אלי שלמה

עוד יום של סייבר בענן

הגנה ויישום Hybrid-Multi-Cloud-Security

by · 21/12/2018

לכולנו יש מידע בענן, בין אם זה מידע מסוים בשירות Office 365, רכיב או Workload מסוים ברמת Azure או פלטפורמה מסוימת. במקרים רבים השירות עלול להיות על גבי מספר תשיות ענן שונות (Multi-Cloud) ולכן אנו יכולים למצוא את עצמנו מנהלים מידע בענן מול מספר ספקי ענן.

אין ספק שמדובר על אתגר בפני עצמו, מפני שניהול סביבה מקומית עם מספר שירותי ענן מצריך משאבים רבים, מצריך המון ידע של הצותים הטכניים וחשוב מכך מצריך הגנה על המידע.

למרות השיח הרב על אבטחת מידע וסייבר, אירועי אבטחה גוברים והולכים בתקופה האחרונה ומדובר על אירועי אבטחה כגון: מתקפות פישינג, גניבת זהויות, כופר ועוד רבים. לצערי, עדיין ארגונים רבים עדיין לא הפנימו את הצורך המתקדם באבטחת מידע וישנם כאלה אשר עדיין לא מיישמים את הנדרש.

המצב שבו ארגונים נמצאים עם תשתית מרובת עננים בשילוב תשתית מקומית (Hybrid-Multi-Cloud) הינו מצב שילווה אותנו עוד שנים רבות, פלטפורמות, כגון Active Directory, שרתי אפליקציות ואפילו אחסון מרכזי לא הולכים לשום מקום וישארו איתנו עוד זמן רב.

חשוב מאוד להדגיש כי גם במקרים בהם ישנה חדשנות עדיין אין אפשרות "לזרוק" מערכות ליבה מקומיות או לא להיות במצב שהם לא מאובטחים ומעודכנים.

אבטחת מידע בסביבה משולבת (Hybrid-Multi-Cloud-Security)

במקרים רבים אני נתקל בשאלות המרכזיות מאיפה מתחילים, מה כדאי ולמה?מה עושים בסביבות משולבות?

המעבר לתשתיות ופיתוח בענן וכן הלאה, מאמץ איתו רובדי הגנה ואבטחת מידע בענן (Cloud Security), ולכן רובדי הגנה כגון: הגנה על זהויות (iDP), ניהול התקני קצה (UEM), הגנה על תעבורת הדואר (מבוסס AI) וכן רובדי הגנה נוספים הם דבר נדרש והכרחי, ללא הגנות אלה הסיכונים שעלולים לחדור אל הארגון זה רק ענין של זמן.

אבטחת מידע בענן היא חשובה מאוד אך ישנה סביבה מקומית שמצריכה הגנה גם כן ועדיף עם פלטפורמות שיודעות לדבר אחד עם השניה, אבטחת מידע בתשתית משולבת (Hybrid-Cloud Security) אינה פשוטה כי צריך לענות על המון שאלות ולהגן על מערכות שונות שאינן תואמות, לכן אבטחת מידע בסביבה משולבת (Hybrid-Cloud Security) חייבת לכלול תהליך מסודר וללא קפיצה למוצר מסוים ומסקנות כי הוא נראה פגז ויעשה את העבודה, וישנו תהליך ודרך ליישם אבטחת מידע בתצורה משולבת ומסודרת.

לאחרונה פרסמה Microsoft מאמר המכיל דרך מסוימת ליישום אבטחת מידע על גבי M365, אשר כולל דגשים ועקרונות שונים ביישום אבטחת מידע בסביבה המקומית וכן בסביבת הענן, דגשים אלה יכולים שיכולים להתאים לארגונים, אך בואו נקח את הדגשים במאמר צעד אחד קדימה ונוכל להרחיב אותו לתרחישים השונים בשטח ולקבל תהליך ליישום אבטחת מידעה בסביבה משולבת (Hybrid-Cloud Security).

אבטחת מידע בענן על גבי Microsoft 365 בנויה על מתודלוגיה של שלושה חלקים הכוללים מספר רב של רובדי הגנה, החלקים למעשה מגדירים את השלבים ליישום מול תשתית משולבת (Hybrid-Cloud Security), והיא:

  • Office365 Security – הגנה באמצעות כלים המבוססים על Office 365
  • Windows 10 Security – הגנה באמצעות רכיבים, כלים ויכולות של Windows 10
  • EMS – הגנה באמצעות פלטפרומות שונות המבוססות על Enterprise Mobility & Security

https://i0.wp.com/www.chorus.co/media/1299/introducing-m365.png?ssl=1
חשוב מאוד להדגיש כי החוזקה והיתרון של Microsoft באבטחת מידע בענן היא יישום של כלל הפלטפרומות, הכלים והרכיבים יחדיו על כל אותם שלושת החלקים (Office 365 & W10 & EMS), ולמה? האינטגרציה בינהן מאפשרת יצירת מנגנון הגנה משולב המאפשר לרובד הגנה מסוים לעדכן רובד הגנה אחר.

