Site icon

תורת הגנת הסייבר בענן – הקדמה

מטרת תורת הגנת הסייבר בענן היא לאפשר לארגונים להתמודד בצורה הנכונה עם הסיכונים הקיימים בענן, ולאפשר יישום מדיניות אבטחה ארגונית עם מגוון כלי אבטחה ופעולות במטרה למזער את הסיכונים. תורת הגנת הסייבר מותאמת לסביבת הענן של Office 365 ובהיבטים שונים מול שירות Azure.

ישנם הבדלים רבים בין יישום שירותי הענן השונים של Microsoft עם שירותי הענן הספציפיים של Azure ושל Office 365 לבין שירותי הענן של וונדורים אחרים כדוגמת שירותי הענן של AWS ושל Google. במידה מסוימת ישנה מדיניות ודרישות התואמת לכלל הוונדורים אשר מספקים שירותי ענן.

המאמר הנוכחי מתמקד באופן כללי באבטחת מידע בענן מול שירות Office 365 תוך כדי שילוב של יכולות אבטחה מבוססות Microsoft.

מדיניות אבטחת מידע בענן

כאשר עולים לענן של Microsoft בין אם זה לשירות מסוים של Office 365 כגון Exchange Online או לכל שירות אחר, האינטגרציה הראשונית היא אינטגרציה של תשתית Active Directory מקומי מול תשתית זהויות של Azure AD או מול תשתית זהויות אחרת.

חיבור הסביבה המקומית על גבי Active Directory וכן הרשת המקומית מול שירותי הענן של Microsoft ובפרט שירות הענן של Azure מצריך עמידה בדרישות אבטחת מידע, בניית ארכיקטורה נכונה ומדיניות אבטחה מוגדרת לכל משאב המחובר לרשת הארגונית או משאב אשר משויך לענן הארגוני ומצריך גישה כלשהיא.

מדיניות אבטחת ארגונית אשר קיימת בסביבה המקומית איננה מותאמת ואינה שוות ערך למדיניות אבטחה מידע בענן, בכדי לעמוד בתנאים של המדיניות הארגונית לאבטחת מידע בענן ישנם דרישות שונות המצריכות שילוב בין המדיניות הקיימת אך מסתמכת על מדיניות אבטחת מידע בענן עם דרישות חדשות.

יישום אבטחת מידע בענן חייבת להיעשות בשלבים של:

דרישות אבטחה מידע בענן

דרישות אבטחת מידע בענן צריכות להיעשות לפי מספר שלבים, כאשר בכל שלב ישנו רובד אבטחה נדרש בחיבור התשתית הארגונית לענן וכן ניהול וצריכת המידע. השלבים הראשונים בעליה לענן הם שלבים נדרשים ולא מומלץ לעקוף אותן בכדי לא לחשוף את המידע לחולשות, פרצות והגדרות לא נכונות בענן או בתצורה היברידית של הארגון.

אלה הם הדרישות הבסיסיות לחיבור מול שירות Office 365.

תקשורת

הרובד הראשון הנדרש בענן הוא תקשורת בין הסביבה המקומית לבין סביבת הענן,ולכן נדרש חיבור פרטי, כדוגמת Azure Express Route המספק חיבור פרטי בלבד בין הסביבה המקומית של הארגון לבין סביבת Azure במטרה לאפשר חיבור פרטי לא על קווי האינטרנט הרגילים (Public Connection).

בתרחיש של Azure Express Route האינטגרציה והחיבור בין התשתית המקומית לבין תשתית הענן נעשית בצורה מאובטחת ומספקת רובד ברמת Layer 2 או Layer 3 (תלוי הגדרה).

הקשחות

שירות Office 365 כולל רכיבים וכלים רבים אשר פתוחים באופן דיפולטי ובמצבים מסוימים מאפשרים למשתמש לבצע פעולות רבות ללא ידיעתנו, יחד עם זאת בכל תקופה מצטרפים כלים נוספים אל שירות Office 365.

