שיעור 15: מבוא לאבטחת ענן — זהות היא הגבול החדש
עד עכשיו דיברנו על הגנה במונחים של רשת פיזית: היקף, פנים, שרתים בחדר שרתים. השיעור הזה עובר לזירה שבה רוב ההנחות האלה כבר לא מתקיימות — מחשוב ענן. ה'שרת' הוא כבר לא שלכם, הוא יושב על חומרה של מישהו אחר, ואין 'חומה' פיזית שאפשר לבנות סביבו. נכיר את מודל האחריות המשותפת — מי אחראי על מה כשהתשתית שייכת
בקיצור: בענן אין חומה פיזית שאפשר לסמוך עליה, אז ה'גבול' עובר להיות מי אתה, לא מאיפה אתה מתחבר. מודל האחריות המשותפת קובע: הספק אחראי על החומרה ועל הזמינות; אתה אחראי על ההגדרות, הזהויות והנתונים שלך. IaaS/PaaS/SaaS הם שלוש דרגות של 'כמה הספק עושה בשבילך' — וככל שהוא עושה יותר, האחריות שלך על תצורה ונתונים לא נעלמת. רוב הפריצות בענן לא קורות כי מישהו פרץ טכנולוגיה מתוחכמת — הן קורות כי מישהו השאיר משהו פתוח בטעות.
- מחשוב ענן ומודל On-Demand
- מודל המאפשר גישה מרחוק למשאבי מחשוב (שרתים, אחסון, בסיסי נתונים, רשתות) דרך האינטרנט, לפי דרישה (On-Demand) ובתשלום לפי שימוש (Pay-as-you-go) — ללא צורך להחזיק ולתחזק שרתים פיזיים באתר הארגון.
- הגישה הישנה מול החדשה: זהות היא הגבול החדש
- בגישה הישנה, האבטחה התבססה על מיקום פיזי — מי שבתוך חומת האש נחשב 'נאמן', מי שמחוץ לה 'חשוד'; הבעיה: תוקף שעבר את החומה יכול לנוע בחופשיות בפנים. בגישה החדשה, כשעובדים משתמשים ב-SaaS, עובדים מהבית והשרת עצמו יושב בענן — הרשת כבר אינה גבול אמין. מה שנשאר קבוע הוא 'מי' מנסה לגשת למידע, ולכן ההגנה זזה מהגנת הרשת להגנת הזהות.
- מרכיבי הגבול החדש: MFA, הקשר והרשאת מינימום
- במקום לשאול 'מאיזו רשת אתה מגיע', המערכת שואלת שאלות זהות לפני כל פעולה: אימות חזק (MFA — סיסמה בלבד לא מספיקה), גישה מבוססת-הקשר (Context-Based Access — האם זה המכשיר המוכר, מדינה הגיונית, שעה מתאימה), ועיקרון הרשאת המינימום (Least Privilege) — גם אחרי אימות, מקבלים גישה רק למה שנדרש לעבודה.
- Zero Trust (אפס אמון)
- ההנחה שגם בתוך הרשת הארגונית אף אחד אינו בטוח מראש — כל בקשת גישה נבדקת מחדש כאילו הגיעה מהאינטרנט הציבורי, ללא 'אזור נאמן' קבוע שמקבל אמון אוטומטי.
- מודל האחריות המשותפת: Security OF מול Security IN the Cloud
- האחריות בענן מתחלקת לפי שכבות — לא הספק אחראי על הכל, ולא הלקוח אחראי על הכל. Security OF the Cloud (אחריות הספק): אבטחה פיזית של מרכזי הנתונים, חשמל וקירור, חומרה, שכבת הווירטואליזציה (Hypervisor), וזמינות גלובלית (Regions/Availability Zones). Security IN the Cloud (אחריות הלקוח): ניהול זהויות והרשאות (IAM), הגנת נתונים והצפנה, וקונפיגורציית השירותים.
- IaaS, PaaS ו-SaaS: מדרג האחריות
- IaaS (למשל EC2): הספק נותן שרתים, אחסון ורשת; הלקוח מנהל מערכת הפעלה, שירותים ואפליקציות — אחריות לקוח גבוהה מאוד. PaaS (למשל RDS): הספק מוסיף גם מערכת הפעלה וסביבת ריצה; הלקוח מתמקד בקוד ובלוגיקה העסקית. SaaS (למשל Gmail): הספק מספק אפליקציה מלאה; הלקוח רק משתמש בשירות — אך עדיין אחראי על ניהול משתמשים, MFA ומניעת דליפת מידע.
- סוגי עננים: פרטי, ציבורי, היברידי ומולטי-ענן
- ענן פרטי: תשתיות ייעודיות לארגון אחד בלבד — שליטה מוחלטת, אך יקר להקמה ותחזוקה. ענן ציבורי: תשתיות משותפות בין ארגונים בהפרדה לוגית, בתשלום לפי שימוש ואלסטיות (גדילה וכיווץ לפי הצורך). ענן היברידי: שילוב של שניהם — נתונים רגישים נשארים בבית, עומסים גמישים עוברים לענן הציבורי. מולטי-ענן: שימוש בכמה ספקי ענן ציבוריים במקביל, למניעת תלות בספק בודד (Vendor Lock-in), גיבוי ורגולציה.
- Multi-tenancy מול Single-tenancy
- בענן ציבורי (Multi-tenant), על אותו שרת פיזי עשויים לרוץ שרתים וירטואליים של עשרות ארגונים שונים — הפרדה לוגית קיימת, אך המשאבים הפיזיים משותפים. בענן פרטי (Single-tenant), הארגון ה'דייר' הוא היחיד על החומרה.
- Misconfiguration — איום מספר 1 בענן
- רוב תקריות האבטחה בענן אינן פריצה לטכנולוגיה מתוחכמת, אלא טעות אנוש בהגדרות — למשל, השארת אחסון S3 פתוח לגישה ציבורית לכל העולם — בשל חוסר מודעות או מדיניות אבטחה לא ברורה.
- רשת, נתונים וממשל בענן: VPC, מחזור חיי הנתון וריבונות
- VPC (Virtual Private Cloud) הוא רשת פרטית ומבודדת בתוך הענן הציבורי, המחולקת ל-Subnets ציבוריים (לשירותים הפונים לאינטרנט) ופרטיים (למסדי נתונים רגישים). בתוכה, NACL פועל ברמת הרשת (Stateless — נבדק ללא תלות ביוזם, כבר נלמד בשיעור 12), לעומת Security Group שפועל ברמת השרת (Stateful — נבדק לפי מי יזם את החיבור). מחזור חיי הנתון דורש הגנה בשלוש מצבים: At Rest (בדיסק — הצפנה), In Transit (ברשת — SSL/TLS), In Use (בזיכרון בזמן עיבוד). ללא לוגים (כמו CloudTrail) המתעדים מי/מה/מתי/מאיפה, אין יכולת תחקור. ובחירת ה-Region קובעת גם עמידה ברגולציה (כמו GDPR) וריבונות נתונים.