דעה | עבודה היברידית מעודדת מעבר לאבטחה ממוקדת זהות
חגית גואל, מנהלת מכירות אזורית בחברת F5, טוענת כי גישה ממוקדת זהות עדיפה על פני טכנולוגיות מסורתיות מבוססות IP
הגנה לישראל
| 28/12/2021
צילום: עומר שטיין
התפרצות מגפת הקורונה הייתה אחד מהאירועים המשבשים ביותר במקום העבודה במאה השנים האחרונות. השיבוש החל כאשר ארגונים נאלצו להתמודד עם ניהול צוותי עבודה מרחוק, וגילו שזה לא רק אפשרי, אלא יכול אפילו להעלות את הפרודוקטיביות.
בימים אלו עולם העבודה משתבש פעם נוספת, כאשר ארגונים מאמצים את מודל העבודה ההיברידי, הכולל שילוב של עבודה מהבית ומהמשרד. למעשה, עבודה היברידית הופכת אט אט לברירת המחדל החדשה, דבר שמציב אתגרים חדשים ובעלי השפעה עמוקה על עתידן של אסטרטגיות אבטחת הגישה בארגון.
גישה מבוססת IP
טכנולוגיות מסורתיות מבוססות IP מסתמכות במידה רבה על סט קבוע של כתובות וטווחי רשת. מדיניות אבטחה יכולה למנוע או לאפשר גישה למשאבי רשת ואפליקציות בהתבסס על ה-IP. לצורך העניין, רשת ה-VPN מאפשרת להקצות לעובד ביעילות כתובת IP "מקומית", שהיא חלק ממגוון כתובות ה-IP המאפשר "להסתובב" בחופשיות ברחבי הרשת הארגונית.
נוכל להמשיך להשתמש בשיטה זאת, אבל לא מומלץ לעשות זאת עבור רוב כוח העבודה. אמנם, תמיד יהיו מפעילים ומהנדסים שזקוקים לסוג הגישה שמספקת רשת ה-VPN, אבל אנחנו לא באמת צריכים VPN כדי לגלוש ב-Confluence או SharePoint או כדי להציק לארכיטקטים ב-Slack. אם יישומים משרתים באופן מלא את דרישות התקשורת שלנו ומאפשרים לנו להיות פרודוקטיביים, אנחנו לא באמת זקוקים לגישה לרשת הארגונית.
הגבלת הגישה היא כנראה השינוי הטוב ביותר באסטרטגיית אבטחת המידע שנוכל לבצע כרגע, בהתחשב בהתגברות אירועי הסייבר. מודל עבודה היברידי עשוי לאפשר לתוכנות זדוניות להיכנס לארגון דרך ה-VPN ואז, הארגון ייכנס לצרות. זו הסיבה שפתרון VPN טוב כולל סריקות ובדיקות תקינות. אבל לא כל פתרונות ה-VPN הם פתרונות טובים, וארגונים מסוימים אינם דורשים סריקות, גם אם פתרון ה-VPN יכול לספק זאת.
אין משמעות הדבר שמובטח לנו גן של שושנים גם במקרה פתרונות גישה לאפליקציות. הסיבה נעוצה בכך שרבים מהם מבוססים על IP ובכך שבארגון יש הרבה כתובות IP לנהל. למעשה, לפי הסקר השנתי NetDevOps Annual Survey, מספר התקני הרשת שמהנדס תקשורת ואבטחת מידע בודד חייב לנהל הוא אדיר.
אם לא די בכך, עליו לנהל גם את כתובות ה-IP האישיות, הפרטיות והביתיות של כל העובדים מהבית. התוצאה היא מודל בלתי נסבל שמכריע את המפעילים וצוותי האבטחה, ובסופו של דבר את השירותים והמערכות שחייבים לאכוף את המדיניות.
זהות היא הדרך
אתגרי האבטחה המיוחסים לעבודה היברידית עולים בקנה אחד עם אלו הנובעים מהקצב המהיר של הדיגיטציה. אתגרים אלו יניעו את המודלים של אבטחת המידע לעבר גישה ממוקדת זהות. גישה זו מתייחסת, לא רק למשתמשים אנושיים, אלא גם למכונות הכלולות בעומסי עבודה, מכשירים וסקריפטים. בסופו של דבר, עומס עבודה א' הוא עדיין עומס עבודה א', לא משנה באיזה IP הוא משתמש.
