מחשוב הענן צובר בשנים האחרונות תאוצה רבה ויותר חברות וארגונים מכל סוג וגודל עוברים למודל מחשוב זה, לרבות משרדים ממשלתיים בזכות פרויקט נימבוס לקידום הענן הממשלתי. היתרונות מן הסתם הם רבים, ביניהם: התייעלות, גמישות תפעולית ועסקית וקידום חדשנות. עם זאת נראה שיש גם לא מעט אתגרים
מאת: שגיא זלינגר, CTO 2Bescure
אחד מהאתגרים הוא נושא אבטחת המידע בתצורת הענן. אחת הסיבות לכך היא שחומות אש מסורתיות (Firewall), המיועדות לאבטחה של רשתות מקומיות (on-premise), ומלוות את הארגונים עשרות שנים, מתקשות להסתגל לאופי הדינמי והמבוזר של העבודה בענן. זאת בין היתר לאור כך שישנם מספר ספקיות ענן ולרוב ארגונים מאמצים מספר פתרונות.
כדי להבין את המורכבות והאתגרים חשוב לסקור ראשית את המגבלות העיקריות של חומות אש בענן, ביניהן:
ראות מוגבלת:
חומות אש מסורתיות מספקות תצוגה חד-ממדית של התנועה, ואף עיוורות לתנועה “ממזרח-מערב” בתוך סביבת הענן. הדבר מקשה על זיהוי ובידוד איומים שנעים לרוחב בתוך הענן.
אתגרי עומסים:
חומות אש יכולות להפוך לצווארי בקבוק כאשר עומסי העבודה והתנועה בענן גדלים. שינוי קנה מידה של חומות אש מסורתיות דורש קביעת תצורה ידנית והרבה שעות עבודה. מצב זה מוביל לעיכובים, מורכבות והגדלת הסיכון בשל טעויות אנוש.
מדיניות אבטחה לא עקבית:
ניהול חומות אש נפרדות בין ספקי ענן שונים יכול להיות מסורבל ומורכב. שמירה על מדיניות אבטחה עקבית הופכת לאתגר ובכך מגבירה את הסיכון לתצורות שגויות וחשיפה לאיומים.
הגנה מוגבלת על איומים:
חומות אש מתמקדות בעיקר בשליטה בתעבורת הרשת. ייתכן שחסרות להם תכונות מתקדמות כמו זיהוי חדירה, חומות אש של יישומי אינטרנט (WAF) ומניעת אובדן נתונים (DLP) הדרושים לאבטחת ענן מקיפה.
כדי להתמודד עם מגבלות אלו, פותחו בשנים האחרונות מספר פתרונות כאשר אחד המובילים בתחום הוא MultiCloud Defense של חברת Cisco. פתרון זה מטפל בהצלחה במגבלות של חומות אש מסורתיות באמצעות פלטפורמת אבטחה מקורית לסביבת הענן המיועדת לעולם הרב ענני.
בין היתרונות של פתרון MultiCloud Defense Cisco לעומת חומות אש מסורתיות
נראות מאוחדת:
MultiCloud Defense Cisco מספק תצוגה מרכזית אחת לכל סביבות הענן בארגון ומציע ראות עמוקה הן לתנועה רב מימדית ולא שטוחה: “מצפון-לדרום” ומ”מזרח-למערב”. בכך ניתן לזהות ולהגיב לאיומים במהירות ובאופן יעיל ומתקדם יותר.
Born in Cloud:
הפתרון נבנה עבור הענן ונולד בתשתיות הענן. MultiCloud Defense Cisco מתאים את עצמו אוטומטית לעומסי עבודה ונפחי תנועה שגדלים ובכך הוא מבטל את הצורך בתצורה ידנית ולא יעילה. יתרון זה מבטיח כיסוי אבטחה רציף עם מינימום חשיפה לאיומים.
מדיניות אבטחה עקבית:
MultiCloud Defense Cisco מאפשר להגדיר ולאכוף מדיניות אבטחה עקבית בכל פריסות הענן של הארגון, ללא תלות בספק הענן הנבחר ותוך תמיכה במספר ספקיות ענן במקביל. יתרון זה מפשט את הניהול וממזער את הסיכון לתצורות שגויות.
כמו כן, בסביבות הענן שימוש במדיניות המבוססת על כתובות IP אינו יעיל, מאחר והנ״ל פוגע באופן משמעותי בגמישות ואופן העבודה הטיבעי של סביבות הענן (מבוסס שירותים ולא כתובות IP כמו בסביבות מקומיות).
לכן, פתרון Cisco MultiCloud Defense מאפשר לארגון להחיל מדיניות אחודה ואדפטיבית המבוססת על Tags ו/או שירותי ענן, ובכך לאפשר לארגון להנות מגמישות הענן ללא חשש ו/או צורך לעצור בעקבות אבטחת הענן.
אבטחה שכבתית:
MultiCloud Defense Cisco מעשיר את הפונקציונליות של חומת האש המסורתית. הוא משלב תכונות אבטחה מתקדמות כגון: חומת אש אפליקטיבית (WAF – Web Application Firewall),
מערכות זיהוי ומניעת חדירה (IDS/IPS) ומניעת דלף מידע (DLP), ובכך מציע הגנה מקיפה מפני מגוון רחב יותר של איומים.
אבטחה היקפית:
MultiCloud Defense Cisco כפתרון Cloud Native מאפשר לממשק את חשבונות הענן השונים אל הפלטפורמה, ובכך לספק נראות למשאבי הענן הפרוסים בסביבת הארגון וכמובן לנתר באופן מתמיד ודינאמי אחר שינויים המבוצעים בסביבות הענן של הארגון. בכך, במידה ומבוצע שינוי בסביבת הענן, לדוגמה צוות ה CloudOps החליט לייצר רשתות ו/או שירותי ענן נוספים ללא ידיעת צוותי ה DevSecOps, הפתרון של סיסקו יוכל לתת התרעה, ובאופן פשוט ואינטואיטיבי מנהל המערכת יוכל להגן על אותן רשתות ושירותי הענן שהתווספו.
כל היתרונות שנסקרו לעיל ללא ספק משפרים משמעותית את אבטחת הנכסים הדיגיטליים של הארגון בענן ומייעלים ומפשטים את התפעול השוטף. בשורה התחתונה גם חוסכים לא מעט בעלויות וב”כאבי ראש” וסיכונים מיותרים למנהלי אבטחת המידע ומנהלי ה-IT בארגון.
רוצים לדעת יותר על פתרון MultiCloud Defense Cisco? השאירו פרטים