SlideShare a Scribd company logo

אתגרי אבטחת מידע במעבר ארגונים לעבודה בענן

Download as PPTX, PDF
Eyal Estrin
Eyal Estrin

Technology
1 of 7
‫במעבר‬ ‫מידע‬ ‫אבטחת‬ ‫אתגרי‬ ‫בענן‬ ‫לעבודה‬ ‫ארגונים‬ ‫ע‬ ‫נכתב‬"‫אסטרין‬ ‫אייל‬ ‫י‬,Cloud Architect@eyalestrin
‫הפרק‬ ‫על‬ ‫נושאים‬ •‫המקומית‬ ‫המחשוב‬ ‫סביבת‬ ‫למול‬ ‫בענן‬ ‫עבודה‬ •‫בענן‬ ‫מידע‬ ‫אבטחת‬ ‫איומי‬ •‫מאובטח‬ ‫הענן‬ ‫האם‬? •‫המשותפת‬ ‫האחריות‬ ‫מודל‬ ‫מהו‬? •‫ענן‬ ‫ספקי‬ ‫לבחינת‬ ‫שאלון‬
‫המקומית‬ ‫המחשוב‬ ‫סביבת‬ ‫למול‬ ‫בענן‬ ‫עבודה‬ ‫ענן‬ ‫שירותי‬(Cloud Native) ‫המחשוב‬ ‫מרכז‬‫המסורתי‬ ‫ספק‬‫הענן‬ ‫שירותי‬ ‫עצמו‬ ‫הארגון‬ ‫הפיזית‬ ‫ההגנה‬ ‫על‬ ‫אמון‬ ‫מי‬? ‫במרכזי‬‫שירותי‬ ‫ספק‬ ‫של‬ ‫המחשוב‬ ‫הענן‬ ‫במרכז‬‫המקומי‬ ‫המחשוב‬ ‫המידע‬ ‫מאוחסן‬ ‫היכן‬? ‫הענן‬ ‫שירותי‬ ‫ספק‬ ‫בשיתוף‬ ‫הארגון‬ ‫עצמו‬ ‫הארגון‬ ‫למידע‬ ‫הגישה‬ ‫על‬ ‫שולט‬ ‫מי‬? ‫עצמו‬ ‫הארגון‬ ‫עצמו‬ ‫הארגון‬ ‫המידע‬ ‫על‬ ‫אמון‬ ‫מי‬? IaaS–‫עצמו‬ ‫הארגון‬ PaaS–‫הענן‬ ‫שירותי‬ ‫ספק‬ SaaS–‫הענן‬ ‫שירותי‬ ‫ספק‬ ‫עצמו‬ ‫הארגון‬ ‫אבטחה‬ ‫חולשות‬ ‫איתור‬ ‫על‬ ‫אמון‬ ‫מי‬ ‫והפצת‬‫אבטחה‬ ‫עדכוני‬? ‫שירותי‬ ‫ספק‬‫הארגון‬ ‫בשיתוף‬ ‫הענן‬ ‫עצמו‬ ‫עצמו‬ ‫הארגון‬ ‫אבטחת‬ ‫באירועי‬ ‫טיפול‬ ‫על‬ ‫אמון‬ ‫מי‬ ‫מידע‬? ‫הענן‬ ‫שירותי‬ ‫ספק‬ ‫בשיתוף‬ ‫הארגון‬ ‫עצמו‬ ‫הארגון‬ ‫חוק‬ ‫בדרישות‬ ‫לעמוד‬ ‫אמור‬ ‫מי‬, ‫רגולציה‬‫ופרטיות‬(GDPR,‫הגנת‬ ‫חוק‬ ‫בישראל‬ ‫הפרטיות‬,‫בנק‬ ‫הוראות‬ ‫וכו‬ ‫ישראל‬')?
‫בענן‬ ‫מידע‬ ‫אבטחת‬ ‫איומי‬ ‫ה‬ ‫ארגון‬-Cloud Security Alliance‫אלפי‬ ‫בין‬ ‫סקר‬ ‫שנים‬ ‫למספר‬ ‫אחת‬ ‫מבצע‬ ‫בעולם‬ ‫ארגונים‬,‫על‬-‫מול‬ ‫בעבודה‬ ‫מתמודדים‬ ‫הם‬ ‫איומים‬ ‫אילו‬ ‫מול‬ ‫להבין‬ ‫מנת‬ ‫ענן‬ ‫שירותי‬. ‫בסוף‬ ‫שפורסם‬ ‫במסמך‬2017‫הבאים‬ ‫השכיחים‬ ‫האיומים‬ ‫הוגדרו‬: •‫ממוקדות‬ ‫מתקפות‬(APT) •‫מידע‬ ‫למאגרי‬ ‫פריצה‬ •‫מידע‬ ‫אובדן‬ •‫הזדהות‬ ‫נתוני‬ ‫וגניבת‬ ‫חלשה‬ ‫הזדהות‬ •‫נאותות‬ ‫בבדיקת‬ ‫חוסר‬‫הספק‬(Due Diligence) •‫פיתוח‬ ‫ממשקי‬(API)‫מאובטחים‬ ‫בלתי‬ •‫ענן‬ ‫שירותי‬ ‫של‬ ‫לרעה‬ ‫ניצול‬ •‫ואפליקציה‬ ‫תשתית‬ ‫חולשות‬ •‫שירות‬ ‫מניעת‬ ‫מתקפות‬ •‫חשבונות‬ ‫גניבת‬(Account Hijacking) •‫ב‬ ‫שימוש‬ ‫עקב‬ ‫חולשות‬‫משותפת‬ ‫טכנולוגיה‬ (Multi-tenancy) •‫ע‬ ‫פריצה‬"‫הספק‬ ‫בצד‬ ‫עובד‬ ‫י‬
