"רשתות דור 5 ידרשו תפיסת הגנה חדשה בסייבר"

"רשתות דור 5 ידרשו תפיסת הגנה חדשה בסייבר"

רונן שפירר - באדיבות חברת פורטינט

כניסת רשתות סלולר דור 5 למדינות ברחבי העולם, ובקרוב גם בישראל, מעלה תהיות לגבי היבטי אבטחת מידע. "הפגיעות של רשתות דור 4 נמוכה יחסית לדור חמישי. הסיבה לכך נעוצה בעיקר במעבר לשימוש בפרוטוקולים נפוצים כמו HTTP או API בליבת הרשת", מסביר רונן שפירר, מנהל בכיר לתחום שיווק פתרונות לאזור אירופה, אפריקה והמזרח התיכון בפורטינט. 

"אלו פרוטוקולים יותר ידועים, ולכן יותר 'קלים' לפריצה. הליבה הסלולרית בדורות קודמים יותר סגורה, ולכן לכאורה יותר מאובטחת. בדורות קודמים השירותים הניתנים על ידי ליבת המערכת מוגבלים בעיקר לרוחב פס. בגלל מבנה הרשת הקודם, ספקי הטלקו הגנו בעיקר על הליבה כגן סגור מפני האקרים. ההסתברות שמישהו יתקוף את הליבה יותר קטנה לעומת תקיפת המשתמש עצמו. " 

הסלולר עובר לענן

בשונה מרשתות קודמות, מסביר שפירר, כי רשת דור 5 מבוססת על ארכיטקטורת ליבה בענן, וירטואלית. וככזו, נגישה יותר לתוקפים. "בתצורה החדשה המפעיל מקרב את מרכיבי הליבה לשכבת הגישה כדי להנגיש שירותים חדשים.  "היום ספקי הטלקו שאומרים שהם בדור 5 זה רק ברמת הגישה, כאשר הליבה היא דור 4. יש שתי דרכים לעשות מיגרציה לדור 5. בונים את הרדיו והליבה לדור 5 מהתחלה או נשארים עם ליבת דור 4 ודור 5 בשכבת הגישה בלבד. הלקוחות יוכלו להשתמש במכשירי דור 4 או 5 ובשלב הבא תעשה מיגרציה לליבה דור 5", אומר שפירר. "למשל, רשת דור 5 פרטית (Network slicing) לא אפשרית על ליבת דור 4."  

פורטינט מתכוונת להכנס בכל השכבות של הרשת בין הרדיו לליבה. "בדור 5 הליבה וירטואלית במודל ענן. אתה בונה עננים בקצה לשירותים חדשים. אנחנו מספקים פתרונות ניהול (אורקסטרציה) של הרשת ליישם זאת. מרבית השירותים מתבססים על HTTP וAPI. הפתרונות צריכים לבדוק לדוגמא איך הAPI עונה לסכמה", אומר שפירר.  

"יש לנו גם מוצר לאבטחת קונטיינרים (קוברנטיס\דוקר). FortiWeb WAF, שהוא הפלטפורמה שעליה מבססים את האבטחה ל5G. היא נותנת בבסיס לצרכים אלו. היא יודעת לעבוד ברמת הקונטיינרים. אנחנו עובדים גם עם חברות צד ג' שמחלצות תעבורה לבדיקה."

שפירר טוען כי בעתיד נראה כאמור ארגונים גדולים שרוצים רשת סלולרית פרטית משלהם. "דור 5 מאפשרת לספק לתת לארגון רשת סלולארית רק שלו מקצה לקצה. חתיכה מהרשת הכללית. אלו פתרונות יקרים אמנם, אך נדרשים על ידי חלק מהעסקים. ארגון יכול לקבל יכולות דור חמישי עם תצורה ייעודית לצרכים שלו. יש בתי חרושת שרוצים רשת פרטית סלולרית. כזו ללא כבילה, עם רוחב פס ידוע, אבטחת מידע וSLA מובטח." 

איך עובדת תשתית SD-WAN? 

שוק נוסף שבו פועלת פורטינט הוא פתרונות SD-WAN. מדובר בטכנולוגיה שמטרתה אספקת שירותי ענן בצורה מנוהלת ופשוטה יותר לסניפי הארגון. "זו טכנולוגיה שבאה לפתור בעיות שנוצרו באספקת שירותי SAAS, IAAS ו-PAAS", מסביר שפירר. "עד היום, כולל, ארגון שיש לו מספר אתרים משתמש בכל אחד במספר קופסאות (CPE) כל אחת לתשתית תקשורת אחת, ועוד קופסא לכל שירות. באופן מסורתי התפתחה קישוריות מבוססת על הרבה קופסאות בכל סניף. 

