טכנולוגיות לשמירת נכסי המחשוב הדינמיים? צורך קיומי בארגונים

ההגנה על נכסי מחשוב הפכה עם השנים לנושא מורכב. נכסי המחשוב הארגוניים התפתחו בהתמדה במהלך השנים, ובעשורים האחרונים התפתחו לסביבה דינמית, המורכבת משלל פתרונות, בשכבות אינטגרציה שונות ו/או משותפות.

כשמביטים לעבר העתיד ניתן לראות את סביבת המחשוב מתחדשת ללא הרף ומאמצת טכנולוגיות מתקדמות, תוך שאיפה להשיג יעילות ומהירות תגובה גבוהה יותר.

מאחורי המגמות העכשוויות והעתידיות מגיע מהרצון לפשט את סביבת העבודה, ובמקביל – האצת מהירות תגובה. צרכים אלו סוללים את הדרך לשיתופי פעולה בין ענפים על קוד ושיטות קוד נפוצות, המאפשרות לכלי המחשוב הארגוניים והענניים להחליף מידע ותובנות בחופשיות.

כאב ראש לאלו האמונים על שמירת נכסי המחשוב

בעוד הדברים לעיל ישמחו את המשתמש הסופי, הם מהווים כאב ראש לא קטן לאלו האמונים על שמירת נכסי המחשוב בארגון. אם עד השנים האחרונות היו עוד מי שהטילו ספק בשמירה על נכסים סטטיים, כגון משתמשים מיוחסים, השנה האחרונה טרפה את כל הקלפים. לא שנכסים סטטיים כמשתמשים מיוחסים יחדלו מלהתקיים, אבל שיעור נכסי המחשוב הדינמיים והמורכבות שלהם עולים משנה לשנה, בדגש על השנה האחרונה, שאילצה רבים לעבוד מהבית ובמקביל אילצה שינוי בתפיסת האבטחה של נכסי מחשוב במרבית הארגונים – זה דבר אחד להגן על נכסי המחשוב כשיש כמה עשרות עובדים המתחברים לארגון באמצעות VPN, בהשוואה לארגון שלם, הנאלץ לעבוד בצורה מרוחקת תוך אימוץ מהיר של טכנולוגיות ענן.

המצב שנוצר הביא ארגונים רבים לשאול כיצד ניתן להגן על נכסי מחשוב מורכבים ודינמיים, דוגמת פיתוח קוד, קונטיינרים, שירותי רשת וענן, API ופעילות שאינה אנושית, דוגמת קוד תוכנה/שירות שתפקידם לבצע מטלות במערכות שונות. כיצד ניתן לאמת, לשלוט, לעקוב אחר פעולות ושירותים אוטומטיים ולמנוע מצבה שבן מתאפשר לתוקף לבצע lateral movement?

בעוד בעולם הסטטי, שבו ניתן למצוא שימוש בכספות וסוכנים (Agents) המאפשרים שמירה של סודות (חשבונות וסיסמאות של משתמשים – בדרך כלל מיוחסים) כך שמצד אחד, המשתמש הסופי אינו יודע את הסיסמה של החשבון שבו הוא עושה שימוש, ומצד שני המערכת דואגת לאימות מחמיר של העושים שימוש בנכסי הכספת, רוטציה של סיסמאות, מעקב ותיעוד אחר השימוש שנעשה בחשבון. כך בשנים האחרונות אנו רואים אימוץ של פתרונות דומים עבור סביבות דינמיות.

בסביבה הדינמית קשה עד בלתי אפשרי לעבוד באמצעות סוכנים (Agents). העבודה למול כספת שתפקידה לאכסן את ה"סודות" בסביבה הדינמית שונה מכספת סטטית עבור חשבונות אנושיים. הממשק לכספת דינמית ייעשה דרך API עבור אפליקציות וסקריפטים, וניהול הגישה ייעשה באמצעות רכיב Dynamic Provider, המאפשר גמישות בניהול ה"סודות" עבור מערכות "קוראות" (Calling source), דוגמת מערכות הפעלה, אפליקציות, קונטיינרים וקוד פתוח.

אימוץ טכנולוגיות הענן יוצר מצב של סביבה היברידית ברוב הארגונים. מנהלי אבטחת סביבה היברידית דורשים ממנהלי אבטחת המידע להגן על יותר נכסים מהעבר: יותר תשתיות (On Premise, Hybrid or Cloud), יותר אפליקציות, יותר שימוש ב"שחקנים" מיוחסים, יותר אוטומציה.

היום יותר מאי פעם אנשי אבטחת המידע צריכים לאכוף מדיניות אבטחה על משתמשים מיוחסים, שהיא חוצת פלטפורמות ואפליקציות – בין אם מדובר בתשתית או פתרונות On-prem, SaaS, IaaS ואף סביבות וכלי ה-DevOps של הארגון.

שימוש בשם משתמש וסיסמה בתוך קוד מהווים כשל אבטחתי חמור, משום שמאוד קל לתוקף לחפש ולמצוא סיסמאות בתוך קוד כשהן אינן מוצפנות ואינן משתנות באמצעות אכיפת מדיניות סדורה. אימוץ גישה דינמית בשמירת נכסים מובילה למינוף ולגמישות בפריסה ולזמינות של מגוון רחב של יישומים בארגון.

הכותב הוא מהנדס פרה-סייל בחברת בינת תקשורת מחשבים.