כך תכינו את סניפי הארגון לפריסת ענן מאובטחת
מאת:
עופר ישראלי, 28.1.20, 11:55
כאשר החדשנות הדיגיטלית ממשיכה לשנות רשתות, אבטחה לא תוכל להמשיך לתפקד כאלמנט נפרד של הרשת. על אבטחת הסניף המותאם לענן, אופטימיזציה של אפליקציות ענן, הבטחת תאימות, ניהול מאוחד והמעבר לרשת המונעת ע"י אבטחה.
מרבית הסניפים כיום עדיין מסתמכים על החיבור, שנמצא בליבת הרשת, עבור הגישה שלהם לאפליקציות ולנתונים. חיבור זה מוודא, שלמשתמשי הקצה יש גישה מאובטחת למרכז נתונים קריטי ולמשאבי אבטחה מרכזיים. יחד עם זאת, ככל שיותר ויותר אפליקציות, נתונים ותהליכי עבודה מועברים לענן, הסתמכות על העברת התנועה דרך אותו חיבור מרכזי מונעת מארגונים לנצל את מלוא כוחו והגמישות שלו.
ההשפעה הגדולה ביותר היא על ביצועי האפליקציות. העברת התעבורה של אפליקציות ענן דרך מרכז הרשת בדרך למשתמש של סניף יכולה להשפיע בצורה משמעותית על ביצועי האפליקציה ועל חוויית משתמש הקצה. וכך, להציב את משתמשי הסניף בעמדת נחיתות חמורה. כ"כ, יש להתחשב גם בהשפעת נפח התעבורה העוברת דרך ליבת הרשת, שגדל בצורה אקספוננציאלית.
כדי להתמודד עם אתגר זה, ארגונים רבים מפתחים אסטרטגיה עבור סניפים, שמכינה אותם לפריסות ענן, שמסתמכת על
SD-WAN, כדי לאפשר גישה ישירה לאינטרנט לצורך גישה מהירה לענן וביצועי אפליקציות ענן משופרים. גישה ישירה משמעה ביצועי אפליקציות מהירים וגמישים יותר, פרודוקטיביות מוגברת וחוויית משתמש טובה יותר.
מאבטחים את הסניף המותאם לענן
לאסטרטגיה זו יש השפעה חשובה על אבטחה. גישה ישירה לענן, שעוקפת את ליבת הרשת, משמעה, שטרנסאקציות ונתונים זקוקים לאבטחה משלהם. מדובר במלאי אבטחה שלם - ״חומת אש״
FW)) של הדור הבא, מערכת למניעת חדירות (
IPS),
Web Filtering,
Sandboxing ועוד, ולא רק בפונקציונליות בסיסית של
FW המסופקת ע"י מרבית פתרונות ה-
SD-WAN.
לרוע המזל, מדובר בשיקול, שארגונים רבים לא לקחו בחשבון, כאשר המשמעות עבורם הייתה תהליך ארוך ויקר, שהסתכם בניסיון לשכפל את אבטחת הליבה כפתרון כיסוי כלשהו הנפרס בענן. התוצאות לרוב הן מורכבות ונוטות לבעיות.
המשמעות של גישה ישירה לאינטרנט, משאבי ענן ואפליקציות
SaaS היא גם, ש-80% או יותר מהתעבורה תהיה מוצפנת. דבר זה דורש פתרון אבטחה, שיכול לפענח את ההצפנה ולבחון את התעבורה מבלי להאט את הפונקציונליות של אפליקציות קריטיות. מדובר בעקב אכילס של מרבית פתרונות האבטחה.
למעשה, המצב כה גרוע, עד כי ספקי
NGFW רבים אפילו לא מפרסמים את מספרי הביצועים שלהם עבור פענוח הצפנה ובדיקת התעבורה. לכן, מדובר בצורך חיוני לחפש אחר פתרון, שתוכנן כדי לעמוד בדרישות הביצועים של הסניף הארגוני של ימינו.
אופטימיזציה של אפליקציות הענן
האבטחה, כמובן, היא רק חלק מהמשוואה. בנוסף לכך, יש צורך לבצע אופטימיזציה של החיבור בין המשתמשים העסקיים ואפליקציות הענן. דבר זה דורש שתהיה מערכת ניתוב ממוקדת אפליקציות היכולה לתמוך בדברים כמו סיווג קישורים.
כאשר המשתמש רוצה להשתמש ב-
Office365, לדוגמא, פתרון ה-
SD-WAN צריך להיות מסוגל לזהות בצורה אוטומטית ולסווג את הפאקט הראשון עם מידע על האפליקציה הנכונה כדי לוודא, שכל התעבורה העוקבת מופנית בצורה דינמית לקישור הנכון. דבר זה חיוני במיוחד בסביבות של
Multi-Cloud, בהן אפליקציות יכולות להתארח לאורך מגוון של ספקי
IaaS ו-
SaaS.
דבר זה לא רק מאפשר אופטימיזציה של הקישור וביצועי האפליקציה - לרוב במהירות רבה יותר מחיבורים ללא אופטימיזציה, כולל הכוונה מחדש של התעבורה לקישור חדש במקרה של ירידה בביצועים מצד אחד - אלא גם מאפשר אבטחה מקצה-לקצה ממשתמש הקצה ועד לאפליקציה העסקית בצורה טובה יותר.
