המפתח לשיתוף מידע בטוח: הגדרת מדיניות אבטחה לכל מכשיר קצה
עובדים, וגם שותפים עסקיים של הארגון, עלולים להשתמש במכשירים מנוהלים וגם כאלה שאינם מנוהלים, מהימנים או בלתי מהימנים. מדיניות אבטחה לטיפול בתרחישים מסוכנים צריכה לכלול הרשאות משתנות לכל מכשיר קצה של העובד או השותף
ישראל דיפנס
| 06/04/2020
נייג'ל הות'ורן, מנהל השיווק ב-EMEA של McAfee. צילום: McAfee
בימים אלה רוב הארגונים מתבססים על עבודה מרחוק. עובדים רבים משתמשים במכשירים הפרטיים שלהם כדי להיכנס לאפליקציות ארגוניות בענן, לפעמים גם מורידים מהענן קבצים, רק כדי לעבוד עליהם ואז להעלותם בחזרה לסביבה הארגונית. במציאות זאת מתחדד הצורך בניהול, בקרה ואכיפת מדיניות אבטחה, על כל אותם מכשירים שמקבלים גישה לשירותי הענן שלנו.
שירותי ענן רבים כוללים אמנם אפשרויות לניהול והגבלת גישה, אך למרבה הצער רבות מתכונות אלה לא זוכות לשימוש רב, בעיקר כי הן נראות מורכבות או לא חשובות מספיק בהשוואה לשירותים האחרים של הענן. אחד מהשירותים החשובים ביותר לאבטחת הארגון, שמתעלמים ממנו לעיתים קרובות, הוא הגדרת מדיניות לכל מכשיר קצה.
בדרך כלל שירותי ענן מאפשרים שיתוף פעולה בין משתמשים שונים, והם מצטיינים בתמיכה במגוון מכשירים רחב. המגמה היא לאפשר גישה מרחוק למערכות הארגון מרוב המכשירים ומערכות ההפעלה, ומרוב הדפדפנים. העניין הוא שעובדים, וגם שותפים עסקיים של הארגון, עלולים להשתמש במכשירים מנוהלים וגם כאלה שאינם מנוהלים, מהימנים או בלתי מהימנים.
כשם שהם משתמשים בעדכוני האבטחה האחרונים הם גם עלולים להשתמש במערכות ישנות ובמכשירים שאינם מאובטחים – בעיקר כשכל בני המשפחה זקוקים למחשב וסגורים יחד בבית. לכן עכשיו חשוב יותר מתמיד להיכנס לעובי הקורה, ולהגדיר מדיניות שתתבסס על כל המידע אודות המכשירים השונים שמבקשים גישה למערכות הארגון.
יש הרבה תרחישים פוטנציאליים ומסוכנים שעלינו לשלוט בהם. למשל, עובד המשתמש מהבית בלפטופ פרטי שאינו מנוהל ומוריד אליו מידע רגיש, למעשה חושף את תכני המסמך לדליפת מידע. יתרה מכך, אם אותו עובד מעלה את המסמך בחזרה מהמחשב הפרטי לסביבת הענן הארגוני, הקובץ עלול להיות נגוע ולהחדיר בלי כוונה תוכנה זדונית לסביבת הארגון. בתרחיש אחר, שותף עסקי שמשתמש במכשיר שלו עלול בטעות להעלות קובץ נגוע, במידה והמכשיר שלו לא מאובטח כנדרש.
מדיניות אבטחה לטיפול בתרחישים מסוכנים אלה צריכה לכלול הרשאות משתנות, כגון מתן אפשרות לצפייה בקבצים בלבד אך לא להורדתם מהענן למחשב שאינו מפוקח, או חסימת האפשרות של העלאת קבצים ממחשב שאינו מוכר לארגון. ניתן גם להחיל מדיניות DLP על כל מכשיר מחוץ לארגון המבקש להוריד קבצים או נתונים מסביבת הענן של העסק.
מנהלי אבטחה ואדמינים בענן הארגוני צריכים לקחת בחשבון כל אחד מהתרחישים הללו, להחליט על המדיניות המתאימה ולהגדיר אותה בשירות הענן. יש כמובן אפשרויות רבות אך לא כל שירותי הענן תומכים בכולן. ניתן להשוות בין קבוצות רבות של קריטריונים ולשקול כל אחד מהתנאים הבאים. למשל: מכשיר מנוהל / לא מנוהל, מערכת ההפעלה של המכשיר, סוג הפעילות (העלאה, עריכה, הורדה), סוכן (McAfee MCP, Zscaler, אחר), האם המכשיר מנוהל על ידי מערכות EMM כגון MobileIron ו-AirWatch, זיהוי מיקום גיאוגרפי (באמצעות כתובת IP), משתמש / קבוצה בהתאם להגדרות במערכת האימות (LDAP וכד'), בקשה ל-clasifier (מאפשר העמקה בשירותי ענן), ו-User domain.
