22
אפר
12

סיכונים במחשוב ענן

המונח מחשוב ענן (Cloud Computing) מתייחס לרוב לשירותי מחשוב. שירותים אלה מתחלקים לסוגים שונים. המוטיבציה העיקרית לעבור לענן היא, לכאורה, חסכון במשאבים (שטח פיזי, שרתים, תוכנות ועוד) ומכך חסכון בעלויות. אני מציין לכאורה כיוון שקראתי במקומות שונים שהחסכון שמוצג בשקפים של אנשי השיווק הוא לא מובן מאילו ובלא מעט מקרים לא ניתן להוכיח חסכון (לפעמים עלויות עקיפות כגון התאמת אפליקציות לעבודה בענן תתגלה כיקרה יותר משמירה על המצב הקיים).

שירותי ענן מוצעים בשיטות שונות ומונחים שונים. אני רוצה להציג תפיסה מעט שונה למושג ענן ולדון על בעיות האבטחה הנובעות מכך.

מהיבטי אבטחה, אני אחלק את הענן לשירותים הניתנים בתוך הארגון (בעיקר וירטואליזציה פנימית), ושירותים באינטרנט (לא ידוע איפה פיזית). הפוסט הזה יציג סיכונים בשירותי ענן חיצוניים.

  1. מעילה/גניבה: אדמין עם הרשאות חזקות בחוות השרתים של הענן מסוגל להפעיל אפליקציות רגישות או להכנס לבסיסי נתונים רגישים ולבצע מעילה בכספי הארגון או לגנוב נתונים רגישים. כל זאת, ללא יכולת בקרה של הארגון.
  2. תשתית לא מאובטחת: אם בארגון יש למנהלי הרשת בקרה על הקשחת שרתים, השרתים בענן עשויים שלא להיות בשליטת הארגון. ניצול פרצות בהקשחות השרתים עשוי לאפשר ניצולם לרעה.
  3. היעדר אמצעי אבטחה נאותים: אם ברשת הפנימית אנחנו יכולים להתקין מערכות אבטחה כראות עינינו, בענן היכולת שלנו מוגבלת עד בלתי-אפשרית. רמת אבטחת המערכות שלנו עשויה לרדת באופן משמעותי ביציאה לענן.
  4. ממשק ניהול פרוץ: כדי להקל על ארגונים, או עקב חוסר מודעות, ספק הענן עשוי לאפשר גישה לא מאובטחת כראוי ללקוחות השונים לצורך ניהול המערכות. סביר להניח שהאקר ינסה בראש ובראשונה להשיג גישה לממשק זה שיאפשר לו שליטה מלאה לביצוע פעולות זדוניות.
  5. תקלות כלליות: תקלה בהגדרות או בתוכנה של הספק עשויות לפתוח, באופן זמני, פרצה רוחבית לכל המערכות המאוחסנות אצל הספק. לא מזמן פורסם מקרה כזה שאפשר, למשך כשעתיים, גישה לכולם ללא סיסמא.
  6. שיתוף מידע: המידע המאוחסן ע"י הספק יושב בתשתית Storage משותפת. הגדרות לקויות עשויות לגרום לזליגת מידע בין לקוחות.
  7. חבות משפטית: בשירותי ענן, לא ברור איפה השירות נמצא – באיזה מדינה חוות השרתים מותקנת. ייתכן גם שהשירות ינדוד בין חוות שרתים במדינות שונות באופן שקוף לארגון. במקרה של אירוע, מול איזה ישות משפטית ימוצה הדין, ולפי חוק של איזה מדינה? האם יש לארגון שליטה על בחירת הרשות השופטת?

ישנם עוד סיכונים שלא פורטו. יותר מכך, כיום לא ברורים עדיין כל הסיכונים. בעתיד יתגלו סיכונים שטרם חשבו עליהם. ברור שאם טרם מופו כל הסיכונים, טרם נתפרו מנגנוני הגנה מפני סיכונים אלה. ביום הדין, הארגון עשוי למצוא את עצמו בבעיה קשה.

מודעות פרסומת

2 Responses to “סיכונים במחשוב ענן”


  1. 23/04/2012 ב- 23:49

    הייתי ממליץ שיותר שתתמקד בלתת הסברים כיצד לסגור בעיות הבטחה.

  2. 24/04/2012 ב- 20:12

    דניאל שלום,

    חלק חשוב מניהול אבטחת מידע נוגע בזיהוי סיכונים, לפעמים מספיק זמן לפני הארגון עצמו, ובכך להיות ערוכים בזמן.
    אני מנסה גם לכתוב על פתרונות ולא רק להציג סיכונים.
    אעשה זאת בקרוב.
    אתה מוזמן גם להציע נושאים/סיכונים להם אנסה לספק פתרונות.


להשאיר תגובה

הזינו את פרטיכם בטופס, או לחצו על אחד מהאייקונים כדי להשתמש בחשבון קיים:

הלוגו של WordPress.com

אתה מגיב באמצעות חשבון WordPress.com שלך. לצאת מהמערכת /  לשנות )

תמונת גוגל

אתה מגיב באמצעות חשבון Google שלך. לצאת מהמערכת /  לשנות )

תמונת Twitter

אתה מגיב באמצעות חשבון Twitter שלך. לצאת מהמערכת /  לשנות )

תמונת Facebook

אתה מגיב באמצעות חשבון Facebook שלך. לצאת מהמערכת /  לשנות )

מתחבר ל-%s


אפריל 2012
א ב ג ד ה ו ש
« מרץ   מאי »
1234567
891011121314
15161718192021
22232425262728
2930  
מודעות פרסומת

%d בלוגרים אהבו את זה: