על ההגנה בשירותי hosting 

על ההגנה בשירותי hosting

כאשר אנחנו נכנסים לחניון מקבל את פנינו שלט שאומר במילים פשוטות שהאחריות לכל נזק למכונית הוא לא באחריות בעלי החניון. בעלי חניונים מתקינים גדרות, שערים, מצלמות וכמובן שומרים. למרות זאת כל גניבה של הרכב או תכולתו היא לא באחריותם.

כאשר אנחנו חונים בחניון, אנחנו דואגים לנעול את הרכב. באם יש הזעקה להפעיל את ההזעקה. לא להניח תיקים או כסף במקום בולט וכיוצא מזה. אנחנו מקבלים את תקנון החניון ומבינים שבחניון אין שומר יעודי שישמור על הרכב שלנו ואין אנו מצפים לאחריות בעלי החניון לרכושנו.

כאשר אנחנו מעבירים את השרתים שלנו לשרותי hosting אנחנו מצפים שבעלי השירות יהיו אחראים בדיוק מה שבעלי החניון לא  אחראים. כמו בעלי החניון, מספקי שירותי hosting מתקינים FW, דואגים לממשק ניהול יחסית מאובטח ויש שמתקינים שירותי IPS מינימאליים. אולם האחריות והנזק יהיה ללקוח.

ובצד הלקוח, יש ציפייה דמיונית שכל נושא האבטחה יעבור לספק והיא ריאלית בערך כמו שנצפה שחיים כפיר מכפיר חניונים באופן אישי ישמור לי על האוטו ביום שישי בערב. נטל ההגנה על השרתים ב hosting מוטלת על הלקוח והוא צריך לחשוב מהי מידת ההגנה הרצויה לו והאם רמת ההגנה שקיימת אצל ספק ה hosting מספקת אותו בהתאם למתאר הסיכונים. נושא הסמכות והאחריות שזור בצורה מאוד הדוקה בתוך ניהול אבטחת המידע והנטייה של חלק לברוח מאחריות מחד ולנסות לקחת סמכות מאידך מהווה לא פעם כשל בניהול אבטחת המידע. ההעברה של השירות ל hosting לא מורידה מהאחריות של החברה לרכושה והנקודה הזו לצערי לא תמיד ברורה למקבלי ההחלטות.

נמשיך בהקבלה לחניון, אם יש לי רכב יקר ואני חושש שיגנבו לי אותו צריך לחשוב היטב אם להחנות אותו מידי לילה בחניון של כפיר. אולי עדיף לי לבנות חניה סגורה במתחם שלי עם הזעקה וחיבור למוקד שמירה. ובהקבלה, אפליקציה שדורשת הגנות סביבתיות רבות ובפריצה אליה יהיה נזק כבד, לא מומלץ להוציא אותה ל hosting. (ושוב אנו נוגעים בנושא פיתוח מאובטח וליווי ה SDLC וההשפעה של ליווי כושל והפעם על היכולת לנייד את האפליקציה. אני יתייחס במאמר נפרד לנושא בהזדמנות קרובה).

אפשרות אחרת היא לדבר עם חיים (חיים כפיר מחניוני כפיר, תגידו לו שדודי שלח אתכם) ולבקש משהו מיוחד, אולי שטח מול הבוטקה של השומר, ואפשר גם חניה עם עמוד כזה שאפשר לנעול. ובהקבלה, לנסות לבנות מערך הגנה בחברת ה hosting. לנצל את מערך התמיכה של ספק ה hosting, לנסות להעביר התרעות ולממש כלי בקרה על מנת להוציא את השירות החוצה.

נושא נוסף שחייב להיסגר כחלק מהמעבר לשירותי  hosting, הוא נושא התחזוקה, ביצוע עדכונים וכדומה. במקרה זה אני ממליץ להיצמד כמידת האפשר לשירותים הסטנדארטים שמספקת חברת ה hosting. יש להבין שיחס מיוחד אולי מביא להרגשה טובה, אולם בשירות זה אומר משהו לא סטנדרטי שאנשי התחזוקה של ספק ה hosting לא יתפעלו בצורה טובה. בעת המעבר צריך לחשוב על תועלות כגון הגברת יכולת השרידות, האפשרות לתחזוקה ללא השבתה, עלויות גדילה (אין זמן טוב יותר לעמוד על המקח כמו לפני המעבר, לאחר המעבר יש אפקט של לקוח שבוי והתוצאה המיידית היא עלויות הרחבה) והחשוב מכל התחייבות ל SLA כולל קנסות על אי עמידה בו.

http://www.shnat-yesharim.co.il/Default.asp?sType=0&PageId=87889