החלת הקריטריונים והתנאים שתוארו כאן יכולה לתמוך בביצוע אוטומטי של פעולות אבטחה והרשאה, כגון חסימת גישה מוחלטת, או התניית גישה בהרשאה של המכשיר, אימות נוסף של המשתמש, הפניית כל התעבורה ממכשיר מסוים ל-proxy, או החלת מדיניות DLP ספציפית למכשיר ועוד.
כאמור, לא כל שירותי הענן מציעים מדיניות שתומכת בכל התנאים, לכן לפני רכישת שירות ענן מסוים כדאי לבדוק מה נתמך בו ומה לא. אפשר גם להשתמש ברשימה זו כדי לנסות ולקבל יכולות חזקות יותר בשירות הענן המועדף עליך. כל שירות ענן מאפשר לאדמין להגדיר שירותי מדיניות, אך במקום להגדיר מחדש עבור כל שירות ענן בנפרד, הרבה יותר קל להגדיר את המדיניות פעם אחת ולהחיל אותה על כל שירותי הענן שהארגון משתמש בהם באמצעות פתרונות CASB (ר"ת – Cloud Access Security Broker) כמו MVISION Cloud.
ניתן להעמיק עוד יותר בסיווג בקשות גישה, עד לרמת אבחנה בין חלקים שונים באותו שירות ענן. כך למשל, מנהלי מערכות יכולים להגדיר מדיניות פרטנית שתאפשר למכשירים בלתי-מנוהלים גישה ל-OneDrive אך לא ל-SharePoint, או לחסום מכשיר שאינו ברשת הארגונית מלגשת לפורטל הניהול של אופיס 365 בלבד.
לסיום, חשוב לציין כי כל הנושא של בקרת מכשירים שנידון המאמר זה, מהווה רק אחד מבין תשעה תחומים במודל האחריות המשותפת לאבטחת ענן ("Cloud Security 3600 Shared Responsibility Model"). ניתן לצפות ולהוריד את המודל המלא בקישור הבא.
הכותב הוא נייג'ל הות'ורן, מנהל השיווק ב-EMEA של McAfee.
עובדים, וגם שותפים עסקיים של הארגון, עלולים להשתמש במכשירים מנוהלים וגם כאלה שאינם מנוהלים, מהימנים או בלתי מהימנים. מדיניות אבטחה לטיפול בתרחישים מסוכנים צריכה לכלול הרשאות משתנות לכל מכשיר קצה של העובד או השותף
נייג'ל הות'ורן, מנהל השיווק ב-EMEA של McAfee. צילום: McAfee
בימים אלה רוב הארגונים מתבססים על עבודה מרחוק. עובדים רבים משתמשים במכשירים הפרטיים שלהם כדי להיכנס לאפליקציות ארגוניות בענן, לפעמים גם מורידים מהענן קבצים, רק כדי לעבוד עליהם ואז להעלותם בחזרה לסביבה הארגונית. במציאות זאת מתחדד הצורך בניהול, בקרה ואכיפת מדיניות אבטחה, על כל אותם מכשירים שמקבלים גישה לשירותי הענן שלנו.
שירותי ענן רבים כוללים אמנם אפשרויות לניהול והגבלת גישה, אך למרבה הצער רבות מתכונות אלה לא זוכות לשימוש רב, בעיקר כי הן נראות מורכבות או לא חשובות מספיק בהשוואה לשירותים האחרים של הענן. אחד מהשירותים החשובים ביותר לאבטחת הארגון, שמתעלמים ממנו לעיתים קרובות, הוא הגדרת מדיניות לכל מכשיר קצה.
בדרך כלל שירותי ענן מאפשרים שיתוף פעולה בין משתמשים שונים, והם מצטיינים בתמיכה במגוון מכשירים רחב. המגמה היא לאפשר גישה מרחוק למערכות הארגון מרוב המכשירים ומערכות ההפעלה, ומרוב הדפדפנים. העניין הוא שעובדים, וגם שותפים עסקיים של הארגון, עלולים להשתמש במכשירים מנוהלים וגם כאלה שאינם מנוהלים, מהימנים או בלתי מהימנים.
