מאובטח? פחות או יותר.

אני עוד אכתוב פוסט קצת יותר מעמיק מזה בנושא (או אולי סדרה שלמה) אבל שוב ושוב עולה שאלת האבטחה בכל מה שקשור לשרותי ענן ובצדק רב. אחד ה”מיתוסים” העיקריים בכל מה שנוגע לענן הוא שהענן לא מאובטח, או לפחות לא מאובטח כמו האלטרנטיבות המסורתיות. רבים מהדוברים ששמעתי בשנה האחרונה, המצדדים במעבר לענן, טוענים שאין ביסוס אמיתי למיתוס זה אבל כולם אומרים זאת מאינטרס ברור מאד, בדיוק כמו אנשי מיקרוסופט הטוענים שאין בעיית אבטחה בחלונות.

אני מאמין שלא ניתן להגיע ל – 100% בכל מה שקשור לאבטחת מחשבים ומערכות. עובדה שמערכות הנחשבות למאובטחות מאד עדיין נפרצות (מישהו אמר כור גרעיני באירן?). זאת רק שאלה של עד כמה רוצה הפורץ (ויש לו את הכלים והכישורים או היכולות לרכוש אותם) לחדור למערכת. לכן יש לי בעיה עם הגישה של מתנגדי המעבר למחשוב ענן והנסיונות שלהם לתקוף את האבטחה בענן. בגדול הם צודקים, יש בעיית אבטחה בענן, אבל באותה נשימה חייבים להודות שגם מערכות מסורתיות אינן בטוחות מפני כל האיומים. יכול להיות שהאיומים הם בעלי אופי שונה אבל לא ממש כדאי להתעלם מהם.

אני רואה שתי בעיות מרכזיות המאפיינות את האבטחה בענן (או אולי העדר האבטחה):

  • שוק הענן מוצף בחברות צעירות מאד, העושות ככל יכולתן להגיע לשוק כמה שיותר מהר, תוך כדי עשיית קיצורי דרך בתהליכי הפיתוח השונים. אחד הקיצורים הפופולריים, בעלי ההשפעה הרבה ביותר על לוחות זמנים, הוא הטיפול באבטחת מידע.
    כל מי שהיה שותף בבניית מוצר חדש לחלוטין (אם זה בסטארטאפ או בכל מקום אחר) מכיר את הדילמה במה להשקיע את המשאבים (המצומצמים מאד במקרה של חברה צעירה) והזמן. למה להשקיע באבטחה אם בכלל לא בטוח שהמוצר עובד? ואם הוא כבר עובד, אולי כדאי להשקיע בלהביא עוד לקוחות ובעוד פיצ’ר אחד או שניים?
    מתי כן מטפלים באבטחה? כשקורה משהו רע או כשלקוח פוטנציאלי מתחיל לשאול שאלות מטופשות כמו “עד כמה בטוחה האפליקציה שלי?”. ברוב המקרים מדובר בתסריט הראשון, כפי שקרה ל – Heroku לפני מספר שבועות, למזלם זה קרה אחרי ש – SalesForce רכשו אותם (כנראה מבלי לשאול יותר מדי שאלות על אבטחת מידע).
  • שוק מחשוב הענן הוא חדש יחסית וככזה סובל ממחסור בסטנדרטים ותקנים, שבעולם התשתיות הפיזיות מקובלים כבר מספר שנים. ללא סטנדרטים וכלים ברורים יהיה קשה מאד לשמור על אחידות וזה נוגע בעיקר לתחום ה – PaaS וה – SaaS. סביבות אלו מסתירות מהמשתמש את הטכנולוגיה מאחורי הקלעים ובמקרים רבים אין למשתמש יכולת להעריך את הסיכונים שהוא לוקח על עצמו תוך כדי שימוש בכלים אלו (בניגוד ל – IaaS שם יש שקיפות רבה יותר).

אז נכון שיש יוצאים מהכלל (כמו אמזון – הרי אי אפשר שלא להזכיר אותם ,למרות שהם IaaS), אבל בסופו של דבר אם החלטתם ללכת על מחשוב ענן, האחריות לשאול את השאלות הנכונות, בכל הקשור לאבטחת מידע, היא שלכם, הלקוחות. יבוא יום (והוא לא רחוק) שגם למחשוב ענן יהיה תקן (או כמו שקורה בדרך כלל, מספר רב של תקנים) ואז הכל יהיה יותר פשוט וברור. עד אז, ממולץ להשקיע בבדיקת הפתרונות השונים והתאמתם לרגישות האפליקציה והנתונים שעושים בהם שימוש.

אודות הכותב

בועז זינימן
Principal Developer Advocate ב – AWS. לפי שהצטרף ל – AWS שימש כדירקטור בכיר לאסטרטגיית Cloud בחברת התוכנה Rogue Wave Software אשר רכשה את Zend Technologies ב – 2015. בעשור האחרון ניהל את הצוותים הטכנולוגיים ב – Zend, כולל תיכנון ופיתוח כל מערכות ה – Web, פתרונות Hosting, אסטרטגיית IT ותשתיות. לפני שהצטרף ל – Zend, במהלך 15 השנים האחרונות, ניהל צוותי פיתוח Web במספר חברות טכנולוגיה בישראל. מתמחה בעיקר במחשוב ענן ובמערכות LAMP - Linux Apache MySQL PHP ובעל הסמכת ZCE - Zend Certified Engineer משנת 2005.