שי אגסי, אחסון מבוסס פלאש ותותחים גרמניים

 רכבים אוטונומיים ומערכות אחסון מבוססות Flash

במסגרת תפקידי כאיש פריסייל בספקית האינטרנט 012, השתתפתי בכתיבת מענה למכרז תקשורת עבור חברה חדשה ומהפכנית בתחום הרכב, שבאותם ימים הייתה הבטחה גדולה בתחומה, בטר-פלייס. זה היה מכרז מרתק ובמסגרתו נחשפתי לאתגרים של פריסה ארצית של תחנות טעינה, ניהול ציי רכב, ניטור מערכות הרכב בזמן אמת או בהבזקים קצרים והזרמת תוכן בחזרה אל הרכבים. היזם שמאחורי החברה, שי אגסי, הבטיח מהפכה אמיתית בתחום הרכב, הצליח לרתום לפרויקט תמיכה של מדינות כמו ממשלת יפן שהתגייסה לתמוך בפיילוט של מוניות חשמליות בטוקיו, בנקים גדולים ואת חברת רנו העולמית שהייתה היצרנית הבלעדית של מכוניות בטר-פלייס.

לצערי החברה קרסה שנה אחת בלבד אחרי שהחלה לספק מכוניות ללקוחות פרטיים. האמנתי בחזון אותו הוביל אגסי. כולנו חכמים בדיעבד ונראה שחלקים מהמודל בו בחר אגסי, כמו חיוב טעינה בעמדות החברה בלבד ובחירה ברכב נטול סקס-אפיל לחלוטין, הביאו לכישלון וזאת בניגוד למשל להצלחה היחסית של חברת טסלה של אלון מאסק.

הפרק האחרון של הפודקסאט המצוין של הדסק הכלכלי של תאגיד השידור "כאן" עוסק בטכנולוגיה בעולם הרכב והוא זה שהזכיר לי את בטר-פלייס, בפרק מתראיין שי אגסי ובטר-פלייס שלו מוזכרת כמה פעמים במהלך הדיון. השאלה המרכזית בה עוסק אמסטרדמסקי שהנחה את הפרק היא האם בקרוב נפסיק בכלל לרכוש מכוניות פרטיות? האם הבשלת הטכנולוגיה של רכבים אוטונומיים, ידידותיים לסביבה, ביחד עם התרחבות מודל הצריכה השיתופי בסגנון אובר או ליפט תביא לכך שבקרוב פשוט לא נרצה להחזיק רכב משלנו? הדוברים בפרק בטוחים שכן. בסופו של דבר, נאמר פרק, בעתיד הקרוב מאד, שלוש, חמש או עשר שנים, לא נרכוש מכוניות פרטיות, ילדינו לא ילמדו לנהוג בעצמם ושוק הרכב יעבור תהליך מאד מואץ של התגבשות למספר מאד נמוך, ארבע או חמש, יצרניות ענק שיחלקו ביניהן את השוק.

הנקודה האחרונה, התגבשות השוק למספר קטן של יצרניות ענק, הוא הקישור שלי חזרה אל עולם התוכן שלנו כאן, עולם ה IT. לאחרונה, במסגרת דיון פנימי על השוק כולו, חבר שלי, עופר טל, שלח קישור לרשימה של מעל 100 יצרניות All Flash Storage ובמסגרת המאמר שהכיל את הרשימה, יש גם קישור לרשימה עתיקה של לא פחות מ 172 יצרניות SSD. 172 יצרניות SSD לעומת שלוש עד שבע יצרניות דיסקים, תלוי לרשימה של מי מאמינים. למעלה ממאה חברות מייצרות רק או גם מערכות All Flash.

