הניסיון לאבטח כוח עבודה מבוזר הוא לא פשוט. העובדים משתמשים בהתקנים האישיים שלהם כדי לגשת ליישומים עסקיים קריטיים הפרוסים בסביבות מרובות עננים ולנכסים ארגוניים הנמצאים באתר המקומי מהבית, מהמשרד ואפילו מהדרך. ארגונים רבים מנהלים מרחבי פעילות מורכבים וההגנה שלהם הופכת למסובכת יותר. בעיה זו מתגברת כאשר ארגונים מנסים להסתמך על מערך של כלי אבטחה מיושנים ולא גמישים.
כדי לתמוך בעבודה מכל מקום, ארגונים משתמשים ברשת תקשורת מרחבית מבוססת תוכנה (SD-WAN) וכלים התומכים במודל אבטחת רשת מסוג zero-trust, ובמיוחד באסטרטגיית בקרת גישה מבוססת אמון (ZTNA), המשמשת כדי לאבטח את הגישה ליישומים. מודל ה-zero-trust מבוסס על העיקרון לפיו ניתן לסמוך על משתמש או התקן רק לאחר אישור מפורש של הזהות ומצב האבטחה שלהם. המודל מתמקד במשתמשים, התקנים ושירותים אליהם מעוניינים לקבל גישה. הטכנולוגיה משתמשת בחלוקת רשת ואזורי פיקוח, כאשר יש לאשר ולאמת בקביעות כל בקשת גישה. יותר מכך, אפילו לאחר קבלת הגישה, המשתמשים או ההתקנים יכולים לגשת רק למשאבים הדרושים להם לצורך ביצוע עבודתם ולא מעבר לכך.
הצורך באבטחת גישה בכל זמן ומכל מקום, משמעו כי ה-ZTNA הפכה לקריטית עבור רוב אסטרטגיות האבטחה. הטמעה מקיפה של zero-trust דורשת כיסוי מלא של כל המשתמשים וההתקנים בכל מקום שבו הם נמצאים. היות וארכיטקטורות IT היברידיות לא צפויות להיעלם בעתיד הקרוב, צריך ליישם גישת אבטחת סייבר התומכת הן בענן והן באתר המקומי.
כיצד זה עובד?
בשונה מרשת פרטית וירטואלית (VPN), אשר פועלת לפי ההנחה כי ניתן לסמוך על כל דבר אשר עובר את בקרות הגישה לרשת, תוך שימוש בקישור מוצפן, אסטרטגיית ה-ZTNA נוקטת בגישה ההפוכה - לא ניתן לסמוך על אף משתמש או התקן כדי לגשת לאף משאב עד שיוכח אחרת. אסטרטגיית ה-ZTNA כוללת שלושה שלבים: הראשון הוא סוכן על ההתקן של העובד; השני הוא מנוע מדיניות אשר קובע האם המשתמש מורשה לקבל גישה ולאילו משאבים, כאשר מדיניות הגישה ליישומים של ZTNA ותהליך האימות זהים בין אם המשתמשים נמצאים בתוך הרשת או מחוצה לה.
החלק השלישי הוא האכיפה והוא צריך להתרחש בסמיכות הקרובה ביותר לרגע בקשת הגישה. ברגע שהמשתמש סיפק אישורי גישה מתאימים, ניתנת לו הגישה המעטה ביותר, מה שאומר שאותו משתמש יכול לגשת רק ליישומים שהוא זקוק להם כדי לבצע את עבודתו ותו לא. אסטרטגיית ה-ZTNA פועלת במונחים של זהות ולא באמצעות אבטחה של מקום בתוך הרשת, מה שמאפשר למדיניות לעקוב אחר יישומים ופעולות אחרות מקצה לקצה.
ה-ZTNA לא מיועדת רק עבור גישה לענן
הטמעה של ZTNA אצל יצרנים רבים מוגבלת ליישומים מבוססי-ענן, אך אסטרטגיה זו המיושמת בענן בלבד לא תסייע לארגונים המשלבים בין יישומים בענן ההיברידי ובאתר המקומי. הגדרת ZTNA מבוססת-לקוח מציעה נראות ובקרה טובות יותר של התקנים וניתן ליישם אבטחה של יישומים באמצעות שימוש בסוכן המוטמע בקצה. כך, בעת איתור של בעיית אבטחה, ניתן לשלוח קובץ לבדיקה ב-sandbox או לבודד אותו.
