האם ניתן להאיץ חדשנות בענן מבלי להתפשר על אבטחה?
פתרונות חדשניים של חברת סייברארק הישראלית מאפשרים להגן על סביבות הענן מבלי לעכב את קצב הפיתוח
רועי, לאלו סיכונים נחשפים ארגונים המעבירים את התשתיות שלהם לענן ובמה שונה סביבה זו מהסביבות המסורתיות בתוך הארגונים?
המעבר של ארגונים לענן כולל תהליך של מעבר לתוכנות אוטומציה בענן, המאפשרות להאיץ את פעילויות הפיתוח (DevOps), לייצר אופטימיזציה של תהליכים ובאופן כללי - להגדיל את היעילות העסקית. היוזמות הללו והכלים החדשים יוצרים מצב לפיו נדרשת הגדלה של מספר החשבונות הפריבילגיים בתשתיות ה-IT בארגון, מה שמגדיל באופן ניכר את שטח החשיפה למתקפות סייבר.
חשוב להבין כי נקודת הפגיעות הגבוהה ביותר בארגונים מצויה בחשבונות הפריבילגיים
(Privileged Accounts). אלו אותם חשבונות שיש להם גישה חזקה לפעולות ולנכסי המידע הכי קריטיים בארגון. החשבונות הפריבילגיים הם למעשה המפתחות לממלכת ה-IT של הארגון, וככאלה הם דורשים מערך הגנה ייחודי שמתמחה רק בהם. למעשה, מחקרים עכשוויים מראים, שחשבונות פריבילגיים עומדים במרכזן של כל המתקפות המתוחכמות והרציניות בעולם, כולל כל אלו שעשו כותרות בתקופה האחרונה. המתקפות המתקדמות בימינו מכוונות לחדור לרשתות, למערכות IT ואפליקציות ארגוניות, לנטרל את מערכות ההגנה ולגנוב מידע רגיש, או לשבש לגמרי את יכולתו של הארגון לנהל את עסקיו.
במחשוב ענן הבעיה הזו מחמירה שבעתיים, כיוון שמערכות הענן נועדו לתמוך בגמישות מירבית לסביבת ה-IT, תוך יכולת הטמעה אוטומטית של עדכוני תוכנית ותגובה אוטומטית לשינויים בביקוש. אי לכך, מערכות הניהול נשענות על אוטומציה מלאה של תהליכים ועל תקשורת ישירה ורציפה בין רכיבים של תשתיות ה-IT. כל זאת, תחת שימוש בסקריפטים מוכנים מראש שלתוכם מקודדות כבר ההרשאות או הסיסמאות של החשבונות הפריבילגיים. כך שהחל מהרגע שהסקריפטים הללו נפרצו, הפורצים נחשפים גם להרשאות של החשבונות הללו ומקבלים על מגש של כסף את המפתחות לממלכת ה-IT הארגונית.
נשמע מלחיץ למדי. בהתחשב בעובדה שמגמת המעבר לענן רק הולכת ומתחזקת, מה ניתן לעשות כנגד האיומים הללו?
ראשית כל ארגון חייב להבין שהנושא של חשבונות פריבילגיים הנו שכבת אבטחה העומדת בפני עצמה ודורש התמחות ותשומת לב מיוחדת. הארגון צריך ליישם מדיניות ברורה לאבטחת חשבונות פריבילגיים, שתבוא לידי ביטוי בסביבות של בדיקה, פיתוח וייצור תהליכים. כמו כן, חשבונות פריבילגיים או סיסמאות (secrets) הקשורים למערכות חדשות שנוצרו בצורה אוטומטית, חייבים גם הם להיות מוגנים מייד עם יצירת הסביבות החדשות הללו.
הפתרון של סייברארק לאבטחת חשבונות פריבילגיים מאפשר לארגונים להגן על כל החשבונות הללו בענן, לנהל אותם, לשלוט בגישה אליהם, לנטר אותם ולהחליף הרשאות.
הפתרון עובד עם מרבית תוכנות האוטומציה שמאפיינות את סביבת הענן כיום, כמו: Ansible, Chef, Puppet, Windows PowerShell, Jenkins ותוכנות נוספות. בין הדברים שמייחדים את הפיתרון של סייברארק מצויה היכולת לספק הגנה גם בתהליכי האינטגרציה והמעבר לענן, כך ששום שלב בתהליך המעבר לענן אינו נשאר חשוף.