רוב פתרונות ה-
SD-WAN מספקים אופטימיזציה רק לשלב הראשון, בין הסניף והאינטרנט. יחד עם זאת, אופטימיזציה צריכה להתפרס על פני כל החיבור גם ע"י פעולה פנימית עם הניתוב ופתרונות האבטחה, שעושים בהם שימוש בענן כדי לוודא פונקציונליות עקבית. זה דורש שימוש בפתרון
SD-WAN, שתוכנן לתפקד עם אבטחת
Cloud-Native ופתרונות ניתוב הפרוסים אצל כל ספקי הענן הגדולים.
לטובת אופטימיזציה אמיתית יש צורך גם בניטור וניהול קישורים לאורך שלב הביניים של חיבור האינטרנט הציבורי. קישורי אינטרנט יכולים להיות לא אמינים, ע"י האצה של חיבורים נוספים ומכונה וירטואלית בתוך האינטרנט עצמו - דרך פריסה מתאימה של פתרונות ואינטגרציה עמוקה עם ספקי אינטרנט - חיבור השלב האמצעי הזה דרך האינטרנט הציבורי יכול יהיה לתפקד כמו רשת המבצעת אופטימיזציה ותיקון עצמי כדי להבטיח את חוויית האפליקציות העסקיות הטובה ביותר.
הבטחת תאימות
היות וניתקתם את חיבוריות הענן של הסניף מהרשת המרכזית, תחום אחר, שיש צורך להקדיש לו תשומת לב, הוא הניטור של פעילויות הענן של משתמש הקצה כדי לוודא את התאימות שלהן. צריך לוודא, שכל שימוש במשאבי הענן הוא שימוש מורשה, שהגישה לנתונים מתבצעת לפי המדיניות שנקבעה, ומשתמשים ואפליקציות ללא הרשאה נשארים מחוץ לסביבת הענן שלכם. פתרונות ה-
CASB (
Cloud Access Security Broker) תוכננו בדיוק למטרה זו, כאשר מדובר במרכיב חיוני אחד נוסף של כל אסטרטגיית סניף המוכנה לענן ו-
SD-WAN.
CASB מציב נקודת אכיפת מדיניות אבטחה הכרחית בענן, בין משתמשי הקצה וספקי הענן, במקום בו הוא יכול לנטר ולנהל את כל הטרנסאקציות בענן. ברגע שהוא קיים, הוא יכול לאכוף מדיניות אבטחה, לוודא קיום של תאימות רגולטורית, לאפשר גילוי של
shadow IT ולנטר את התנהגות המשתמש בכל הטרנסאקציות בענן.
ניהול מאוחד
התחום האחרון לדאגה זהו הניהול. היום, לרשתות יש יותר מידי חלקים, שנעים ממקום למקום מכדי לנהל אותם כראוי או לבצע אורקסטרציה תוך שימוש במגוון קונסולות ניהול שכל סביבה דורשת. במקום זאת, ארגונים זקוקים לפתרון ניהול ואנליטיקה משולב ואחוד לרשת ולאבטחה היכול להתפרס לאורך סניפים ארגוניים רבים, רשתות מרכזיות, סביבות
Multi-Cloud, אפליקציות
SaaS ומשתמשי מובייל. דבר זה מבטיח נראות עמוקה לאורך כל הרשת המבוזרת, כולל הסניף הארגוני המוכן לענן.
המעבר לרשת המונעת ע"י אבטחה
אינטגרציה היא המפתח לכל אסטרטגיית ענן מתפתחת. זה מתחיל עם אינטגרציה של כל פתרונות האבטחה, ללא קשר למקום בו הם ממוקמים, לתוך מארג מאוחד אחד. מארג זה צריך להיות מסוגל להתרחב לאורך כל הרשת המבוזרת כדי להבטיח נראות ובקרה קבועים, להגן על כל הטרנסאקציות והתקשורת, לאבטח את האפליקציות ותהליכי העבודה, למנוע פערי אבטחה לא הכרחיים ולוודא אכיפה ותאימות של מדיניות אוניברסלית.
כאשר החדשנות הדיגיטלית ממשיכה לשנות רשתות, אבטחה לא תוכל להמשיך לתפקד כאלמנט נפרד של הרשת. כבר עכשיו סביבות רשת נמצאות בזרם תמידי, מסתגלות ללא הרף לדרישות העסקיות המשתנות ולדרישות המשאבים.
ארגונים לא יכולים להרשות לעצמם להסתמך על מדיניות אבטחה ופתרונות, שבמקרה הטוב יכולים רק להגיב לשינוי רשת רק לאחר שהם מתרחשים. במקום זאת, יש לשזור יחד את פונקציונליות הרשת והאבטחה למארג אחד. בצורה זו, האבטחה לא רק תסתגל בצורה דינמית לכל שינוי של הרשת, אלא, למעשה, תהיה חלק מתהליך קבלת ההחלטות כדי לוודא, שהשינויים השונים לא יחשפו את הארגונים לסיכונים לא צפויים כלשהם.
למדו עוד כיצד
פתרונות אבטחת הענן הדינמיים של פורטינט מספקים לארגונים את הביטחון לפרוס כל אפליקציה על כל תשתית ענן.
קרדיט צילום תמונה עליונה: פוטו פינו.
מאת:
עופר ישראלי, ינואר 2020.
מנהל פעילות
פורטינט ישראל