‫מאובטח‬ ‫הענן‬ ‫האם‬? •‫הקצרה‬ ‫התשובה‬–‫כן‬ •‫על‬ ‫האמונים‬ ‫ייעודיים‬ ‫בצוותים‬ ‫ניכרים‬ ‫כסף‬ ‫סכומי‬ ‫משקיעים‬ ‫הגדולים‬ ‫הענן‬ ‫ספקי‬ ‫תחזוקה‬,‫אבטחה‬,‫חוסן‬ ‫בדיקות‬ ‫וביצוע‬ ‫מידע‬ ‫אבטחת‬ ‫באירועי‬ ‫טיפול‬(Penetration Testing)‫שוטפת‬ ‫בצורה‬ •‫פס‬ ‫רוחבי‬ ‫בעלי‬ ‫והינם‬ ‫המחשוב‬ ‫משאבי‬ ‫את‬ ‫להגדיל‬ ‫מסוגלים‬ ‫הגדולים‬ ‫הענן‬ ‫ספקי‬ ‫כל‬ ‫שירות‬ ‫מניעת‬ ‫במתקפות‬ ‫לטפל‬ ‫המסוגלים‬ ‫במיוחד‬ ‫גדולים‬ •‫הארוכה‬ ‫התשובה‬–‫בענן‬ ‫להשתמש‬ ‫מתכוונים‬ ‫אתם‬ ‫בו‬ ‫בתרחיש‬ ‫תלוי‬ •‫להשתמש‬ ‫מתכוונים‬ ‫אתם‬ ‫שירות‬ ‫מודל‬ ‫באיזה‬?(IaaS / PaaS / SaaS) •‫בענן‬ ‫רגיש‬ ‫מידע‬ ‫לאחסן‬ ‫מתכוונים‬ ‫אתם‬ ‫האם‬(‫אשראי‬ ‫נתוני‬,‫ת‬.‫ז‬,‫רפואיים‬ ‫נתונים‬ ‫וכו‬')?
‫המשותפת‬ ‫האחריות‬ ‫מודל‬ ‫מהו‬? ‫שכבה‬‫כשירות‬ ‫תשתית‬(IaaS)‫כשירות‬ ‫פלטפורמה‬ (PaaS) ‫כשירות‬ ‫תוכנה‬(SaaS) ‫הנתונים‬ ‫שכבת‬‫הלקוח‬ ‫אחריות‬‫הלקוח‬ ‫אחריות‬‫הלקוח‬ ‫אחריות‬ ‫היישום‬ ‫שכבת‬‫הלקוח‬ ‫אחריות‬‫הלקוח‬ ‫אחריות‬‫הענן‬ ‫ספק‬ ‫אחריות‬ ‫ההפעלה‬ ‫מערכת‬‫הלקוח‬ ‫אחריות‬‫הענן‬ ‫ספק‬ ‫אחריות‬‫הענן‬ ‫ספק‬ ‫אחריות‬ ‫הוירטואליזציה‬ ‫שכבת‬‫הענן‬ ‫ספק‬ ‫אחריות‬‫הענן‬ ‫ספק‬ ‫אחריות‬‫הענן‬ ‫ספק‬ ‫אחריות‬ ‫שרתים‬‫הענן‬ ‫ספק‬ ‫אחריות‬‫הענן‬ ‫ספק‬ ‫אחריות‬‫הענן‬ ‫ספק‬ ‫אחריות‬ ‫אחסון‬‫הענן‬ ‫ספק‬ ‫אחריות‬‫הענן‬ ‫ספק‬ ‫אחריות‬‫הענן‬ ‫ספק‬ ‫אחריות‬ ‫תקשורת‬‫הענן‬ ‫ספק‬ ‫אחריות‬‫הענן‬ ‫ספק‬ ‫אחריות‬‫הענן‬ ‫ספק‬ ‫אחריות‬ ‫הפיזית‬ ‫השכבה‬‫הענן‬ ‫ספק‬ ‫אחריות‬‫הענן‬ ‫ספק‬ ‫אחריות‬‫הענן‬ ‫ספק‬ ‫אחריות‬
‫ענן‬ ‫ספקי‬ ‫לבחינת‬ ‫שאלון‬ •‫מטרה‬:‫הענן‬ ‫ספק‬ ‫עם‬ ‫לעבודה‬ ‫סיכונים‬ ‫ניהול‬ ‫לבצע‬ ‫לארגונים‬ ‫לאפשר‬ •‫לשאלות‬ ‫דוגמאות‬: •‫פרטיות‬ ‫בתקני‬ ‫עומד‬ ‫הענן‬ ‫שירותי‬ ‫ספק‬ ‫האם‬(‫במדינת‬ ‫הפרטיות‬ ‫הגנת‬ ‫חוק‬ ‫דוגמת‬ ‫ישראל‬,‫רגולציית‬GDPR‫וכו‬')‫הענן‬ ‫ספק‬ ‫של‬ ‫המחשוב‬ ‫מרכזי‬ ‫ממוקמים‬ ‫והיכן‬? •‫הארגון‬ ‫נתוני‬ ‫על‬ ‫להגנה‬ ‫הענן‬ ‫ספק‬ ‫בצד‬ ‫מוטמעות‬ ‫לוגיות‬ ‫בקרות‬ ‫אילו‬?(‫מדיניות‬ ‫סיסמאות‬,‫חזקה‬ ‫הזדהות‬,Firewall,Anti-Malware‫וכו‬') •‫ה‬ ‫מהו‬-SLA‫השירות‬ ‫זמינות‬ ‫של‬ ‫בהקשר‬ ‫הענן‬ ‫שירותי‬ ‫ספק‬ ‫מתחייב‬ ‫אליו‬,‫שחזור‬ ‫נתונים‬,‫בתקלות‬ ‫טיפול‬,‫וכו‬ ‫מידע‬ ‫אבטחת‬ ‫באירועי‬ ‫טיפול‬?' •‫אחסון‬ ‫בעת‬ ‫רגיש‬ ‫מידע‬ ‫מצפין‬ ‫הענן‬ ‫שירותי‬ ‫ספק‬ ‫האם‬? •‫מידע‬ ‫אבטחת‬ ‫באירועי‬ ‫לטיפול‬ ‫ותהליכים‬ ‫ייעודי‬ ‫צוות‬ ‫יש‬ ‫הענן‬ ‫שירותי‬ ‫לספק‬ ‫האם‬?

