קנבס הארכיטקטורה
קנבס ה-Cloud Architecture מצייר את הסביבה שלכם כתרשים אינטראקטיבי וניתן-לעריכה — פרויקטים/חשבונות כתיבות, משאבים ככרטיסים, והקשרים ביניהם כקשתות. הוא מקביל ל-Wiz, Orca, Cloudcraft או draw.io, אך עם הקשר אבטחה ועלות מוצב ישירות על המפה.
יתרונות עיקריים
Section titled “יתרונות עיקריים”| יתרון | יכולת | ערך עסקי |
|---|---|---|
| תמונה משותפת | תרשים אחד של כל הסביבה | מהנדסים, אבטחה והנהלה קוראים את אותה המפה |
| אבטחה בהקשר | נתיבי תקיפה, איומים וסיכון מורכב מוצבים על הטופולוגיה | לראות היכן הסיכון, לא רק רשימה |
| עלות אמיתית | הוצאת GCP אמיתית על כל פרויקט/משאב | לקשור היגיינת אבטחה ל-FinOps |
| בר-שיתוף | ייצוא ל-HTML, draw.io, SVG, PDF | למסור תרשים חי לכל אחד |
איך זה עובד
Section titled “איך זה עובד”אתם בונים את הקנבס ממלאי של סריקה (Reports → Architecture, או מסך Cloud Architecture). הוא פורש פרויקטים ומשאבים אוטומטית, וניתן לערוך, להוסיף הערות ולשמור פריסות.
שכבות-על לניתוח
Section titled “שכבות-על לניתוח”הפעילו שכבות-על כדי לראות עדשות שונות על אותה טופולוגיה:
| שכבת-על | מה היא מראה |
|---|---|
| Attack paths | שרשראות התקיפה העוברות בטופולוגיה |
| Heatmap | ריכוז סיכון על פני המשאבים |
| Cost | הוצאת GCP אמיתית לכל פרויקט (מ-BigQuery Billing Export) וחלוקה פרופורציונלית-לפי-גודל לכל משאב — ? כשהנתון אינו זמין (לעולם לא מומצא) |
| Service mesh | נפח בקשות חי לכל שירות (מ-Cloud Monitoring), עם דירוג hot/warm/cold |
| Compliance | אילו משאבים נמצאים בהיקף PCI/HIPAA/SOC 2 ומסגרות נוספות |
| Threats | מודל איומים היוריסטי STRIDE + MITRE על פני הקשתות |
| Toxic combinations | דפוסי סיכון מורכב בסגנון Wiz (למשל אינטרנט → SA מורשה, אינטרנט → מידע רגיש) |
| Region lanes | משאבים מקובצים לפי אזור |
| Cross-project SA | service accounts משותפים בין פרויקטים |
ניתוח אינטראקטיבי
Section titled “ניתוח אינטראקטיבי”- What-if blast radius — לחצו על צומת כלשהו כדי לראות להיכן פריצה שלו יכולה להגיע.
- Time travel + Replay drift — החליקו בין סריקות היסטוריות ושחזרו כיצד הארכיטקטורה השתנתה.
- השוואת סריקות (diff overlay) — משאבים וקשתות שנוספו/השתנו מודגשים על הקנבס.
- Smart search — תארו בשפה טבעית (“כל ה-SAs שיכולים לקרוא PII”) וה-AI מתרגם לפילטר גרף.
- AI explain — קבלו סיכום בשפה טבעית של המשאבים, הסיכון והחשיפה של כל פרויקט.
- Simulate traffic — הנפישו זרימות בטופולוגיה.
עריכה וייצוא
Section titled “עריכה וייצוא”מצב עריכה מאפשר להוסיף משאבים, הערות וקשתות מותאמות; לנתב מחדש כל קשת על ידי גרירת נקודת כיפוף; להזיז תוויות; ולשמור מספר פריסות נקובות כלשוניות. ייצוא ל-HTML (אינטראקטיבי מלא), draw.io, SVG, PDF או JSON.
מימוש / זרימת עבודה
Section titled “מימוש / זרימת עבודה”- הריצו סריקה (GCP נותן את הקנבס העשיר ביותר, כולל עלות ו-mesh).
- (אופציונלי, לעלות אמיתית) הגדירו BigQuery Billing Export ללקוח והריצו סריקת billing.
- בנו את הארכיטקטורה מהסריקה וחקרו עם שכבות-העל לעיל.
- שמרו את הפריסה, או ייצאו את התרשים לשיתוף.
שיטות עבודה מומלצות
Section titled “שיטות עבודה מומלצות”- התחילו משכבות ה-Attack paths וה-Toxic combinations כדי למצוא את הטופולוגיה המסוכנת ביותר, ואז צללו פנימה.
- השתמשו ב-השוואת סריקות / time travel אחרי חלון שינויים כדי לראות בדיוק מה סטה.
- הגדירו billing export כך ששכבת ה-Cost תציג מספרים אמיתיים במקום
?.