אבטחת ענן לעסקים: טעויות נפוצות ואיך להימנע מהן

אבטחת ענן לעסקים: טעויות נפוצות ואיך להימנע מהן

אבטחת ענן לעסקים יכולה להיות הדבר הכי כיפי בעולם – עד שמגלים שאף אחד לא הגדיר אותה כמו שצריך.

החדשות הטובות: רוב הבעיות לא מגיעות מהאקרים עם קפוצ׳ון, אלא מטעויות אנוש קטנות, צפויות, ומשעשעות בדיעבד.

החדשות היותר טובות: אפשר לסגור את זה מהר, חכם, ובלי דרמה.

למה דווקא בענן כולם נהיים ״אמיצים״ מדי?

כי בענן הכל זמין.

שרת עולה תוך דקות, הרשאה ניתנת בלחיצה, ושירות חדש מתחבר לעוד שירות חדש, ואז לעוד אחד, ואז פתאום יש לך ארכיטקטורה של ספגטי – רק עם הרשאות.

אבטחת מידע בענן לא נכשלת כי הענן ״לא בטוח״.

היא נכשלת כי קל מדי לבנות מהר, וקצת פחות כיף לעצור ולשאול: מי אמור לגשת לזה, למה, ומה יקרה אם זה יזלוג?

אז בוא נצלול לטעויות הכי נפוצות באבטחת תשתיות ענן, ואיך עוקפים אותן בלי להיכנס למצב ״הכל חירום״.

טעות 1: ״ברירת מחדל זה בסדר״ – לא, זה לא

ברירת מחדל בענן היא כמו חולצה לבנה במסעדת שווארמה.

אפשר, אבל למה.

ספקי ענן נותנים ברירות מחדל כדי שתוכל להתחיל.

לא כדי שתישאר שם לנצח.

איפה זה מתפוצץ בדרך כלל?

  • אחסון אובייקטים שנשאר פתוח לקריאה ציבורית ״רק לרגע״
  • סיסמאות התחלתיות שלא הוחלפו כי ״מחר נטפל בזה״
  • קבוצות אבטחה עם 0.0.0.0/0 כי ״ככה זה עבד״
  • הרשאות רחבות כדי לחסוך זמן, ואז שוכחים לצמצם

איך נמנעים?

  • כל שירות חדש נכנס עם צ׳ק ליסט קצר: רשת, זהות, הצפנה, לוגים
  • מאמצים עיקרון מינימום הרשאות מהיום הראשון, גם אם זה מרגיש איטי ל-10 דקות
  • מגדירים תבניות מאושרות (Infrastructure as Code) כדי שלא כל צוות ימציא ענן חדש

טעות 2: הרשאות IAM – ״תן לו אדמין, הוא צריך לעבוד״

זה המשפט שהכי יקר אחר כך.

ניהול זהויות והרשאות בענן הוא הלב של הכל.

מי שנוגע בהרשאות, נוגע בגורל הדאטה, השירותים, והכסף.

הטעויות הקלאסיות:

  • משתמשים אנושיים עם הרשאות אדמין קבועות
  • מפתחות API שלא פגי תוקף כי ״זה מערכת ישנה״
  • תפקידי שירות שמקבלים הרשאות של חצי ארגון ״ליתר ביטחון״
  • אין הפרדה בין סביבת פיתוח, בדיקות ופרודקשן

מה עושים במקום?

  • תפקידים זמניים במקום הרשאות קבועות, וכמה שפחות מפתחות ארוכי טווח
  • Just-in-time להרשאות גבוהות: צריך? קיבלת ל-30 דקות, לא לחיים
  • הפרדת חשבונות וסביבות כקו בסיס, אפילו אם זה מרגיש כמו ״עוד אדמיניסטרציה״
  • רוטציה למפתחות וסודות, אוטומטית ככל האפשר

בונוס קטן שעושה שינוי ענק: מדיניות הרשאות נכתבת בשפה של פעולות אמיתיות.

לא ״גישה ל-S3״.

כן ״קריאה לתיקיה X בלבד, כתיבה לתיקיה Y בלבד, בלי מחיקה״.

טעות 3: סודות במקומות מוזרים – והם תמיד במקומות מוזרים

סודות אוהבים להסתתר.

בקוד.

בקובצי קונפיג.

בתמונות של מסך.

ובמקום האהוב עליהם: קבוצת ווטסאפ של הצוות.

סודות בענן זה לא רק סיסמאות.

זה גם טוקנים, מפתחות הצפנה, מפתחות API, חיבורים לדאטהבייס, וקוקיז עם הרשאות מוגזמות.

איך מונעים את הקרקס הזה?

