תגית: Cyber

Spoiler! Dune, Ogres, Onions and Cyber-Sec

זהירות ספוילרים!

לפני שבועיים הלכתי לראות סרט בקולנוע, לראשונה מזה שנתיים.

איזו אכזבה! הסאונד היה חזק מדי, איכות ההקרנה היתה נמוכה מדי, המזגן לא עבד ובגלל שהגענו ברגע האחרון אפילו לא הספקנו לקנות פופקורן ושתיה אבל כל זה היה כלום לעומת השוק, כן השוק! שחטפנו כשרק עם תחילת הסרט גילינו שמדובר בכלל בסרט ראשון מתוך סדרה!

מנחשים כבר איזה סרט זה היה?

ובכן, ראינו את Dune: part one ולא היה לנו מושג שזה רק part one!

ולהוסיף חטא על פשע, אחרי החוויה הלא מוצלחת הזו, גם הבר באירי בסינמה סיטי כבר היה סגור עד שהסרט נגמר ככה שלא היה שום מקום לשתות בו את היגון. נראה לי שיקחו לפחות עוד שנתיים עד שאחזור שוב לקולנוע.

בכל מקרה, אני לא מומחה אבטחת מידע גדול, בניגוד לאישתי האהובה שהתארחה כאן בבלוג בעבר, אבל אני חושב שהסרט חולית מספק דימוי מושלם לעולם אבטחת המידע או יותר נכון, לכשל מרכזי בתפיסת אבטחת מידע ארגונית.

כאן מתחיל הספויילר, זהירות!!!

אחרי שהכוכב אראקיס ננטש על ידי בית הארקונן המרושעים, מזמין קיסר הגלקסיה את בית אטראידיס האצילי והנבון לשלוט בכוכב בצדק ובהגינות, לשמור על האוכלוסיה המקומית תוך שימור אספקת ה Spice העולמית. אבל! כך אנחנו מגלים, זוהי רק מזימה משותפת של הקיסר ובית הארקונן לחסל אחת ולתמיד את בית אטראידיס והם עושים את זה על ידי סחיטה באיומים של הרופא, ד"ר יואה, שיאפשר לכוחות הרשע לפלוש חזרה לאראקיס ולתקוף במפתיע את כוחות אטראידיס.

ובכן, למה בכלל לגורם יחיד בבית אטראידיס יש מספיק כוח כדי להרוג את המלך, לכבות את מערכת ההתראה ואת שדה הכוח המגן על הכוכב? אם כבר לגורם יחיד יש כל כך הרבה כוח, איך זה הרופא? למה לרופא יש גישה למערכות האלו?

ואם כבר יש גורם יחיד שיכול לכבות את כל מערכות ההגנה שלנו, נראה היה שלאטראידיס אין כל תוכנית סדורה להתמודדות עם מקרה כשל כה חמור, אנשים רצים עם חרבות שלופות בלילה והקצינים בראש הכוחות במקום להקים חמל ולדאוג לחילוץ האח"מים זו לא תוכנית הגנה, זה ברדקיה אחת גדולה!

ובכן, הגנה, אבטחה פיזית כמו אבטחת מידע, עושים בשכבות, מודיעין, הרתעה, מניעה, התראה, כוח תגובה ראשונה, כוח תגובה עיקרי, כוח תגבור, עומק ועתודה, מקרים ותגובות, תרגולים, שכבות, כמו בצל.

תמיד שווה להזכיר כמובן שה Snapshots שלנו הם Immutable, בלתי ניתנים לשינוי, אין דרך לשנות את תוכנו של סנפשוט מרגע שנלקח ואין כל דרך להשפיע עליו מתוך ה File System, ואם רוצים, אפשר להקשיח אותם עוד יותר עם SnapLock שיכול לנעול קבצים או בתנאים מסויימים סנפשוטים גם מפני מחיקה על ידי מנהל המערכת או נכון יותר על ידי מי שגנב את הרשאות מנהל המערכת.

לפני שבועיים ערכנו את אירוע ה Insight  השנתי שלנו, במתכונת on-line וכולי תקווה שבשנה הבאה נחזור למתכונת הרגילה. במסגרת הכנס חשפנו יכולת חדשה ומעניינת בעולם אבטחת המידע וספציפית הגנה מפני נוזקות הצפנה ובכך הוספנו שכבה חשובה לבצל.

נוזקות הצפנה רבות משנות את סיומות הקבצים לפני הצפנת תוכן הקבצים. מנגנון ה F-Policy  המובנה במערכות שלנו מאפשר באופן אוטומטי ומיידי למנוע יצירה של סיומות קבצים מסוימות במערכת ועל ידי כך לעצור מתקפות רבות בתחילת התרחשותן.

אנחנו יודעים לנטר בזמן אמת שינויים בגודל הSnapShot במערכות (גידול) ושינויים ביעילות טכנולוגיות חסכון הנפח שלנו (קיטון) ולהתריע כי שינויים אלו בדרך כלל מצביעים על תהליך פעיל של הצפנת מידע בארגון.

שירות ה CloudSecure שלנו מסתכל על התנהגות משתמשים ויודע לקשר בין משתמש, המידע שלו וקובצת המשתמשים בארגון אליה הוא שייך ולהצביע בזמן אמת על שינוי בגישה למידע, עליה בכמות קריאות קבצים שאולי מצביעה על דלף מידע או עליה בכמות שינויי קבצים שאולי מצביעה על הצפנת מידע.

הנדבך החדש שעליו הכרזנו בסוף השבוע מתבסס על יכולת מובנית במערכת לנתח את מבנה המידע עצמו. חשוב להגיד שאנחנו לא מסתכלים על תוכן המידע אלא רק על המבנה שלו ויודעים להצביע בזמן אמת על שינויים במבנה המידע. הכלי, שנקרא כרגע בשם הכי פשוט והכי ברור ONTAP Onbox Anti-Ransom לומד את מבנה המידע במערכת במשך מינימום 7 ימים אבל אנחנו ממליצים על 30 ימים ולאחר מכן הכלי יודע לזהות בזמן אמת שינוי במבנה המידע, להתריע על שינויים אלו ולבצע באופן אוטומטי פעולות יזומות להגנה על המידע כגון לקיחת סנפשוטים להגן על המידע המותקף.

אם נחזור לדימוי ההגנה בשכבות, סיפרתי לכם כאן על כלים מובנים בתוך המערכת ושירותים חיצוניים המאפשרים ביחד להתמודד עם נוזקות כופר ברמת סיומת הקובץ, ברמת מבנה ה File System והשירותים שלו, ברמת התנהגות המשתמשים וברמת מבנה המידע עצמו.

למי שרוצה להעמיק את הקריאה, יש לנו סדרה של פוסטים בנושא וגם כמובן Technical Report רלוונטיים, אחד ספציפית על התמודדות עם נוזקות כופר(TR-4572) ואחד על הקשחה כללית של מערכות   (TR-4569).

תשמרו על עצמכם ועל הארגונים שלכם, בתקווה ובשנה הבאה נוכל כולנו לנסוע ביחד לברלין\ברצלונה\וגאס לכנס אינסייט כמו שצריך   (אגב, הבנתם למה שרק?)

שלכם כמו תמיד,

ניר מליק

ברווזון סייבר סייבר סייבר

יש לי חבר שעובד כמוני בעולם המכירות של מערכות אחסון אבל כבר כמה זמן הוא אומר לי שהשוק שלנו די משעמם, אז במיוחד לכבודו, הפוסט הנוכחי מתמקד דווקא באבטחת מידע!

ברווזון סייבר

ביום ראשון האחרון, חבר שלנו, יול, כתב שהצליח בפעם הראשונה לבנות בעצמו "ברווזון גומי" וזה עלה לו רק 5$ במקום 50$ שהיה עולה לו לרכוש ברווזון אחד מקורי.

אז לא היתה לי ברירה אלא ללכת לברר מה זה בכלל "ברווזון גומי" ולמה שאיש אבטחת מידע רציני כמו יול ירצה לבנות אחד.

ובכן, ברווזון גומי, או בשמו הנפוץ Rubber Ducky, הוא כלי תקיפה שמתחזה פעמיים. מבחינה חזותית, חיצונית, מדובר בכלי שנראה כמו דיסק-און-קי פשוט. מבחינה לוגית, פנימית, ברגע שהכלי מחובר למחשב, הוא מתחזה למקלדת. ההתחזות הכפולה הזו מנצלת תמימות כפולה, הראשונה של המשתמש התמים שסתם מחבר כזה התקן USB למחשב שלו והשנייה של מערכת ההפעלה של המחשב שבדרך כלל מאפשרת חיבור של התקני קלט מסוג HID או Human Interface Device כמו מקלדות.

מרגע שהמשתמש התמים שלנו חיבר את ההתקן אל המחשב והמחשב זיהה את ההתקן שלנו כמקלדת ואיפשר את החיבור, ההתקן שלנו יריץ את הקוד שהוגדר בתוכו (Payload) ויאפשר לנו לבצע על המחשב סט פעולות מוגדר מראש. למשתמש הפשוט, סט הפעולות הזה יכול אולי להראות מאד מוגבל אבל אם נזכור שבאמצעות כמה קיצורי דרך וכמה פקודות בסיסיות אפשר בעצם להריץ כל פקודה וכל תוכנה על המחשב, הרי שסט הפעולות הזה כמעט בלתי מוגבל. תעיפו מבט בעמוד הזה בגיטהב ותראו כמה רעיונות לשימוש בכלי הזה, חלק נחמדים ותמימים כמו היפוך תצוגת המסך, סתם כהתראה בפני המשתמש שעשה מעשה טיפשי או הצגת תזכורת למשתמש לנעול את המחשב שלו.

הפער בין IT ל OT

חבר שלי, עילי, מונה לא מזמן לסמנכ"ל המכירות העולמי של SCADAfence ואם המילה SCADA מוכרת לכם, זה או כי אתם אנשי קוי יצור או כי אתם חנונים שזוכרים את המתקפה על הכור האיראני באמצעות כלי התקיפה (הישראלי לכאורה) סטאקסנט.

בעבר, קווי היצור לא היו קשורים לרשתות המחשוב, המכונות היו מכונות פשוטות שתוכננו לבצע מספר פעולות שחוזרות על עצמן וזהו. לאחר מכן, על מנת לשפר את איכות הייצור ואת אמינות המכונות נוספו לקוי היצור רגשים ובקרים אך גם אלו היו  בעיקרם בקרים ורגשים מכאניים. היום, קווי היצור הפכו קווי ייצור ממוחשבים לחלוטין ולכן יש צורך להגן עליהם בשני הכיוונים, בשני הווקטורים. מחד, אנחנו רוצים להגן על רשת הייצור עצמה, למנוע מצב שבו תוקף משבש לנו את הייצור כמו שלכאורה קרה בנתנז כשהווירוס שינה את מהירות סיבוב הסרכזות עד כדי כך שהן הוצאו מכלל פעולה. מאידך, אנחנו רוצים למנוע מצב בו התקני הקצה שלנו הופכים בעצמם לכלי תקיפה או שכלי תקיפה מתחזה להיות התקן קצה שלנו.

כאן נכנסת לפעולה SCADAfence, הכלים של SCADAfence מנטרים את הרשת באופן קבוע, ממפים ומזהים את כל התקנה הרשת הייצורית באופן אוטומטי ויודעים לנהל סט חוקים, להגדיר מה נורמלי ברשת ולהתריע על כל אנומליה. במפעלים גדולים אנחנו מדברים על מאות ואלפי התקנים בכמה רשתות וכמה מיקומים פיזיים, הכלים האלו פותרים אתגר מאד מורכב ויכולים לסייע בסגירת הפרצה בין הIT וה OT.

הגנה על שרשרת האספקה

אנשים ומחשבים סיפרו לנו בדיוק לפני שנה שמערך הסייבר הלאומי השיק מערכת להגנה על שרשרת האספקה במשק. לא מזמן נתקלתי בפתרון של Vdoo הישראלית ונדמה לי שיש קשר בין הדברים.  אם SCADAfence מגנה על היצרן, הרי שהפתרון של Vdoo מגן על המשך השרשרת. יצרן שקונה ומטמיע את תוך המוצר שלו מוצר Embedded של מישהו אחר, יכול באמצעות הפתרון של Vdoo לקבל מעטפת הגנה ולהבטיח לעצמו וללקוחות הקצה שלו שהמוצר המוטמע מוגן.

Vdoo מספקת כמה מוצרים אבל מוצר אחד מרכזי שלה נקרא Vision שמבצע באופן אוטומטי סוג של Code review למוצר ה Embedded ויודע לספק המלצות הקשחה והגנה עבורו. ERA הוא מוצר ההגנה המתלבש על מוצר הEmbedded ובהתאם להמלצות Vision מותאם באופן אוטומטי לסגירת פרצות האבטחה האפשריות שהתגלו. CertIO הוא מוצר הסרטיפיקציה שמספק ללקוחות הקצה את הידיעה שמוצר ה Embedded עבר את ההקשחה הנדרשת.

בכל אופן קצת אחסון לסיום

משעמם או לא, עדין בסופו של דבר אנחנו צריכים לשמור את המידע שלנו איפשהו. אתמול החברה שלי, אינפינידט, קיבלה פרס מיוחד על מצוינות בהעמקת היחסים העסקיים בין ישראל ויפן מלשכת המסחר ישראל-יפן במעמד שגריר יפן בישראל מר. קואיצ'י אאיבושי. לכבוד הוא לי להיות חלק מהפעילות הזו וההישג!

שלכם כמו תמיד,

ניר מליק

bond, hacker bond – meltdown and spectre

זוכרים שב2006 דן חלוץ מכר מניות כמה שעות אל תוך האירועים בגבול הצפון שהתגלגלו למה שאנחנו מכירים כמלחמת לבנון השניה? אז מסתבר שמנכ"ל Intel עשה דבר דומה בשנה שעברה. על פי דיווחים שונים, בריאן קרזניץ מכר מניות בשווי עשרים עד ארבעים מיליון דולר וזאת למרות שלחברה כבר נודע על פרצות אבטחת המידע עליהן כולנו מתבשרים רק בימים אלו. זה אולי זמן טוב לשורט על אינטל כי המניה ירדה אבל עוד לא צנחה לקרקעית

intel

בגדול, הפרצה הידועה בשם Meltdown ייחודית למעבדי אינטל ומאפשרת לכלי התקיפה לחדור אל עמודי הזיכרון השמורים לליבת מערכת הפעלה. הפרצה רלוונטית לכלל מערכות ההפעלה וחלק מהיצרניות כבר הוציאו עדכון תוכנה להתמודד עם הפרצה. יש לקחת בחשבון עלות של כ30% בביצועי המעבד לאחר יישום עדכון התוכנה.

מערכות בתצורת Appliance פחות חשופות להבנתי לפרצה זו היות ולמשתמש אין דרך להריץ תהליכים חיצוניים על גבי המערכת אבל גם אם אני צודק, אז צריך לקחת את זה בערבון מוגבל כי אנחנו תלויים בעד כמה מי שבנה את ה Appliance באמת הקשיח את הגישה. אצלנו ב Infinidat למשל הגישה ל Core מתבצעת רק באמצעות מפתח הצפנה פרטי ששמור רק אצלנו.

פרצה נוספת, קשה יותר לניצול אך נפוצה הרבה יותר היא Spectra. ספקטרה אינה ייחודית רק למעבדי אינטל, היא רלוונטית גם למעבדי AMD ומעבדי ARM. המידע על שתי הפרצות הוא חלקי בלבד וההסבר על ספקטרה נשמע מסתורי לגמרי כי הוא מדבר על פרצה שמנצל פגם בדרך שבה אנחנו מתכננים מעבדים מהיסוד. אולי אם אתה, קורא יקר, במקרה, מהנדס חומרה בתחום המיקרו-מעבדים, הבנת על מה מדובר, לי זה נשמע כמו שקר כלשהו אבל ההשלכה של האמירה הכללית הזו היא שהפתרון לפרצה לא יימצא בקרוב אלא יחייב דור חדש של מעבדים שמתוכננים לגמרי אחרת.

פריט בונוס לחובבי הז'אנר, ספקטרה זה גם הארגון אחריו רודף ג'יימס בנוד בסרטים רבים החל מכדור הרעם וד"ר נו ועד הסרט ספקטרה מ 2015 בכיכובו של דניאל קרייג שעושה תפקיד טוב מהצפוי בתפקיד בונד.

spectre

בברכת עדכונים תוכנה נעימים!

שלכם,

ניר מליק

שי אגסי, אחסון מבוסס פלאש ותותחים גרמניים

 רכבים אוטונומיים ומערכות אחסון מבוססות Flash

במסגרת תפקידי כאיש פריסייל בספקית האינטרנט 012, השתתפתי בכתיבת מענה למכרז תקשורת עבור חברה חדשה ומהפכנית בתחום הרכב, שבאותם ימים הייתה הבטחה גדולה בתחומה, בטר-פלייס. זה היה מכרז מרתק ובמסגרתו נחשפתי לאתגרים של פריסה ארצית של תחנות טעינה, ניהול ציי רכב, ניטור מערכות הרכב בזמן אמת או בהבזקים קצרים והזרמת תוכן בחזרה אל הרכבים. היזם שמאחורי החברה, שי אגסי, הבטיח מהפכה אמיתית בתחום הרכב, הצליח לרתום לפרויקט תמיכה של מדינות כמו ממשלת יפן שהתגייסה לתמוך בפיילוט של מוניות חשמליות בטוקיו, בנקים גדולים ואת חברת רנו העולמית שהייתה היצרנית הבלעדית של מכוניות בטר-פלייס.

לצערי החברה קרסה שנה אחת בלבד אחרי שהחלה לספק מכוניות ללקוחות פרטיים. האמנתי בחזון אותו הוביל אגסי. כולנו חכמים בדיעבד ונראה שחלקים מהמודל בו בחר אגסי, כמו חיוב טעינה בעמדות החברה בלבד ובחירה ברכב נטול סקס-אפיל לחלוטין, הביאו לכישלון וזאת בניגוד למשל להצלחה היחסית של חברת טסלה של אלון מאסק.

הפרק האחרון של הפודקסאט המצוין של הדסק הכלכלי של תאגיד השידור "כאן" עוסק בטכנולוגיה בעולם הרכב והוא זה שהזכיר לי את בטר-פלייס, בפרק מתראיין שי אגסי ובטר-פלייס שלו מוזכרת כמה פעמים במהלך הדיון. השאלה המרכזית בה עוסק אמסטרדמסקי שהנחה את הפרק היא האם בקרוב נפסיק בכלל לרכוש מכוניות פרטיות? האם הבשלת הטכנולוגיה של רכבים אוטונומיים, ידידותיים לסביבה, ביחד עם התרחבות מודל הצריכה השיתופי בסגנון אובר או ליפט תביא לכך שבקרוב פשוט לא נרצה להחזיק רכב משלנו? הדוברים בפרק בטוחים שכן. בסופו של דבר, נאמר פרק, בעתיד הקרוב מאד, שלוש, חמש או עשר שנים, לא נרכוש מכוניות פרטיות, ילדינו לא ילמדו לנהוג בעצמם ושוק הרכב יעבור תהליך מאד מואץ של התגבשות למספר מאד נמוך, ארבע או חמש, יצרניות ענק שיחלקו ביניהן את השוק.

הנקודה האחרונה, התגבשות השוק למספר קטן של יצרניות ענק, הוא הקישור שלי חזרה אל עולם התוכן שלנו כאן, עולם ה IT. לאחרונה, במסגרת דיון פנימי על השוק כולו, חבר שלי, עופר טל, שלח קישור לרשימה של מעל 100 יצרניות All Flash Storage ובמסגרת המאמר שהכיל את הרשימה, יש גם קישור לרשימה עתיקה של לא פחות מ 172 יצרניות SSD. 172 יצרניות SSD לעומת שלוש עד שבע יצרניות דיסקים, תלוי לרשימה של מי מאמינים. למעלה ממאה חברות מייצרות רק או גם מערכות All Flash.

ברור שלא לכולן יש עתיד. ברור כי על רוב היצרניות הקטנות, אלו המתמחות ב All Flash ואלו שמייצרות "גם" All Flash, על רובן לא שמעתם ולא תשמעו. גם המצליחות יחסית, מתקשות לייצר רווח, Pure היא אחת החברות המצליחות בעולם ה All Flash והיא מדווחת על הפסד של 41.6 מיליון דולר ברבעון האחרון וזה עוד שיפור מהפסד של 78.8 מיליון דולר ברבעון המקביל בשנה שעברה.