Recommended

סדנת מבוא: הגנת סייבר למבקרי מערכות מידע
סדנת מבוא: הגנת סייבר למבקרי מערכות מידעסדנת מבוא: הגנת סייבר למבקרי מערכות מידע
סדנת מבוא: הגנת סייבר למבקרי מערכות מידע
Hillel Kobrovski
 
Podcast - Ask Me Cyber - Session 5 - Professional Training as a Network Eecur...
Podcast - Ask Me Cyber - Session 5 - Professional Training as a Network Eecur...Podcast - Ask Me Cyber - Session 5 - Professional Training as a Network Eecur...
Podcast - Ask Me Cyber - Session 5 - Professional Training as a Network Eecur...
Hillel Kobrovski
 
כתבה בעיתון הארץ - עתיד הענן - 05.2015
כתבה בעיתון הארץ - עתיד הענן - 05.2015כתבה בעיתון הארץ - עתיד הענן - 05.2015
כתבה בעיתון הארץ - עתיד הענן - 05.2015
Neil Cohen-Ringel
 
Ciso back to the future - network vulnerabilities
Ciso back to the future - network vulnerabilitiesCiso back to the future - network vulnerabilities
Ciso back to the future - network vulnerabilities
Rafel Ivgi
 
הילל קוברובסקי - אתגרי אבטחת מידע והגנת סייבר בחיבור מאובטח לעבודה מרחוק של ע...
הילל קוברובסקי - אתגרי אבטחת מידע והגנת סייבר בחיבור מאובטח לעבודה מרחוק של ע...הילל קוברובסקי - אתגרי אבטחת מידע והגנת סייבר בחיבור מאובטח לעבודה מרחוק של ע...
הילל קוברובסקי - אתגרי אבטחת מידע והגנת סייבר בחיבור מאובטח לעבודה מרחוק של ע...
Hillel Kobrovski
 
סמינר: הילל קוברובסקי - הגנת סייבר ברמת תחנת הקצה
סמינר: הילל קוברובסקי - הגנת סייבר ברמת תחנת הקצהסמינר: הילל קוברובסקי - הגנת סייבר ברמת תחנת הקצה
סמינר: הילל קוברובסקי - הגנת סייבר ברמת תחנת הקצה
Hillel Kobrovski
 
Cloud computing
Cloud computingCloud computing
Cloud computing
Rinat Paz
 
Demoweek
DemoweekDemoweek
Demoweek
Tal Ein - Habar
 

Recommended

סדנת מבוא: הגנת סייבר למבקרי מערכות מידע
סדנת מבוא: הגנת סייבר למבקרי מערכות מידעסדנת מבוא: הגנת סייבר למבקרי מערכות מידע
סדנת מבוא: הגנת סייבר למבקרי מערכות מידע
Hillel Kobrovski
 