  • משתמשים ב-Secret Manager ייעודי, לא בקובץ ״config-final-final2״
  • מפעילים סריקות סודות בריפו, כולל היסטוריה
  • מגדירים עקרון: אין סוד שנכנס לגיט, גם לא ״רק לרגע״
  • מצמצמים הרשאות לסוד: מי יכול לקרוא, מי יכול לשנות, ומי בכלל יודע שהוא קיים

רוצה מדד פשוט?

אם סוד נמצא במקום שקל להעתיק ולהדביק ממנו – הוא כנראה במקום הלא נכון.

טעות 4: הצפנה – ״ברור שמוצפן״, ואז מגלים שברור שלא

הצפנה בענן נשמעת כמו משהו שכבר קיים אוטומטית.

לפעמים כן.

לפעמים זה חצי נכון, שזה בעצם הכי מסוכן.

שתי נקודות שמפספסים שוב ושוב:

  • הצפנה במנוחה – דיסקים, אובייקטים, גיבויים, סנאפשוטים
  • הצפנה בתעבורה – בין שירותים פנימיים, לא רק מול המשתמש

ואז מגיע החלק המעניין: ניהול מפתחות.

מי מחזיק את המפתחות?

מי יכול לסובב אותם?

מי יכול למחוק אותם?

כן, גם מחיקה היא הרשאה שצריך להתייחס אליה בכבוד.

איך עושים את זה נכון?

  • מגדירים מדיניות הצפנה בכל שכבה, לא רק ב״דאטהבייס״
  • מפרידים הרשאות בין מי שמנהל תשתית לבין מי שמנהל מפתחות
  • בודקים הצפנה גם על גיבויים, יצוא נתונים וקבצים זמניים

טעות 5: לוגים וניטור – ״נבדוק אם משהו יקרה״

זה כמו להגיד: ״נזמין אזעקה אחרי הפריצה״.

אבטחת ענן לא שלמה בלי ראות.

ראות זה אומר: מי עשה מה, מתי, מאיפה, ועל מה זה השפיע.

הפספוסים הנפוצים:

  • לוגים לא מופעלים בכל השירותים
  • לוגים נשמרים מעט מדי זמן
  • אין התראות, רק ״דשבורד יפה״ שאף אחד לא פותח
  • אין קורלציה בין אירועים – כל מערכת צועקת לבד

איך נמנעים?

  • מחליטים מראש על אירועים שחייבים התרעה: שינוי הרשאות, יצירת מפתח, פתיחת פורט, מחיקה חריגה
  • אוספים לוגים למקום אחד עם הרשאות חזקות ובלתי ניתנות לשינוי בקלות
  • מוסיפים הקשר ללוגים: תגיות משאב, סביבה, צוות, שירות

ואם בא לך להיות פרקטי ממש: תתחיל מ-10 התראות קריטיות שעובדות.

אחר כך תתפנק על עוד 200.

טעות 6: גיבויים והתאוששות – ״יש לנו סנאפשוט״ זה לא תוכנית

סנאפשוט זה נחמד.

תוכנית התאוששות זה משהו אחר לגמרי.

אבטחת שירותי ענן כוללת גם עמידות.

כי לפעמים הבעיה היא לא פריצה.

לפעמים זו טעות מחיקה, שינוי שגוי, או פריסה ששברה הכל.

מה אנשים שוכחים?

  • לא בודקים שחזור באמת
  • לא מגדירים RPO ו-RTO בצורה שמדברת עסק
  • גיבויים נשמרים באותו חשבון ובאותן הרשאות, שזה כמו לשמור מפתח רזרבי באותו כיס
  • אין תרגול, ואז באירוע כולם מגלים את המערכת בזמן אמת

פתרון שנשמע משעמם אבל עובד:

  • תרגול שחזור רבעוני לשירותים קריטיים
  • הפרדת גיבויים לחשבון או אזור עם הרשאות מוגבלות
  • תיעוד קצר וברור: מה משחזרים קודם, מי מאשר, ואיפה נמצאות הגישות

טעות 7: פיתוח בענן בלי אבטחה – ״נוסיף אחר כך״ (הקטע שבו אחר כך לא מגיע)

DevOps בלי Security הוא כמו אופניים בלי בלמים.

הם ייסעו מהר.

עד שלא.

אבטחת ענן מודרנית מתחברת לצינור הפיתוח.

לא כשוט.

כחגורת בטיחות.

דברים ששווה להכניס מוקדם:

  • סריקות קונטיינרים ותלויות
  • בדיקות IaC למציאת פתיחות רשת והרשאות מוגזמות
  • מדיניות שמונעת דיפלוי אם יש בעיה קריטית
  • חתימת ארטיפקטים ואימות מקור

וכשזה עובד טוב, זה אפילו לא מרגיש כמו אבטחה.