מה מייחד כל אחת מאותן מאה פלוס חברות All Flash? האמת היא פשוטה ואת רובן לא מייחד שום דבר וזו הסיבה שרובן תעלמנה. לחלקן יש משהו מיוחד, NetApp למשל מקדמת די בהצלחה את חזון ה DataFabric שלה ומערכות ה All Flash הן רק חלק מהמכלול שם. לנימבל, שנרכשה על ידי HPE, היה ה InfoSite, מערכת האנליטיקה המתקדמת שלה. השורה התחתונה, מי שמתמקד במדיה, בחומרה מהירה, פשוט מיישר קו עם העדר.

הערת אגב על זמינות ותשיעיות

בימים הקרובים אמור להתפרסם whitepaper חדש של IDC שמדבר על החשיבות של זמינות מערכות ברמה גבוה ומציין אותנו לטובה כיצרן היחיד שמתחייב לרמת זמינות של שבע תשיעיות.

כמאמר המשוררת, התשעיות לא מעניינות אף אחד אם הלקוח לא מרוצה אבל אני לא מודאג, יש לנו עוד כמה דברים מגניבים מעבר לרמת זמינות המערכת.

nines dont matter

https://www.zazzle.com/nines_dont_matter_t_shirt-235118578582589495

הערת אגב לגבי חמש תשיעיות, מי שעושה חיפוש על המושג five nines יכול ליפול גם על תותחים גרמניים ממלחמת העולם הראשונה, תותחים בקוטר 15 סנטימטר או 5.9 אינטש. לפי ויקיפדיה תותחים אלו, כמו תותחים גרמנים אחרים מאותה תקופה, הוטבעו במילים Ultima Ratio Regum, בתרגום חופשי מלטינית – הטיעון האחרון של המלך. ככל הנראה מסורת שהתחיל המלך לואי הארבעה עשר לציין שהמלחמה היא המשך הוויכוח.

By Kadin2048 (Own work) [GFDL (http://www.gnu.org/copyleft/fdl.html), CC-BY-SA-3.0 (http://creativecommons.org/licenses/by-sa/3.0/) or CC BY-SA 2.5 (https://creativecommons.org/licenses/by-sa/2.5)%5D, via Wikimedia Commons

מילה על אבטחת מידע לסיום

הידיעה הבאה הכניסה בי יאוש מסוים, איש ה NSA הורשע בבית המשפט על פי הודעתו. מידע מסווג שלקח הביתה, נגנב על ידי שירותי המודיעין הרוסים תוך שימוש בתוכנת האנטי-וירוס של קספרסקי שהותקנה על המחשב שלו. למה זה מכניס בי ייאוש? כי כמו שנכתב כבר בבלוג שלי כאן וכאן, חינוך עובדים להתנהגות מודעת הוא חלק משמעותי במערך אבטחת המידע של הארגון ואם אפילו עובדי NSA לוקחים חומר מסווג הביתה סם כך, מה יגידו אזובי הקיר?

זה הכל להפעם,

אשמח לשמוע מה דעתכם!

שלכם,

ניר מליק

 

WannaCry and Dell EMC world

It my party and i'll #WannaCry if I want to

מתקפת הסייבר הענקית בסופ"ש האחרון הזכירה לי סיפור על חברת תיירות ישראלית גדולה שהיתה בזמנו לקוחה שלי. בשבוע שלפני פסח כלומר באחד השבועות הכי עמוסים בעולם התיירות הישראלי, הוצפנו מספר תיקיות בארגון בעקבות חדירה של כופרה לארגון (ransomware) ובין התיקיות המוצפנות היתה תיקיה אחת חשובה במיוחד לפעילות הארגון ואנשי הIT היו תחת לחץ נוראי למצוא פתרון מהיר לבעיה.

השתלשלות האירועים תישמע מוכרת להרבה מאד אנשי IT, לחברה היה פתרון גיבוי מיושן שלא נבדק כמו שצריך כי הוא התבסס על NDMP ושחזור מדגמי של NDMP  הוא לא תענוג גדול, מערכת האחסון שלהם עמדה בפני שדרוג ולא נשאר להם מקום כדי לשמור עומק משמעותי של snapshots, כמו גופי IT רבים בעולם הם עבדו קשה עם מעט מאד כוח אדם ולא היה להם זמן לכתוב נהלים ולתרגל "מקרים ותגובות" לאירועים סייבר שונים כי הם היו עסוקים עד מעל לראש בחיי היום-יום, בקיצור, לא היה שם שום דבר מיוחד, הם היו גוף IT סטנדרטי.

ביום האירוע, מרוב לחץ, במקום לבצע שחזור מתוך snapshot כלומר, במקום להציג את snapshot הצידה ולהעתיק מתוכו את המידע הנדרש, הם ביצעו revert to snap לעותק הנקי היחיד שהיה להם. התהליך היה פשוט ונוח, לקח להם שעה להחליט לבצע את זה וחצי דקה לבצע את זה בפועל וזהו, הם חזרו חצי יום אחורה בזמן לתיקיה נקיה מווירוסים והכל עבד ואושר גדול ו… הם לא מצאו את patient zero, הם לא ניתקו את התחנות המזוהמות מהרשת, התיקייה הקריטית הוצפנה מחדש ועכשיו בלי גיבוי תקין ובלי סנפשוט לחזור אליו, לא הייתה להם שום ברירה אחרת מלבד לשלם את דמי הכופר.  אמא שלי היתה אומרת "היה שמח".

כמו שאני מדגיש לא פעם כשאני כותב על נושאי אבטחת מידע, זה לא תחום ההתמחות שלי אבל יש כמה דגשים שכל איש תשתיות אמור להכיר:

  1. יש להקפיד ולעדכן את כלל המערכות באופן קבוע
  2. יש לגבות ולבדוק את תקינות הגיבוי
  3. יש לחנך את העובדים שלנו
  4. יש לכתוב נהלי חירום ולתרגל אותם באופן קבוע

כמובן שזה המקום להשוויץ שבמערכות Infinidat אפשר להריץ 100,000 snapshots בלי לפגוע בביצועים וכמעט בלי לצרוך נפח וכל אחד מהסנפשוטים ניתן להפוך ל read/write ככה שאפשר ליצור עומק מאד משמעותי של נקודות שחזור אפשריות וממש אין צורך לבצע revert ולוותר עליהן במקרה שחזור.

DellEMC world

בשבוע שעבר נערך כנס Dell EMC world השנתי בוגאס, לראשונה במתכונת המאוחדת לאחר הרכישה הענקית. אלו ההכרזות המרכזיות בעולם האחסון ולטעמי יותר מעניין מה לא נכלל בהן מאשר מה שכן.

