המעבר לענן העלה סדרה חדשה של נושאי אבטחה מורכבים לצוותי IT עימה הם צריכים להתמודד בשל היעדר הגישה הישירה לאבטחת המידע.
חברת סטרט-אפ בשם "Porticor" הוציאה לאחרונה לשוק פתרון הצפנה חדש אשר מתמקד במידע הנמצא בצורה סטטית בענן. החברה מציעה הפרדה בין פתרון מפתח הצפנה בו המשתמש בענן הוא היחידה אשר יודע את מפתח העל. כמו כן, החברה מטפלת במורכבות הכרוכה בהצפנת נתונים כך שהלקוח פטור מעיסוק בכך.
הבעיה הבסיסית בהצפנת מידע בענן היא היכן לאחסן את מפתחות ההצפנה. הלקוח אינו מעוניין שהמפתחות יימצאו על דיסק בענן היות ובצורה זו הם פגיעים בפני האקרים. הלקוח יכול להרשות לגורם שלישי לאחסן את המפתחות שלו, אך פירוש הדבר מתן אמון בגורם נוסף. הלקוח יכול לקחת עימו את מפתח ההצפנה בחזרה לדאטא סנטר שלו, אך חלופה זו נראה כי פוגמת בכל המטרה של מיקור החוץ של שירותי הדאטא סנטר לענן.
הגישה של "Porticor" מבוססת על התפיסה של כספת הפקדה בעלת שני מפתחות - אחד בעבור הלקוח ואחד בעבור הבנקאי, או במקרה זה, שירות ניהול המפתחות הוירטואליים של "Porticor". בדיוק כמו כספת הפקדה, הלקוח לא יכול לפענח את המידע לבד ללא המפתח המוחזק בידי "Porticor", ו-"Porticor" אינה יכולה לפענח את המידע ללא מפתח המסטר המוחזק בידי הלקוח. במציאות, ללקוח יש למעשה מפתח אחד בעבור כל פרויקט, שהוא בדרך כלל אפליקציה. "Porticor" מחזיקה ברשותה אלפי מפתחות, אחד בעבור כל קובץ או כונן השייך לפרויקט. בכדי לקבל גישה למידע המוצפן, יש צורך בשני המפתחות.
לחברתנו ניסיון רב ומגוון בביצוע פרויקטי ייעוץ וליווי הקשורים לענן. כך, למשל סייענו לאחרונה לאחד מלקוחותינו בניתוח השלכות אבטחת המידע כתוצאה מהעברת אחת האפליקציות המרכזיות של הארגון למודל סביבת ענן אשר יתופעל על ידי גורם חיצוני. במסגרת זאת, נבדקה האפליקציה בהיבטים אפליקטיביים ותשתיתיים, בכדי להבטיח שכלל סביבת האפליקציה מאובטחת מפני חדירה עויינת. בהתאם לממצאים, גובש מסמך מסכם אשר הציג את המסקנות, הסיכונים העיקריים אותם מומלץ לבחון לעומק אל מול הספק, יתרונות וחסרונות של השירות המוצע אל מול המצב הקיים בהיבטי אבטחת המידע ועוד.