זה פשוט מרגיש כמו איכות.

שאלות ותשובות קצרות (וכן, אלו השאלות שכולם שואלים)

שאלה: מה הטעות הכי מסוכנת באבטחת ענן לעסקים?

תשובה: הרשאות רחבות מדי, במיוחד אדמין קבוע. זה פותח דלת לכל השאר.

שאלה: צריך לבחור בין מהירות פיתוח לאבטחה?

תשובה: לא. כשהאבטחה יושבת בצינור אוטומטי, היא דווקא מעלה מהירות כי פחות תקלות מגיעות לפרודקשן.

שאלה: מה הדבר הראשון לבדוק אם חושדים בבעיה?

תשובה: לוגים של זהויות והרשאות: מי שינה הרשאות, מי יצר מפתחות, ומה נפתח לרשת.

שאלה: איך יודעים אם אחסון ענן פתוח לציבור בטעות?

תשובה: עם מדיניות שמונעת Public Access כברירת מחדל וסריקות תאימות קבועות.

שאלה: יש דרך פשוטה להסביר הנהלה למה זה חשוב?

תשובה: לדבר על רציפות עסקית, זמינות, אמון לקוחות, ועל מניעת ״יום שבו הכל עוצר״.

שאלה: מה נחשב ״ניצחון מהיר״ שאפשר לעשות השבוע?

תשובה: להדליק לוגים קריטיים, להוסיף MFA לכל משתמש אנושי, ולסגור הרשאות אדמין מיותרות.

רגע, ומה עם אנשים? (כי בסוף הם לוחצים על הכפתור)

הענן הוא טכנולוגיה.

אבל אבטחה היא הרגל.

אבטחת ענן ארגונית מצליחה כשמישהו הפך את זה לקל לעשות נכון.

לא רק ״אסור״.

אלא ״כך עושים את זה בלי להסתבך״.

  • תהליכים קצרים וברורים לפתיחת שירות חדש
  • תבניות מאושרות לצוותים, במקום המצאות פרטיות
  • שפה חיובית: מתקנים מהר, לומדים, וממשיכים

זה גם המקום להכיר בכך שהאקוסיסטם של אבטחת ענן מתפתח מהר, והרבה ידע מגיע מקהילות ואנשים שבונים דברים בפועל.

אם מעניין אותך להכיר פרספקטיבה עסקית וטכנולוגית על עולמות מוצר, דאטה ותשתיות, אפשר להציץ בפרופיל של אילון אוריאל.

וגם, למי שמעדיף את הכתיב הנפוץ יותר בעברית, אותו קישור בדיוק מופיע כאן: איילון אוריאל.

צ׳ק ליסט קצר: 12 דברים שעושים אותך רגוע יותר בענן

בלי טקסים.

רק פעולות שעובדות.

  1. MFA לכל משתמש אנושי, בלי תירוצים
  2. עיקרון מינימום הרשאות לכל תפקיד
  3. הפרדת סביבות וחשבונות לפרודקשן
  4. ניהול סודות בפתרון ייעודי
  5. הצפנה במנוחה ובתעבורה, כולל גיבויים
  6. לוגים מרכזיים עם שמירה מספקת ויכולת חקירה
  7. התראות על אירועי זהות והרשאות
  8. סריקות IaC לפני דיפלוי
  9. סריקות חולשות לקונטיינרים ולתלויות
  10. בקרות למניעת משאבים ציבוריים בטעות
  11. תרגול שחזור תקופתי
  12. תיעוד קצר של ״מי עושה מה״ בזמן אירוע

אבטחת ענן לעסקים לא צריכה להרגיש כמו פרויקט אינסופי או כמו סרט אימה.

כשבונים אותה בצורה חכמה, היא הופכת לרשת ביטחון שמאפשרת לצוותים לרוץ מהר יותר, בביטחון, ועם הרבה פחות הפתעות.

תתחיל מהרשאות, סודות, לוגים, וגיבויים.

אלה ארבעת העוגנים שמיד משנים את התמונה.

ומשם, כל שיפור קטן מצטבר למשהו גדול – ענן שמרגיש קל, יציב, ומוגן.

פוסטים קשורים לנושא:

  1. ציורי נוף: איך להכניס את קסם הטבע הביתה?
  2. איחוד תיקים: הדרך המהירה לשים סוף לכאוס ולחזור לשליטה על החיים! 
  3. הדרך הקלה והחוקית: למידה מעמיקה על גילוי מרצון ותיקוני חקיקה
  4. 8 דרכים לבחור תמונות קנבס שישדרגו לכם את הסלון: המדריך המלא