שישה תהליכי אוטומציה חיוניים עבור ארגונים מודרניים
רשתות ארגוניות הפכו מפוצלות ומגוונות יותר ויותר, ארגונים ממשיכים לאמץ משאבי ענן חדשים טכנולוגיות וירטואליזציה וזרזי תהליכים. כתוצאה מכך, צוותי האבטחה עומדים מול אתגרי אבטחת רשת חדשים. בכדי להבטיח תפעול מאובטח ויעיל, אנשי אבטחה צריכים לשקול אוטומציה חכמה בכדי לתמוך בתוכניות אבטחת הרשת שלהם. במסמך זה, נסקור ששה תהליכים קריטיים שעל ארגונים לתכנן מעבר לטובת אוטומציה.
על ידי הפעלת תהלכי האוטומציה הנכונים, צוותי אבטחה יכולים לזהות ולכמת סיכונים בצורה מדויקת יותר, כמו כן להפחית את הזמן הנדרש בכדי לטפל בבקשות גישה לרשת, לייעל Compliance,ו-auditing, ולבצע מיקרו סגמנטציה בכדי לממש את מודל אפס האמון.
כאשר התהליך ממונף בהצלחה, אוטומציה יכולה לגשר על פערי התקשורת והתהליכים אשר מתקיימים לעתים קרובות בין צוותי אבטחת הרשת, אבטחת הענן וה-DevOps.
אוטומציה מתוכננת היטב של אבטחת הרשת הארגונית יכולה לעזור למשאבים הטכניים יקרי הערך לעבוד בצורה חכמה ומהירה יותר
אוטומציה הינה מושג רחב, ולצוותי האבטחה ישנן אפשרויות רבות. בעזרת עבודה עם הארגונים הגדולים והחדשניים בעולם תופין הצליחה לזהות את התהליכים החיוניים לאבטחת הרשת הארגונית. למרות שכל תהליך אוטומציה מספקת יכולות ייחודיות משלו, כולן יחד:
- מספקות תמיכה בעיצוב רשת ארגונית מאובטחת
- מאפשרות שינויים ברשת מאובטחת
- משלבות אבטחת רשת בתהליכי DevOps.
עיצוב הרשת האוטומטית
רשתות ארגוניות מודרניות הן אוסף של טכנולוגיות מגוונות – בדרך כלל ממגוון של יצרנים.
ארגונים גדולים עשויים להשתמש במגוון רחב של התקני אבטחת רשת (למשל חומות אש), טכנולוגיות מחשוב ואחסוןOnprem , עננים פרטיים ותשתיות ושירותי ענן ציבוריים. משאבים אלו נשלחים לרוב עם בקרות אבטחה משלהם, ויש להם מאפיינים שהופכים אסטרטגיית אבטחה מגובשת למאתגרת. (לדוגמה, נכסים ומשאבים רבים בענן אינם עושים שימוש בכתובת IP, דבר שהופך ניהול תעבורה מבוססIP לבלתי אפשרי.) בסביבת רשת הטרוגנית, היכולת לשלוט ב-"מי יכול לדבר עם מי, ומה יכול לדבר עם מה" הינו מאתגר מאוד. בכדי להתמודד עם אתגר זה, גישה מבוססת מדיניות לגישה לרשת ובידוד הינו חיוני. גישה זו מאפשרת לארגונים לאכוף אסופת כללים המכתיבים מי ומה יכול לגשת למשאבי רשת, ובאיזה אופן.
אוטומציה 1
עיצוב מדיניות אבטחת הרשת
מומחי אבטחת רשת זקוקים ליכולת לתכנן ולפרוס מדיניות המכתיבה גישה וקישוריות ברשת. בשל מורכבות הרשתות ההיברידיות המודרניות, ובשל העובדה כי ישנם עומסי עבודה ויישומים ארגוניים, המשתמשים לעתים קרובות ישתמשו במשאבים מקומיים ובמשאבי ענן בכדי לפעול – לכן ישנה נחיצות לשנות את עיצוב מדיניות אבטחת הארגון לאוטומטית.