אמנם IP עשוי להיות חלק ממדיניות אבטחה ממוקדת זהות, אך הוא אינו יכול להיות הגורם העיקרי או הקובע למתן גישה למשאב. במקום זאת, הוא הופך לתכונה שעוזרת לקבוע איזו רמה של אימות זהות נדרש.
אם העובד נמצא ב-VPN או ברשת הארגונית, אולי האישורים שלו מספיקים – אבל אם הוא לא בשתי האפשרויות הללו, אזי ייתכן שיש לדרוש אישורים וגורם זיהוי נוסף. בכל מקרה, אין להשתמש ב-IP כגורם ההזדהות היחיד. יתר על כן, עלינו להרחיב את ההבנה שלנו לגבי זהות שהיא מעבר לזהות אנושית בעומסי עבודה, יישומים ומכשירים עליהם אנו מסתמכים יותר ויותר.
עדיין, קונסולות ניהול רבות מאובטחות בעיקר על ידי בקרות מבוססות IP, שבסופו של דבר מושבתות מכיוון שהן מפריעות לגישה מרחוק. מערכת חזקה יותר ומבוססת זהות של בקרת גישה תספק הגנה מפני חטיפה ושימוש לא מורשה, ללא קשר למיקום המקור. בנוסף, אבטחה חזקה ממוקדת זהות תספק הגנה מפני מערכות שהודבקו, המנסות להדביק, לחטוף או לנצל משאבים אחרים.
התקדמנו לאט לכיוון אבטחה מבוססת זהות במשך זמן רב. עם זאת, הגידול המוגבר באוטומציה ודיגיטציה, בשילוב מודל היברידי של עבודה, יאיצו את המגמה הזו עד שנוותר סופית על כתובות IP כשיטה העיקרית לבקרת גישה. אבטחה ממוקדת זהות היא הדרך.
מאת: חגית גואל, מנהלת מכירות אזורית בחברת F5
חגית גואל, מנהלת מכירות אזורית בחברת F5, טוענת כי גישה ממוקדת זהות עדיפה על פני טכנולוגיות מסורתיות מבוססות IP
צילום: עומר שטיין
התפרצות מגפת הקורונה הייתה אחד מהאירועים המשבשים ביותר במקום העבודה במאה השנים האחרונות. השיבוש החל כאשר ארגונים נאלצו להתמודד עם ניהול צוותי עבודה מרחוק, וגילו שזה לא רק אפשרי, אלא יכול אפילו להעלות את הפרודוקטיביות.
בימים אלו עולם העבודה משתבש פעם נוספת, כאשר ארגונים מאמצים את מודל העבודה ההיברידי, הכולל שילוב של עבודה מהבית ומהמשרד. למעשה, עבודה היברידית הופכת אט אט לברירת המחדל החדשה, דבר שמציב אתגרים חדשים ובעלי השפעה עמוקה על עתידן של אסטרטגיות אבטחת הגישה בארגון.
גישה מבוססת IP
טכנולוגיות מסורתיות מבוססות IP מסתמכות במידה רבה על סט קבוע של כתובות וטווחי רשת. מדיניות אבטחה יכולה למנוע או לאפשר גישה למשאבי רשת ואפליקציות בהתבסס על ה-IP. לצורך העניין, רשת ה-VPN מאפשרת להקצות לעובד ביעילות כתובת IP "מקומית", שהיא חלק ממגוון כתובות ה-IP המאפשר "להסתובב" בחופשיות ברחבי הרשת הארגונית.
נוכל להמשיך להשתמש בשיטה זאת, אבל לא מומלץ לעשות זאת עבור רוב כוח העבודה. אמנם, תמיד יהיו מפעילים ומהנדסים שזקוקים לסוג הגישה שמספקת רשת ה-VPN, אבל אנחנו לא באמת צריכים VPN כדי לגלוש ב-Confluence או SharePoint או כדי להציק לארכיטקטים ב-Slack. אם יישומים משרתים באופן מלא את דרישות התקשורת שלנו ומאפשרים לנו להיות פרודוקטיביים, אנחנו לא באמת זקוקים לגישה לרשת הארגונית.