VMAX – הוכרזה גרסאת High-End חדשה, 950F, שאמורה לספק שדרוג ביצועים משמעותי בעיקר בגלל שימוש במעבדים עדכניים יותר ותוספת זיכרון. מעניין לציין שנעדרה כל התיחסות לדגמי VMAX שאינם מבוססי All Flash, לאן הם נעלמו מהרדאר? DellEMC  טוענים כאן ל6 תשעיות זמינות ו the register מזכירים נכון שאנחנו באינפינידט כבר מזמן מדברים על 7 תשעיות אז כולכם מוזמנים לבדוק אותנו במבחן השוואתי.

XtremeIO – גם כאן כלול שדרוג חומרה שמספק שיפור ביצועים אבל נסיגה מוחלטת מהכרזת יכולות NAS ובשעה טובה הוכרזה יכולת מובנית לרפליקציה אבל וזה אבל גדול, זו הכרזה על יכולת עתידית כלומר גם עכשיו אחרי ההכרזה הזו לקוחות XtremeIO צריכים כלי חיצוני לרפליקציה. Xterme היו מהחלוצים בעולם ה All Flash  , מהחלוצים לספר לנו עד כמה מערכות All Flash יותר יעילות ממערכות היברידיות אבל אם יורדים לפרטים הקטנים אז העיסק נעשה קצת יותר מורכב, בשביל לקיים קלאסטר מלא של 8 בריקים צריך זו מתגי אינפיניבנד אז זו לא מערכת זולה ופשוטה במיוחד, בשביל לספק 2.8PB של נפח אחסון, בקלאסטר מלא של 8 בריקים, הם צריכים להתבסס על יחס של 3:1 וגם צורכים כפול מכמות חשמל שצורכת מערכת מלאה של אינפינידט שמספקת 2.8PB לפני דחיסה אז מה בדיוק כל כך יעיל וזול כאן? שימו לב שלא מדובר כאן על סתם FUD או לכלוך כי אני עובד אצל יצרן מתחרה אלא הכל אחד לאחד מדף המוצר שלהם עצמם

Isilon – גם בגזרה זו אין רבולוציה אלא אבולוציה, שוב מדובר על שיפור ביצועים, בעיקר באמצעות שדרוגי חומרה וגם כאן אין למשל איזכור לנסיגה מיכולות ה iSCSI.

Unity – מרגיש כמו תקליט שבור, שוב שדרוג חומרה קל בגרסאות All Flash בלי שינוי משמעותי בתוכנה. העובדה שעדיין, ב 2017, בדור רביעי של מערכות "unified" עדיין ניתן לבצע דחיסה רק לשירותי קבצים ולא לשירות Block מזכירה לנו כי בקרביים, ה Unity עדיין נשענת על ארכיטקטורה נפרדת של קלריון וסלרה לשירותים השונים, האריזה נוצצת והולכת ומתהדקת מדור לדור אבל זו עדיין לא באמת מערכת Unified  אלא רק "Unified" או כמו שאבי דיכטר קורא לזה, מערכת "יעני" Unified.

Faster Than All Flash

אם אתם זוכרים אז בפעם הקודמת סיפרתי לכם על מבצע ה Faster Than All Flash שלנו שבו אנחנו מציעים ללקוחות לבחון אותנו בשטח, בתנאי אמת, עם real live hand grenades ולהציב אותנו ראש בראש מול מוצרי All Flash, במידה ולא נעמוד בתחרות ולא נספק ביצועים טובים מהם תחת עומסי עבודה אמיתיים ולא איזה בנצ'מארק סינטטי, אנחנו נתרום 10,000$ לארגון צדקה לבחירתו של הלקוח.

מי שרוצה מוזמן להקשיב לבריאן סטובר שלנו מדבר על העובדה של All Flash הוא לא הפתרון היחיד לאתגרי האחסון שלכם ולמה אנחנו חושבים שהפתרון שלנו יותר נכון:

זה הכל להפעם חברים,

בפעם הבאה סיכום של IDC storage transformation בפרנקפורט, סיכום של VeeamON בניו אורלינס ומסלול טיול מומלץ בטרנסילבניה (לא צוחק!)

שלכם,

ניר מליק

קצת מכל דבר – סכום חודש מרץ

בשבוע שעבר הייתי כזכור במומביי, הרבה תודה ל @ShanyHadas שהתארחה בינתיים כאן בבלוג וכתבה קצת על עולם אבטחת המידע. כמחווה וכתודה אני רוצה להפנות אתכם להרצאה של @benjammingh שהעוסקת בעיקר באופן שבוא יש לבחור מודל איומים ריאלי. נכון שה NSA  יכולים לפרוץ אליכם לארגון ונכון שגוגל יודעים עליכם הרבה מאד מידע אבל שניהם כנראה לא מאיימים על היכולת של החברה שלכם לעשות עסקים ולעומת זאת העובדה שהמזכירה של המנכ"ל מחזיקה פתק עם הסיסמאות שלה מתחת למקלדת יכולה להיות בעייתית מאד. בן נראה יותר כמו מקעקע מאשר כמו איש אבטחת מידע והוא נראה קצת יבשושי עד שמתרגלים להומור הבריטי אבל הוא מעביר כמה נקודות מאד חשובות על סדר עדיפויות נכון בבחירת המאבקים במלחמה על אבטחת המידע.

בחזרה למומביי, ואוו איזו חוויה ואיזו הפתעה, איזה מקום מוזר מיוחד ומעניין. החודש הייתה לי גם יומולדת ובפעם הראשונה ב 39 שנותיי יצאתי מארוחה צמחונית ובמקום ללכת למקדונלדס אמרתי לעצמי ואוו ענקי, כן, פעם ראשונה שהתרגשתי ונהניתי מארוחה צמחונית לגמרי. אגב, הטיסה עצמה היתה אירוע די מדכא, שורה 55 במטוס עמוס לחלוטין בעבדי הייטק, המטוס נראה ומרגיש כמו הסעה מאורגנת של מפעל, עשרות אנשים שבאופן קבוע טסים כל שבוע הלוך חזור מישראל להודו ורובם באופן מופגן לא באמת מרוצים מהסידור הזה.

מרץ היה החודש הראשון שלי באינפינידט אבל הוא גם החודש האחרון בשנה עבור הרבה יצרניות ולכן הוא חודש של הרבה סיכומים בתעשיית המחשוב. מאחר חברות רבות מפרסמות את הדו"חות הציבוריים שלהן ברבעון זה, גם האנליסטים השונים מפרסמים את הדו"חות שלהם, דו"חות על הדו"חות.

אז שוק התשתיות האחודות הלוהט נתקל בקיר בסוף שנת העסקים, ככה מדווחים לנו ב IDC. הסקירה לא מספקת ניתוח רצני לגבי הסיבות להצטננות השוק הזה אבל זה הולך יד ביד עם הירידה בשוק השרתים. כדאי לשים לב למגמות כאן, שוק השרתים הבודדים יורד לעומת שוק התשתיות האחדות שעדיין עולה אבל עולה פחות מהר, לדעתי המשמעות של המגמות האלו היא שהרעיון מאחורי תשתיות אחודות אכן עובד והלקוחות באמת מחפשים את הפשטות לקוחות קונים פחות אבל אם הם בכל אופן מבצעים רכישה, יותר לקוחות יחפשו פתרון אחוד מאשר שרתים בודדים. בעידן של שחיקת התקציבים, לקוחות מחפשים מודל רכש פשוט, מודל הטמעה פשוט ומודל ניהול פשוט.

