הרשת כ-Firewall מקצה לקצה: תפיסת הגנה מודרנית לרשתות מאובטחות

כתב: אבירם זרחיה, יועץ טכנולוגי להגנה בסייבר בג'וניפר נטוורקס (Juniper Networks)

על ארגונים לייצר חזון הגנה טכנולוגי-תשתיתי, ולעבור מאבטחת רשתות התקשורת לרשתות מאובטחות, תפיסה שמובילה ג'וניפר נטוורקס תחת השם "רשתות מאובטחות מוגדרות תוכנה" (SDSN).

זהו פתרון אבטחה הוליסיטי המורכב מאבני הבניין מתגים, נתבים, רכיבי אבטחה ייעודיים, ושירות ענן, המספקים במשולב מעטפת הגנה המותאמת למגמות ההתפתחות של ארגונים מודרניים.

בכדי להתמודד כראוי עם אתגרי אבטחת הרשת המודרנית, נדרשים המנמ"ר ומנהל אבטחת המידע בארגון לבחור פתרונות תחת אילוצי זמן ותקציב, מבלי לפגוע ברמת האבטחה, וזאת בסביבת עבודה דינאמית ולמול מרחב איומים גדל והולך ורכיבי קישוריות מתפתחים (BYOD, אינטרנט של הדברים, ועוד).

במחקר שביצעה ג'וניפר נטוורקס בשיתוף עם RAND, התברר כי כתוצאה ממורכבות האתגר, חברות רבות מקצות משאבים גדולים לרכישת מוצרי אבטחה בעלי ערך נמוך לאורך זמן, מבלי להפוך את התשתית שלהם ליותר מאובטחת.

ג'וניפר מציעה ללקוחות ארגוניים פתרון אבטחה הוליסיטי, המשלב אבני בניין באתר הלקוח (מתגים, נתבים, FW מהדור הבא, ושירות ענן), המספקים במשולב מעטפת הגנה המותאמת למגמות ההתפתחות של ארגוני ה-IT.

לעומת תפיסות עבר בהם נהוג היה לייצר תחילה שכבת תקשורת ואז לממש מעליה אבטחה ב"תפיסת שכבות", בג'וניפר רואים את האבטחה כחלק אינטגרלי במימוש החזון הטכנולוגי-רישתי בארגון, הן ברמת התכנון והן ברמת המימוש.

מאבטחת רשתות לרשתות מאובטחות

עולם ה-IT כולו נמצא בתהליך מעבר לטכנולוגיות מוטות אוטומציה ופיתוח-תפעול דינאמי (DevOps), תחת מעטפת "רישות מוגדר תוכנה" (SDN), ובתהליך זה נדרש דגש מיוחד על אבטחת מידע והגנת הסייבר.

פילוסופיית הפיתוח של ג'וניפר לתחום מבוססת על התובנה כי צריך להשקיע בכלים תשתיתיים לאבטחה לאורך זמן תוך מיצוי היתרונות של טכנולוגיות ענן ווירטואליזציה, לתפעל את הרשת כולה כמרחב ניהול ואכיפה אחוד (כשכל רכיב ברשת מהווה נקודת אכיפה), ולשלב הזרקת מודיעין איומים בזמן אמת ממקורות נוספים.

בתפיסה זו, נעשה שימוש רחב ברכיבי אבטחה מהענן (Sandbox, בינה מלאכותית, ועוד) הממנפים את יתרונות הענן במשאבי עיבוד ואיתור איומים מהיר יותר המתבסס על שיתוף מידע סייבר. גישה זו אף זכתה להכרה של גרטנר (Gartner), המציינת כי פתרונות אבטחת התשתית של ג'וניפר ערוכים היטב לעידן ה-SDN, ומוטמעים בקרב ארגונים רבים ברמת חוות השרתים.

קו מוצרי ה-NGFW הווירטואלי של ג'וניפר מהווה שכבת אבטחה חזקה ופרטנית עבור תעבורה בין שרתים וירטואליים בעומסי עבודה גדולים, המותקנת ומוטמעת במהירות התואמת את הזמן הדרוש להשקת שירות או מופע חדש בענן הפרטי או הציבורי.