Podcast - Ask Me Cyber - Session 5 - Professional Training as a Network Eecur...
Podcast - Ask Me Cyber - Session 5 - Professional Training as a Network Eecur...Podcast - Ask Me Cyber - Session 5 - Professional Training as a Network Eecur...
Podcast - Ask Me Cyber - Session 5 - Professional Training as a Network Eecur...
Hillel Kobrovski
 
כתבה בעיתון הארץ - עתיד הענן - 05.2015
כתבה בעיתון הארץ - עתיד הענן - 05.2015כתבה בעיתון הארץ - עתיד הענן - 05.2015
כתבה בעיתון הארץ - עתיד הענן - 05.2015
Neil Cohen-Ringel
 
Ciso back to the future - network vulnerabilities
Ciso back to the future - network vulnerabilitiesCiso back to the future - network vulnerabilities
Ciso back to the future - network vulnerabilities
Rafel Ivgi
 
הילל קוברובסקי - אתגרי אבטחת מידע והגנת סייבר בחיבור מאובטח לעבודה מרחוק של ע...
הילל קוברובסקי - אתגרי אבטחת מידע והגנת סייבר בחיבור מאובטח לעבודה מרחוק של ע...הילל קוברובסקי - אתגרי אבטחת מידע והגנת סייבר בחיבור מאובטח לעבודה מרחוק של ע...
הילל קוברובסקי - אתגרי אבטחת מידע והגנת סייבר בחיבור מאובטח לעבודה מרחוק של ע...
Hillel Kobrovski
 
סמינר: הילל קוברובסקי - הגנת סייבר ברמת תחנת הקצה
סמינר: הילל קוברובסקי - הגנת סייבר ברמת תחנת הקצהסמינר: הילל קוברובסקי - הגנת סייבר ברמת תחנת הקצה
סמינר: הילל קוברובסקי - הגנת סייבר ברמת תחנת הקצה
Hillel Kobrovski
 
Cloud computing
Cloud computingCloud computing
Cloud computing
Rinat Paz
 
Demoweek
DemoweekDemoweek
Demoweek
Tal Ein - Habar
 
שולחן עגול בנקאות רגולציה וענן
שולחן עגול בנקאות רגולציה וענןשולחן עגול בנקאות רגולציה וענן
שולחן עגול בנקאות רגולציה וענן
Arthur Schmunk
 
טריפל סי מציגה את הענן של ישראל
טריפל סי מציגה את הענן של ישראלטריפל סי מציגה את הענן של ישראל
טריפל סי מציגה את הענן של ישראל
Noam Nahum
 
מערכות ניטור ובקרה למערכות It
מערכות ניטור ובקרה למערכות Itמערכות ניטור ובקרה למערכות It
מערכות ניטור ובקרה למערכות It
Sharon Chai-Matan
 
מה בין אבטחת מידע ובין סייבר
מה בין אבטחת מידע ובין סייברמה בין אבטחת מידע ובין סייבר
מה בין אבטחת מידע ובין סייבר
Ophir Zilbiger
 
Virt Old
Virt OldVirt Old
Virt Old
Oded Rotter
 
Uxi live 2011 yaniv michaeli_cloud_ux
Uxi live 2011 yaniv michaeli_cloud_uxUxi live 2011 yaniv michaeli_cloud_ux
Uxi live 2011 yaniv michaeli_cloud_ux
Yaniv Michaeli
 
שירותי אבטחה בענן
שירותי אבטחה בענןשירותי אבטחה בענן
שירותי אבטחה בענן
Tal Ein - Habar
 
אבטחת מידע בסביבת האינטרנט חלק א
אבטחת מידע בסביבת האינטרנט חלק אאבטחת מידע בסביבת האינטרנט חלק א
אבטחת מידע בסביבת האינטרנט חלק א
haimkarel
 
HP Client Virtualization Services
HP Client Virtualization ServicesHP Client Virtualization Services
HP Client Virtualization Services
gadi_fe
 
מצגת לשולחן עגול מנהלי אבטחת מידע 2.0 lior
מצגת לשולחן עגול מנהלי אבטחת מידע 2.0 liorמצגת לשולחן עגול מנהלי אבטחת מידע 2.0 lior
מצגת לשולחן עגול מנהלי אבטחת מידע 2.0 lior
Arthur Schmunk
 
Enterprise Journey to the Cloud - Opening Remarks
Enterprise Journey to the Cloud - Opening RemarksEnterprise Journey to the Cloud - Opening Remarks
Enterprise Journey to the Cloud - Opening Remarks
Idan Tohami
 
מצגת על לינוקס
מצגת על לינוקסמצגת על לינוקס
מצגת על לינוקס
haimkarel
 
Windows 2008 Security
Windows 2008 SecurityWindows 2008 Security
Windows 2008 Security
Amit Gatenyo
 