מכיוון שמדובר על רכיבים וכלים רבים אשר פתוחים לכל משתמש, אנו נדרשים לבצע בכל תקופת זמן הקשחות של הרכיבים והכלים אחת לתקופה ובהתאם לשינויים והחידושים הדינמיים אשר קיימים בענן.

לכן טרם מעבר וביצוע אינטגרציה, וכן חיבור והעלאת מידע כלשהוא לענן ישנו תהליך הקשחה של רכיבים וכלים בשירות Office 365, ואנו צריכים להקשיח את הסביבה בכדי למנוע גישה של משתמשים אל רכיבים או כלים שאינם נדרשים וע"י כך להוביל לשיתוף מידע שאינו נדרש, הקשחות אלה מאפשרות חסימה לגישה אל רכיב או כלי שאינו הוגדר מראש לפי דרישה ויחד עם זאת שמירה על חווית משתמש תקינה.

יישום הקשחות נעשה לפי שני מודלים:

ניהול זהויות

השלב הראשון בניהול זהויות הוא ליצורתצורה היברידית של זהויות בין תשתית Active Directory מקומי לבין תשתית זהויות בענן, למשל תצורה של Azure AD Hybrid המאפשרת בשלב זה לחבר תשתית Active Directory מקומית מול תשתית Azure AD לפי הדגשים הבאים:

הערה: הגישה של חשבונות משתמשים מול Azure חייבות להיעשות לפי המדיניות שתקבע בניהול זהויות על גבי Azure AD ובהתאם להקצאת הרשאות לכל תפקיד וגישה למידע.

מעקב וניטור המידע

המידע אשר עובר בענן מצריך מעקב, ניטור המידע והפעולות אשר נעשות בו החל מצד משתמשי אדמין, דרך משתמשים בעלי הרשאות ועד משתמשי קצה. מעקב אחר המידע נעשה באמצעות Cloud App Security במטרה לתת Visibility על כלל הפעולות ולבצע פעולות מנע במידה וישנה חריגה בפעולה כלשהיא, המנגנון של Cloud App Security חוסם את הפעולה ומונע פעולות נוספות לאותו חשבון משתמש.

היכולת של Cloud App Security מאפשר אינטגרציה של ניהול הזהויות מתוך Azure AD ושילוב מול רכיבים הקיימים בשירות Azure, בנוסף לכך ניתן להעביר לוגים מתוך Cloud App Security אל SIEM ארגוני במטרה לעקוב מתוך SOC קיים.

ארכיקטורה אבטחת מידע

הארכיטקטורה של שירות הענן מבוססת על העקרונות הבאים:

בקרות הגנה

כל תהליך ותשתית שנעשה בו שימוש בשירותי ענן יכלול ביקורת על השירות כחלק מתכנית הביקורת התקופתית. יעדי הבדיקה של הביקורת ישתנו בהתאם לאופי השירות. תכנון מקיף ומפורט של ביקורת חיוני ואין חובה לבדוק את כל ההיבטים במהלך ביקורת אחת, אלא ניתן ורצוי לפצל את הנושא למספר תתי ביקורות שיתבצעו במועדים שונים או ברצף. נקודות חשובות הנוגעות לנושאי תפעול ובקרה, שאותן ניתן לכלול במסגרת ביצוע ביקורת פנימית:

דרכי גישה למידע

לסיכום

המעבר אל הענן הינו מעבר נדרש לארגונים או מצב קיים של המון ארגונים אחרים, בתרחישים כאלה מומלץ להתנהל לפי מדיניות אבטחת ארגונית אחרת ממה שהיה עד כה אשר מאפשרת לארגון כלים חדשים בענן אך לצד זאת שומרת על אבטחת מידע ברמה גבוהה אשר מקטיה את שטח המתקפה באופן משמעותי.

Exit mobile version