מהו תיווך אבטחת גישה לענן? פתרונות תקשורת ואבטחת מידע לעסקים

אבטחת גישה לענן

תיווך אבטחת גישה לענן, נקודת הביקורת בין אפליקציות ענן לבין הארגון.

ישנם מספר דאגות כאשר עוברים להשתמש באפליקציות ענן, בין אם הן מנוהלות ובין אם לא.

1. מה עתיד הענן שלכם? ואיזה מידע יוצא לעולם?
2. איך מאבטחים את המידע שעובר לענן? (פרטי/פומבי)
3. מי יכול לגשת אליו ? יש צורך ב-DLP?
4. איך מאבטחים גישה של BYOD לענן בצורה מאובטחת?
5. גוף בריאות? גוף פיננסי?
   1. האם אתם עומדים ברגולציות? HIPAA, PCI, GDPR ?
6. מה עם IAAS ? איך מגינים על האפליקציות ?
7. איך מתמודדים עם-Shadow IT?
8. עובדים עם 365? צריך לשים לב ש-365 שומרים CACHE של הסיסמאות בעת גישה ישירה, גם אצלם וגם מקומית במחשב.

אפליקציות ענן ארגוניות מתחלקות לשני קטגוריות

• Company Managed Applications: Office365 \ Sales Force \ G-suite.
• Unmanaged Personal Applications: Twitter \ Facebook \ Dropbox.

בעבר שימשו מוצרי Legacy מקומיים להגנה ארגונית, אך בימינו דבר זה כבר לא מספיק.

מוצר CASB הוא בעצם רכיב ענני אשר יושב בין הארגון, בין העובדים בארגון לא משנה מה מיקומם הפיזי, לבין כל אפליקציות הענן הקיימות. דבר זה יכול לספק שקיפות, עמידה ברגולציות, הגנה מאיומים וסייבר, הגנה על המידע ומתן שליטה למניעת זליגת מידע (קבצים וכו') ועוד'.

חיבור ה-Redirect של המידע אל עולם ה-CASB ולא בצורה ישירה, לרוב נעשה ע"י שימוש ב-SAML, פרוטוקול ייצוא של אפליקציות מנוהלות אשר מאפשר למוצרי ה-CASB לנתב את כל המידע אליהן במקום שהן יגיעו בצורה ישירה.

ובכך מוצר ה-CASB עונה על כל הצרכים של העולם החדש, דבר שמוצרי ה-Legacy של העולם הישן כבר אינם יכולים להגן.

דבר נוסף הוא שליטה על אפליקציות לא מנוהלות ממכשירים מנוהלים, מושג זה נקרא Shadow IT והוא מגדיר את העבודה הלא פרודוקטיבית, מסוכנת, ולעיתים קריטית של עובדים ארגוניים על מחשבים ארגוניים אל מול אפליקציות לא מאובטחות לדוגמת Facebook.

(מענה זה בדר"כ מטופל ע"י מוצר ה-Firewall הארגוני).

אבטחת גישה לענן – סוגי מוצרי CASB

1. API– עולם ה-CASB התחיל מ-API. אפליקציות מנוהלות כגון Office365 מאפשרות לחברות CASB (בין היתר) גישה חיצונית למידע הארגוני. מקבלים ניהול שקיפות וניהול אירועים, יכולת סריקה ועבודה על המידע הקיים.
   לדוגמא מוצרים כגון: Cisco Cloud lock, Microsoft, Checkpoint.API:

יתרונות – אין צורך בהתקנת Proxy בשום תצורה. יש שליטה על המידע בכל זמן נתון, ניתן לבצע סריקות על מידע קיים, תמיכה נוספת בדרך כלל ע"י היצרנים.

חסרונות – ההגנה והשליטה הם לא In-Line ולכן הם לא בזמן אמת ורק באיחור.

ודרושה תמיכה של האפליקציה ב-API  פומבי חיצוני – רק אפליקציות SAAS גדולות.

2. Direct Proxy– עולם ה-CASB התפתח כאשר חברות הבינו שהם צריכות Proxy אשר יושב בין הארגון לענן, ובכך ניתן לקבל בזמן אמת יכולות ניהול ואבטחה מתקדמות, ולא רק לאחר מעשה. ישנן 2 שיטות Proxy, הראשונה היא Direct Proxy– התקנה של Agent's על כל מכשיר מנוהל ולא מנוהל, ובכך לשלוט בצורה ישירה על המידע.

יתרונות – סריקה ושליטה בזמן אמת על כל המידע, בנוסף כל מכשיר הוא מכשיר מנוהל.

חסרונות – כאשר משתמשים ב-Direct Proxy יש להתקין סוכן בכל מכשיר מנוהל ולא מנוהל, דבר בעייתי לרוב החברות, במיוחד למכשירים לא מנוהלים – BYOB.
בנוסף לרוב אם מבצעים בצורה הזאת אז כל התעבורה עוברת דרך ה-Proxy, ולכן אין פרטיות.

3. Reverse Proxy– עולם ה-CASB לקח צעד נוסף קדימה ברגע שהבינו שלא ניתן להתקין Agent על כל עמדה, במיוחד לא על עמדות לא מנוהלות. ובכך משתמשים ב-Reverse Proxy, שליטה על המידע בצורה עקיפה כאשר המידע נסרק בעת כניסה לממשקי הענן ולא בעת יציאה מהארגון – כאשר משתמשים ב-Reverse Proxy אין צורך להתקין שום Agent.

לדוגמא מוצרים כגון: Netskope, skyhigh/mcafee.

לסיכום תיווך אבטחת גישה לענן הינו נושא חדיש ומורכב ונדרשת מומחיות רבה בנושא.

מומחי טלקום אקספרטס ישמחו לסייע בנושא בפתרונות המתאימים לדרישות הארגון.

אבטחת גישה לענן