השפעה על יכולות הארגון
- מספקת גישה עקבית מבוססת מדיניות אבטחה לרשת הארגונית
- מבטיחה כי המדיניות האבטחה מותאמת לצרכי הרשת ולתהליכים הנלווים
- מונעת טעויות אנוש ומוריד עומס בעת יצירת מדיניות אבטחה
אוטומציה 2
תכנון פילוח הרשת
בדומה לעיצוב מדיניות הארגון, פילוח רשת הינה גישה ארכיטקטונית המחלקת את הרשת למקטעים או לרשתות משנה, אשר כל אחת מהן פועלת כרשת קטנה משלה. ארגונים בוגרים לרוב מבודדים רשתות עם פירוט רב יותר, כולל מיקרו-פילוח ברמת עומס העבודה. פילוח הרשת אינה מתבססת רק על מודל אפס אמון, כי אם משפרת את יכולת הארגון הן במזעור הנזקים במקרה של מתקפה על ידי יצירת אזורים קטנים יותר של בלימה והן ע"י צמצום האפשרויות של התוקף לתנועה רוחבית ברשת. ברשתות מודרניות, אוטומציה הינה חיונית לפילוח רשת מוצלח. על מומחי אבטחה לאתר כלי אוטומציה המאפשרים את פיתוחם של כללי פילוח הרשת. כלים אשר מתבססים על ניתוח הרשת, תוף זיהוי אוטומטי של הנכסים והשירותים ויחסי הגומלין שלהם בעומס העבודה.
השפעה על יכולות הארגון
- מאפשר פילוח בין רשתות היברידיות ומרובות עננים
- תומכת בארכיטקטורת מודל אפס אמון
- מפחיתה את הסיכון לתנועה רוחבית של תוקפים
אוטומציה 3
בקשות גישה ושינויים
בקשות גישה לרשת ובקשות שינוי יכולות להגיע ממגוון רחב של בעלי עניין. ראש מחלקה עשוי לבקש גישה לרשת עבור כלי חדש שנרכש, מנהלים המעוניינים לספק גישה לקבלני צד שלישי או עובדים מרוחקים; או מפתחים המעוניינים לאפשר גישה עבורם ליישומים חדשים. על ארגונים לספק לכל בעלי העניין תהליך זרימת עבודה יחיד דרכו הם יוכלו להגיש בקשות גישה, ולעקוב אחר הסטטוס של הבקשה לאורך זמן. תהליך אוטומציה זה יכול להשתלב עם מערכת פתיחת הכרטיסים הקיימת בארגון (כדוגמת ServiceNow או Remedy) או להשתמש במערכת זרימת עבודה "העומדת בפני עצמה". על המערכת להיות גמישה מספיק בכדי לתמוך בתהליכים העסקיים הספציפיים של הארגון, כולל אישור עסקי והודעות נדרשות. כאשר התהליך נעשה נכון, ארגון יוכל להתנהל בתהליך מתן גישה ושינויים יחיד, שקוף, הניתן למעקב, ממזער בלבול, מפחית עבודה ידנית ומייעל את בקרה.
השפעה על יכולות הארגון
- מרכוז, האצה והסרת סיכונים בתהליכי שינויי הרשת
- האצת ה- SLA של שינויי הרשת
- מספק "קו-אחיד" לכל בעלי העניין
אוטומציה 4
נתיב וניתוח סיכונים
לאחר תהליך הגשת בקשת הגישה/שינוי ברשת, יש להעריך אותה במונחים של סיכון. על צוותי האבטחה לזהות את כל ההשלכות של השינוי הגישה, וכיצד השינוי ישפיע על משטח ההתקפה של הארגון. אפליקציה חדשה הנבנתה על ידי צוות הנדסה עשויה להזדקק לגישה לאינטרנט, מתן גישה מלאה לאפליקציה זו (או מתן גישה הנעשה בצורה לא נכונה) עשוי להשפיע בהמשך באופן בו צוותי האבטחה אינם מודעים לו. (לדוגמה, חשיפת מסד הנתונים לאיום מבחוץ). מכיוון שרשתות הפכו למורכבות כל כך, חיוני להפוך את תהליך פתיחת נתיב הגישה האידיאלי לאוטומציה מבוססת ניתוח סיכונים. אוטומציה זו יכולה לאפשר לארגונים לחשב במהירות את הסיכון בכל הקשור בבקשות גישה, וזיהוי נתיב הרשת המאובטח ביותר שדרכו תעבורה זו צריכה לעבור.
