Posts Tagged ‘Cloud Security

13
נוב
12

סיכונים הנובעים ממערכת MDM בענן

הענן הפך לבאז שיווקי שמנהלים מאמצים מבלי להבין את הסיכונים הגלומים בו. אחד הטרנדים החמים כיום מתייחס למערכות לניהול מכשירים חכמים (MDM) ומערכות אבטחה למכשירים אלה, כאשר מערכת הניהול מותקנת בענן.

לכאורה, הטענה היא שפתרונות אלה בטוחים כיוון שהמיילים עצמם אינם עוברים דרך המערכת בענן, אלא רק ההגדרות לניהול המכשיר. על פניו, נשמע שאין כאן סיכון. אך כשבוחנים את הארכיטקטורה של הפתרון, מתגלים הסיכונים. אני מציין כאן מספר סיכונים, ואני מניח שישנם נוספים:

  • ממשק הניהול של המערכת נגיש לכל אחד בעולם. אם גורם זר מצליח להשיג את נתוני ההזדהות לממשק (בין אם ע"י גניבת סיסמא או ע"י מתקפת XSS וכל דרך אחרת), הרי שהוא יכול להשבית את השירות לארגון שלם. במצבים מסוימים ייתכן והוא גם יצליח לרשום מכשיר שאינו שייך לארגון אל השרת הארגוני. או שמישהו יחליט למחוק לחלוטין (Remote Wipe) מכשירים מתוך רוע לב.
  • פתיחת גישה ל – Active Directory למערכת בענן. בארגון גדול, לא ירצו לנהל משתמשים מקומיים במערכת, אלא לקשר את המערכת למשתמשים המוגדרים ב – AD. רגע, אתם רציניים? לפתוח את AD הארגוני לספק שירות זר המספק פלטפורמה משותפת לעוד אלפי לקוחות?

אז תזכרו שלעננים אין תחתית יציבה ואפשר ליפול לקרקע בקלות מגובה רב. תבחנו טוב את השירות המוצע והאם פתרון ענן למכשירים חכמים (ובכלל לכל השירותי) עונה לא רק לצרכי תפעול, אלא גם לסיכוני אבטחת מידע.

מודעות פרסומת
22
אפר
12

סיכונים במחשוב ענן

המונח מחשוב ענן (Cloud Computing) מתייחס לרוב לשירותי מחשוב. שירותים אלה מתחלקים לסוגים שונים. המוטיבציה העיקרית לעבור לענן היא, לכאורה, חסכון במשאבים (שטח פיזי, שרתים, תוכנות ועוד) ומכך חסכון בעלויות. אני מציין לכאורה כיוון שקראתי במקומות שונים שהחסכון שמוצג בשקפים של אנשי השיווק הוא לא מובן מאילו ובלא מעט מקרים לא ניתן להוכיח חסכון (לפעמים עלויות עקיפות כגון התאמת אפליקציות לעבודה בענן תתגלה כיקרה יותר משמירה על המצב הקיים).

שירותי ענן מוצעים בשיטות שונות ומונחים שונים. אני רוצה להציג תפיסה מעט שונה למושג ענן ולדון על בעיות האבטחה הנובעות מכך.

מהיבטי אבטחה, אני אחלק את הענן לשירותים הניתנים בתוך הארגון (בעיקר וירטואליזציה פנימית), ושירותים באינטרנט (לא ידוע איפה פיזית). הפוסט הזה יציג סיכונים בשירותי ענן חיצוניים.

  1. מעילה/גניבה: אדמין עם הרשאות חזקות בחוות השרתים של הענן מסוגל להפעיל אפליקציות רגישות או להכנס לבסיסי נתונים רגישים ולבצע מעילה בכספי הארגון או לגנוב נתונים רגישים. כל זאת, ללא יכולת בקרה של הארגון.
  2. תשתית לא מאובטחת: אם בארגון יש למנהלי הרשת בקרה על הקשחת שרתים, השרתים בענן עשויים שלא להיות בשליטת הארגון. ניצול פרצות בהקשחות השרתים עשוי לאפשר ניצולם לרעה.
  3. היעדר אמצעי אבטחה נאותים: אם ברשת הפנימית אנחנו יכולים להתקין מערכות אבטחה כראות עינינו, בענן היכולת שלנו מוגבלת עד בלתי-אפשרית. רמת אבטחת המערכות שלנו עשויה לרדת באופן משמעותי ביציאה לענן.
  4. ממשק ניהול פרוץ: כדי להקל על ארגונים, או עקב חוסר מודעות, ספק הענן עשוי לאפשר גישה לא מאובטחת כראוי ללקוחות השונים לצורך ניהול המערכות. סביר להניח שהאקר ינסה בראש ובראשונה להשיג גישה לממשק זה שיאפשר לו שליטה מלאה לביצוע פעולות זדוניות.
  5. תקלות כלליות: תקלה בהגדרות או בתוכנה של הספק עשויות לפתוח, באופן זמני, פרצה רוחבית לכל המערכות המאוחסנות אצל הספק. לא מזמן פורסם מקרה כזה שאפשר, למשך כשעתיים, גישה לכולם ללא סיסמא.
  6. שיתוף מידע: המידע המאוחסן ע"י הספק יושב בתשתית Storage משותפת. הגדרות לקויות עשויות לגרום לזליגת מידע בין לקוחות.
  7. חבות משפטית: בשירותי ענן, לא ברור איפה השירות נמצא – באיזה מדינה חוות השרתים מותקנת. ייתכן גם שהשירות ינדוד בין חוות שרתים במדינות שונות באופן שקוף לארגון. במקרה של אירוע, מול איזה ישות משפטית ימוצה הדין, ולפי חוק של איזה מדינה? האם יש לארגון שליטה על בחירת הרשות השופטת?

ישנם עוד סיכונים שלא פורטו. יותר מכך, כיום לא ברורים עדיין כל הסיכונים. בעתיד יתגלו סיכונים שטרם חשבו עליהם. ברור שאם טרם מופו כל הסיכונים, טרם נתפרו מנגנוני הגנה מפני סיכונים אלה. ביום הדין, הארגון עשוי למצוא את עצמו בבעיה קשה.




ספטמבר 2018
א ב ג ד ה ו ש
« מאי    
 1
2345678
9101112131415
16171819202122
23242526272829
30  
מודעות פרסומת