CASB & IDaaS – Better Together

ארגונים רבים נמצאים במרדף בלתי פוסק אחר צמיחה וחדשנות, הנטייה הטבעית עבורם הנה תעדוף יכולות משפרות פעילות לתמיכה בערך הלקוחות, כלומר פתרונות המאפשרים חדשנות מואצת ויאפשרו להגדיל את הזריזות העסקית הכוללת.

מבחינה מעשית המשמעות היא שיותר ויותר אפליקציות ותוכן של הארגון עוברים לענן – עם או בלי ידיעת צוותי האבטחה, מה שהופך את עבודתם של צוותי אבטחת המידע לקשה ומורכב עוד יותר. תוצר הלוואי של הפעולות לעיל – לעיתים קרובות נמצא שבמחלקות אבטחת המידע וה – IT אין מידע מלא ושמיש לגבי נתונים רגישים העשויים להיות מאוחסנים בענן, ומעבר לכך, לרוב גם לא ידעו באילו יישומי ענן נמצאים הנתונים הרגישים ואילו משתמשים, ארגונים או יישומים אחרים עשויים לקבל גישה וחיבור לאותם נתונים.

הגידול במספר אירועי אבטחת מידע והפרת נתונים הקשורים ליישומי משתמשים מבוססי ענן, מבהיר את הצורך בבקרות ארגוניות שירכזו וינהלו מדיניות גישה ושימוש בשירותי הענן ובמידע המאוחסן בו מעבר לניהול ואימות זהות המשתמשים.

היות וספקי ענן מהססים להעמיד לרשות הארגונים את יומני היישומים (logs) בתואנה כי הדבר עלול להפר את תקנות פרטיות הנתונים ובנוסף עלול ליצור עומס עבודה על תשתית הענן, נוצר צורך בכלים שיאפשרו הגבלה, תחקור וקבלת מידע אודות אופן הגישה של משתמשים ותוכניות לממשק האינטרנט או API של יישומי SaaS – במילים אחרות, באיזה מידע הביטו, העתיקו או הורידו או העבירו מהענן הארגוני למחשב, לדוא"ל, לאפליקציה ו/או לענן אחר.

כמענה לבעיות המתוארות נולד תחום מוצרי אבטחת מידע העונה לשםCASB (יCloud Access Security Broker). היעילות של CASB נוצרת עקב היכולת לספק נראות ומניעת איום על הנתונים המועברים, זאת תוך תאימות רגולטורית של פעולות המשתמשים בתשתית הענן, תוך שמירה על הפונקציונליות ויעילות העבודה מול פלטפורמות שירותי הענן הנמצאות בשימוש הארגון או בין ארגונים –  במקרים רבים, פתרונות CASB אף משמשים לחשיפת פעולות המכונות "Shadow IT".

פתרונות CASB, מסוגלים להציע למחלקת אבטחת המידע וה- IT רמות תובנה שאין שני להן בשל היכולת לתאם ולעקוב אחר זרם אירועי האבטחה בין זרמי הנתונים השונים, ובכך לאפשר לארגונים לגלות הפרות מדיניות גישה/העתקה/שליחת מידע וכן אירועים נוספים שללא פתרון CASB כנראה שייעלמו מעיני מחלקת אבטחת המידע וה- IT האירגוניים.

אולם הטיפול בדליפת נתונים לא תמיד מספיק, מה קורה אם תוקף השתלט על זהות משתמש מורשה ומתחיל לייצא נתונים הנמצאים בענן ו/או לגשת לאפליקציות שונות בענן?

בנקודה זו נכנסים פתרונות להזדהות משתמש בדמות שרותי IDaaS או Cloud IAM, אלו מאפשרים בקרת זהות על אימות וגישה של משתמשים ליישומי SaaS באמצעות קביעת מדיניות גישה, זיהוי המשתמש (בד"כ באמצעות SAMEL ופרוטוקולים נוספים) בצורה מאובטחת כגון MFA (בנוסף, רוב שרותי ה IDaaS מאפשרים למשתמשים SSO – Single Sign On, המהווה נקודת קטליזטור לאימוץ פתרון IDaaS). באמצעות API ניתן להרחיב את עימות זהות המשתמש מ IDaaS גם לפלטפורמות ואפליקציות On Premise

שילוב הפתרונות מאפשר לארגון להתגונן במהירות ובצורה אוטומטית מול תרחיש דליפת נתונים ששימוש ב CASB בלבד לא היה מספיק. דוגמה לתרחיש כזה ניתן לראות באירוע בו ה CASB יגלה נפח חריג של הורדות קבצים מיישום SaaS, וכתוצאה מכך יבקש משירות ה IDaaS לחסום/לבטל באופן מידי גישת המשתמשים לאותם קבצים או יישום תוך שהוא מוציא בקשה ל IDaaS  לביצוע אימות מחדש של כל הגורמים והזהויות המעורבים – סוג זה של שילוב פתרונות מאפשר לארגון התנהלות בטוחה יותר באופן משמעותי בכל הקשור לניהול גישה למידע ושימוש בו.

לסיכום אינטגרציה בין פתרונות CASB וIDaaS מאפשרים לארגון ניהול מידע מאובטח באופן משמעותי מאשר יישום של פתרון יחיד. בזמן שפלטפורמת CASB מגנה מפני דליפת מידע פלטפורמת IDaaS דואגת לאימות משתמשים והגנה מפני חשבונות שנפרצו באמצעות רשימת ההיתרים, אנליטיקה של פעילות המשתמש (לדוגמה: כניסת משתמש ממקומות גאוגרפים מרוחקים בפרק זמן בלתי סביר) ועוד, לסביבות SaaS, IaaS, PaaS.

המאמר נכתב על ידי גיא חורש, מהנדס פרה-סייל, בינת תקשורת מחשבים.

טוני מלינקוביץ'
טוני הוא העורך הראשי שלנו כאן באתר, עם ידע רחב בחומרה ומקורות מהירים, טוני הוא גם הכתב המהיר ביותר שלנו, בנוסף לכתבות המעולות של טוני הוא גם אחראי על רוב הביקורות שלנו באתר וגם על המלל וחוות הדעת על חלק מסיקורי הוידאו שלנו.
דילוג לתוכן