לעומת שוק השרתים, בשוק האחסון אפשר לראות לצד שחיקה ברווח, עליה מאד משמעותית בנפחים שנרכשו השנה. אולי הפער בין השרתים לאחסון מגיע מהעובדה שקצב הגידול בעוצמת השרתים (כוח עיבוד וכמות זיכרון) גבוה מקצב הגידול בנפח האחסון הזמין ביחידת דיסק כאשר החריג היחיד כאן הוא דיסקי ה 16TB SSD שעדיין לא מהווים סטנדרט נפוץ בתעשייה.

בינתיים בעולם מקביל, @jessfraz כתבה פוסט רגזני על ההבדל התפיסתי בין קונטיינרים לשאר מיני ירקות וכנראה קלעה לדעת הקהל הטוויטרית או לפחות לדעתו של (@marioploria) כי הוא קנה שני דומיינים במיוחד לכבוד הפוסט שלה ועכשיו גם containers.win וגם containers.fail מפנים אל הפוסט שלה.

עמדתי לסיים את הפוסט הזה ולשלוח אבל פתאום ראיתי שחטיבת ה IP  של ברוקייד נרכשת על ידי Extreme Networks תמורת 55M דולר. 55M עבור חטיבת ה IP לעומת המחיר המלא שברודקום שילמו על החברה כולה בשנה שעבר, 5.5B (מיליארד!) דולר. זה פער די מדהים והוא מראה כנראה את הפער בין שווי של פעילות מובילה בעולם לבין חטיבה חלשה בתחום מוצף.

 

שלכם תמיד,

ניר מליק

פוסט אורח: "הצד שלה" וקצת על אבטחת המידע בארגון‎

שלום לקוראי הבלוג,

אני הדס, רעייתו האוהבת של כותב בלוג זה, ואשת אבטחת מידע ותיקה (היום כבר לא אומרים "אבטחת מידע" אלא "הגנת סייבר", למרות שברוב המקרים אומרים אחד ומתכוונים לשני ולהפך). בזמן שבעלי מכלה צ'פאטי ודהל-בהט במומבאי (ראו פוסט קודם), אני התפניתי לספר לכם על "הצד שלה", וגם לחלוק איתכם קצת תובנות, ממעוף הציפור, בנושא אבטחת המידע הארגונית.

נושא ה"טיסות לחו"ל מטעם העבודה" אינו זר לנו. בעבר בעלי נסע לכנסים בחו"ל ואף זכה בטיולי פנאי מטעם החברה במקומות שונים בעולם אך זו הפעם הראשונה שהוא נוסע, ממש, לעבוד בחו"ל. התחושה מעורבת- מצד אחד גאווה גדולה ופרגון עצום, ומצד שני הימים הארוכים וההתמודדות עם כל המטלות בבית בלי עזרה היא לא פשוטה. משימות שהן בדרך כלל נחלתו הבלעדית כמו הר הכלים בכיור או מיתון עליצותה המוגזמת של הכלבה מצטרפות למשימות השגרתיות של ההורות ותפעול הבית והופכות, יחד עם הגעגועים, למעמסה שהיא לא רק רגשית. יש לנסיעות האלה גם צדדים חיוביים, כך למדתי. למשל, אתמול הלכתי לישון בשמונה בערב בלי שום רגשות אשם, גם הררי הכביסה צומצמו בחצי, והילדה ואני אוכלות רק מה שאני אוהבת לארוחת הערב, מבלי להתחשב בהעדפותיו הקולינריות של אדם נוסף.

בדרך כלל תחומי העיסוק של בעלי ושלי לא מצטלבים. אנחנו מבינים היטב זה את זה אבל עדיין, מערכות גיבוי ואחסון גדולות כמו NetApp, ועכשיו גם Infinidat, לא סובלות מאותו סוג איומי סייבר שיש, למשל, למערכות הפעלה.

ברור, מערכות שמחזיקות את כל המידע הארגוני, גם הרגיש ביותר, הן יעד מועדף על תוקפים, אולם ברוב המקרים הן ייחודיות ופחות נגישות ממערכות אחרות, מוחצנות יותר, כגון תחנות הקצה הארגוניות, שרת הדוא"ל, שרת הweb ודומיהן.

בהקשר קרוב, בשבוע שעבר התקיימה תחרות ההאקינג Pwn2Own השנתית, בה לוקחים חלק משתתפים מכל העולם ויכולים לזכות בפרסים של מאות אלפי דולרים. המשימה העיקרית בתחרות השנה הייתה "התחמקות ממכונות וירטואליות", המתחרים קיבלו מכונה וירטואלית של VMware או Hyper-V והיו צריכים להשיג שליטה בשרת המארח ("guest to host"). הקבוצה שזכתה בפרס הראשון, אנשי אבטחת מידע מחברת Qihoo360 הסינית, הצליחו להשלים את האתגר באמצעות שימוש בחולשת heap overflow  בדפדפן Edge, שהובילה לחשיפת באג type confusion בקרנל ווינדוס שהובילה לניצול uninitialized buffer ב- VMware.

על אף הייחודיות של מערכות הגיבוי והאחסון, מידי פעם אפשר לפגוש בחולשה סוררת במוצרים ספציפיים. חולשות כאלה עלולות אפילו לאפשר גישה מרוחקת לממשק הניהול או הרצת קוד, ולכן כדאי לבצע מעקב אחר החולשות המתפרסמות באתר CveDetails לפי שם היצרן, ולוודא שהמערכת בה אתם משתמשים לא חשופה לחולשות (או לפחות שיש לכם את הגרסא העדכנית ביותר). יש המון דוגמאות לחולשות כאלו, אני אבחר שתיים שמוגדרות קריטיות: חולשה CVE-2017-5600 ב- OnCommand Insight Data Warehouse של NetApp שפורסמה לפני חודש בדיוק, העלולה לאפשר לתוקף מרוחק גישה לממשק וביצוע פעולות, או חולשה CVE-2016-9871 במערכת ההפעלה EMC Isilon OneFS שפורסמה גם היא בחודש שעבר והתעדכנה לפני כשבוע, ומאפשרת למשתמש בעל הרשאות ISI_PRIV_LOGIN_PAPI ו- ISI_PRIV_SYS_SUPPORT לקבל גישת root. אגב, כשהיצרן עצמו מדווח על חולשות במוצרים שלו, הוא ברוב המקרים לא יציג PoC או את אופן הניצול הספציפי של החולשה. ככה הם יצרנים, לא אוהבים לירות לעצמם ברגל.

