מחויבים להפעיל את הכלי של הספק בין אם מדובר על הכלי Azure Defender לטובת Azure או Security Hub לטובת AWS.

הכלי יכול להיות כל כלי שתבחרו לנכון אבל חייב (בדגש על חייב) לתת מענה על כלל הרכיבים הקיימים בסביבות Multi-Hybrid-Cloud ולאפשר זיהוי מקסימלי של הרכיבים הקיימים, זיהוי הפערים, הגנה מפני מתקפות שונות וכן הלאה.

אפשר לומר שאין כלי כזה היום שנותן הגנה לתרחישים כאלה וצריך לשלב בין כלים שונים בכדי למנוע בעיות אבטחה ולאפשר תחקור של בעיות אבטחה.

לסיכום, האתגר של הגנה על סביבת Multi-Hybrid-Cloud הוא אתגר רציני ולא פשוט – נהלו אותו נכון!

מאמר נוסף בנושא של הגנה בסביבת Multi Hybrid Cloud באמצעות Azure Defender (יעלה בקרוב)

מאמרים נוספים בנושא אבטחת מידע בענן

מידע נוסף לגבי Cloud Security Posture Management על גבי Azure Security Center

 

Tags:

You may also like...

1 Response

  1. יש לי Azure Sentinel, האם אני צריך Azure Defender או Security Center?
    17/04/2021

    […] מידע נוסף ודגשים חשובים במאמר של הגנה בסביבת Multi Hybrid Clouds. […]

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *