אז בואו נלך לענן, אבל בזהירות!

(של מרקו רוטיני)
25 / 08 / 21

אם לצטט אמירה אמריקאית מפורסמת, ענן הוא ההמצאה הטובה ביותר מלחם פרוס ועד היום!

זו אחת ההמצאות ההיסטוריות שמשנות הרגלים, פרדיגמות עבודה, תהליכים עסקיים בצורה רכה אך בלתי נדלית, המקובלת על חברות גדולות וקטנות, המסוגלת להביא המשכיות ויחד עם זאת חדשנות עמוקה.

דווקא המאפיינים האחרונים האלה הופכים אותו לעוצמתי, עד שכבר זמן מה הוא מתלבט בנושא ענן היברידי כלומר, זה שמורכב מחלקים מסורתיים ומקוונים, חוויות פרטיות ואשר מסתמכים על ספקים משותפים, הבנויים על שיפור תהליכים שקיימים כבר זמן מה וחוסר היעילות שלהם ידוע ביחס לחידושים מעמיקים בדרכי הפעולה. עֵסֶק.

אם לא הספיקה הדחיפה - אופנתית או לא - של טרנספורמציה דיגיטלית, המצב במגיפה האחרונה יצר מצבי חירום ושיטות פעולה שהגבירו עוד יותר את הצורך להפוך תהליכים ויישומים לנגישים מרחוק ובכל מקום בכל זמן. ומחוברים מכל מקום.

זה הוביל לתגובות נמהרות לעיתים, נתפסות לפעמים כפשטות עם הפחתות עלויות משמעותיות, המוגדרות לעתים קרובות כ"העברה והתזזה "ומתאפיינות בהעברת שרתים ממרכזי נתונים מסורתיים לסביבות. ענן אמזון, מיקרוסופט או googlici.

עם זאת, הפרויקטים עם גישה מובנית יותר הניחו הנדסה מחדש של פלטפורמות היישומים בהתאם לעקרונות פלטפורמה כ'שירות ' (או PaaS).

אם מבחינת IT ופיתוח גישה מודרנית ויעילה זו דרשה פיצול של השרת למרכיביו הבסיסיים - כגון אחסון, רשימות גישה, רשתות, מסדי נתונים ועוד - מעטים הבינו את ההבדל העמוק מנקודת המבט של אבטחה., במיוחד ביחס לאחריות משותפת.

מושג זה סוכם מצוין על ידי Amazon Web Services או AWS במשפט "בידול זה של אחריות מכונה בדרך כלל אבטחת ענן מול אבטחת ענן" ומוצג באותה מידה ביעילות כדלקמן.

תכנית זו, משמשת לעתים קרובות מאוד לחנך חברות להתפתחות מודעת של התהליכים העסקיים והתכניות שלהן כדי לנצל את הפלטפורמות ענן, מציג פישוט מוגזם לפעמים של הרעיון שאנסה להסביר באמצעות דוגמא.

נניח כי החברה הפיקטיבית ACME Ricambi Motoveicoli השלימה את השינוי הדיגיטלי הראשון שלה לפני ארבע שנים, ויישמה מערכת שרתים שנחשפה באינטרנט וממוקמת במרכז הנתונים שלה ליצירת מערכת שמטרתה מכירה מקוונת של מוצריה ושירותיה.

במקרה הנוכחי, נניח שהפתרון היה מוצלח אך התברר שהוא מורכב מדי ויקר לתחזוקה, בשל התשתית הנדרשת.

אז בשנת 2019 הפרויקט התפתח עם העברת השרתים פנימה ענן, בתקווה להפחתת עלויות.

הודות למגיפה שגרמה לגידול במשתמשים, הצורך בהיקף המשאבים הוביל לעלויות עבור העתקי שרת גבוהים מהיעילות התפעולית, בשל המבנה המונוליטי של השרתים (החיפזון הוביל לבחירה בפתרון מהיר ...) .