השפעה על יכולות הארגון
- מזעור סיכונים בכל הקשור לבקשות גישה לרשת
- אכיפת העקרון של מתן הרשאות מינימליות
- ביטול תהליכים ידניים היוצרים עומס ומועדים לשגיאות
אוטומציה 5
עיצוב וניהול כללי חומת האש
לאחר אישור בקשת הגישה וניתוח נתיב הסיכונים המאובטח ביותר, הכלתה בפועל של בקשת הגישה דורשת מספר עצום של שינויים ברשת. כמעט כל מכשיר רשתי שדרכו עוברת תעבורה מתנהל ע"י חוקה המנהלת את אופן פעולתו, מכאן שיש לשנות כללים אלו על מנת לאפשר את הגישה המבוקשת. בהתחשב בגודלן ובמורכבותן של רשתות מודרניות, שינוי ידני בחוקה הארגונית משפיע על כל התקן ברשת (למשל חומות אש, נתבים, קבוצות אבטחה וכו') והינו תהליך מסורבל הגוזל זמן. בנוסף, עם הזמן תהליך הוספת נתיבי גישה בודדים בהתקני אבטחת הרשת עלולים להפוך למסורבלים, להתמלא עם חוקים משוכפלים, סותרים, מתירניים מדי ומעפילים על חוקים קודמים. שימוש בתהליך אוטומטי של עיצוב חוקת הארגון והשפעות העיצוב המתמשכת מייעלת את יכולות צוותי האבטחה וממזערת סיכונים נלווים. כשהתהליך נעשה נכונה, מתאפשר יישום עיקרון "מינימום הרשאות" בפעולות הרשת, והופך את ביקורת חומת האש לפחות מכבידה.
השפעה על יכולות הארגון
- האצת בקשות גישה
- אכיפת עקרון מינימום הרשאות
- ייעול ביקורת והדיווח בהתקני האבטחה
כאשר מבצעים הערכה למעבר לתהליכי שינויי רשת אוטומטיים, חשוב לבחור בפתרון אשר יספק:
- תמיכה בהליכי עבודה עצמאיים ומשולבים הניתנים להתאמה אישית: על מנת ליצור סטנדרטיזציה לבקשות גישה לרשת, בראש ובראשונה על התהליך לענות על הצרכים של הארגון. אוטומציה מוצלחת דורשת פתרון המאפשר למומחי האבטחה להגדיר את השלבים המדויקים בתהליך זרימת העבודה, וכיצד המידע מועבר לכל בעלי העניין. על פתרון אידיאלי להיות בעל יכולת להשתלב בצורה חלקה עם כלי זרימת העבודה הארגוני הקיים (כגון ServiceNow או Remedy) או לספק כלי משלו לתהליכי זרימת עבודה.
- מאפשר ניתוח סיכונים מקצה לקצה על פני רשתות היברידיות: מתן גישה לרשת ללא הבנה מלאה של השלכות האבטחה הפכו לבלתי מקובלת בארגונים מודרניים. בכדי לייצר תהליך מאובטח לניתוח הנתיב והסיכונים, על הפתרון להיות מסוגל להעריך את תצורת הגישה והקישוריות של כל נכס ושירות ברשת. כמו כן לספק מודעות מלאה על משאבי הרשת המקומיים, הענן הפרטי והענן הציבורי, תוך חישוב סיכון מתן הגישה.
- תמיכה בכל מוצרי אבטחת הרשת וההתקנים: רוב הארגונים משתמשים במגוון של התקני אבטחת רשת ממגוון של יצרנים. (כגון Cisco, Fortinet, Palo Alto, Azure Firewall וכו'), על מנת לספק ולנהל ביעילות את חוקת הכללים של כל התקן, פתרון אוטומציה חייב להיות "שקוף ליצרן ", ולספק תמיכה בכל המכשירים בשימוש ברשת. פתרון מסוג זה יסמיך את צוותי האבטחה לאמץ אוטומציה עבור הרשת שלהם, בידיעה שהפתרון יכול לתמוך בהתקנים.