מימוש פתרון רישתי לניהול מדיניות אבטחה הכולל שילוב יצרנים שונים, וחסימה אוטומטית בכל רבדי הרשת לאחר זיהוי מתקפה

שלושת עקרונות המפתח: ביצועים, מודיעין, וגמישות

על מנת להגדיל את הגמישות בהשקת שירותים חדשים, לממש מעגלי אבטחה הפועלים על נפחי תעבורה גדולים, ולאפשר תפקוד שירותים תחת מתקפה בפועל, נדרש מימוש הכולל שלושה עקרונות מפתח.

ראשית, נדרשים מנועי אבטחת רשת מהירים שלא יאטו את תנועת המידע ולא ישפיעו לרעה על איכות השירות. ג'וניפר הייתה החברה הראשונה שהשיקה (כבר לפני מספר שנים) מוצרי אבטחה עם כרטיסי 100GbE וקצב תעבורה של 2 טרה-ביט לשניה בהשהיה נמוכה במיוחד ורמת אמינות של שש תשיעיות.

שירותי האבטחה הנתמכים במוצרים כוללים זיהוי נוזקות לא ידועות בענן, בקרת גישה על פי זהות המשתמשים והאפליקציות (NG-FW), רכיב מניעת התקפות זדוניות (IPS), יכולות סינון אתרים מתקדמות, ויכולות רבות נוספות.

שנית, ניתן לקצר את זמן התגובה לאיום ומתקפה. לאחר הופעת קוד זדוני ברשתות חיצוניות לראשונה וזיהוי מאפייניו על ידי מנגנוני אבטחה של חברות שונות, נדרש להביא את המידע הזה במהירות לכל נקודות האכיפה הרשתיות, כדי לחסן את הארגון מפני המתקפה האפשרית.

מערכת הבקרה של ג'וניפר מאפשרת עדכונים כמעט בזמן אמת של Threat Intelligence, הן משירות הענן SkyATP, והן ממקורות מודיעין אחרים שנמצאים בבעלות הלקוח ויכולים לעדכן את מערך אמצעי האכיפה הפרוס בארגון באופן אוטומטי, אודות לארכיטקטורה וממשקי אפליקציה API פתוחים.

שירות איסוף המודיעין ואיתור נוזקות בענן SkyATP, מאפשר גם לנתק ערוצי פיקוד ושליטה (C&C) של תוכנות זדוניות, לבודד מערכות נגועות, ולסנן תעבורה ממדינות מסוימות.

כאמור, הפתרון תומך בנוסף גם בשימוש במקורות מודיעין של יצרנים או גופים אחרים ובכך מאפשר לארגון לשלב את טכנולוגיית זיהוי האיום המתאימה לו ביותר, במקום להיות נעול בפתרון קנייני המחייב שימוש אך ורק במידע המודיעיני המוצע על ידי יצרן אבטחה מסוים.

לבסוף, נדרשים מהירות וגמישות בביצוע שינויים. לכל ארגון לוקח זמן להגדיל תשתיות, לשנות הגדרות, או להשיק שירות חדש, ומימוש האבטחה כמוצר וירטואלי NFV מקל על היכולת לבצע שינויים במהירות.

מוצר ה-NGFW הווירטואלי של ג'וניפר מספק ביצועים ושרידות מעולים, בתמיכה על פני מגוון טכנולוגיות וירטואליזציה (VMware ,Microsoft ,OpenStack ,Docker), וענן ציבורי (Microsoft ,Amazon).

כלל מוצרי ג'וניפר הפיזיים והווירטואלים, כוללים יכולות אוטומציה נרחבות המאפשרות חסכון משמעותי בזמן ושימוש בכלים סטנדרטיים ותשתיות SDN.

ביצוע משימה שנמשך שעות רבות (ולעיתים אף ימים ושבועות) יכול להסתיים בדקות, בין אם מדובר בשינוי מתוכנן, בבנייה של שירות חדש, או בתגובה לאירוע אבטחתי או אחר. כמו כן, הקטנת הצורך בהתערבות אנושית, מקטינה את עומס העבודה על צוותי ה-IT הארגוניים ואת עלויות התפעול שלהם.

שלושת עקרונות המפתח שהוזכרו, בדגש על אלמנט האוטומציה, הם אבן דרך הכרחית במסע לעבר חזון העתיד של ג'וניפר הכולל רשתות אוטונומיות עצמאיות (Self-Driving Networks) שיוכלו להתאים את עצמן לצרכי הארגון בזמן אמת, לפקח ולנהל את עצמן, לזהות ולתקן תקלות, לנתח אירועי סייבר עצמאית ולהגן מפניהם.