הפתרונות שלנו משתלבים בתהליכים האוטומטיים שנבנו לצורך תפעול התשתיות בענן על ידי שתילת מנגנוני אבטחה לחשבונות הפריבילגיים ממש בתוך תסריטי האורקסטרציה. בכדי לא להכביד על המערכות ולפשט אותן, סייברארק לוקחת באופן אוטומטי את ההרשאה הפריבילגית של מופע ווירטואלי חדש ומאחסנת אותה בכספת הסיסמאות הארגונית שלה.
מה לגבי סביבות הפיתוח בענן שדורשות ללא הרף הקצאות של מופעים ושטחי אדמין, איך ניתן להגן עליהן?
זהו באמת אתגר שארגונים התקשו להתמודד איתו עד כה. מה שהם עשו עד היום היה לנהל באופן מאוד קפדני את היצירה והמחיקה של כל אותם מופעים וחשבונות האדמין הקשורים אליהם. עם זאת, בקצב השינוי המהיר שמאפיין את סביבת הענן, לא ניתן באמת לסמוך על סריקות תקופתיות, שנעשות בעיקר בדיעבד. הפיתרון של סייברארק לקיצור זמן החשיפה של החשבונות החדשים הללו, הוא לעדכן אוטומטית חשבונות שנוצרו בתוכנות אוטומציה של ענן, להחליף את ההרשאות שלהם בהתאם למדיניות הארגון, לנטר ולהקליט את הגישה לאותו חשבון. השימוש בתוכנות אוטומציה מאפשר לסייברארק ליישם באופן מיידי מדיניות של אבטחת חשבונות פריבילגיים ואמצעי הגנה לרוחב אותן סביבות דינאמיות, כדי להגביל עוד יותר את מידת הסיכון.
הרעיון הוא שסייברארק מאבטחת נכסי מידע שנמצאים בענן, אבל גם משלבת את אבטחת הסיסמאות (secrets) בתהליכי הפיתוח (DevOps). בכך היא מקלה על מעבר ארגונים לענן ומאפשרת להם ליהנות מיתרונות המהירות והקלות בפיתוח לצד הגמישות שנותן הענן.
מהם היתרונות המרכזיים המצויים בשימוש בפתרונות של סייברארק לאבטחת חשבונות פריבילגיים?
ניתן לתמצת את היתרונות שסייברארק מספקת לשלושה תחומים מרכזיים:
• הפחתת שטח החשיפה להתקפה– ניהול ואבטחה של הרשאות הנדרשות על ידי תוכנות אוטומציה ואורקסטרציה מבלי לחשוף את החשבונות לסכנת פריצה.
• הגנה מיידית– עדכון מיידי של חשבונות פריבילגיים במופעים שרק נוצרו על ידי תוכנות אוטומציה לענן, מה שמייתר את הצורך בתהליך סריקת רשת נפרד והימנעות מעיכובים.
• בקרה מתמדת – תהליכים מחזוריים לבקרה על חשבונות פריבילגיים בענן מאפשרים הטמעה של כלי בקרה רציפים ובטוחים שמפחיתים את הסיכון של היווצרות פרצות אבטחה בגלל טעויות אנוש.
לסיכום, מהו המסר שלך לכל אותם ארגונים הרוצים להעביר יותר תשתיות לענן אך חוששים מסיכוני הסייבר הנלווים למעבר זה?
אין ספק כי פלטפורמת הענן מספקת לארגונים יתרונות עסקיים וגמישות שאין כמוה ולכן המעבר שלהם לסביבה זו כנראה ימשך ובמשנה מרץ. עם זאת, ארגונים המשקיעים ביתרונות העסקיים של הענן ובאסטרטגיות פיתוח DevOps לא צריכים לבצע להתפשר על מהירות ויעילות על חשבון אבטחת מידע. הפתרונות של סייברארק מאפשרים לבצע את המעבר לענן בצורה חלקה ובטוחה, בהנחה שהארגון מבין כי הוא צריך לכלול אבטחה כבר מהרגע הראשון של המעבר ולא בדיעבד. העובדה שהפתרונות שלנו משולבים ומוטמעים בתוך תוכנות האוטומציה לענן, מאפשרת ליצור אבטחה רציפה ואמינה המגיבה היטב לגמישות של סביבות ענן אלו.
**סייברארק תשתתף בפאנל אבטחת ענן במסגרת שבוע הסייבר הבינלאומי של המרכז למחקר סייבר אוניברסיטת ת"א 25-29 ביוני.