אז איך מתגוננים? כמובן הטמעת עדכוני אבטחה / שדרוג גרסא ברגע שהם מתפרסמים, בהנחה שאפשר לעשות את זה בלי, או במינימום, פגיעה בשירות. כמובן, גם עצות כלליות כמו שמירת הערנות והזהירות של עובדי הארגון בשילוב עם מערכות הגנה סבירות ומעלה הן טובות בכל הקשר, גם כאן.

ברוב המקרים ההתייחסות ברשת היא רק לאיומים הניצבים בפני משתמשי הגיבוי בענן, בדר"כ שירותי אחסון ציבוריים כמו Google Drive, Azure וכאלה, מכיוון שמערכות הגיבוי ה"גדולות" שלכם מגיעות עם הגדרות אבטחה מומלצות, הן יקרות מכדי שתוקף (שהוא לא מדינה) ירכוש אותן רק לצרכי חיפוש פרצות אבטחה והן מוגנות ע"י שלל מערכות ההגנה הארגוניות שה- CISO המוכשר שלכם כבר אפיין ותכנן ודאג שיטמיעו על הצד הטוב ביותר. ככה לפחות אני מקווה.

שלכם,

רעייתו

 

מחשבות בנושא NSX

פעמיים בשנה, במהלך כל השירות הצבאי שלי, מפקד היחידה היה מעביר שיעור לכלל הלוחמים. כל שיעור התחיל באותה דוגמא על סילוני, אחד הלוחמים, שרצה לשמור על הבית שלו והיו לו גדר וכלב שמירה וכל מני אמצעי שמירה אחרים. אחד הלקחים המשמעותיים בשיעור היה העובדה ש"קו המגע לעולם יפרץ". פורץ נחוש מספיק תמיד ימצא דרך לפרוץ אל הבית של סילוני וסילוני חייב להגן גם מבפנים. סילוני גם היה מאד מוטרד מהמנקה שבא פעם בשבוע ולוודא שהיא באה לבד ושהיא אכן מי שהיא אומרת שהיא אחרי הכל לא כל פורץ נראה כמו פורץ וקשת האיומים היא רחבה ומגוונת. זה היה שיעור נהדר על ההבדלים בין טקטיקה ולאסטרטגיה, בין תכנית סדורה לגמישות מחשבתית ובין רצוי למצוי. מאד אהבתי את השיעורים האלו ואני זוכר חלקים שלמים מהם עד היום.

עשור לאחר השירות הסדיר שלי, בערך, קיבלתי את תפקיד איש הפריסייל הראשון שלי בחברת "אינטרנט זהב" שלימים התאחדה עם "קווי זהב" שלימים התאחדה עם "פרטנר". אותם ימים נדמו לי כימים של פריחה בתחום אבטחת המידע, חברות רבות עדיין פעלו כמעט ללא כל אמצעי אבטחת מידע וחלק מהשיחות שלנו עם לקוחות עדיין עסקו בשאלה אם בכלל צריך להתקין חומת אש בארגון, האם יש צורך להשקיע בהתקנת תוכנת אנטי-וירוס טובה ועוד כל מני דיוני בסיס כאלו. מכרנו מאות יחידות חומרה של checkpoint ולצד זאת ביצענו גם לא מעט הטמעות של מוצרים יחודיים יותר כמוצרי One Time Password OTP, מוצרי NAC ופה ושם אפילו דיברנו על חומות אש אפליקטיביות, WAF, למרות שעבור מרבית הלקוחות הישראלים באותה תקופה היו מוצרים אלו יקרים מדי. מרבית הלקוחות הרלוונטיים, לקוחות ה Web,  הבינו את החשיבות של כלים אלו אבל גם עבורם לפעמים העלות הכספית היתה גבוהה ממה שנראה היה להם מוצדק לשלם.

אותם ימים היו גם ימי ראשית הווירטואליזציה בתחום השרתים בארץ. כנסים רבים עסקו אז בהצגה ראשונית של VMware vSphere וכמו רבים מסביבי די נדהמתי כשהדגימו ביצוע vMotion של שרת וירטואלי בין שרתים פיזיים תוך שידור של סרט באיכות גבוהה מבלי שהסרט אפילו מגמגם (נדמה לי שזה היה "רובוטריקים").

עבר עוד עשור מאז, וירטואליזציה של שרתים היא כבר הסטנדרט בתעשייה ומרבית השרתים בעולם הם שרתים וירטואליים, וירטואליזציה של מערכות אחסון אינה חידוש אמיתי ואפילו וירטואליזציה של רשתות תקשורת היא מושג מאד ותיק לכל מי שמכיר רשתות Multi-Protocol Label Switching MPLS או Virtual Route Forwarding VRF. גם בתחום אבטחת המידע חלו שינויים מרחיקי לכת. ראשית, כמו שמפקד פלוגת מפקדה הוא היום מפקד הפלוגה הטכנו-לוגיסטית, גם תחום אבטחת המידע שינה לעצמו את השם לתחום ה"סייבר". שנית, באופן קצת יותר מהותי, גם תעשיית ה IT הפנימה ש"קו המגע לעולם יפרץ". אם בעבר חומת אש בנקודת הכניסה לרשת ותוכנת אנטי-וירוס על השרתים ותחנות הקצה היו מערך אבטחת המידע כולו, היום ברור כי מערך אבטחת המידע חייב להיות מערך רב שכבתי הכולל כלי בקרה וניטור, כלי תגובה וכלי ניתוח ושכמו תמיד, עדיין ולמרות הכל, מתקפות רבות מתרחשות בתוך ומתוך הארגון ובתוך הסביבה קשה כיום לראות ולהכיל אותן.

כחלק מהאבולוציה בעולם אבטחת המידע, מתפשטת התפיסה הנקראת Trust No One לפיה אין יותר חלוקה של הרשת הארגונית לאזורים בטוחים או מבודדים. כל שרת, מכונה ומשתמש הם סכנה פוטנציאלית ברשת, גם לאחר הזדהות בכניסה ועמידה בתנאי הסף לשימוש ברשת כמו עדכניות תוכנות ההגנה וכו'. על מנת ליישם תפיסה זו בפועל, יש צורך בעדכון טופולוגית הרשת שכן, עד היום, מרבית כלי השליטה והניתוח היו עיוורים לנעשה בתוך התת-הרשת, בתוך ה VLAN. מרבית כלי הניתוח והשליטה פעלו במעבר בין תת הרשתות, רק כאשר שרת פונה אל שרת ברשת אחרת התעבורה נבדקת בחומת האש או מתג הליבה.

פתרון NSX של חברת VMware (באמצעות רכישה של חברת Nicira) הינו פתרון וירטואליזציה של רשתות תקשורת. הפתרון עושה שימוש בטכנולוגית  vCloud Networking and Security vCNS ו"רוכב" על virtual distributed switch. באמצעות NSX, כל שרת פיזי, Host, כולל באופן מובנה בתוך תשתית הווירטואליזציה, Hyper-Visor, גם מתג Layer-2, נתב Layer-3, חומת אש וכלי איזון עומסים Load Balancer. כתבתי למעלה שווירטואליזציה של רשתות תקשורת היא לא רעיון חדש והיא לא אבל היישום של NSX, ש"עולה" רמה אל תוך תשתית הווירטואליזציה הוא חידוש מאד משמעותי. כלל האכיפה והבקרה מתבצעות בצמוד לכל שרת וירטואלי, אין צורך במעבר של Session כל הדרך אל כרטיס הרשת הפיזי של השרת המארח, דרך המתגים ועד לחומת האש לביצוע אכיפה.