בקשות גישה ושינויים
לאחר שדנו כיצד אוטומציה יכולה להניע עיצוב רשת וניהול שינויים מוצלח, נפנה לאתגר אבטחת הרשת בהקשר של אינטגרציה ואספקה מתמשכת (CI/CD.) אחת הסגולות הרבות של מחשוב ענן הינה היכולת לייעל את האספקה של משאבים ועומסי עבודה באמצעות תהליכים וכלים אוטומטיים של DevOps. אך עם כל כך הרבה בעלי עניין בעלי יכולת ליצור ולהגדיר את משאבי הענן (במס’ לחיצות או שורות קוד), צוותי אבטחה לרוב אינם מודעים למה שקורה בענן. כאשר צוותי הענן נאלצים להמתין לאישור מהנדסי אבטחת הרשת, הפרודוקטיביות הארגונית מואטת והזריזות שהענן מספק מאבדת מיכולתה. מצד שני, כאשר צוותי ענן מספקים משאבים ללא פיקוח של צוותי אבטחת הרשת, הארגון יכול למצוא עצמו חשוף לסיכונים.
אוטומציה 6
אימות אבטחה CI/CD
אוטומציה הינה עיקרון ליבה במחשוב ענן, ופעולות הענן ברובן אוטומטיות. DevOps וכלי CI/CD מאפשרים לאדריכלים ולמפתחים לספק משאבים באמצעות קוד ולנהל זאת באמצעות קוד פתוח וכלים קנייניים (דוגמת Jenkins, Terraform, Ansible). בכדי להבטיח פעולות מאובטחות, על ארגונים להיות בעלי יכולת "לאמת" שהמשאבים המסופקים עומדים במדיניות הארגון. אימות אוטומטי בכדי לאכוף תצורה מאובטחת של תהליכי CI/CD, הפך להיות כלי חיוני. תהליך זה מאפשר לארגונים להשיג זריזות מבלי לפגוע באבטחה הארגון. הפתרון האידיאלי משתלב באמצעות API עם כלי DevOps של ארגון, מבצע הערכה אוטומטית מתמשכת ומאשר או משהה את המשאב בהתאם לעמידה במדיניות הארגונית.
השפעה על יכולות הארגון
- אבטחת רשת פרואקטיבית לאורך פעולות הענן
- סנכרון אבטחת הרשת מול תהליכי צוותי ה- DevOps
- מסמיך צוותים לאמץ תהליכים וטכנולוגיות חדשות.
כאשר מבצעים הערכה לשילוב אבטחת רשת מבוססת מדיניות ב-CI/CD, חשוב לבחור בפתרון אשר יספק:
- תמיכה באבטחה מבוססת מדיניות: זה אולי מובן מאליו, אך כדאי לציין שבכדי לשלב אבטחת רשת בתהליכי DevOps,על פתרון לתמוך בתכנון ובאכיפה של מדיניות אבטחת הרשת.
- תמיכה בכלי ה-DevOps: ישנם מאות כלים זמינים לתמיכה בתהליכי DevOps, ורוב הארגונים משתמשים בשילוב הכלים המתאימים לארגון שלהם. בעת בחירת פתרון אוטומציה, חשוב לוודא שהוא תומך באופן מלא בכלים שבהם הארגון משתמש – ואף טוב יותר, בפתרון שקוף ליצרנים התומך בכל כלי CI/CD באמצעות API מתועד.
אוטומציה חכמה = אבטחה + זריזות
ככל שהרשתות הארגוניות הופכות למגוונות ומפוצלות יותר, הסביבה העסקית דורשת יותר ויותר זריזות ומהירות. בכדי לקבל סביבת אבטחה מהודקת תוך מתן משאבים זריזים, על ארגונים להכיל תהליכי אוטומציה כמרכיב מפתח ברשת. ששת תהליכי האוטומציה הנדונו לעיל יכולים לעזור לארגונים למזער את משטח ההתקפה שלהם, להאיץ את ה-SLA של ניהול הרשת, להוריד עומס מצוותי האבטחה כך שיוכלו להתפנות למשימות בעלות ערך גבוה, לייעל את תהליך הדיווח והתגובה לביקורת ולהאיץ זריזות תהליכים מבלי לוותר על אבטחה.