ארכיון עבור אפריל, 2012

22
אפר
12

סיכונים במחשוב ענן

המונח מחשוב ענן (Cloud Computing) מתייחס לרוב לשירותי מחשוב. שירותים אלה מתחלקים לסוגים שונים. המוטיבציה העיקרית לעבור לענן היא, לכאורה, חסכון במשאבים (שטח פיזי, שרתים, תוכנות ועוד) ומכך חסכון בעלויות. אני מציין לכאורה כיוון שקראתי במקומות שונים שהחסכון שמוצג בשקפים של אנשי השיווק הוא לא מובן מאילו ובלא מעט מקרים לא ניתן להוכיח חסכון (לפעמים עלויות עקיפות כגון התאמת אפליקציות לעבודה בענן תתגלה כיקרה יותר משמירה על המצב הקיים).

שירותי ענן מוצעים בשיטות שונות ומונחים שונים. אני רוצה להציג תפיסה מעט שונה למושג ענן ולדון על בעיות האבטחה הנובעות מכך.

מהיבטי אבטחה, אני אחלק את הענן לשירותים הניתנים בתוך הארגון (בעיקר וירטואליזציה פנימית), ושירותים באינטרנט (לא ידוע איפה פיזית). הפוסט הזה יציג סיכונים בשירותי ענן חיצוניים.

  1. מעילה/גניבה: אדמין עם הרשאות חזקות בחוות השרתים של הענן מסוגל להפעיל אפליקציות רגישות או להכנס לבסיסי נתונים רגישים ולבצע מעילה בכספי הארגון או לגנוב נתונים רגישים. כל זאת, ללא יכולת בקרה של הארגון.
  2. תשתית לא מאובטחת: אם בארגון יש למנהלי הרשת בקרה על הקשחת שרתים, השרתים בענן עשויים שלא להיות בשליטת הארגון. ניצול פרצות בהקשחות השרתים עשוי לאפשר ניצולם לרעה.
  3. היעדר אמצעי אבטחה נאותים: אם ברשת הפנימית אנחנו יכולים להתקין מערכות אבטחה כראות עינינו, בענן היכולת שלנו מוגבלת עד בלתי-אפשרית. רמת אבטחת המערכות שלנו עשויה לרדת באופן משמעותי ביציאה לענן.
  4. ממשק ניהול פרוץ: כדי להקל על ארגונים, או עקב חוסר מודעות, ספק הענן עשוי לאפשר גישה לא מאובטחת כראוי ללקוחות השונים לצורך ניהול המערכות. סביר להניח שהאקר ינסה בראש ובראשונה להשיג גישה לממשק זה שיאפשר לו שליטה מלאה לביצוע פעולות זדוניות.
  5. תקלות כלליות: תקלה בהגדרות או בתוכנה של הספק עשויות לפתוח, באופן זמני, פרצה רוחבית לכל המערכות המאוחסנות אצל הספק. לא מזמן פורסם מקרה כזה שאפשר, למשך כשעתיים, גישה לכולם ללא סיסמא.
  6. שיתוף מידע: המידע המאוחסן ע"י הספק יושב בתשתית Storage משותפת. הגדרות לקויות עשויות לגרום לזליגת מידע בין לקוחות.
  7. חבות משפטית: בשירותי ענן, לא ברור איפה השירות נמצא – באיזה מדינה חוות השרתים מותקנת. ייתכן גם שהשירות ינדוד בין חוות שרתים במדינות שונות באופן שקוף לארגון. במקרה של אירוע, מול איזה ישות משפטית ימוצה הדין, ולפי חוק של איזה מדינה? האם יש לארגון שליטה על בחירת הרשות השופטת?

ישנם עוד סיכונים שלא פורטו. יותר מכך, כיום לא ברורים עדיין כל הסיכונים. בעתיד יתגלו סיכונים שטרם חשבו עליהם. ברור שאם טרם מופו כל הסיכונים, טרם נתפרו מנגנוני הגנה מפני סיכונים אלה. ביום הדין, הארגון עשוי למצוא את עצמו בבעיה קשה.

מודעות פרסומת
08
אפר
12

קוד טכנאי בבקרת כניסה

הרבה ארגונים מאבטחים כיום את הכניסה למשרדים עם בקרת כניסה מבוססת קירבה (Proximity). לכאורה, רק בעל כרטיס הקירבה (לרוב, חלק מכרטיס העובד) יכול להכנס למשרד לאחר שהוא קירב את הכרטיס למרחק סנטימטרים בודדים מהבקר.
מרוב הרגל לקרב את הכרטיס מספר פעמים ביום, אנחנו לא שמים לב שליד הבקר ישנו גם לוח מקשים עם ספרות בהרבה מקומות. לוח זה מאפשר כניסה למשרד ע"י הקשת קוד שהוא בד"כ בן 4 או 6 ספרות. קוד זה נועד למצבים בהם טכנאי/קב"ט צריכים להכנס למשרד בעת תקלה במערכת הקרבה.


הבעיה עם זה היא שכאשר לא נזהרים ומקישים את הקוד באופן שוטף, אנשים אחרים רואים את צירוף הספרות ומתחילים להשתמש בקוד בעצמם ואף לחלק אותו לאורחים (לרוב טכנאים חיצוניים שאין להם כרטיס עובד).
הפתרון הוא לשנות את קוד הכניסה ולא לחלק את הקוד לאף אחד למעט הקב"ט. הקב"ט לא יעשה שימוש בקוד למעט מקרים בהם הוא רוצה לבדוק את הקוד ואז הוא יוודא שאין אנשים מסביבו.




אפריל 2012
א ב ג ד ה ו ש
« מרץ   מאי »
1234567
891011121314
15161718192021
22232425262728
2930  
מודעות פרסומת