מצגת על לינוקס
מצגת על לינוקסמצגת על לינוקס
מצגת על לינוקס
guest0573a5
 
החלטתם שהארגון שלכם צריך אוטומציה חכמה. מה עכשיו?
החלטתם שהארגון שלכם צריך אוטומציה חכמה. מה עכשיו?החלטתם שהארגון שלכם צריך אוטומציה חכמה. מה עכשיו?
החלטתם שהארגון שלכם צריך אוטומציה חכמה. מה עכשיו?
Boris Chernyak
 
Tech Ed 2008 Israel Ops Manager 2007 Deep Dive V1.0
Tech Ed 2008 Israel Ops Manager 2007 Deep Dive V1.0Tech Ed 2008 Israel Ops Manager 2007 Deep Dive V1.0
Tech Ed 2008 Israel Ops Manager 2007 Deep Dive V1.0
Amit Gatenyo
 
Issa security in a virtual world
Issa security in a virtual worldIssa security in a virtual world
Issa security in a virtual world
Rafel Ivgi
 
CONNECT EVERYWHERE ISRAEL CYBERSECURITY BULLETIN – יולי 2017
CONNECT EVERYWHERE ISRAEL CYBERSECURITY BULLETIN – יולי 2017CONNECT EVERYWHERE ISRAEL CYBERSECURITY BULLETIN – יולי 2017
CONNECT EVERYWHERE ISRAEL CYBERSECURITY BULLETIN – יולי 2017
Sharon Chai-Matan
 
Security is evolution
Security is evolutionSecurity is evolution
Security is evolution
Tal Ein - Habar
 
Cloudzone- Procument managers in the cloud era
Cloudzone- Procument managers in the cloud eraCloudzone- Procument managers in the cloud era
Cloudzone- Procument managers in the cloud era
Arthur Schmunk
 

More Related Content

Similar to אתגרי אבטחת מידע במעבר ארגונים לעבודה בענן

Uxi live 2011 yaniv michaeli_cloud_ux
Uxi live 2011 yaniv michaeli_cloud_uxUxi live 2011 yaniv michaeli_cloud_ux
Uxi live 2011 yaniv michaeli_cloud_ux
Yaniv Michaeli
 
שירותי אבטחה בענן
שירותי אבטחה בענןשירותי אבטחה בענן
שירותי אבטחה בענן
Tal Ein - Habar
 
אבטחת מידע בסביבת האינטרנט חלק א
אבטחת מידע בסביבת האינטרנט חלק אאבטחת מידע בסביבת האינטרנט חלק א
אבטחת מידע בסביבת האינטרנט חלק א
haimkarel
 
HP Client Virtualization Services
HP Client Virtualization ServicesHP Client Virtualization Services
HP Client Virtualization Services
gadi_fe
 
מצגת על לינוקס
מצגת על לינוקסמצגת על לינוקס
מצגת על לינוקס
haimkarel
 
מצגת על לינוקס
מצגת על לינוקסמצגת על לינוקס
מצגת על לינוקס
guest0573a5
 
Tech Ed 2008 Israel Ops Manager 2007 Deep Dive V1.0
Tech Ed 2008 Israel Ops Manager 2007 Deep Dive V1.0Tech Ed 2008 Israel Ops Manager 2007 Deep Dive V1.0
Tech Ed 2008 Israel Ops Manager 2007 Deep Dive V1.0
Amit Gatenyo
 
CONNECT EVERYWHERE ISRAEL CYBERSECURITY BULLETIN – יולי 2017
CONNECT EVERYWHERE ISRAEL CYBERSECURITY BULLETIN – יולי 2017CONNECT EVERYWHERE ISRAEL CYBERSECURITY BULLETIN – יולי 2017
CONNECT EVERYWHERE ISRAEL CYBERSECURITY BULLETIN – יולי 2017
Sharon Chai-Matan
 

Similar to אתגרי אבטחת מידע במעבר ארגונים לעבודה בענן (20)

שולחן עגול בנקאות רגולציה וענן
שולחן עגול בנקאות רגולציה וענןשולחן עגול בנקאות רגולציה וענן
שולחן עגול בנקאות רגולציה וענן
 
טריפל סי מציגה את הענן של ישראל
טריפל סי מציגה את הענן של ישראלטריפל סי מציגה את הענן של ישראל
טריפל סי מציגה את הענן של ישראל
 
מערכות ניטור ובקרה למערכות It
מערכות ניטור ובקרה למערכות Itמערכות ניטור ובקרה למערכות It
מערכות ניטור ובקרה למערכות It
 
מה בין אבטחת מידע ובין סייבר
מה בין אבטחת מידע ובין סייברמה בין אבטחת מידע ובין סייבר
מה בין אבטחת מידע ובין סייבר
 
Virt Old
Virt OldVirt Old
Virt Old
 
Uxi live 2011 yaniv michaeli_cloud_ux
Uxi live 2011 yaniv michaeli_cloud_uxUxi live 2011 yaniv michaeli_cloud_ux
Uxi live 2011 yaniv michaeli_cloud_ux
 
