אבטחה מודרנית לסביבות מודרניות

מאת: אביב ששוני, מנהל מגזר ממשלה, צבא ובטחון, ב-F5

הנהירה לתהליכי דיגיטיציה מאלצת ארגונים לנוע במהירויות חסרות תקדים. ארגונים, שאימצו מתודולוגיות אג'יליות ושיטות DevOps הצליחו לקדם חדשנות בסביבות שונות, בשכבת היישומים ובפריסה שלהם. הם עושים זאת על ידי פירוק יישומים מונוליטיים לארכיטקטורות Microservices, אוטומציה של משימות שגרתיות, אימוץKubernetes  לניהול קונטיינרים ומעבר נרחב לענן הציבורי לקבלת שירות זריז וגמיש.

למרות שתהליכים אלו שיפרו מאוד את הנוחות של משתמשי הקצה בארגונים, הם גם לוו בבעיות אבטחה. במקרים רבים, מתודולוגיות DevOps יושמו והופצו ללא אבטחה, דבר שגרם לצוות אבטחת המידע לעבוד במודל של "כיבוי שריפות" ולתקן בעיות אבטחה בכל פעם שהן מתרחשות – ובכמה מקרים ציבוריים משמעותיים, הרבה אחרי שהן מתרחשות.

אז מהי הדרך הטובה ביותר להקל את העומס על צוותי אבטחת המידע ולמנוע פריצות – מבלי לשבש את חווית המשתמש?

התרחקו מאבטחה מרכזית

המעבר מסביבה מרכזית אחת לסביבות ווירטואליות מבוזרות העלה דרישות אבטחה חדשות שהפתיעו לא מעט ארגונים. בין האתגרים המשמעותיים ניתן למנות שילוב של טכנולוגיות רבות, נראות לקויה לתהליכים, דיווח קשה לביצוע, תהליכים תפעוליים מורכבים ובשלות לא מספקת של הארגון לצד יכולות מוגבלות של צוותי האבטחה. בתגובה לאתגרים הללו, ספקי הענן הציבוריים הציעו לארגונים transit gateways, נקודת שליטה מרכזית בה עוברת כל התעבורה מהארגון ואליו.

בסביבות מודרניות, עם יישומים המפוזרים בין עננים שונים ודטה סנטרים, הגיוני מאוד לשלב את אבטחת המידע בתוך כל יישום. הדבר מבטיח שהאבטחה היא אינהרנטית. במילים אחרות, אי אפשר לשכוח אותה, להסיר אותה או לעקוף אותה. זה גם אומר שהאבטחה קיימת בזמן ובמקום שהיא נחוצה, וניתן להסירה בשלב הפסקת השימוש ביישום.

מודל זה גם מציג את ההזדמנות לשלב את אבטחת המידע בשלב מוקדם יותר במחזור החיים של היישום ובכל הסביבות. המשמעות היא שבקרות אבטחה יוצגו בפעם הראשונה לא רק בשלבי הפריסה וההפעלה, או בשלבי הקדם-ייצור והייצור.

לשלב אבטחת מידע בהרמוניה בארגון

צוותי אבטחה לא רוצים להיות אלו שתמיד אומרים "לא". הם מעדיפים שאבטחת המידע תשולב בהרמוניה בארגון ובעבודתם של משתמשי הקצה במקום לבוא אליהם בדרישות. הדרך הטובה ביותר להשיג זאת היא על ידי מתן החופש לצוותי DevOps לצרוך אבטחה באופן המתאים לדרישות שלהם.

מודל זה כולל יישום בקרות אבטחה בשלבים מוקדמים של מחזור חיי פיתוח היישום, בין היתר בניית מודל איומים, בדיקת אבטחת יישומים סטטיים, ניתוח הרכב התוכנה ועוד. בנוסף, בקרות אבטחה, שיושמו לרוב בשלבים מאוחרים יותר, דוגמת WAF ובדיקת אבטחת יישומים דינמית, יהפכו לזמינות בשלבים מוקדמים יותר בסביבות פיתוח ובדיקה.

כמובן, אבטחה מבוזרת מעלה אתגרים חדשים. באופן מסורתי, כדי להשיג אבטחה מבוזרת יש צורך בטכנולוגיות, סט פתרונות ובקרות שונות עבור סביבות שונות, דבר שאינו כלכלי. המגוון של הסביבות גדל באופן אקספוננציאלי וקשה יותר לתמוך בכל סביבה ובכל מערכת בקרה חדשה. המשמעות היא שלא קיימת עקביות באבטחת המידע בסביבות השונות, דבר שעלול להוביל לבעיות. אם מתקבלים דיווחים, התראות ורישומים שונים מסביבות שונות, קשה מאד לנהל או לחזות את המתרחש בהן.

הדרך קדימה

בעולם אידיאלי, כיצד פועלת אבטחת מידע בסביבה מבוזרת עם מספר רב של משתמשים, יישומים ועננים? התשובה היא סט פתרונות אחוד הניתן לפריסה על גבי כל תשתית.

סט הפתרונות יתאים לסביבות מודרניות, ויתמוך בגמישות פריסה מהירה כמו גם בהורדה מהירה של השירותים בגמר השימוש. היא תכלול בקרות אבטחה מקיפות ומתקדמות ונקודת בקרה מרכזית: נקודה אחת להגדרת מדיניות פעם אחת ולפריסה גלובלית. הגדרת המדיניות תהיה גמישה ותהיה מוגדרת רשת, זהות, אבטחה ויישום. נקודת הבקרה המרכזית תספק גם נראות מרוכזת ואחידה, רישום ודיווח. יתרה מכך, הפתרון יהיה מונע כולו על ידי ממשק API כדי לאפשר לצוותי מפתחים, אבטחה ותפעול לנוע בשיתוף פעולה בקצב של העסק.