הממשל האמריקאי מפרסם מדריך לשימוש מאובטח בענן ציבורי
CISA, הסוכנות לאבטחת סייבר ותשתיות של ממשלת ארה״ב, מפרסמת שני מסמכי הנחיה לסוכנויות פדרליות בהקשר שימוש במשאבי ענן ציבורי. המהלך הוא חלק מיישום הוראת ביצוע 14028 של נשיא ארה״ב ממאי 21
bigstock
CISA, הסוכנות לאבטחת סייבר ותשתיות של ממשלת ארה״ב, פרסמה טיוטת גרסאות של שני מסמכי הנחיות - יחד עם בקשה להערה (RFC) - שהם חלק מפרויקט Secure Cloud Business Applications או SCuBA שהושק לאחרונה.
מסמכי ההנחיות כוללים ״יישומים עסקיים בענן מאובטח (SCuBA) ארכיטקטורת עזר טכנית (TRA)״ ו-״ספר הדרכה לתוכנית הרחבה של הנראות (eVRF).״ תקופת ההערות הציבוריות למסמכי ההנחיות של RFC נסגרת ב-19 במאי 2022.
״בהתאם להוראת ביצוע 14028 של נשיא ארה״ב (Executive Order 14028), שמטרתה לשפר את האבטחה עבור רשתות ממשלתיות פדרליות, פרויקט SCuBA של CISA שואף לפתח אבטחה עקבית, יעילה, מודרנית וניתנת לניהול שתסייע לאבטח נכסי מידע של סוכנות פדרלית המאוחסנים בענן״, כותבים בפרסום.
בבלוג של CISA כותבים כי בשנים האחרונות, הממשלה הפדרלית מינפה תוכנות ופלטפורמות מבוססות ענן כאמצעי לקיבולת ונגישות רבה יותר, כמו גם לניהול פיננסי טוב יותר.
״עם זאת, מעבר לענן יכול להציג סוגים חדשים של סיכונים אם לא מתנהלים עם אבטחה בראש. כפי שעולה מהפריצה בשרשרת האספקה של SolarWinds. גורמי איום הוכיחו וממשיכים לפתח יכולות מתוחכמות מתוך כוונה לפגוע ברשתות הממשל הפדרלי, בין אם בסביבות מסורתיות ובין אם בסביבות מבוססות ענן״, מוסיפים בבלוג.
ארכיטקטורת עזר טכנית תהיה אדישה לזהות היצרנים, כאשר מטרתה לספק עבודה מאובטחת עם שירותים מבוססי ענן (SaaS). כולל יישום רעיונות כמו Zero Trust, BYOD. המסמך השני, eVRF, יגדיר מה דרישות השקיפות של CISA מארגונים פדרליים בהקשר המידע אודות איומי סייבר שאוסף הארגון, כולל טלמטריה ומידע מודיעיני אחר.
CISA, הסוכנות לאבטחת סייבר ותשתיות של ממשלת ארה״ב, מפרסמת שני מסמכי הנחיה לסוכנויות פדרליות בהקשר שימוש במשאבי ענן ציבורי. המהלך הוא חלק מיישום הוראת ביצוע 14028 של נשיא ארה״ב ממאי 21
bigstock
CISA, הסוכנות לאבטחת סייבר ותשתיות של ממשלת ארה״ב, פרסמה טיוטת גרסאות של שני מסמכי הנחיות - יחד עם בקשה להערה (RFC) - שהם חלק מפרויקט Secure Cloud Business Applications או SCuBA שהושק לאחרונה.
מסמכי ההנחיות כוללים ״יישומים עסקיים בענן מאובטח (SCuBA) ארכיטקטורת עזר טכנית (TRA)״ ו-״ספר הדרכה לתוכנית הרחבה של הנראות (eVRF).״ תקופת ההערות הציבוריות למסמכי ההנחיות של RFC נסגרת ב-19 במאי 2022.
״בהתאם להוראת ביצוע 14028 של נשיא ארה״ב (Executive Order 14028), שמטרתה לשפר את האבטחה עבור רשתות ממשלתיות פדרליות, פרויקט SCuBA של CISA שואף לפתח אבטחה עקבית, יעילה, מודרנית וניתנת לניהול שתסייע לאבטח נכסי מידע של סוכנות פדרלית המאוחסנים בענן״, כותבים בפרסום.
בבלוג של CISA כותבים כי בשנים האחרונות, הממשלה הפדרלית מינפה תוכנות ופלטפורמות מבוססות ענן כאמצעי לקיבולת ונגישות רבה יותר, כמו גם לניהול פיננסי טוב יותר.
״עם זאת, מעבר לענן יכול להציג סוגים חדשים של סיכונים אם לא מתנהלים עם אבטחה בראש. כפי שעולה מהפריצה בשרשרת האספקה של SolarWinds. גורמי איום הוכיחו וממשיכים לפתח יכולות מתוחכמות מתוך כוונה לפגוע ברשתות הממשל הפדרלי, בין אם בסביבות מסורתיות ובין אם בסביבות מבוססות ענן״, מוסיפים בבלוג.
ארכיטקטורת עזר טכנית תהיה אדישה לזהות היצרנים, כאשר מטרתה לספק עבודה מאובטחת עם שירותים מבוססי ענן (SaaS). כולל יישום רעיונות כמו Zero Trust, BYOD. המסמך השני, eVRF, יגדיר מה דרישות השקיפות של CISA מארגונים פדרליים בהקשר המידע אודות איומי סייבר שאוסף הארגון, כולל טלמטריה ומידע מודיעיני אחר.