שירותי אבטחה בענן
שירותי אבטחה בענןשירותי אבטחה בענן
שירותי אבטחה בענן
 
אבטחת מידע בסביבת האינטרנט חלק א
אבטחת מידע בסביבת האינטרנט חלק אאבטחת מידע בסביבת האינטרנט חלק א
אבטחת מידע בסביבת האינטרנט חלק א
 
HP Client Virtualization Services
HP Client Virtualization ServicesHP Client Virtualization Services
HP Client Virtualization Services
 
מצגת לשולחן עגול מנהלי אבטחת מידע 2.0 lior
מצגת לשולחן עגול מנהלי אבטחת מידע 2.0 liorמצגת לשולחן עגול מנהלי אבטחת מידע 2.0 lior
מצגת לשולחן עגול מנהלי אבטחת מידע 2.0 lior
 
Enterprise Journey to the Cloud - Opening Remarks
Enterprise Journey to the Cloud - Opening RemarksEnterprise Journey to the Cloud - Opening Remarks
Enterprise Journey to the Cloud - Opening Remarks
 
מצגת על לינוקס
מצגת על לינוקסמצגת על לינוקס
מצגת על לינוקס
 
Windows 2008 Security
Windows 2008 SecurityWindows 2008 Security
Windows 2008 Security
 
מצגת על לינוקס
מצגת על לינוקסמצגת על לינוקס
מצגת על לינוקס
 
החלטתם שהארגון שלכם צריך אוטומציה חכמה. מה עכשיו?
החלטתם שהארגון שלכם צריך אוטומציה חכמה. מה עכשיו?החלטתם שהארגון שלכם צריך אוטומציה חכמה. מה עכשיו?
החלטתם שהארגון שלכם צריך אוטומציה חכמה. מה עכשיו?
 
Tech Ed 2008 Israel Ops Manager 2007 Deep Dive V1.0
Tech Ed 2008 Israel Ops Manager 2007 Deep Dive V1.0Tech Ed 2008 Israel Ops Manager 2007 Deep Dive V1.0
Tech Ed 2008 Israel Ops Manager 2007 Deep Dive V1.0
 
Issa security in a virtual world
Issa security in a virtual worldIssa security in a virtual world
Issa security in a virtual world
 
CONNECT EVERYWHERE ISRAEL CYBERSECURITY BULLETIN – יולי 2017
CONNECT EVERYWHERE ISRAEL CYBERSECURITY BULLETIN – יולי 2017CONNECT EVERYWHERE ISRAEL CYBERSECURITY BULLETIN – יולי 2017
CONNECT EVERYWHERE ISRAEL CYBERSECURITY BULLETIN – יולי 2017
 
Security is evolution
Security is evolutionSecurity is evolution
Security is evolution
 
Cloudzone- Procument managers in the cloud era
Cloudzone- Procument managers in the cloud eraCloudzone- Procument managers in the cloud era
Cloudzone- Procument managers in the cloud era
 