בסוף 2020, ACME Ricambi Motoveicoli שלנו בחר אפוא בשינוי מלא של הפרויקט שפיצל את מרכיבי השרתים הבודדים, והותיר אותם בצורה מאוזנת וניתנת להרחבה ענן. בעיקרון הרעיון הוא להפריד בין מה שמגדיר בדרך כלל שרת - למשל האחסון או שטח הדיסק, מסד הנתונים שעליו מאוחסנים הנתונים, כללי הגישה לשירותים החשופים וכן הלאה. כל שבר מוגדר ב- ענן בנפרד, עם מערכת שמכפילה את בקשותיה ככל שהביקוש גדל. גישה זו היא אידיאלית מכיוון שהיא משכפלת רק את מרכיבי פסיפס האפליקציות הזקוקים לה, תוך ייעול יחס ההשקעה / הביצועים.

אם מבחינה יישומית ותפעולית זו הדרך הנכונה, מבחינת האבטחה הדבר דורש שינוי מעמיק של אסטרטגיות ההגנה - בדיוק בגלל האטימות האופיינית של אחריות משותפת.

כדי להבין למה אני מתכוון, בואו להעמיק חלק מהגרף למעלה:

במבט ראשון, אם אתה רוצה לייצר אחסון ומופע מסד נתונים, נראה כי האחריות לאבטחת הכל מוטלת על אמזון.

וזה בהחלט כשמדובר באחסון ו / או בחוסן מופעי DB.

מה שהתרשים הפשוט לא אומר לנו הוא שאם נסתכל מקרוב על שני האלמנטים האלה בהגדרות האבטחה, נבחין בדברים הבאים.

התצורה של מופע אחסון, למשל Amazon S3 Bucket, כברירת מחדל להרשאות - מדיניות דלי - עקרון ערך ברירת מחדל של *, המאפשר לכל אחד לגשת לאחסון חשוף ונגיש.

למופע של Amazon> RDS - כלומר מסד נתונים - יש תצורת ברירת מחדל של מסד נתונים ללא הגנה מפני מחיקה.
פשרה של איכות הסביבה ענן - למשל לגניבת תעודות - תאפשר לתוקפים למחוק את מופע מסד הנתונים, אולי לאחר שהעביר את הנתונים.

שתי דוגמאות אלה ממחישות כיצד כל מושג האבטחה בפרדיגמת ה- PaaS דורש ידע שאינו נמצא בדרך כלל בהישג יד של כולם; המשמעות היא הצורך לעדכן את כישורי צוות האבטחה, מרכיב שלרוב אינו נחשב בתכנון הפרויקטים ענן.

כמו כן יהיה רצוי שיהיו מלאי ייעודי ופתרונות ניתוח תצורה דינמיים, שאולי מסוגלים להתפרש על פני ספקי שירות מרובים ענן. בדרך זו אנו מגיעים להצגה אחידה ואורגנית של המשטח הפגיע, ממופה ישירות על הראות שאליה מגיעים הסביבה רב ענן, יכולות שנדונו במאמר הקודם "מנתונים גולמיים למידע שמיש: נראות וצפייה".

ברית אבטחת הענן, מוסד להפצה תרבותית של אבטחה בסביבות ענן, הוציא שני פרסומים חשובים עליהם אני ממליץ לקרוא:

שנים עשר הבוגדני (שנים עשר הבוגדני), שבו כבר בשנת 2016 הוא רשם שנים עשר תקריות ענן הגורם לכך היה בעיקר אי שמירה על שיטות עבודה מומלצות בתצורות.

אחת עשרה החמורות (Gli Egregi Eleven), שבו הציג לפני שנתיים את ניתוח אחת עשרה תקריות חשובות שמקורן עדיין היה לעתים קרובות תצורת משאבים לא נכונה או מתירנית מדי.

Il ענן זו בהחלט הדרך לזריזות עסקית גדולה יותר ולכלכלת קנה מידה בבקרת עלויות ה- IT. עם זאת, אימוץ טכנולוגיה חדשה זו אינו יכול להתעלם מעדכון כישורי האבטחה ושיפור יכולות הנראות, התצפית, הזיהוי והתגובה המתאימות לאתגר חדש זה.

להעמיק:

https://www.theinnovationgroup.it/ll-cloud-ibrido-leva-strategica-per-il...

https://aws.amazon.com/it/compliance/shared-responsibility-model/

https://www.qualys.com/apps/cloud-security-assessment/

הגנת rheinmetal