למשל, החיבור בין Intune מול Windows Defender ATP מאפשר הגנה מתקדמת על התקני קצה מבוססים Windows 10, אם נקח תחנה מבוססת Windows 10 אשר מכילה קוד זדוני שהתגלה ע"י Windows Defender ATP, אותו Windows Defender ATP מעדכן את Intune לגבי תחנה אשר נמצאת במצב Unhealthy, באותו רגע Intune מונע מהתחנה גישה למשאבי הארגון עד לפתרון האירוע.

אבל זה לא נגמר בזה, החדשות המצוינות הם שלאחרונה ישנם רובדי הגנה צד שלישי שיכולים להתחבר לתשתית Microsoft Security Graph API וע"י כך ליצור ולצרוך מידע של סוגי איומים, סוגי סיכונים, סוגי מתקפות ומידע נוסף ועצום.

מעבר לעובדה שלאט לאט Microsoft הופכת להיות מאגר יחודי וגדול מסוגו בעולם של נתוני אבטחת מידע, אנו יכולים כיום לחבר רובדי הגנה צד שלישי ולקבל את אותה אינטגרציה ופונקצוינאליות שהזכרנו קודם לכן. למשל, על גבי אותה אינטגרציה של Intune עם Windows Defender ATP ניתן לבצע אינטגרציה נוספת מול רובד הגנה למכשירים חכמים כגון Lookout אשר מבצע את אותה פעולה של שליחת העדכון לגבי מכשיר שחווה אירוע ולאחר מכן Intune מבצע את אותה פעולה של חסימת גישה לאותו מכשיר.

בנוסף לכך ובמקרה כזה, תחקור האירוע יכול להתבצע על גבי כל אותם התקני קצה השייכים למשתמש אשר חווה אירוע, החל מתחנה מבוססת Windows 10 ועד לכלל המכשירים החכמים אשר מחוברים מתוך Lookout וכל זאת מתוך ממשק Windows Defender ATP.

מהיכן מתחילים?

אז מהיכן מתחילים, נחזור לתהליך של יישום אבטחת בסביבה משולבת ונבין מהם השלבים המומלצים.

שלב ראשון – נתונים ומידע אודות הסביבה

בשלב זה צריך לדעת מהו המידע שיש בענן ומידע שיעבור אל הענן בעתיד הקרוב, בנוסף לכך צריך להבין איך התשתית המקומית מחוברת והאם ישנם ספקי ענן נוספים בתמונה, וישנם שאלות נוספות שצריכים לענות עליהם, בין היתר:

  • מהם ספקי הענן
  • כמות וסוגי אפליקציות
  • אופן החיבור מול תשתית מקומית
  • ניהול התקני קצה (תחנות & מכשירים חכמים)
  • סוגי המידע בענן

חשוב להדגיש כי על סמך המידע שנאסף בונים תוכנית פעולה אשר כוללת לפחות את השלבים הראשונים,גם במידה וישנם מקרים בהם עובדים עם מגוון רחב של אפליקציות או מצב שבו ישנו Workload מאוד ספציפי בענן, עדיין ישנם שלבים שאין אפשרות לדלג עליהם ביישום אבטחת מידע.

שלב שני – יישום זהויות

בשלב השני כבר מתחילים ביישום אבטחת מידע בסביבה משולבת ולכן השלב השני חייב להיות, שלב הזהויות.

Related image

הסיבה ליישום זהויות בשלב שני נובע ממספר סיבות, בין היתר הסיבות הבאות:

  • מענה להזדהות חזקה של משתמשי קצה
  • מענה ליכולות אבטחה מתקדמות המבוססות על פוליסי ומנגנון AI
  • תשתית לחיבור מול אפליקציות ענן
  • תשתית לחיבור מול הסביבה המקומית
  • תשתית חיבור מול אפליקציות צד שלישי
  • אוטומציה של דלגציה והרשאות
  • תהליך Provision למשתמשי קצה
  • התממשקות מול ארגונים אחרים
  • התממשקות מול Consumers
  • חווית משתמש!!!

מכיוון שזהויות מחבר בין כלל הסביבות והחלקים הוא למעשה שלב קריטי מאוד ושלב שקובע את ייראה היישומים בענן, והכוונה היא: האם נהיה מספיק מוגנים? האם היישום פשוט והאם חווית המשתמש תהיה פשוטה. אם אותו מנגנון זהויות יודע לענות על כל הדרישות הנ"ל אז הכיוון הוא חיובי ובמידה ולא מחשבים מחדש.

חשוב להדגיש כי תשתית זהויות אינו רק מנגנון הזדהות חזקה מבוסס MFA, אלא מנגנון שצריך לעבוד עם פוליסי מבוסס תנאים, מנגנון שצריך לזהות משתמשים בסיכון, מנגנון שכולל בתוכו AI לחיזוי מתקפות וכן הלאה. לצד זה חייב להיות מנגנון שמנהל זהויות בצורה מלאה עם אוטומציה למשתמשים, אוטומציה לדלגציה והרשאות ומנגנון שעובד עם פלטפורמות אחרות בכדי שיכול לספק בין היתר מענה Zero-Trust.

