אימוץ מערכות ותשתיות מבוססות ענן הוא פשוט, קל וזול יותר. תחת הנחת העבודה הזו נכנסים ארגונים לפרויקטים מהירים ומגוונים שבסופם נרשמות עוד ועוד הטמעות מוצלחות של מערכת CRM, HR, ERP, תשתיות IT מודרניות, וכל אלו גם בעננים של ספקים שונים בחלק גדול המקרים.
אימוץ מערכות ותשתיות מבוססות ענן הוא פשוט, קל וזול יותר. תחת הנחת העבודה הזו נכנסים ארגונים לפרויקטים מהירים ומגוונים שבסופם נרשמות עוד ועוד הטמעות מוצלחות של מערכת CRM, HR, ERP, תשתיות IT מודרניות, וכל אלו גם בעננים של ספקים שונים בחלק גדול המקרים.
בנקודה הזו מגיע סקר אבטחת מידע, שמגלה פערים שהארגון לא יודע וגם לא יכול לגשר עליהם באמצעות הכלים המוכרים שכבר הטמיע, זאת מכיוון שהארגון מכיר מערכות מקומיות -On premise- שנמצאות בשליטתו המלאה, ובהתאם לכך גם הפתרונות לאבטחתם בחצר הארגון.
מערכות ענן בנויות אחרת. אלו אינן מספקות קובץ לוג או גישה ישירה לבסיס הנתונים של המערכת. מערכות אלו מסופקת כשירות, בדרך כלל למספר לקוחות בו זמנית (Multi-Tenant), ואלו מספקות יכולות אבטחה וממשקי תוכנה מסוג REST APIs שדרכן ניתן לשלוף מידע ולבצע פעולות. מה ששוב מותיר את הארגון עם סימני שאלה לגבי אופן היישום ההוליסטי של אבטחת וניטור כלל התשתיות ומערכות הענן שבחר לאמץ – כי איך משלבים מוצר שמספק ממשקי תוכנה שנמצאים מחוץ לגבולות הארגון מתוך תשתית ארגונית שרגילה לקבל שליטה מלאה בכל פסיק שזז בחצר הארגון?
מהסיבה הזו, מוצרי אבטחת המידע מסוג CASB הינם המבוקשים והמתפתחים ביותר בתעשיית אבטחת המידע כיום.
לאבטח את הענן מתוך הענן
השירות הוצג בכנס הענן של חברת אורקל בשבוע שעבר, במהלכו השיקה רשמית בישראל את הדור הבא של טכנולוגיית הענן שלה וחידושים רבים ב-IaaS ו-PaaS.
מוצרי CASB מספקים עבור מערכות הענן המודרניות את דרישות אבטחת המידע שלא השתנו – ניטור, איתור פגיעויות, התמודדות עם אירועי אבטחת מידע, יצירת דוחות ומעקב שוטף אחר פעילות שמתבצעת במערכות הארגוניות.
לקבל "עיניים" אל תוך הענן
הטמעת פתרון CASB וקבלת ערכים מוספים ממנו הינה מהירה וקלה. ניתן להגדיר זאת במשפט אחד: Securing the cloud in the cloud.
מאפייני פתרון מומלץ יהיו כאלו שיצליחו:
· לקיים אינטגרציה עם מוצרי אבטחת מידע ארגוניים ומהווה פתרון משלים
· "לסגור" את הפער שנוצר מאופי הארכיטקטורה השונה של פתרונות ענן וחוסר התאימות שלה למערכות הגנה רשתיות פנים ארגוניות על מנת לייצר רציפות בשקיפות, ניהול הסיכונים ושמירת המידע במערכות הענן.
· לא לדרוש התערבות או הגבלה במשטר התקשורת מאחר והוא מבוסס API
· לפעול תמידית
· לעקוב אחר מאות הגדרות בשירותי ענן שונים של הלקוח ביחס ל- Baseline מתגלגל וביחס ל- Best Practices מוגדרים מראש
· לעקוב אחר פעילות והתנהגות המשתמשים ביחס לפרופיל האישי שלהם (User Behavioral Analytics)
· לאפשר טיפול שוטף במחזור החיים של אירועי האבטחה.
הדרך לקבלת "עיניים אל תוך הענן" קרובה וקלה מתמיד. בדיקת היתכנות למוצרים מסוג זה פשוטה וקלה מאוד. מומלץ לעשות כן, מכיוון שאפילו מבדיקת היתכנות של מספר ימים ניתן ללמוד דברים חדשים על צריכת שירותי הענן וההגדרות השונות שלהם בארגון.