אתגרי אבטחת מידע במעבר ארגונים לעבודה בענן

  • 1. ‫במעבר‬ ‫מידע‬ ‫אבטחת‬ ‫אתגרי‬ ‫בענן‬ ‫לעבודה‬ ‫ארגונים‬ ‫ע‬ ‫נכתב‬"‫אסטרין‬ ‫אייל‬ ‫י‬,Cloud Architect@eyalestrin
  • 2. ‫הפרק‬ ‫על‬ ‫נושאים‬ •‫המקומית‬ ‫המחשוב‬ ‫סביבת‬ ‫למול‬ ‫בענן‬ ‫עבודה‬ •‫בענן‬ ‫מידע‬ ‫אבטחת‬ ‫איומי‬ •‫מאובטח‬ ‫הענן‬ ‫האם‬? •‫המשותפת‬ ‫האחריות‬ ‫מודל‬ ‫מהו‬? •‫ענן‬ ‫ספקי‬ ‫לבחינת‬ ‫שאלון‬
  • 3. ‫המקומית‬ ‫המחשוב‬ ‫סביבת‬ ‫למול‬ ‫בענן‬ ‫עבודה‬ ‫ענן‬ ‫שירותי‬(Cloud Native) ‫המחשוב‬ ‫מרכז‬‫המסורתי‬ ‫ספק‬‫הענן‬ ‫שירותי‬ ‫עצמו‬ ‫הארגון‬ ‫הפיזית‬ ‫ההגנה‬ ‫על‬ ‫אמון‬ ‫מי‬? ‫במרכזי‬‫שירותי‬ ‫ספק‬ ‫של‬ ‫המחשוב‬ ‫הענן‬ ‫במרכז‬‫המקומי‬ ‫המחשוב‬ ‫המידע‬ ‫מאוחסן‬ ‫היכן‬? ‫הענן‬ ‫שירותי‬ ‫ספק‬ ‫בשיתוף‬ ‫הארגון‬ ‫עצמו‬ ‫הארגון‬ ‫למידע‬ ‫הגישה‬ ‫על‬ ‫שולט‬ ‫מי‬? ‫עצמו‬ ‫הארגון‬ ‫עצמו‬ ‫הארגון‬ ‫המידע‬ ‫על‬ ‫אמון‬ ‫מי‬? IaaS–‫עצמו‬ ‫הארגון‬ PaaS–‫הענן‬ ‫שירותי‬ ‫ספק‬ SaaS–‫הענן‬ ‫שירותי‬ ‫ספק‬ ‫עצמו‬ ‫הארגון‬ ‫אבטחה‬ ‫חולשות‬ ‫איתור‬ ‫על‬ ‫אמון‬ ‫מי‬ ‫והפצת‬‫אבטחה‬ ‫עדכוני‬? ‫שירותי‬ ‫ספק‬‫הארגון‬ ‫בשיתוף‬ ‫הענן‬ ‫עצמו‬ ‫עצמו‬ ‫הארגון‬ ‫אבטחת‬ ‫באירועי‬ ‫טיפול‬ ‫על‬ ‫אמון‬ ‫מי‬ ‫מידע‬? ‫הענן‬ ‫שירותי‬ ‫ספק‬ ‫בשיתוף‬ ‫הארגון‬ ‫עצמו‬ ‫הארגון‬ ‫חוק‬ ‫בדרישות‬ ‫לעמוד‬ ‫אמור‬ ‫מי‬, ‫רגולציה‬‫ופרטיות‬(GDPR,‫הגנת‬ ‫חוק‬ ‫בישראל‬ ‫הפרטיות‬,‫בנק‬ ‫הוראות‬ ‫וכו‬ ‫ישראל‬')?
  • 4. ‫בענן‬ ‫מידע‬ ‫אבטחת‬ ‫איומי‬ ‫ה‬ ‫ארגון‬-Cloud Security Alliance‫אלפי‬ ‫בין‬ ‫סקר‬ ‫שנים‬ ‫למספר‬ ‫אחת‬ ‫מבצע‬ ‫בעולם‬ ‫ארגונים‬,‫על‬-‫מול‬ ‫בעבודה‬ ‫מתמודדים‬ ‫הם‬ ‫איומים‬ ‫אילו‬ ‫מול‬ ‫להבין‬ ‫מנת‬ ‫ענן‬ ‫שירותי‬. ‫בסוף‬ ‫שפורסם‬ ‫במסמך‬2017‫הבאים‬ ‫השכיחים‬ ‫האיומים‬ ‫הוגדרו‬: •‫ממוקדות‬ ‫מתקפות‬(APT) •‫מידע‬ ‫למאגרי‬ ‫פריצה‬ •‫מידע‬ ‫אובדן‬ •‫הזדהות‬ ‫נתוני‬ ‫וגניבת‬ ‫חלשה‬ ‫הזדהות‬ •‫נאותות‬ ‫בבדיקת‬ ‫חוסר‬‫הספק‬(Due Diligence) •‫פיתוח‬ ‫ממשקי‬(API)‫מאובטחים‬ ‫בלתי‬ •‫ענן‬ ‫שירותי‬ ‫של‬ ‫לרעה‬ ‫ניצול‬ •‫ואפליקציה‬ ‫תשתית‬ ‫חולשות‬ •‫שירות‬ ‫מניעת‬ ‫מתקפות‬ •‫חשבונות‬ ‫גניבת‬(Account Hijacking) •‫ב‬ ‫שימוש‬ ‫עקב‬ ‫חולשות‬‫משותפת‬ ‫טכנולוגיה‬ (Multi-tenancy) •‫ע‬ ‫פריצה‬"‫הספק‬ ‫בצד‬ ‫עובד‬ ‫י‬
