"בישראל מפתחים את הדור הבא של הWAF"

במרכז הפיתוח של F5 בישראל מפתחים את הדור הבא של מוצר הWAF של החברה שיספק אוטומציה רחבה יותר למשתמש. כמו כן, מסבירים בחברה אודות תפיסת שרשרת האספקה של היישום משלב כתיבת הקוד ועד אספקת היישום למשתמש. ראיון מיוחד

"בישראל מפתחים את הדור הבא של הWAF"

מימין: ארן אראל וקארה ספראג. צילום: עמי רוחקס דומבה

חברת F5 מציגה גישה פילוסופית מרעננת לאבטחת מידע. במקום תפיסת המשולש הרגילה שמציגות כל חברות אבטחת המידע הגדולות (רשת, ענן והתקן קצה), בF5 טוענים כי מיקוד באבטחת היישום מייתרת את הצורך באבטחת התקן הקצה. במקום לדאוג שמשתמש הקצה יהיה 'נקי', דואגים שהיישום יהיה 'נקי', וכך נוצר מצב של "אפס אמון" בהתקן הקצה. לא משנה רמת הזיהום של התקן הקצה, אם היישום מאובטח, אז הארגון לא יפגע. לצורך כך, השקיעו בחברה בשנים האחרונות בשליטה בכל שרשרת הערך של היישום - מכתיבת הקוד ועד אספקתו למשתמש. 

פתרון הוליסטי

השרשרת כוללת תשעה מקטעים - היא מתחילה בפיתוח קוד עם שרת יישומים, שרת ווב, ניהול מיקרו תהליכים (ingress controller), שרת API (מתרגם פקודות), מאזן עומסי תעבורה (LB), שרת אבטחת יישומים (WAF), שרת DNS (הכולל גם הוא בקרת עומסים), שרת הגנה בפני DDOS ושרת CDN (רשת להעברת תוכן).

על מנת להשיג פתרון הוליסטי רכשה F5 את חברת NGINX במאי האחרון. זאת, כתוספת למוצר המוכר של החברה Big-IP. באופן מסורתי מוצר הBig-IP החל כמאזן עומסים מבוסס חומרה ייעודית (FPGA) לצורך ביצועים. לאחר מכן הרחיבו אותו גם לDNS, WAF ואבטחת יישומים. רכישת NGINX מכניסה את F5 לחלקי שרשרת הערך הקרובים יותר לאנשי הפיתוח ונותן גם דריסת רגל בעולם הCDN. בכך, משלימים שני המוצרים את שרשרת הערך של תשע החוליות.

"השליטה בשרשרת הערך של היישום מהקוד ועד אספקת היישום למשתמש מאפשרת לנו לספק ניראות ושקיפות לתוך כל תהליך אספקת היישום", מסבירה קארה ספראג, סגנית נשיא בכירה ומנכ"לית יחידת שירותי היישומים, האחראית על כלל פעילות המו"פ של F5 בראיון לישראל דיפנס. בראיון היה נוכח גם ארן אראל, מנהל הפעילות של F5 בישראל, יוון וקפריסין.

"מהלך נוסף שעשינו בשנתיים האחרונות הוא לפתח את המוצרים שלנו על בסיס שרת וירטואלי (מבוססי תוכנה) מאשר מבוססי חומרה (FPGA)", אומרת ספראג. "מתוך 1500 אנשי פיתוח, רק כ-200 עוסקים בחומרה, בעיקר לעולמות ההצפנה (SSL) ותמיכה בתקני אבטחה פדרלים (FIPS 140). האפשרות להריץ את המוצרים על חומרה של צד ג' מאפשרת לנו לספק שרשרת אספקה הוליסטית והיברידית לארגונים. אפשר להריץ חלק מהחוליות בארגון (און פרם) וחלק בענן ציבורי."

מהלך נוסף שעשו בF5 בשנתיים האחרונות הוא להפוך את הפלטפורמה לפתוחה. "אין לנו עניין להכריח את הלקוח להשתמש במוצרים שלנו", מסבירה ספראג. "לכן, בנינו מחדש את הAPIים שלנו כך שיוכלו לאפשר שילוב כלים של יצרנים אחרים וכן לייצא טלמטריה לכלי צד ג'."

על בסיס חוליות שרשרת אספקת היישום בנו בחברה ממשקי ניהול לNGINX ולBig-IP. מעליהם בנו ממשק אחוד שיספק לארגון תמונה מלאה על אספקת היישומים למשתמשים. "אם יש בעיה ביישום, אנחנו מספקים נראות לכל חלקי השרשרת על מנת לאתר את מקור הבעיה. צריך לזכור כי לרוב ארגונים מחולקים לסילואים. כלומר, יש אנשי פיתוח, DEVOPS, תפעול ואבטחת מידע. שרשרת היישום עוברת בין כולם, ובלי נראות של כלל תהליך האספקה קשה מאד לאתר ולהבין איפה הבעיה כאשר היישום לא עובד", אומרת ספראג.

כלכלת עננים

על מנת להבין את הכיוון העסקי של F5 יש להבין את כלכלת שוק אבטחת המידע, ובעיקר, את שוק אספקת היישומים הארגוניים. "ישנם כ700 מליוני יישומים עסקיים עם גידול שנתי של כ15 אחוזים", מסבירה ספראג. "מתוך אלו, כ-40 עד 60 מליון הם יישומים ארגוניים שרצים בתשתית מקומית. זה השוק אליו מכוונות כל שחקניות הענן הגדולות (אמזון, מיקרוסופט וגוגל) במטרה להעביר אותם לענן. מתוך מקבץ זה, כ13-15 מליוני יישומים רצים על גבי תשתיות הכוללות מוצרים של חברת F5."