כשם שהם משתמשים בעדכוני האבטחה האחרונים הם גם עלולים להשתמש במערכות ישנות ובמכשירים שאינם מאובטחים – בעיקר כשכל בני המשפחה זקוקים למחשב וסגורים יחד בבית. לכן עכשיו חשוב יותר מתמיד להיכנס לעובי הקורה, ולהגדיר מדיניות שתתבסס על כל המידע אודות המכשירים השונים שמבקשים גישה למערכות הארגון.
יש הרבה תרחישים פוטנציאליים ומסוכנים שעלינו לשלוט בהם. למשל, עובד המשתמש מהבית בלפטופ פרטי שאינו מנוהל ומוריד אליו מידע רגיש, למעשה חושף את תכני המסמך לדליפת מידע. יתרה מכך, אם אותו עובד מעלה את המסמך בחזרה מהמחשב הפרטי לסביבת הענן הארגוני, הקובץ עלול להיות נגוע ולהחדיר בלי כוונה תוכנה זדונית לסביבת הארגון. בתרחיש אחר, שותף עסקי שמשתמש במכשיר שלו עלול בטעות להעלות קובץ נגוע, במידה והמכשיר שלו לא מאובטח כנדרש.
מדיניות אבטחה לטיפול בתרחישים מסוכנים אלה צריכה לכלול הרשאות משתנות, כגון מתן אפשרות לצפייה בקבצים בלבד אך לא להורדתם מהענן למחשב שאינו מפוקח, או חסימת האפשרות של העלאת קבצים ממחשב שאינו מוכר לארגון. ניתן גם להחיל מדיניות DLP על כל מכשיר מחוץ לארגון המבקש להוריד קבצים או נתונים מסביבת הענן של העסק.
מנהלי אבטחה ואדמינים בענן הארגוני צריכים לקחת בחשבון כל אחד מהתרחישים הללו, להחליט על המדיניות המתאימה ולהגדיר אותה בשירות הענן. יש כמובן אפשרויות רבות אך לא כל שירותי הענן תומכים בכולן. ניתן להשוות בין קבוצות רבות של קריטריונים ולשקול כל אחד מהתנאים הבאים. למשל: מכשיר מנוהל / לא מנוהל, מערכת ההפעלה של המכשיר, סוג הפעילות (העלאה, עריכה, הורדה), סוכן (McAfee MCP, Zscaler, אחר), האם המכשיר מנוהל על ידי מערכות EMM כגון MobileIron ו-AirWatch, זיהוי מיקום גיאוגרפי (באמצעות כתובת IP), משתמש / קבוצה בהתאם להגדרות במערכת האימות (LDAP וכד'), בקשה ל-clasifier (מאפשר העמקה בשירותי ענן), ו-User domain.
החלת הקריטריונים והתנאים שתוארו כאן יכולה לתמוך בביצוע אוטומטי של פעולות אבטחה והרשאה, כגון חסימת גישה מוחלטת, או התניית גישה בהרשאה של המכשיר, אימות נוסף של המשתמש, הפניית כל התעבורה ממכשיר מסוים ל-proxy, או החלת מדיניות DLP ספציפית למכשיר ועוד.
כאמור, לא כל שירותי הענן מציעים מדיניות שתומכת בכל התנאים, לכן לפני רכישת שירות ענן מסוים כדאי לבדוק מה נתמך בו ומה לא. אפשר גם להשתמש ברשימה זו כדי לנסות ולקבל יכולות חזקות יותר בשירות הענן המועדף עליך. כל שירות ענן מאפשר לאדמין להגדיר שירותי מדיניות, אך במקום להגדיר מחדש עבור כל שירות ענן בנפרד, הרבה יותר קל להגדיר את המדיניות פעם אחת ולהחיל אותה על כל שירותי הענן שהארגון משתמש בהם באמצעות פתרונות CASB (ר"ת – Cloud Access Security Broker) כמו MVISION Cloud.
ניתן להעמיק עוד יותר בסיווג בקשות גישה, עד לרמת אבחנה בין חלקים שונים באותו שירות ענן. כך למשל, מנהלי מערכות יכולים להגדיר מדיניות פרטנית שתאפשר למכשירים בלתי-מנוהלים גישה ל-OneDrive אך לא ל-SharePoint, או לחסום מכשיר שאינו ברשת הארגונית מלגשת לפורטל הניהול של אופיס 365 בלבד.
לסיום, חשוב לציין כי כל הנושא של בקרת מכשירים שנידון המאמר זה, מהווה רק אחד מבין תשעה תחומים במודל האחריות המשותפת לאבטחת ענן ("Cloud Security 3600 Shared Responsibility Model"). ניתן לצפות ולהוריד את המודל המלא בקישור הבא.
הכותב הוא נייג'ל הות'ורן, מנהל השיווק ב-EMEA של McAfee.
