תפריט נגישות

מאפיינים לאבטחת תוכן בענן בעידן ה- BYOD

החשש למעבר לענן מובן וימשיך להדיר שינה כל עוד נהיה חשופים לפלטפורמות טכנולוגיות המהוות חלק בלתי נפרד ממערכות התפעול היום יומיות של כולנו.

על מנת להבטיח את אותה שלמות במערך האבטחה ,השרידות והיתירות ושהתוכן בענן יהיה בלתי נגיש לגורמים שאינם מורשים נבחין בשבעה מעגלי אבטחה :

מעגל ראשון – הגדרות אפליקטיביות

מעגל זה כולל פרמטרים המוגדרים תחת מדיניות ארגונית ומכיל בין היתר את היכולות הבאות::

1. אפשרות קביעת חוזק סיסמא ,הגבלת מספר תווים, שימוש בספרות, אילוץ שימוש בתווים מיוחדים וכו.

2. אפשרות אילוץ איפוס סיסמה הן ברמת המשתמש הבודד והן ברמת כוללת כחלק ממדיניות כלל ארגונית .

3. אפשרות מניעת שימוש חוזר בסיסמא.

4. משלוח התראות וחסימת גישה אטוטמטית, במעבר סף כשלונות Login .

5. הגבלה וקביעת פרק זמן מקסימלי מרגע תחילת תהליך הכניסה למערכת .

6. חסימת גישה מיידית לעובד שסיים עבודתו, פרוצדורות תואמות, לאבדן או גניבת מכשיר נייד .

7. מתן אפשרות אימות כניסת משתמשים בשני שלבים, באמצעות ערוצים מקבילים גם במכשירים ניידים .

8. ניהול גישה מבוססת תפקידים וניהול קבוצות משתמשים.

9. ניהול משתמשים, קביעת הרשאות גישה בכמה רמות של צפייה, עריכה, הורדה, העלאה ,הדפסה וכו ' .

10. הגבלת חשיפת תוכן באמצעות סיסמא או קביעת תאריך תפוגה עתידי .

11. מתן אפשרות חסימת שיתוף תוכן או שליחת חומר מחוץ לדומיין האירגוני .

12. מעקב על כל תנועה של קובץ במערכת, מי יצר,מי העלה,מי צפה, מי הוריד וכו'

מעגל שני SSO - Single Sign-on

1. שימוש ב SSO מנטרל באופן מיידי פריצות אבטחה מהחמורות בנמצא כגון גנבת סיסמא . המשתמש, לא אמור להידרש לזכור מספר ססמאות רב. התחברות למחשב האירגוני שלו תספק תעודת אוטנטיקציה במעבר שקוף . זכירת מספר גדול של סיסמאות לעיתים מביאה את המשתמש להוריד אותם לכתב (פריצת אבטחה חמורה) ולעיתים מאלצת את המשתמש "למחזר" סיסמא אחת במספר מערכות וחלקן מחוץ לארגון בשרותים אחרים בהם הוא משתמש.

2. שילוב במנגנון Active Directory/LDAP האירגוני , תאפשר לאירגון לשלוט בכל מערכות ניהול המשתמשים ממקום אחד מרכזי . בתוך כך יש לוודא שבכל הסרה של משתמש מ Active directory האירגוני ינותק גם המשתמש מכל האפליקציות האחרות שלו.

3. תמיכה בלפחות אחד מפרוטוקולים כדוגמת SAML 2.0 - Security Assertion Markup Language בכל תקשורת בין הדפדפן ל- IDP - Identity provider . SAML הינו פרוטוקול מוכר המאפשר לארגון להעביר באופן מאובטח פרטי אוטנטיקציה ואוטוריזציה ביחסי אמון.

4. נדרש שינוע של ססמאות מוצפן ב SSL256 ,מניעת אחזקתן בחשבון האינטרנטי וחסימת אפשרויות איפוס ב SSO באמצעות חשבון האינטרנט.

5. מתן אפשרות זיהוי משתמש באוטנטיקציה במולטי פאקטור (out of band authentication ) באופן כזה שמשתמש במערכת יקבל איתות בערוץ מקבילי שהוא איננו הערוץ דרכו הוא מנסה להתחבר .

6. גישה ממכשירי ניידים : בכל גישה למכשיר נייד נדרשת החלת מדיניות SSO ומוצפן באמצעות SSL . בכל מקרה של אבדן או גנבת מכשיר נדרשת המערכת לאפשר ניתוק הקשר בזמן אמת בנוסף לאפשרות של חסימה ו/או נעילת גישה מכל סוג שהוא באמצעות קוד נעילה במקרה בו עלול מכשיר נייד ליפול לידיים זרות.

