סיכוני מחשוב

ינואר 5102

הביטחון

| 18

אייל אהרוני*

ביסוס פעילות הארגון על תשתית ענן

חושפת אותו לסיכוני אבטחת מידע ושרידות

ולכן יש להיערך מבעוד מועד ולהפעיל

שיקול־דעת בבחירת הספק המתאים ודרכי

ההתגוננות לאור מגוון הסיכונים הקיימים

והחשיפות הידועות.

השינויים הטכנולוגיים והצורך המתמיד

בהתייעלות ובחיסכון, שלח ארגונים רבים וחברות בסדרי גודל שונים

לפעול ולהתבסס על שירותי ענן המנוהלים על־ידי ספקי שירותי

). כיום קיים מספר גבוה של

Cloud Service Providers

)

CSP

מחשוב ענן

ספקים מסוג זה בישראל ומחוצה לה.

ספקי שירותי מחשוב ענן מאפשרים ללקוחות לפעול באמצעות

,(

Software

as

a

Service

)

SaaS

שירותים אפליקטיביים מבוססי ענן

PaaS

פלטפורמה תפעולית אצל ספק שירותי מחשוב ענן

) ותשתיות תקשורת ומחשוב ייעודיות אצל

Platform

as

a

Service

(

). כמו־כן,

Infrastructure

as

a

Service

)

IaaS

ספק שירותי מחשוב ענן

SecaaS

כיום ניתן לקבל שירותים נוספים דוגמת שירותי אבטחה בענן

), מהם ניתן לרכוש שירותי הגנה שונים כגון,

Security

as

a

Service

(

ועוד.

WAF

,

DLP

,

Sand Box

במהלך חודש ספטמבר 4102, הופצה על־ידי בנק ישראל טיוטה

בנושא, ניהול סיכונים בסביבת מחשוב ענן הממוקדת לתאגידים

. במסגרת טיוטה זו הוגדרו מספר

)1(

בנקאיים וחברות כרטיסי האשראי

הגבלות על התאגיד הבנקאי כגון, אופי הפעילות, אותה ניתן להעביר

לספק שירותי מחשוב ענן. כך למשל, הוגדר כי עבור פעילויות ליבה

ומערכות ליבה, לא יעשה שימוש בשירותי מחשוב ענן וכי נתוני

לקוחות לא ישמרו אצל ספק ענן מחוץ לגבולות מדינת ישראל ללא

ביצוע בדיקה מקיפה של ספק שירותי הענן מבעוד מועד. הטיוטה

מתייחסת למספר דגשים והגבלות המצריכים היערכות בהתאם, במידה

ומחליטים להעביר שירותים ונתונים לספק שירותי מחשוב ענן.

ניוד פעילות הארגון לתשתית מבוססת ענן חושפת את הארגון

במידת־מה לסיכוני אבטחת מידע ושרידות, במיוחד אם ספק שירותי

) לא יפעל באופן מיטבי כדי

Cloud

Service

Provider

)

CSP

מחשוב ענן

לספק שירותים איכותיים ובטוחים. לאור מגוון הסיכונים הקיימים

,

CSA

והחשיפות הידועות הוקם לפני מספר שנים, ארגון בשם

שמטרתו העיקרית להוות בסיס מידע ומתודולוגיה בשאלות, כיצד

גיבש מתודולוגיה

CSA

יש לאבטח שירותי ענן באופן ראוי? ארגון ה־

לאבטחת ענן, על בסיס הגדרות ודרישות של תקנים מקצועיים דוגמת

המבוססת על 41 פרקים, תחת שלושה

PCI

DSS

ו־

NIST

,

ISO

27001

מודולים שונים המתייחסים בין היתר לארכיטקטורת ענן, הערכת

סיכונים, ניהול מידע ואבטחתו הפיסית והלוגית, הצפנה, ניהול אירועי

אבטחת מידע, ניהול המשכיות עסקית, ממשל תאגידי, ציות ובקרה,

סיכונים משפטיים (דוגמת חוזים וניהול ראיות), תאימות לחוקים

ודרישות רגולציה.

, מטריצת

CSA

כנגזרת מהמתודולוגייה שגובשה, ייצר ארגון ה־

בקרות, שמטרתה לשקף את מידת מוכנות ספק שירותי מחשוב ענן

) בהיבטי אבטחת מידע, ניהול סיכונים ושרידות ללקוחותיו

CSP

(

וללקוחות פוטנציאלים אשר מעוניינים לרכוש את שירותיו. ארגון

) יכול לענות על שאלון עצמאי

CSP

המספק שירותי מחשוב ענן (

המבוסס על אותן בקרות ולהציג לראווה את מידת עמידתו באותן

מנפיק בכפוף לגופי

CSA

. בנוסף לכך, ארגון ה־

CSA

בקרות, באתר ה־

לצורך מדידת ספקי

STAR

תקינה בין־לאומיים, הסמכה תחת השם

CSP

). תיעוד באשר לאופי הדיווח של ספק ה־

CSP

שירות מחשוב ענן (

.

)2(

CSA

ניתן לראות באתר ארגון ה־

אבטחת המידע

הארגוני בענן

)1(

http://www.boi.org.il/he/BankingSupervision/DraftsFromTheSupervisorOfBanks/DocLib/10861.pdf )2( h ttps://cloudsecurityalliance.org/star/#_registry

*הכותב הינו מומחה אבטחת מידע בענן, בחברת "אבנת" המ

ספקת שירותי ייעוץ באבטחת שירותי ענן.