אם נקח לדוגמה מקרים מהשטח של זהויות

  • זהויות מבוססות Azure AD – במידה וארגון מבוסס על תשתיות Microsoft ואינו מכיל מקרי קצה של אפליקציות ספציפיות צד שלישי ואינו מצריך אוטומציה, ניתן לומר בבירור שתשתית Azure AD תבצע עבודה מעולה עם יתרונות ברורים.
  • זהויות מבוססות OneLogin – במידה וישנה סביבה משולבת עם דרישה למנגנון פוליסי וכן דרישה לאוטומציה להגדרת משתמשים, דרישה לאוטומציה להקצאת הרשאות לאפליקציות צד שלישי וכן הלאה, תשתית הזהויות המתאימה תהיה OneLogin.

כמו שאני אומר תמיד, צריך לבחור את מה שנכון ומתאים לארגון עם ראיה קדימה, בחירה שגויה של תשתית זהויות עלולה לגרום לבעיות בהמשך תהליך הגנה על הענן עם רובדי הגנה אחרים, עלול לגרום לחווית משתמש גרועה וכן הלאה.

שלב שלישי – ניהול התקני קצה

לאחר שמחברים תשתית זהויות לכלל הסביבות, האפליקציות ומול המשתמשים. השלב הבא הוא שלב יישום תשתית לניהול התקני קצה, ושלב זה נחלק לשניים:

  • ניהול תחנות קצה מבוססות Windows 10
  • ניהול מכשירים חכמים מבוססים iOS & Android
  • ניהול התקני IOT

ניהול התקני קצה וניידות אינה דבר חדש כלל, אך האופן שבו מאמצים את ניהול הניידות הוא שונה בגלל הסיבות הבאות:

  • אכיפת מנגנון הגנה על התקני קצה לפי דרישות אבטחה
  • תחקור אירוע על כלל התקני הקצה המחוברים לארגון
  • ניהול התקני קצה באתרים רחוקים ללא צורך ברכיבים מקומיים
  • אכיפת פוליסי על מכשירים שעמם מבצעים MFA (מתוך Zero Trust)
  • מעקב אחר משתמשים שאינם מתחברים לרשת כלל

2018-12-21_09h55_26
שוב, כמו ביישום מנגנון זהויות גם בניהול התקני קצה ישנם דגשים ברורים, וכאשר מיישמים תשתית לניהול התקני קצה חשוב לשמור על הדרישות הארגוניות ומה שמותאם לאותם דרישות.

ישנם מספר תרחישים מהשטח ליישום ניהול התקני קצה:

  • תשתית Intune – כאשר מדובר על ניהול תחנות מבוססות Windows 10, האפשרויות הקיימות בתשתית Intune מאפשרות ניהול מתקדם כולל יכולות Group Policy, אכיפת מנגנון אבטחה באמצעות רכיבי אבטחה של Windows 10 ויתרונות נוספים.
  • תשתית MobileIron – כיום רוב התקני הקצה הם מכשירים חכמים ובנוסף לכך לאחרונה נכנסים בקצב משמעותי התקני IOT, ולכן הגנה וניהול של התקני קצה מהסוג הנ"ל הינו משמעותי בארגון. האפשרויות השונות של MobileIron מאפשרות אכיפה של אפשרויות מתקדמות לכלל התקני הקצה כולל Windows 10, ובין היתר ישנם אפשרויות, כגון: Per-App VPN, Network Access Control, Certificate-Based Authentication ויכולות נוספות.

ישנו תרחיש מתקדם של MobileIron יחד עם Intune שבו עובדים עם שניהם ביחד על גבי Microsoft Security Graph API, ולכן תרחיש כזה מביא יתרונות רבים, בין היתר: ניהול כלל התקני הקצה ממקום אחד, הגנה על כלל התקני הקצה מתוך אותו פוליסי.

לסיכום

הגנה על סביבה משולבת (Hybrid-Cloud Security) אינה תהליך מורכב אך עם המערכות הנכונות יכולה להיות פשוטה, בעלת ערך וחשוב מכך לוקחת את הארגון צעד אחד קדימה באבטחת מידע.

יישום השלבים חייב להיות תהליך מסודר וקפיצה לשלבים אחרים ומתקדמים הינה תהליך שאינו תקין ועלול לגרום להשלכות על יישום רובדי הגנה בענן וגרוע מכך עלול לגרום לסיכוני אבטחה.

במאמר הבא נרחיב לגבי השלבים הנוספים המבוססים על הגנה מתקמת התקני קצה באמצעות מערכות כדוגמת Windows Defender ATP & Lookout, הגנה מתקדמת על תשתית Active Directory באמצעות Azure ATP ובאמצעות התשתית המתקדמת והחזקה של Javelin.

בנוסף לכך נרחיב על אפשרויות הצפנה, מנגנון Cloud App Security ורובדי הגנה נוספים.

Tags:

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *