בשנים האחרונות משהו השתנה באופן שבו ארגונים בישראל מסתכלים על תשתיות ענן.
זו כבר לא רק שאלה של מחיר או ביצועים.
עבור בנקים, חברות ביטוח, חברות פינטק, חברות סייבר וגופים ממשלתיים - בחירת ספק ענן הפכה להחלטה שמערבת אבטחת מידע, רגולציה, ניהול סיכונים והמשכיות עסקית.
המציאות בישראל מוסיפה עוד שכבה של מורכבות.
איומי סייבר מתקדמים, רגולציה מחמירה והצורך להבטיח זמינות של מערכות קריטיות גם בזמן חירום.
לכן יותר ויותר ארגונים בוחנים לא רק איזה ענן לבחור, אלא גם איפה הענן הזה פועל ואיך הוא מנוהל.
כאן נכנס לתמונה MedOne Cloud - ענן ישראלי ריבוני עם הסמכת SOC 2 ותשתית פיזית שנבנתה מלכתחילה להפעלת מערכות קריטיות.
מה זה SOC 2 ולמה זה חשוב כשבוחרים ספק ענן
SOC 2 הוא אחד התקנים המשמעותיים ביותר בעולם עבור ספקי שירותי ענן וטכנולוגיה.
התקן נועד להבטיח שספק השירות מנהל נתוני לקוחות בהתאם לחמישה עקרונות מרכזיים:
- אבטחה
- זמינות
- שלמות עיבוד
- סודיות
- פרטיות
אבל ההבדל הגדול בין SOC 2 לבין תקנים אחרים הוא עומק הבדיקה.
דוח SOC 2 Type II לא מסתפק בשאלה האם קיימות מדיניות ובקרות.
הוא בוחן האם הבקרות האלו פועלות בפועל לאורך זמן.
הביקורת כוללת בדיקה של:
- לוגים ומערכות ניטור
- תהליכי גישה והרשאות
- תיעוד אירועי אבטחה
- תהליכי תגובה לאירועים
- בקרות תפעוליות לאורך חודשים
עבור צוותי CISO ו-Risk בארגונים גדולים, המשמעות היא הוכחה חיצונית ואובייקטיבית לכך שהתשתית אכן מנוהלת בצורה מאובטחת.
למה ISO כבר לא מספיק
רוב ספקי הענן מציגים רשימת תקנים מרשימה.
ISO 27001.
ISO 27017.
ISO 27799.
התקנים האלו חשובים מאוד. הם מגדירים כיצד צריך לנהל מערך אבטחת מידע.
אבל אנשי אבטחה מנוסים יודעים שהשאלה האמיתית היא אחרת.
איך הדברים עובדים בשטח.
כשארגון בוחן ספק ענן, אלו השאלות שעולות כמעט תמיד:
איך מנוהלות הרשאות בסביבה מרובת דיירים.
מי יכול לגשת למה.
איך מונעים דליפה בין לקוחות.
איך נראה Incident Response בזמן אמת.
מי מזהה את האירוע.
מי מוביל את החקירה.
והאם תוכנית DR באמת מתורגלת - או שקיים רק מסמך יפה ב-PDF.
SOC 2 מוסיף בדיוק את שכבת העומק הזו.
הוא מחייב את הספק להראות שהבקרות האלו לא רק קיימות - אלא גם נבדקות ומתוחקרות לאורך זמן.
MedOne Cloud: ענן ישראלי שנבנה סביב תשתית פיזית מוקשחת
אחד ההבדלים המרכזיים בין MedOne לבין ספקי ענן רבים אחרים נמצא דווקא מתחת לפני הקרקע.
MedOne מפעילה רשת של דאטה סנטרים תת-קרקעיים מהמתקדמים בישראל.
התשתיות האלו נבנו מלכתחילה כדי להפעיל מערכות קריטיות עבור בנקים, חברות פיננסיות וגופים ממשלתיים.
הדאטה סנטרים ממוקמים בישראל ומחוברים ישירות:
לרשתות תקשורת מקומיות
לספקיות אינטרנט
לנקודות נחיתה של כבלי ים בינלאומיים
על גבי התשתית הזו פועל MedOne Cloud - ענן ציבורי והיברידי המיועד לארגונים בישראל.
הענן משלב בין תשתית פיזית מוקשחת לבין שכבת ענן מודרנית המאפשרת להפעיל עומסי עבודה מגוונים – ממערכות עסקיות ועד סביבות פיתוח ו-DR.
איך MedOne מתמודד עם השאלות הקשות של CISO
בפועל, ארגונים שבוחנים מעבר לענן רוצים להבין דבר אחד.
איך הדברים עובדים ביום-יום.
לא רק במסמכים.
MedOne מפעילה מערך תפעולי שמנסה לסגור את הפער בין מדיניות לבין עבודה בשטח.
הפרדת לקוחות וניהול הרשאות
בסביבת ענן מרובת דיירים מיושמת הפרדה מלאה בין סביבות הלקוחות.
המערכת מבוססת על:
Tenant isolation בין ארגונים
ניהול הרשאות לפי עקרון Least Privilege
לוגים מפורטים לכל פעולת גישה
בנוסף מופעלים תהליכים מסודרים לניהול הרשאות של צוותי החברה עצמם – כולל Joiner-Mover-Leaver -כדי למנוע הרשאות עודפות.
ניטור ותגובה לאירועים
התשתיות של MedOne מנוטרות באופן רציף.
מערכות הניטור בוחנות תעבורה, פעילות חריגה ואנומליות ברמת הרשת והתשתית.
כאשר מתרחש אירוע, מופעלים תהליכי Incident Response מוגדרים מראש הכוללים:
זיהוי האירוע
ניהול החקירה
תקשורת עם הלקוח
תחקור Post-Mortem לאחר האירוע
המטרה היא לא רק לטפל באירוע - אלא גם ללמוד ממנו ולשפר תהליכים.
המשכיות עסקית ו-DRaaS
עבור ארגונים רבים, המעבר לענן קשור ישירות לשאלה של התאוששות מאסון.
MedOne מציעה שירותי DRaaS המאפשרים התאוששות מהירה של מערכות קריטיות.
התשתית מבוססת על מספר דאטה סנטרים גיאוגרפיים בישראל, כך שניתן לבצע:
רפליקציה בין אתרים
שחזור מהיר של מערכות
תרגול תרחישי DR עם הלקוח
עבור ארגונים שמפעילים מערכות קריטיות - זו שכבת ביטחון משמעותית.
למה ארגונים רגולטוריים בוחרים ענן ישראלי?
סקטורים רבים בישראל פועלים תחת רגולציה מחמירה.
בנקאות.
ביטוח.
בריאות.
תשתיות לאומיות.
ארגונים אלו צריכים להוכיח לרגולטורים וללקוחות שהמידע שלהם מנוהל בסביבה מאובטחת.
ענן ישראלי עם SOC 2 מאפשר לשלב בין כמה יתרונות חשובים.
שמירה על ריבונות נתונים - מידע נשמר ומעובד בישראל.
עמידה בתקנים בינלאומיים - כולל ISO ו-SOC 2.
זמינות גבוהה ותשתית פיזית מוקשחת.
כך למשל ארגון פיננסי שעובר מתשתית on-prem לענן יכול להשתמש ב-MedOne Cloud ולשלב בין עמידה בדרישות רגולציה לבין גמישות טכנולוגית.
העתיד הוא ענן היברידי
רוב הארגונים בישראל לא עובדים עם ענן אחד בלבד.
המודל הנפוץ היום הוא ארכיטקטורה היברידית - שילוב בין עננים גלובליים לבין תשתיות מקומיות.
MedOne מאפשרת מודל כזה באמצעות שילוב של:
דאטה סנטרים וקולוקיישן בישראל
ענן ישראלי מאובטח
קישוריות ישירה לעננים גלובליים
כך ארגונים יכולים לאחסן מידע רגיש בישראל, תוך שימוש בשירותים מתקדמים של עננים ציבוריים כאשר צריך.
בלי פשרות על ביצועים, רגולציה או אבטחה.
שאלות נפוצות על ענן ישראלי עם SOC 2:
מה ההבדל בין SOC 2 לבין ISO 27001?
ISO מגדיר כיצד צריך לנהל מערכת אבטחת מידע.
SOC 2 בוחן בפועל האם הבקרות האלו פועלות לאורך זמן.
למה חשוב שענן יהיה גם ישראלי וגם עם SOC 2?
השילוב מאפשר גם ריבונות נתונים וגם עמידה בתקנים בינלאומיים.
אילו ארגונים משתמשים בענן כזה?
בנקים, חברות פינטק, בריאות, חברות סייבר וגופים ממשלתיים.