מעגל שלישי - הרשאות וניהול רישום (Full Audit Trail )

1. מעקב - נדרש מעקב מלא על כל תנועה של משתמש וקובץ במערכת, מי יצר,מי העלה,מי צפה, מי הוריד וכו'.

2. בקרה - נדרשת מערכת של דוחות בקרה ותפעול לאיתור וניתוח כל פעילות ומכל סוג שהוא בחשבון המשתמש בין היתר של מיון וסינון דוחות בפילטרים של קבוצות משתמשים, תאריכים, קבצים, ומשתמשים.

3. אתראות - מתן אתראות מפני פריצה אפשרית ונסיונות חדריה למערכת.

4. הרשאות - קביעת מערך הרשאות פרטני המאפשר שליטה ברמת קובץ,תיקייה ,משתמש וקבוצה.

5. הגנת ססמא : מתן אפשרות לשתף מסמך או קובץ באמצעות סיסמא, כך שרק משתמש המחזיק בססמא יוכל לעיין במסמך.

6. התראות : נדרשת יכולת למתן התראה לדוא"ל באירועי: צפייה, הורדה, כתיבת הערה למסמך, עריכה, או העלאה של מסמך לתיקיה או לקובץ. בתוך כך רצוי לקבל גם רשימת התראות מסכמת אחת ליום בהתאם להעדפות המשתמש.

7. קישורים : אחת הדרכים לשתף מסמך היא לשלוח ליעד כלשהו קישור , לקישור זה מפתח יחודי ונדרש לקבוע אם מקבל הקישור יוכל לבצע פעולת הדפסה הורדה של המסמך או לצפות בו בלבד.

8. גישה למסמכים מתוחמת בזמן : נדרשת אפשרות לקבוע תאריך תפוגה לחשיפת מסמך בקישור , בפקיעת המועד שנקבע, המסמך יחדל להיות זמין .

9. שיתוף : בכל יצירת תיקיית שיתוף נדרשת אפשרות להזמין שותפים על פי תפקידם לדוגמא : להגביל את שותפיך למסמך או לתיקיה בהנתן להם הרשאות של צפייה בלבד . הרשאה זו תמנע מהם לבצע "הורדה" של המסמך לערוך אותו או לטעון לתיקייה מסמכים אחרים.

10. הרשאות גלובליות : נדרשת אפשרות לקבוע מגבלות שיחולו על כל עובדי הארגון לדוגמא: מי יהא רשאי לפתוח תיקיה או "לטעון" קובץ לתוך המערכת. האם משתמשי המערכת רשאים לשתף מסמכים או מידע,
האם מקבל קישור למסמך יכול "להוריד" את המסמך למחשבו האישי או למכשיר הנייד (מדיה סלולרית) שברשותו, מי יכול להזמין "שותפים" לתכנים, מהו פרק הזמן המערכתי אשר לאחריו, קישור של מסמך כלשהו שנשלח "יתפוגג" וכן מתן אפשרות לקביעת תאריך מסגרת לפרוייקטים.

מעגל רביעי - הצפנת Data

1. נדרשת הצפנה אוטומטית של מידע בכל שלב של העלאה והורדה רצוי בסטנדרט של 256 . AES/BIT . שימוש בסטנדרט של AES -Advanced encryption standard הוא צופן מקובל שאומץ כתקן ההצפנה הסימטרית הרשמי של ממשלת ארה"ב.

2. גם על מפתחות ההצפנה נדרשת הצפנה ויש לשמרם במספר מיקומים/במסדי במסדי נתונים נפרדים ובתוך כך להבטיח שמיקומי המפתחות יעברו רוטציה בתדירות גבוהה.

3. על ספק פתרונות להבטיח שגם לעובדיו הבכירים ביותר לא תהיה את היכולת לפענח מסמך כלשהו בשום דרך ובשום צורה שהיא.

מעגל חמישי - הרשת

1. על הרשת המאחסנת להיות מנוטרת באופן שוטף בפני איומים ובעלת קישורים מרובים לשדרת האינטרנט על מנת שתוכל להבטיח רמת ביצועים גבוהה, יתירות וזמינות מקסימאלית.

2. על כל שרתי הרשת להיות מצויים מאחורי חומת אש איתנה ( firewall ) המאפשרת נגישות סלקטיבית לשרותי המערכת.

3. באופן שוטף צריכים להתבצע בנוסף גם תהליכים אוטומטים לצורך בדיקות חדירה חיצוניות בכדי לוודא תקינות המערכת ולאבטחה מוגברת.