הפתרון מאפשר למעשה ליצור תת רשת לכל שרת וירטואלי ולכל שרת וירטואלי סט הגדרות המוצמדות אליו ועוברות איתו בין שרתים מארחים ואפילו בין סביבות כולל במעבר לDatacenter אחר, במידה וגם בו מוטמע NSX כמובן. תצורה זו נקראת בשם Micro-Segmentation היות ויחידת הבקרה שלנו משתנה, מישור הייחוס שלנו אינו עוד VLAN אלא פנים ה VLAN, אנו מודעים עכשיו גם לנעשה בין שני שרתים וירטואליים ה"מדברים" ביניהם על גבי אותו שרת מארח, בלי אפילו לצאת למתג החיצוני, "שיחה" שבעבר היתה בדרך כלל חומק מהרדאר נאכפת ומנוטרת במלואה כיום.

eastwest

כפי שניתן לראות בתמונה מעלה, בעבר, גם שני שרתים וירטואליים על אותו שרת מארח היו צריכים לפנות אל חומת האש ולעבור 6 תחנות בדרך, hope, ואילו שימוש ב NSX מאפשר תקשורת ישירה ללא כל Hope ללא ויתור על סט החוקים המנוהל על ידי חומת האש הארגונית.

פתרון NSX הוא לא אי בודד בים ולא מוצר אבטחת מידע עצמאי אלא פתרון תשתית המאפשר eco-system שלם, שיתוף הפעולה בין VMware ויצרני אבטחת המידע והתקשורת המובילים בעולם מאפשר התממשקות בין תשתית ה NSX  למוצרי Palo-Alto, Checkpoint, F5 ואחרים כך שכל ארגון המטמיע פתרון NSX יכול להמשיך ולבחור את הכלים הטובים ביותר בעיניו בשיטת Best of Breed. אם למשל ארגון בוחר להטמיע חומת אש של חברת Palo-Alto, כלל בסיס החוקים והחכמה מנוהל על ידי חומת האש אך האכיפה בפועל מתבצעת על ידי NSX. תוצר נוסף של יישום פתרון בצורה זו הוא חסכון משמעותי בתעבורה בתוך חדר השרתים ועומס מופחת על חומת האש עצמה.

nsxecosystem

מעבר ליכולות אבטחת מידע, הזכרתי גם את נושא המיתוג והניתוב. על ידי שימוש ב virtual distributed switch עם יכולות Layer-2 ו layer-3, מאפשרת תשתית ה NSX גמישות ודינאמיות רבה בהגדרת רשתות התקשורת. למעשה, אנו יכולים להגדיר את רשת התקשורת בתוך חדר השרתים כרשת שטוחה ברמה הנמוכה, רמת המתגים, וכלל הגדרות הסגמנטציה של הרשת מתבצעות ברמה הגבוהה, רמת תשתית הווירטואליזציה hyper-Visor. גם במעבר בין רשתות וטווחי כתובות NSX יוצר את סט החוקים באופן יחידני, Ad-Hoc, על מנת לאפשר תעבורה במידה והיא מורשית על ידי סט החוקים.

פתרון NSX הוא יישום מרשים ויעיל לרעיון קיים. וירטואליזציה של רשתות תקשורת היא לא רעיון חדש אבל היישום הזה מאד מרשים, היכולת להקים ולהוריד מאות סביבות ולרבב סביבה אחת בתוך סביבה שניה רלוונטית לחתכי לקוחות מסויימים, ספקי שירות או סביבות מעבדה גדולות למשל. גם לקוחות המקימים ומעדכנים באופן תדיר סביבות לימוד והדרכה יכולים להנות מהפרדת רשתות והקמה של סביבות בלחיצת כפתור, בשילוב עם פתרון vRealize Automation. היכולת לבצע הפרדה מלאה של סביבות, micro segmentation או guest isolation היא יכולת שרלוונטית לכל לקוח שמבין שמתקפות יכולות לבוא גם מתוך הסביבה ולהתפשט בתוך מה שעד היום היה נחשב, בטעות, כאזור מוגן ומאובטח. קו המגע לעולם יפרץ.

השרטוט מטה מראה את ההבדלים ברישוי בין הגרסאות, הדגשתי באדום את החלק הכי חשוב לדעתי. לא משנה איזו רמת רישוי נרכוש, היא תכלול את יכולת Distributed switching and routing שהיתה עד היום כלול רק ברישוי vSphere ברמות רישוי גבוהות ויקרות ולכן יכולת זו היתה חסם עיקרי לאימוץ פתרון NSX על ידי לקוחות בעלי סביבות פשוטות, קטנות או אילוצי תקציב אגרסיביים. פתרון NSX מתקרב בעדכון רישוי זה לחתך מאד רחב של לקוחות שעד היום נאלצו לוותר למרות הבנה של הצורך

nsxlic

שימוש נוסף ומאד מעניין לפתרון NSX הוא בעולם של שרידות מרובת אתרים. חברות רבות מציעות מערכות אחסון בתצורת active/active geo-cluster. נציין את NetApp Metro-Cluster או IBM SVC כדוגמא. פתרונות אלו מאפשרים ללקוחות להקים תשתית אחסון שרידה בין שני אתרים פיזיים ופתרון NSX מפשט את הקמת תשתית השרתים שמעל למערכות אחסון אלו. אם בעבר היתה חובה להקים תשתית layer-2 על מנת לשמר את טווח כתובות ה IP של השרתים בדילוג בין חדרי השרתים, כיום ניתן באמצעות NSX ל"ייצר" תשתית Layer-2 מעל תשתית Layer-3 כמעט ללא הכנה מוקדמת ובכך לפשט מעבר שרתים בין האתרים באופן חלקי או מלא.שרת וירטואלי "לוקח איתו" את סט החוקים וההגדרות שלו והתשתית תספק לו את כלל הקישוריות הנדרשת. כמובן שהפתרון נתמך באופן מלא על ידי פתרון הניהול Site Recovery manager SRM על מנת לבצע בלחיצת כפתור את תהליך המעבר בין האתרים אך התהליך פשוט מאי פעם.

לסיכום, מפת האיומים על הבית של סילוני מורכבת ודינאמית מאי פעם אך גם הכלים שעוזרים לו להתמודד משתפרים והופכים עם הזמן לזמינים יותר, זולים יותר ופשוטים יותר להטמעה. אני אוהב את VMware NSX. הפתרון יחסית פשוט להטמעה, נותן מענה למגוון צרכים ואתגרים ובניגוד לעבר גם מתומחר באופן הגיוני.

 

שלכם,

ניר מליק