  • 5. ‫מאובטח‬ ‫הענן‬ ‫האם‬? •‫הקצרה‬ ‫התשובה‬–‫כן‬ •‫על‬ ‫האמונים‬ ‫ייעודיים‬ ‫בצוותים‬ ‫ניכרים‬ ‫כסף‬ ‫סכומי‬ ‫משקיעים‬ ‫הגדולים‬ ‫הענן‬ ‫ספקי‬ ‫תחזוקה‬,‫אבטחה‬,‫חוסן‬ ‫בדיקות‬ ‫וביצוע‬ ‫מידע‬ ‫אבטחת‬ ‫באירועי‬ ‫טיפול‬(Penetration Testing)‫שוטפת‬ ‫בצורה‬ •‫פס‬ ‫רוחבי‬ ‫בעלי‬ ‫והינם‬ ‫המחשוב‬ ‫משאבי‬ ‫את‬ ‫להגדיל‬ ‫מסוגלים‬ ‫הגדולים‬ ‫הענן‬ ‫ספקי‬ ‫כל‬ ‫שירות‬ ‫מניעת‬ ‫במתקפות‬ ‫לטפל‬ ‫המסוגלים‬ ‫במיוחד‬ ‫גדולים‬ •‫הארוכה‬ ‫התשובה‬–‫בענן‬ ‫להשתמש‬ ‫מתכוונים‬ ‫אתם‬ ‫בו‬ ‫בתרחיש‬ ‫תלוי‬ •‫להשתמש‬ ‫מתכוונים‬ ‫אתם‬ ‫שירות‬ ‫מודל‬ ‫באיזה‬?(IaaS / PaaS / SaaS) •‫בענן‬ ‫רגיש‬ ‫מידע‬ ‫לאחסן‬ ‫מתכוונים‬ ‫אתם‬ ‫האם‬(‫אשראי‬ ‫נתוני‬,‫ת‬.‫ז‬,‫רפואיים‬ ‫נתונים‬ ‫וכו‬')?
  • 6. ‫המשותפת‬ ‫האחריות‬ ‫מודל‬ ‫מהו‬? ‫שכבה‬‫כשירות‬ ‫תשתית‬(IaaS)‫כשירות‬ ‫פלטפורמה‬ (PaaS) ‫כשירות‬ ‫תוכנה‬(SaaS) ‫הנתונים‬ ‫שכבת‬‫הלקוח‬ ‫אחריות‬‫הלקוח‬ ‫אחריות‬‫הלקוח‬ ‫אחריות‬ ‫היישום‬ ‫שכבת‬‫הלקוח‬ ‫אחריות‬‫הלקוח‬ ‫אחריות‬‫הענן‬ ‫ספק‬ ‫אחריות‬ ‫ההפעלה‬ ‫מערכת‬‫הלקוח‬ ‫אחריות‬‫הענן‬ ‫ספק‬ ‫אחריות‬‫הענן‬ ‫ספק‬ ‫אחריות‬ ‫הוירטואליזציה‬ ‫שכבת‬‫הענן‬ ‫ספק‬ ‫אחריות‬‫הענן‬ ‫ספק‬ ‫אחריות‬‫הענן‬ ‫ספק‬ ‫אחריות‬ ‫שרתים‬‫הענן‬ ‫ספק‬ ‫אחריות‬‫הענן‬ ‫ספק‬ ‫אחריות‬‫הענן‬ ‫ספק‬ ‫אחריות‬ ‫אחסון‬‫הענן‬ ‫ספק‬ ‫אחריות‬‫הענן‬ ‫ספק‬ ‫אחריות‬‫הענן‬ ‫ספק‬ ‫אחריות‬ ‫תקשורת‬‫הענן‬ ‫ספק‬ ‫אחריות‬‫הענן‬ ‫ספק‬ ‫אחריות‬‫הענן‬ ‫ספק‬ ‫אחריות‬ ‫הפיזית‬ ‫השכבה‬‫הענן‬ ‫ספק‬ ‫אחריות‬‫הענן‬ ‫ספק‬ ‫אחריות‬‫הענן‬ ‫ספק‬ ‫אחריות‬
  • 7. ‫ענן‬ ‫ספקי‬ ‫לבחינת‬ ‫שאלון‬ •‫מטרה‬:‫הענן‬ ‫ספק‬ ‫עם‬ ‫לעבודה‬ ‫סיכונים‬ ‫ניהול‬ ‫לבצע‬ ‫לארגונים‬ ‫לאפשר‬ •‫לשאלות‬ ‫דוגמאות‬: •‫פרטיות‬ ‫בתקני‬ ‫עומד‬ ‫הענן‬ ‫שירותי‬ ‫ספק‬ ‫האם‬(‫במדינת‬ ‫הפרטיות‬ ‫הגנת‬ ‫חוק‬ ‫דוגמת‬ ‫ישראל‬,‫רגולציית‬GDPR‫וכו‬')‫הענן‬ ‫ספק‬ ‫של‬ ‫המחשוב‬ ‫מרכזי‬ ‫ממוקמים‬ ‫והיכן‬? •‫הארגון‬ ‫נתוני‬ ‫על‬ ‫להגנה‬ ‫הענן‬ ‫ספק‬ ‫בצד‬ ‫מוטמעות‬ ‫לוגיות‬ ‫בקרות‬ ‫אילו‬?(‫מדיניות‬ ‫סיסמאות‬,‫חזקה‬ ‫הזדהות‬,Firewall,Anti-Malware‫וכו‬') •‫ה‬ ‫מהו‬-SLA‫השירות‬ ‫זמינות‬ ‫של‬ ‫בהקשר‬ ‫הענן‬ ‫שירותי‬ ‫ספק‬ ‫מתחייב‬ ‫אליו‬,‫שחזור‬ ‫נתונים‬,‫בתקלות‬ ‫טיפול‬,‫וכו‬ ‫מידע‬ ‫אבטחת‬ ‫באירועי‬ ‫טיפול‬?' •‫אחסון‬ ‫בעת‬ ‫רגיש‬ ‫מידע‬ ‫מצפין‬ ‫הענן‬ ‫שירותי‬ ‫ספק‬ ‫האם‬? •‫מידע‬ ‫אבטחת‬ ‫באירועי‬ ‫לטיפול‬ ‫ותהליכים‬ ‫ייעודי‬ ‫צוות‬ ‫יש‬ ‫הענן‬ ‫שירותי‬ ‫לספק‬ ‫האם‬?