קיים גם היבט של ביצועים. ישנם ספקים אשר מבצעים אכיפה מהענן שלהם, מה שיכול לעבוד עבור יישומי SaaS מסוימים, אך זה לא מתאים אם אתם ניגשים למשאבים במרכז הנתונים. במקרה כזה, התעבורה צריכה לחזור למרכז הנתונים לביצוע האכיפה, או שהיא נמצאת באתר המקומי עם מחשוב קצה.
גישה נכונה ויעילה יותר היא אכיפה מובנית בתוך התקן האבטחה הרשתי (NGFW), המבוזר לאורך כל הרשת באמצעות התקנים או מכונות וירטואליות. עיצוב זה מציע יתרונות משמעותיים מבחינת יעילות.
לא כל התקני ה-NGFW נוצרו שווים
ישנם ספקים שהכריזו על מות התקני ה-NGFW, או אפילו על הרשת כולה, או שהם יטענו שלא ניתן להעמיס על התקן האבטחה הרשתי היות והדבר יפגע בביצועים. התקני ה-FortiGate כוללים מנועי אבטחה מתקדמים של הדור הבא (NGFW), הכוללים: ZTNA, בקר נקודת גישה, בקרי 5G ו-SD-WAN, מה שאומר שיהיה לכם פתרון אבטחה אחד - ולא חמישה - ועדיין תקבלו ביצועים טובים יותר מהמתחרים.
התקני NGFW מיושנים, המבוססים על מעבדים גנריים והזמינים מסחרית, לא יכולים להתמודד עם ריבוי יישומים, אך התקני ה-Fortinet FortiGate NGFW יכולים להריץ ZTNA במהירות וביעילות. ה-ZTNA יכול לשבת בהתקן ה-FortiGate בסניף המשרדי ולהריץ שם אכיפה מבוססת Proxy.
כל זה אומר שהסביבות פעילות מאוד, אפילו בסביבות מרובות ענן. לכן, האבטחה צריכה להשתלב בצורה רציפה עם הרשת הבסיסית כדי לספק הגנות אשר יכולות להסתגל בצורה דינמית לרשת המשתנה ללא הרף. בסביבה זו, התקן האבטחה הרשתי הופך לבסיס של פלטפורמת האבטחה והרשת המשולבת.
כדי לספק ביצועים יוצאי דופן עבור פונקציות האבטחה והרשת, פורטינט משתמשת במעבדי ASIC מותאמים אישית המספקים ביצועים הגבוהים בממוצע פי-15 באותו המחיר מאשר פתרונות מתחרים. אותו בסיס קוד הנדסי המאפשר את מעבדי האבטחה הפיזיים (SPUs) הללו, משמש גם בדגמים הווירטואליים (vSPUs) המספקים האצה דומה בפריסות ענן פרטי וציבורי.
ההתכנסות בין הרשת והאבטחה
כדי להסתגל לשינויים בכוח העבודה ובנוף האיומים, ארגונים זקוקים לרשת ואבטחה משולבות הזמינות גם באתרים המקומיים וגם בענן. הניסיון למזג פתרון נקודתי נוסף למצב מורכב של הרשת הוא מבלבל במקרה הטוב. אסטרטגיית ה-ZTNA של פורטינט מספקת גישה ליישומים ואימות מתמשך של משתמשים עם אכיפה הזמינה בכל מקום באמצעות שימוש ב-NGFW. כיום, משתמשים זקוקים לגישה לכל היישומים שלהם מכל מקום ובכל זמן. אסטרטגיית ה-ZTNA צריכה להיות זמינה בכל מקום ולאבטח כל דבר באמצעות מדיניות ובקרות קבועות בכל סביבות התפעול, כולל האתרים המקומיים והענן.
הכותב הוא מנהל בכיר לתחום שיווק מוצרים בחברת אבטחת הסייבר פורטינט
בשיתוף פורטינט
