בעוד שהמעבר לענן נמשך כבר כמה שנים, אופן השימוש בו משתנה כל הזמן. אם בתחילת הדרך המיתוס על הענן בלט כפלטפורמה זולה יותר מהאלטרנטיבות, כיום מבינים שהיתרון של הענן הוא דווקא שיפור התחרותיות והיכולת של ארגונים לעשות סקייל מהיר יותר ולקצר את ה – Time to market, ולאו דווקא בהיבט של העלות הנמוכה.
עם ההתקדמות באפשרויות שהענן מעניק, התגברו גם הסיכונים וניסיונות התקיפה. תוקפים יכולים לפרוץ לתשתיות הענן בדרכים מתוחכמות יותר, ונוצר צורך בפתרונות מתקדמים יותר. הענן הפך לאירוע ליבה שסביבו נבנות כל האפליקציות והשאלה איך נכון להקים, לעבוד ולאבטח תשתית ענן מתחדדת ככל שהזמן עובר.
את הצורך בפתרונות חדשניים יותר מאזן המשבר העולמי, והיכולת המוגבלת של חברות להשקיע בחדשנות. כתוצאה מכך אנחנו רואים מגמה שמבשילה בחודשים האחרונים ותמשך כנראה בשנה הקרובה: האצה של תהליך קונסולידציה מפתרונות נפרדים (למשל בהגנת ענן) לפתרון אחיד. פתרון הגנה אחיד יכול לחסוך בעלויות מכיוון שמוצר אחד עולה פחות מ – 3 מוצרים נפרדים, וגם מקל על תהליך הרכש. גם התשתית הטכנולוגית העננית תומכת בכך ומאפשרת לעשות הכל במקום אחד.
אז מהם האתגרים האמיתיים שעומדים היום לפתחן של חברות בענן ואיך בכל זאת אפשר להגן על הענן טוב יותר בתקופת משבר מבלי לפרוץ את המסגרת התקציבית?
ראשית כל, יש להתמקד בסיכונים המשמעותיים ביותר. מן הסתם, גישה זו אינה ייחודית לעולמות הענן. גם בעולם הישן, בו ארגונים ניהלו קופסאות בתוך אולמות מחשב, היה צורך לתעדף את הסיכון. עם זאת, יש לזכור שבעולם הענן מפת הסיכונים הארגוניים והטכנולוגיים היא שונה, משטח התקיפה משתנה, ואיתו גם הטקטיקות שבהם עושה שימוש היריב. לדוגמא, בעולם הענן הופכות הזהויות למשטח התקיפה המרכזי, וניהול הדוק של הרשאות הופך להיות לאחד הכלים המשמעותיים ביותר. על כן, מומלץ לבחון את הכלים השונים דרך הפריזמה של הסיכון ולהתמקד בפתרונות הנותנים מענה לאיומים המרכזיים, כגון הרשאות יתר.
שנית, יש להעדיף פתרונות בהתאם לקלות השימוש והיישום שלהם. הענן הוא מערכת טכנולוגית מורכבת, וסביבה מרובת עננים מחייבת את המשתמשים בארגון ללמוד לעומק טכנולוגיות שונות ומגוונות. רוב אנשי התשתיות חסרים ידע וכלים להתמודד עם האתגר. לכן, משתמשים אלה יעדיפו לעשות שימוש בכלים טכנולוגיים תומכים, אשר יצליחו לפשט את המורכבות של סביבת הענן ולהנגיש למשתמש הקצה את המידע בצורה הוויזואלית והנגישה ביותר. רוב כלי אבטחת הענן מורכבים לפחות כמו סביבת הענן עצמה, ובתהליך הבחינה יש לתת את הדעת, בין היתר, לשיקולים כגון קלות לימוד, הנגשה וויזואליזציה של המידע, ונוחות תפעול.
בעבר, התחרות בין כלי אבטחת הענן הייתה על מי יודע לזהות יותר בעיות בסביבת הלקוח. עם הזמן, ככל שהשימוש בענן הפך להיות משמעותי יותר, וסביבות הענן גדלו, מספר הבעיות ותקלות האבטחה גדל באופן מעריכי. זה לא מפתיע למצוא בסביבת ענן בין אלפי לעשרות אלפי בעיות אבטחה, ברמות חומרה שונות. מכיוון שאף ארגון לא יהיה מסוגל לטפל בערשות אלפי תקלות בפרק זמן סביר, שם המשחק כיום הופך להיות תעדוף. לכן, בבחינת כלי אבטחת ענן יש לתת את הדעת ליכולת של הכלי לבצע תיעדוף נכון של הממצאים, ע"מ לאפשר לארגון להתמקד בבעיות החשובות באמת. כלל אצבע סביר הוא שמספר התקלות החמורות יהיה כ-1% (או פחות) מכלל הבעיות שימצאו בארגון בינוני-גדול, ועד 3% מכלל הבעיות בארגון קטן.
לבסוף, אחרי שהכלי שבחנו עוזר לנו למצוא את כל התקלות, ולתעדף אותן בצורה מיטבית, עדיין נשאר למשתמש האתגר האמיתי – מהי הדרך הטובה והנכונה ביותר לתקן את הבעיה. צריך לזכור כי האנשים האמונים על קונפיגורציה וניהול סביבת הענן הם לאו דווקא מומחי אבטחה. לרוב מדובר במפתחים או אנשי תשתיות שעברו הסבה מעולם הישן. על כן, יש להעדיף כלי אבטחה שיסייעו למשתמש הקצה לפתור את הבעיה. הכלים האיכותיים ידעו לא רק לתת המלצות לפתרון, אלא אף לייצר, באופן אוטומטי קטעי קוד מתוקנים ולהדגים למפתח כיצד קטע הקוד המתוקן שונה מקטע הקוד המקורי. יתר על כן, הכלים המצטיינים ביותר ידעו להכווין את הפתח לקוד הבעייתי על מנת להקל בתהליך התיקון. על כן חשוב לבחון את יכולת כלי האבטחה לא רק באיתור אלא גם בסיוע בפתרון הבעיות השונות, ומומלץ לשלב אנשי פיתוח ואנשי תשתיות בתהליך הבחינה של כלים אלו.
מאת אריק גומנובסקי, מייסד שותף בארמטיק
***
כתבה שיווקית בחסות ארמטיק, הכתבה נערכה ע"י מערכת Duns 100