הצפנה וקוץ בה

העלייה המתמשכת במספר מתקפות הסייבר והפריצות למידע בשנים האחרונות והעלייה בדרישות הרגולציה על מידע של משתמשים הביאו לעליה בשימוש בפתרונות להצפנת מידע. למרות המורכבות שבה ועל אף ניסיונות תוקפים למצוא דרכים מתוחכמות לעקוף ולנצל אותה הצפנה היא עדיין אמצעי אפקטיבי, שכן היא מאפשרת להגן על המידע מפני חשיפה גם לאחר גניבתו.

מחקר גלובלי שהתפרסם באחרונה על ידי מכון המחקר פונימון (Ponemon) מעלה כי כ- 43% מהארגונים מיישמים אסטרטגיית הצפנה ברחבי הארגון – מגמה שהולכת וגדלה מידי שנה.

ככל שההצפנה מיושמת בשכבות גבוהות יותר, כך יעילותה גוברת. ללא ספק, קיימת חשיבות גבוהה להצפנה בשכבת היישומים ויותר מכך, להצפנת התעבורה של המידע בין היישומים (SSL/TLS) על מנת להבטיח פרטיות מידע ולאפשר תקשורת מאובטחת. יחד עם זאת, מרבית הארגונים עדיין מיישמים הצפנה בעיקר בשכבת האחסון ולא בראייה הוליסטית של כלל שכבות המידע בארגון – דבר שמציב אתגרים לא פשוטים ומעלה שאלות לגבי יעילותה.

האתגר בהצפנה בשכבת האחסון

שכבת אחסון המידע בארגון היא אולי האזור הנוח והנפוץ ביותר להצפנת מידע אך לא תמיד היעיל ביותר. יחסית לשאר השכבות הזקוקות להגנה, דוגמת יישומים, דטה בייס, מערכות הפעלה ומערכות וירטואליות, ההצפנה בשכבת האחסון מגנה באופן המועט ביותר מפני פריצה למידע הארגוני.

זה לא סוד שמערכי All flash מבוססים על מדיית האחסון היקרה ביותר בשוק. על מנת שיצרני ה-All flash יוכלו להציע ללקוחות מחיר בר השגה ליחידת אחסון (טרה-בייט), הם אמצו גישה של דחיסת מידע אגרסיבית, אולם הצפנת המידע בכל מקום אחר מרמת הדיסק מבטלת את יכולת הדחיסה הזאת וכך כל המודל הכלכלי שלהם נשמט תחת רגליהם.

הגישה האופטימלית לאבטחת מידע מול המציאות

הגישה האופטימלית לאבטחת מידע כוללת אבטחת יישומים, אבל היא מוגבלת לרוב על ידי יישומים שאינם מציעים אפשרות להצפנה וכבר יצאו מתכנית תמיכה, אפליקציות קריטיות שלוקח זמן רב אם בכלל כדי להשיג עבורם חלון תחזוקה ובעלי יישומים שלא תמיד ישקיעו את כספם בהצפנה.

מסיבות אלה ואחרות נעשות פעמים רבות פשרות על מנת לקדם את אימוץ האבטחה בארגון. ארגונים רבים מבצעים הצפנה בשכבות נמוכות יותר (דטה בייס, מערכות הפעלה ומערכות וירטואליות) על מנת לענות על דרישות רגולטוריות ותאגידיות. כדאי להגביל את מספר הגישות השונות שבהן החברה משתמשת על מנת להימנע מקושי תפעולי. אולם, בכל אופן, לכל האלטרנטיבות האלו יש אפקט דומה והוא, שוב, הגבלת דחיסת המידע של מערכי ה- all flash והגדלת עלות הבעלות הכוללת (ה-TCO) שלהם בצורה משמעותית.

יתרונות להצפנה בשכבות גבוהות משכבת האחסון

היתרון הראשון הוא פיזור או ביצועים. להוציא דיסקים בעלי הצפנה עצמית (SED – Self-Encrypting Drives), הצפנה דורשת כוח עיבוד (CPU). ספקי המעבדים ביצעו שיפורים משמעותיים כדי לתמוך בהצפנה מבלי להכביד על המעבד. שכבות ה- IT כוללות תמיד יותר שרתים ממערכי האחסון כך שהעברת משימת ההצפנה לשכבה גבוהה יותר משמעותה גם פיזור רחב יותר של עומסי העבודה וצמצום עומס העבודה על התקן יחיד. בעולם הווירטואלי מדובר גם בשכבה בעלת יכולת הגידול / ההרחבה הפשוטה ביותר במידה ויש צורך בכוח מחשוב נוסף.
היתרון השני נוגע לגרנולריות. ככל שמצפינים בשכבה גבוהה יותר כך גם הגרנולריות טובה יותר:

יישום יכול להצפין רק מידע אישי בר זיהוי (PII – ר"ת Personal Identifiable Information), שכן הוא "מבין" את הקונטקסט או את המשמעות של המידע. דבר זה מאפשר הוצאות נמוכות יחסית.

יתרון נוסף הוא המוכנות לענן. הצפנה בשכבות גבוהות יותר היא תנאי הכרחי למעבר לענן, אם המידע צריך להישאר באותה רמת הגנה ולהישאר מוגן ברשת התקשורת המרחבית (WAN). המידע יכול לעבור לענן ללא מנגנון הגנה נוסף. לאור ההחמרה ברגולציה, הצפנה (בעיקר של מידע אישי) יכולה להפוך פרויקט מעבר לענן מבלתי אפשרי לאפשרי.

יתרון אחר הוא אינטגרציה פשוטה. קיים יתרון לאינטגרציה של רמות ה- OS/ DB / Hypervisor – יש מגוון נמוך מאד של כל אחד מהם, בעוד שיש הרבה מאד יישומים בסביבה. מנקודת המבט התפעולית, הדבר יכול לצמצם מורכבות.

לסיכום, ככל שהערך של המידע הארגוני גדל כך גם עולה נפחו והסיכון שמישהו ינסה לפרוץ אליו. סמנכ"לי מערכות המידע ואבטחת המידע נמצאים במאבק מתמיד למצוא פתרונות שיגנו על המידע העסקי כמו גם על העסק עצמו ובעת ובעונה אחת יאפשרו לו לגדול. חתירה לגישה הוליסטית שתגן על המידע ממחשבים לא מוגנים של עובדים שכבר נמצאים "מאחורי הפיירוול" הינה מפתח לכל מדיניות אבטחת המידע.
הערך המוסף של הגנה בשכבות גבוהות הוא חיוני מאוד על מנת להגן על החברה גם מסיכונים פנימיים. על כן הצפנה ברמת האחסון היא טובה ממצב של חוסר הגנה אך אינה פתרון מלא. יש לקחת בחשבון כי עם עליית רמת האבטחה, ספקי האחסון, בדגש על שחקני ה-All Flash, מכניסים את הארגון לסיכון עיסקי משמעותי עם המגבלות הכרוכות בשיטת הדחיסה האגרסיבית שכביכול מאפשרת "יעילות", אך אינה רלוונטית בסביבות מאובטחות.

הכותב הינו סמנכ"ל טכנולוגיות ב-Infinidat.