"מגמה נוספת היא שימוש בתשתית MPLS יקרה. אם סניף רוצה להשתמש בשירות ענן , הוא יוצא דרך הMPLS לענן וחוזר דרכה לסניף. זאת, כאשר הוא יכול לעשות זאת תיאורטית על קו אינטרנט זול יותר. שירותי אינטרנט רגילים הפכו להיות רחבי פס, זולים ואמינים. טכנולוגיית SD-WAN מאפשרת לסניף להיפתר מחלק מהקופסאות בסניף לטובת קופסא אחת שתרכז לו את כל שכבת השירותים העיליים (overlay) כולל SLA לכל שירות."

איך עובדת תשתית SD-WAN? ובכן, בהפשטה, ישנו צד הסניף וצד הרשת. בצד הסניף יש שתי שכבות כאמור. עילית של השירותים ותחתית של תשתיות התקשורת השונות (VDSL, תמסורת, GPON וכו').  את השירותים בשכבה העליונה מספקת קופסא אחת (במקום אחת לכל שירות). הקופסא יכולה להיות של ספק מסוים (כמו פורטינט או אחר) , או כזו אוניברסלית, ללא מותג. ההבדל טמון בביצועים. לרוב, קופסא אוניברסלית תהיה זולה אך חלשה יותר, בעוד קופסא ממותגת תהיה חזקה ויקרה יותר. החוזק (ביצועים טובים יותר) חשוב לכמות השירותים שניתן להריץ על הקופסא ולאופי השירות. כאלו הדורשים יותר משאבי עיבוד למשל, יתקשו לספק SLA על קופסא אוניברסלית אם יש עוד שירותים לצידם. 

נקודה נוספת היא התלות בין שכבת השירותים העילית לשכבת התשתית התחתית. ככל שיש בסניף יותר תשתיות תקשורת מסוגים שונים או ספקי טלקו שונים, כך היתירות של אספקת השירותים עולה. כמו גם, היכולת של קופסאת השירותים לספק ביצועים טובים יותר. אם יש יותר שירותים בסניף, כך נדרשת שכבת תשתיות תקשורת רובוסטית יותר. 

בצד של הרשת נדרשת קופסאת ניהול (קונטרולר) שמטרתה לשלוט בכל קופסאות השירותים בסניפים. בקופסאת הניהול מגדירים את מדיניות השירותים לכל סניף והיא מיישמת אותה בצורה אוטומטית. היתרון הגדול ברשת SD-WAN טמון באוטומציה של ניהול השירותים ברשת. ניתן בקליק להוסיף או להסיר שירות בסניף, פעולה שבעבר דרשה התקנת תשתית פיזית בסניף. בצורה כזו חברת הטלקו יכולה לספק שירותים עסקיים בקליק, או הארגון עצמו יכול לנהל בעצמו רשת תקשורת עצמאית.

גן סגור? 

בהיבט העסקי ראוי לציין כי טכנולוגיית הSD-WAN יוצרת במקרים מסוימים תלות של ספק התקשורת או הארגון בספק הקופסאות. מדוע? מכיוון שהקופסא בסניף צריכה לדעת לדבר עם הקונטרולר. אם מדובר באותו יצרן, אין בעיה. אם מדובר באחד הצדדים בקופסא ללא מותג, ישנו צורך באינטגרציה עם יצרנים שונים. אם איו כזו, לא ניתן להשתמש בקופסא ללא מותג, ואז הצרכן כבול לספק הקופסאות. 

לפי שפירר פורטינט פועלת בתחום התקשורת - הן בדור חמישי והן בתחום הSD-WAN - בעולם וגם בישראל. לפיו, בשני המקרים, לקוחות יצטרכו הגנה בסייבר, כזו שיכולה לספק להם שקיפות לתווך המלא ברשת. "בישראל יש פחות אימוץ של ענן ולכן הSD-WAN עדיין לא תפס. גם מבחינת מגוון תשתיות תקשורת יש פחות אפשרויות במחירים זולים", מסביר שפירר. "עם זאת, אנחנו מוכנים. כיום פורטינט בין החברות היחידות שמאפשרת להוסיף שירותי ערך מוסף בלחיצת כפתור. אתה מסמן V בממשק המשתמש ויש לך FW. אתה יכול לנהל מאותו קונטרולר את הWIFI,אבטחה והIOT בסניפים. אנחנו מוסיפים עוד יכולות עם הזמן. חלקן ידרשו שדרוג גרסת תוכנה. בכל מקרה לא מחליפים קופסא."