כיצד לאבטח גישה מרחוק לנכסי הארגון?

בפרק הזה שמחנו לארח את רובי כהן, CTO, ארובה ישראל (HPE) וליפז הסל ה-CTO וה-Co-founder של חברת IT-Guru. שוחחנו איתם על אתגרים בנושא גישה מאובטחת לרשת, ואילו פתרונות קיימים כיום לשם כך.

לרובי ולליפז יש ניסיון רב שנים בתחום התקשורת והאבטחה. רובי כהן, אחראי על תחום טכני בארובה, שהיא חטיבה הנטוורקינג של חברת האם HPE. הוא עובד שם מזה 17 שנה. לליפז הסל יש 20 שנות ותק בתחום. לפני כשנתיים, הקים הסל יחד עם שותפו מירון בר את IT-Guru – הנותנת שירותים מנהלים של חברת ארובה בתוחם ה-IT ואבטחת המידע.

מהו עולם ה-SASE ואיך זה מתחבר לתפישת ה-ZTNA?
רובי: "המושג SASE (ר"ת Secure Access Service Edge) הוא פתרון שנותן מענה לאתגר של איך לאבטח גישה למערכות הארגון, בגישה מרוחקת, מצד המשתמשים. 

זוהי למעשה ארכיטקטורת ענן, המשלבת בין עולם המשתמש לתשתיות התקשורת והמחשוב של הארגון, בתפישת ה-ZTNA – מודל אבטחה שפועל לפי העקרון של אפס אמון או 'אל תסמוך על אף אחד', כלומר על המשתמש".

מהי החשיבות של תפישת SASE ו-ZTNA?
ליפז: "בעשור האחרון היו שני שינויים. האחד, מגיפת הקורונה, שבה היינו צריכים לאפשר לעובדים לגשת למשאבי הארגון מרחוק, על ידי VPN דרך פיירוולים. בתהליך זה התגלו חולשות בגישה דרך VPN, שחשפו את הארגונים להתקפות, כי המשתמש נחשף ישירות לנכסי הארגון ללא כל סינון. תפישת האפס-אמון, שהתפתחה בעקבות זה, נותנת מענה לאתגרים אלו".

איך זה עובד ומה זה כולל?
ליפז: "אם פעם בעולם ה-VPN המשתמש היה מדבר ישירות עם הפיירוול, היום הוא מתקשר לענן של ארובה ובזכות זה הוא נמצא תחת מעקב כל הזמן. אנחנו יכולים לזהות מהיכן הוא מחובר, יודעים בדיוק לאן מותר לו להיכנס ולאן לא, ואם הוא חורג מההרשאות שלו – אז אנחנו יודעים לנתב את הגישה שלו למקומות הנכונים, באופן שקוף מבחינתו.

אנחנו נמצאים כיום בעידן של גידול ניכר ברמת ההתקפות מכל הסוגים, כולל מגורמים מדינתיים, שיש להם תקציבים בלתי מוגבלים, ובשנה וחצי האחרונים התמודדנו עם האתגרים האלו בצורה די מוגברת ועזרנו להגן על הארגונים בעזרת פתרון ארובה".

רובי, פרט קצת על ארובה.
רובי: "ארובה היא חטיבת הנטוורקינג של HPE, שקיימת כבר 30 שנה ומספקת פתרונות תקשורת מאובטחת. זה אתגר שתמיד היה קיים. עם השנים ראינו שצריך להעמיק את היכולות ולצורך כך ביצענו כמה רכישות. אחת מהן הייתה לפני שלוש שנים, עם רכישת חברה ישראלית בשם אקסיס סקיוריטי (Axis Security) מתל אביב. החברה פיתחה הפתרון המאפשר לארגונים להעניק גישה מאובטחת ליישומים בארגון, מבלי לחשוף את הרשת כולה, תוך שימש בגישת האפס אמון. ואכן, הפתרון של ארובה מבוסס על מנוע שלהם – גאווה ישראלית אמיתית".