4. ביו היתר נדרשות קיומן של מערכות מהסוג של IDS -Intrusion Detection System , המשמשות כמוניטור לאיתור "פלישות" לרשת בזמן אמת.

מעגל שישי - חוות השרתים

1. על חוות שרתים לעמוד בסטדנרטים ותקנים כאלו שיאפשרו בין היתר רמת יתירות גבוהה, גיבוי תחת אבטחה פיזית 24\7 ומאויישות בשומרים חמושים והכל תחת מדיניות גישה מחמירה וקפדנית, הכוללת מערכות לזיהוי ביומטרי , כספות וכלובים לאכסון מידע "רגיש".

2. על ספק השירות להצהיר על עמידה בתקני ביקורת לספקי שירותים כדוגמת SSAE 16 Type II והרחבה של תקן SAS 70 .תקן המבטיח כי נותן שירות עומד בתקנים חשבונאים מחמירים המאפשרים מתן שירותים לאירגונים מבלי לסכן את פעילותם או את המידע אשר הם מאכסנים ברשותו , תקן זה כולל ביקורת תשתיות פיזיות, בדיקות מקצועיות של רמת השרות, זמינות השרתים, שלמות עיבוד הנתונים, נהלי סודיות ופרטיות, ביקורת על התהליכי עיבוד מידע רגיש. חברות שירות מבוססות ענן ספורות ביותר, יכולות להתפאר בתקן זה.

3. עמידה בביקורת חייבות להיות מבוצעת ע"י גורם צד שלישי מוסמך ובמספר פעמים בשנה.

4. זמינות המערכות צריכות להתבסס על יתירות של N +1 או יותר לכל רכיב קריטי במערכת. המינוח ( N+1 ) משמעותו כי לכל רכיב קריטי במערכת מוחזק לכל הפחות עותק אחד עודף.

5. נדרש שכל השרתים יהיו מאוכסנים בכלובים וכספות המוגנים במערכות סריקה ביומטרית. הגישה לציודי החברה צריכה להיות מוגנת ומאובטחת באמצעות שומרים מזויינים 24\7 אמצעי זיהוי ביומטרים ומערכות טלויזה במעגל סגור ( CCTV ) .

6. לבסוף נדרשת כמובן קיומם של מערכות UPS ,מערכות גיבוי, מערכות מניעת אש והצפה באתרי האחסון.

מעגל שביעי – משרדי נותן השירות ועובדיו

האבטחה מתחילה במשרדי נותן השירות עצמו , על פי התקנים יש לוודא קיומם של פרוצדורות עבודה במדיניות החברה. כל עובד צריך לעבור הכשרת בטיחות בה מועברים לו הפרוצדורות וההליכים הנוגעים לענייני אבטחה. קיומו של תקן SAS-70 audit report , יבטיח כי מתנהל רישום ותעוד מפורט הכולל בין היתר:

1. בדיקת היסטורית עובד .

2. רישום גישה למתקני החברה.

3. רישום חריגות מ "שימוש מקובל" במתקני החברה.

4. רישום מדיות ניידות ונתיקות.

5. הפרדת ססמאות אירגוניות וססמאות יצור.

6. ניהול הרשאות גישה.

7. נהלים לרישום "אירוע" בטיחות.

8. הכשרות בטיחות מידע.

9. ניהול כל מערכות בהתאם לסטנדרטים עולמיים.

10. קביעת קונפיגורציית מערכת.

11. ניהול שינויים.

12. מערכות לזיהוי פולשים ברשת הפנימית.

13. גישה מרוחקת באמצעות VPNs with multi-factor authentication

14. סריקה ומוניטור רציף און ליין למערכות פנימיות.

15. שימוש בשרותי חברות אבטחה צד שלישי המתמחות באבטחת נתונים לבדיקת פוטנציאל חדירות ונקודות תורפה אפשריות ברשת.

16. יש לוודא קיומן של חסימות עובדי נותן השירות לנתוני הלקוח באופן שלעולם לא יתאפשר למי מעובדי השירות לראות תוכן כל שהוא של לקוח ובכל מקרה של תמיכה בלקוח ינתהל רישום ותיעוד מפורט.

כותב המאמר: דוד אלוש, מנכ"ל ומייסד חברת CloudCom נציגת Box בישראל, פלטפורמת בינלאומית לניהול ושיתוף תוכן מאובטח מוצפן בענן.

למידע ומאמרים נוספים בתחום www.CloudCom.co.il

לשאלות ניתן לפנות באמצעות הדוא"ל - info@CloudCom.co.il

להתייעצות טלפונית אישית - 054-4637000