 איך מצב זה משפיע על פיתוח המוצרים של F5? ובכן, העברת יישום ארגוני לענן הוא הליך מורכב בהיבט אבטחת מידע. חלק מהיישומים ישנים מאד, והארגון מעדיף לא לפתוח מחדש את הקוד, אלא למצוא דרך להעביר את היישום כמו שהוא לענן. לפחות את חלקו. "אותם יישומים ארגוניים שמשתמשים במוצרי F5 משתמשים בBig-IP. אם אנחנו מצליחים ליישם את הפונקציונאליות של ה-Big-IP בענן ציבורי, אזי הארגון יכול להעביר את החלקים בשרשרת שנמצאים תחת המוצר לענן בלי לפגוע בממד אבטחת המידע של היישום ובלי לפגוע בהפעלה שלו", אומרת ספראג.

זו גם הסיבה שF5 החליטה לעבור מגישת פיתוח של יישום מבוסס על חומרה ייעודית ליישום מבוסס על תוכנה שיכול לרוץ על כל חומרה (ועל כל ענן). לרוב, יצרני מוצרים בתחום אבטחת המידע בונים את המוצר בתפיסה שיווקית שתקשה על המשתמש להחליף את המוצר. "הבחירה שלנו להתמקד במוצרים מבוססי תוכנה מאפשרת ללקוח סביבת יישום אג'ילית - כלומר, הוא יכול להחליט איזה חלקים לממש מקומית בארגון ואילו חלקים להעביר לענן. הוא יכול לפרוס את שרשרת אספקת היישום על פני חומרות שונות, וספקי ענן שונים, מבלי לאבד את הפונקציונאליות של היישום ובלי לפגוע ברמת אבטחת המידע או השיהוי שלו", אומרת ספראג.

עבור ספקי הענן הגדולים, הפתרון של F5 הוא כלי שיווקי שיכול לעזור להם להעביר את היישומים הארגוניים שרצים היום מקומית - לענן. "זה כלי שמוריד התנגדות מצד הארגון לעבור לענן", אומרת ספראג. "המעבר הופך להיות יותר שקוף מבחינת הארגון כי יש לו Big-IP בענן ציבורי (BIG-IP Virtual Edition). גם NGINX מותאם לענן. בנוסף, הפתרונות האלו מאפשרים לארגון לעבוד במתווה ריבוי עננים אמיתי. יש ארגונים שרוצים לעשות שימוש במספר עננים, שוב, בגלל אותה חלוקה פנים ארגונית."

התקן קצה או אבטחת היישום? 

במהלך הראיון ניכר כי F5 שמה דגש על אבטחת חלקי הרשת והענן בשרשרת האספקה של היישום, אך נעדרת כל נגיעה בהתקן הקצה (End  Point). החלטה קצת תמוהה לאור המיקוד של כל כך הרבה חברות אבטחת מידע בשוק זה (EDR\XDR). ובכן, ספראג מסבירה כי הפילוסופיה של F5 שונה.

"אם יש לך נראות לכל שרשרת אספקת היישום, משלב כתיבת הקוד ועד הCDN, ואתה מספק לכל חוליה בדרך אמצעי אבטחת מידע ובקרה טובים, אז בסוף היישום שמגיע ללקוח בטוח", מסבירה ספראג. "אין לנו קליינט להגן על תחנת הקצה, אלא אנחנו משתמשים בפיסות קוד קטנות בהתקן הקצה רק כדי לספק טלמטריה חוזרת לממשק הניהול המרכזי במטרה לבקר את אספקת היישום למשתמש."

בצורה אחרת, ניתן לראות גישה זו כניסיון להקטין למינימום את כשלי הקוד ביישום המהווים את הבסיס למתקפות סייבר. חולשות יום-אפס או חולשות יום X הן בסופו של דבר כשלים בכתיבת קוד. אם שרשרת הערך של היישום מנוטרת מספיק טוב, יהיו פחות כאלו, והיישום יגיע למשתמש הקצה בצורה בטוחה. אין ספק כי מדובר בגישה מרעננת ביחס לגישה הרווחת בתעשייה המבוססת על התקן הקצה כאחת הרגליים.

הדור הבא של הWAF

בישראל מחזיקה F5 סניף הכולל כ280 עובדים בניהולו של אראל הפועל לצד מרכזים נוספים בארה"ב והודו. המרכז כולל אנשי פיתוח, שירותים ומכירות. "בהיבט מכירות, מרבית הלקוחות בישראל הם מתחום הפיננסים והביטחון וחלקם שוקלים מעבר לענן, אך יש רתיעה טבעית מכך בתוספת רצון להשתמש בריבוי עננים. כאן אנו נכנסים עם שרשרת האספקה של היישום המבוססת על תוכנה וכזו שאגנוסטית לחומרה".

במרכז הפיתוח הפועל במקביל למכירות מפתחים את הדור הבא של מוצר הWAF של החברה שיושק באמצע 2020. "מרבית הפעילות מכוונת לפיתוחים עתידיים של הWAF בתחומי זיהוי התנהגות והגנה מפני בוטים", אומר אראל. "אנחנו רוצים להגיע לאוטומציה של הWAF על בסיס זיהוי התנהגות ולמידה דינמית, כך שכל ארגון יוכל להוציא יישום מאובטח. יש גם רצון לאפשר WAF תחת NGINX."

אולי יעניין אותך גם