באיזה ארגונים מותקן הפתרון שלכם?
רובי: "בכל סוגי הארגונים – ברשת בתי מלון, בחברות ישראליות ממגזרים שונים, בחברות היי-טק ובכל חברה שצריכה פתרון מרחוק. באופן טבעי אנחנו מנועים מלפרט שמות".

מי הלקוחות בארגון שאתם עובדים מולם?
רובי: "הלקוחות בארגון הם מנמ"רים, מנהלי אבטחה ולפעמים גם משלבים פתרונות של מערכות אחרות, תלוי במדיניות של הארגון".

אם אני היום מנמ"ר בארגון, או מנהל אבטחה, למה דווקא לבחור בפתרון שלכם?
רובי: "אתגרי האבטחה בגישה מרחוק מוכרים לארגונים. הנושא של אפס אמון גם מוכר. לארובה יש בסיס התקנות רחב מאוד, עם ניסיון רב של שנים רבות. המערכות שלנו מתקדמות טכנולוגית, מבחינת תפישת אבטחת המידע ומבחינת מדיניות האבטחה, והן כמה שיותר פשוטות מבחינת המשתמש".

ליפז, למה ארובה? מן הסתם יש עוד שחקנים…
ליפז: "כפי שנאמר כבר – בגלל הניסון הרב. אני אישית מכיר את החברה 15 שנה. בעברי גם מכרתי מוצרים של ארובה. דבר נוסף, יצרני הפיירוולים עדיין נמצאים בעולמות של On-prem, עם כל היתרונות והחסרונות שלו. ואילו הפתרון שלנו מבוסס על ענן. נכון שיש נטייה לעבור גם לפלטפורמה זו מצד כל החברות, אבל אנחנו היינו החלוצים בתחום.

החברה שלנו, IT-Guru, הוקמה באוריינטציה של אבטחת מידע תפעולית, ומעסיקה מומחים בעלי הסמכות גבוהות בתחום האבטחה. ברמה הפרקטית, ההתקשרות שלנו היא על בסיס עלות חודשית, עם גמישות מקסימלית. בסך הכל אנחנו חברה צעירה, כרגע עם 10 עובדים – אבל בשאיפה לצמוח.

מעבר לזה שיטת העבודה שלנו מבוססת על מקסימום גמישות מבחינת הלקוח. אנחנו עובדים במודל של ASP. כלומר, ספק שירותים מורשה, במעמד של MSP, משמע – מוסמכים על ידי ארובה לבצע את כל תהליכי ההתקנה הטמעה וניהול כולל של התהליך".

האם יישום פתרונות דורש היערכות מיוחדת לארגון?
ליפז: "הפתרון מאפשר להתחבר דרך משאבי ארגון, אבל לא דרך VPN סטנדרטי, ובכך הוא נותן מענה לחסרון העיקרי של ה-VPN, שדרכו הרשת חשופה לנוזקות. וזה יוצר עוד סוג של הגנה, כי המשתמש לא מדבר ישירות עם המערכות הרגישות, אלא דרך פרוקסי. כמובן שהפתרון של ארובה לאפס אמון אינו לבד, יש פתרונות נוספים כמו סינון תכנים, הגנת גלישה בענן על ידי מוניטורינג, SWG, וכן פתרונות לאבטחת התעבורה, CASE".

לסיכום, מה תמונת המצב היום?
ליפז: "אנחנו ערים להתקפות יום-יום, אבל עדיין יש מקומות של 'אצלי זה לא יקרה'. אבל ביום שזה קורה, אתה בבעיה אם אתה חברה בורסאית, או אפילו אם אני לקוח שיש לו אפילו רק כמה חנויות. ולכן חשוב מאוד לאמץ פתרונות מבוססי אפס אמון".

להאזנה לפרק המלא – לחצו כאן