הגבלת הגישה היא כנראה השינוי הטוב ביותר באסטרטגיית אבטחת המידע שנוכל לבצע כרגע, בהתחשב בהתגברות אירועי הסייבר. מודל עבודה היברידי עשוי לאפשר לתוכנות זדוניות להיכנס לארגון דרך ה-VPN ואז, הארגון ייכנס לצרות. זו הסיבה שפתרון VPN טוב כולל סריקות ובדיקות תקינות. אבל לא כל פתרונות ה-VPN הם פתרונות טובים, וארגונים מסוימים אינם דורשים סריקות, גם אם פתרון ה-VPN יכול לספק זאת.
אין משמעות הדבר שמובטח לנו גן של שושנים גם במקרה פתרונות גישה לאפליקציות. הסיבה נעוצה בכך שרבים מהם מבוססים על IP ובכך שבארגון יש הרבה כתובות IP לנהל. למעשה, לפי הסקר השנתי NetDevOps Annual Survey, מספר התקני הרשת שמהנדס תקשורת ואבטחת מידע בודד חייב לנהל הוא אדיר.
אם לא די בכך, עליו לנהל גם את כתובות ה-IP האישיות, הפרטיות והביתיות של כל העובדים מהבית. התוצאה היא מודל בלתי נסבל שמכריע את המפעילים וצוותי האבטחה, ובסופו של דבר את השירותים והמערכות שחייבים לאכוף את המדיניות.
זהות היא הדרך
אתגרי האבטחה המיוחסים לעבודה היברידית עולים בקנה אחד עם אלו הנובעים מהקצב המהיר של הדיגיטציה. אתגרים אלו יניעו את המודלים של אבטחת המידע לעבר גישה ממוקדת זהות. גישה זו מתייחסת, לא רק למשתמשים אנושיים, אלא גם למכונות הכלולות בעומסי עבודה, מכשירים וסקריפטים. בסופו של דבר, עומס עבודה א' הוא עדיין עומס עבודה א', לא משנה באיזה IP הוא משתמש.
אמנם IP עשוי להיות חלק ממדיניות אבטחה ממוקדת זהות, אך הוא אינו יכול להיות הגורם העיקרי או הקובע למתן גישה למשאב. במקום זאת, הוא הופך לתכונה שעוזרת לקבוע איזו רמה של אימות זהות נדרש.
אם העובד נמצא ב-VPN או ברשת הארגונית, אולי האישורים שלו מספיקים – אבל אם הוא לא בשתי האפשרויות הללו, אזי ייתכן שיש לדרוש אישורים וגורם זיהוי נוסף. בכל מקרה, אין להשתמש ב-IP כגורם ההזדהות היחיד. יתר על כן, עלינו להרחיב את ההבנה שלנו לגבי זהות שהיא מעבר לזהות אנושית בעומסי עבודה, יישומים ומכשירים עליהם אנו מסתמכים יותר ויותר.
עדיין, קונסולות ניהול רבות מאובטחות בעיקר על ידי בקרות מבוססות IP, שבסופו של דבר מושבתות מכיוון שהן מפריעות לגישה מרחוק. מערכת חזקה יותר ומבוססת זהות של בקרת גישה תספק הגנה מפני חטיפה ושימוש לא מורשה, ללא קשר למיקום המקור. בנוסף, אבטחה חזקה ממוקדת זהות תספק הגנה מפני מערכות שהודבקו, המנסות להדביק, לחטוף או לנצל משאבים אחרים.
התקדמנו לאט לכיוון אבטחה מבוססת זהות במשך זמן רב. עם זאת, הגידול המוגבר באוטומציה ודיגיטציה, בשילוב מודל היברידי של עבודה, יאיצו את המגמה הזו עד שנוותר סופית על כתובות IP כשיטה העיקרית לבקרת גישה. אבטחה ממוקדת זהות היא הדרך.
מאת: חגית גואל, מנהלת מכירות אזורית בחברת F5
