להבין את ההגיון לפני הטכנולוגיה - אבטחת מידע במערכות ענן​

 

כשמדברים על אבטחה בענן, קל לקפוץ ישר להגדרות, Policies ושירותים. אבל לפני הכל, חשוב להבין את ההיגיון שעומד מאחורי מודל האבטחה של AWS – ורק אחר כך לצלול לטכנולוגיה.

 

עיקרון ראשון: הפרדה בין זהות להרשאות

בכל מערכת מחשוב יש שתי שאלות בסיסיות: 

 

  1. מי אתה? 
  2. מה מותר לך לעשות?

 

מודלי האבטחה של ספקי הענן בנויים סביב הפרדה בין זהות לבין הרשאות.

ב-AWS שירות IAM משלב ניהול זהויות והרשאות, בעוד שב-Azure ניהול הזהויות נעשה באמצעות Microsoft Entra ID וההרשאות למשאבי הענן מנוהלות באמצעות  Azure RBAC .

מצד אחד יש ישויות - משתמשים, שירותים או אפליקציות - שמקבלים זהות במערכת. 

מצד שני יש הרשאות - Policies ומנגנוני בקרה (Guardrails) שמגבילים או מגדירים את הפעולות המותרות

ההפרדה הזו מאפשרת לבנות מודל אבטחה מסודר, גמיש ושקוף יותר לניהול.

 

 עיקרון שני: הרשאה מינימלית (Least Privilege)

במקום לתת לכל משתמש או מערכת גישה רחבה “ליתר ביטחון”, המטרה היא לתת בדיוק את מה שנדרש לביצוע המשימה - ולא יותר מזה. 

משתמש אנושי יקבל רק את ה‑permissions הדרושים לתפקיד שלו, ושירות יקבל רק את הגישה למשאבים שהוא באמת צריך. 

הגישה הזו מצמצמת משמעותית את הנזק הפוטנציאלי במקרה של טעות, שימוש לא נכון, או פריצה לחשבון/מערכת.

 

 עיקרון שלישי: זהויות והרשאות זמניות

בעולם הישן עבדו עם סיסמאות ומפתחות קבועים שנשמרו בקבצים, בשרתים או בקוד. 

בעולם הענן המודרני, הדגש הוא על הרשאה זמנית: 

ב‑AWS, שירות כמו STS (Security Token Service) מנפיק פרטי גישה זמניים, שמוגבלים בזמן ונוצרים רק לפי צורך. 

כך גם אם מפתח דולף – חלון הזמן שבו ניתן לנצל אותו מוגבל, והסיכון לאורך זמן קטן בהרבה.

 

 עיקרון רביעי: הפרדה בין בני אדם למערכות

לא כל מי שצריך גישה למערכת הוא אותו סוג “משתמש”. 

אדם שמתחבר לקונסול, שרת שמריץ תהליך אוטומטי, ואפליקציה שמדברת עם שירות אחר - כולם צרכני גישה, אבל לא באותו אופן. 

מודל האבטחה זה מאפשר להגדיר הרשאות שונות לבני אדם (דרך זהות ארגונית, למשל Azure Entra ID) ולמערכות/Workloads (למשל ב   AWS IAM Roles עם הרשאות זמניים), כך כל ישות מקבלת גישה שמתאימה לתפקיד ולסיכון שלה.

 

 אבטחה בענן כגישה מערכתית

אבטחה בענן היא לא מוצר אחד ולא “שירות קסם”, אלא צורת חשיבה. 

היא משלבת זהויות, הרשאות, בקרות, ניטור ולוגים - כדי לוודא שלא רק מי שנכנס הוא מי שהוא טוען שהוא, אלא שגם הוא עושה רק את מה שמותר לו. 

כשמבינים את ההיגיון שמאחורי מודל האבטחה של הענן - זהות מול הרשאות, קביעות מול זמניות, בני אדם מול מערכות - העבודה עם הכלים עצמם הופכת להיות הרבה יותר טבעית.

 

במילים פשוטות: 

אבטחה בענן לא מתחילה מהשירותים של ספק הענן, אלא מהחשיבה על זהות, הרשאות ושליטה מדויקת בגישה למידע.