ברור שלא לכולן יש עתיד. ברור כי על רוב היצרניות הקטנות, אלו המתמחות ב All Flash ואלו שמייצרות "גם" All Flash, על רובן לא שמעתם ולא תשמעו. גם המצליחות יחסית, מתקשות לייצר רווח, Pure היא אחת החברות המצליחות בעולם ה All Flash והיא מדווחת על הפסד של 41.6 מיליון דולר ברבעון האחרון וזה עוד שיפור מהפסד של 78.8 מיליון דולר ברבעון המקביל בשנה שעברה.

מה מייחד כל אחת מאותן מאה פלוס חברות All Flash? האמת היא פשוטה ואת רובן לא מייחד שום דבר וזו הסיבה שרובן תעלמנה. לחלקן יש משהו מיוחד, NetApp למשל מקדמת די בהצלחה את חזון ה DataFabric שלה ומערכות ה All Flash הן רק חלק מהמכלול שם. לנימבל, שנרכשה על ידי HPE, היה ה InfoSite, מערכת האנליטיקה המתקדמת שלה. השורה התחתונה, מי שמתמקד במדיה, בחומרה מהירה, פשוט מיישר קו עם העדר.

הערת אגב על זמינות ותשיעיות

בימים הקרובים אמור להתפרסם whitepaper חדש של IDC שמדבר על החשיבות של זמינות מערכות ברמה גבוה ומציין אותנו לטובה כיצרן היחיד שמתחייב לרמת זמינות של שבע תשיעיות.

כמאמר המשוררת, התשעיות לא מעניינות אף אחד אם הלקוח לא מרוצה אבל אני לא מודאג, יש לנו עוד כמה דברים מגניבים מעבר לרמת זמינות המערכת.

nines dont matter

https://www.zazzle.com/nines_dont_matter_t_shirt-235118578582589495

הערת אגב לגבי חמש תשיעיות, מי שעושה חיפוש על המושג five nines יכול ליפול גם על תותחים גרמניים ממלחמת העולם הראשונה, תותחים בקוטר 15 סנטימטר או 5.9 אינטש. לפי ויקיפדיה תותחים אלו, כמו תותחים גרמנים אחרים מאותה תקופה, הוטבעו במילים Ultima Ratio Regum, בתרגום חופשי מלטינית – הטיעון האחרון של המלך. ככל הנראה מסורת שהתחיל המלך לואי הארבעה עשר לציין שהמלחמה היא המשך הוויכוח.

By Kadin2048 (Own work) [GFDL (http://www.gnu.org/copyleft/fdl.html), CC-BY-SA-3.0 (http://creativecommons.org/licenses/by-sa/3.0/) or CC BY-SA 2.5 (https://creativecommons.org/licenses/by-sa/2.5)%5D, via Wikimedia Commons

מילה על אבטחת מידע לסיום

הידיעה הבאה הכניסה בי יאוש מסוים, איש ה NSA הורשע בבית המשפט על פי הודעתו. מידע מסווג שלקח הביתה, נגנב על ידי שירותי המודיעין הרוסים תוך שימוש בתוכנת האנטי-וירוס של קספרסקי שהותקנה על המחשב שלו. למה זה מכניס בי ייאוש? כי כמו שנכתב כבר בבלוג שלי כאן וכאן, חינוך עובדים להתנהגות מודעת הוא חלק משמעותי במערך אבטחת המידע של הארגון ואם אפילו עובדי NSA לוקחים חומר מסווג הביתה סם כך, מה יגידו אזובי הקיר?

זה הכל להפעם,

אשמח לשמוע מה דעתכם!

שלכם,

ניר מליק

 

מודעות פרסומת

WannaCry and Dell EMC world

It my party and i'll #WannaCry if I want to

מתקפת הסייבר הענקית בסופ"ש האחרון הזכירה לי סיפור על חברת תיירות ישראלית גדולה שהיתה בזמנו לקוחה שלי. בשבוע שלפני פסח כלומר באחד השבועות הכי עמוסים בעולם התיירות הישראלי, הוצפנו מספר תיקיות בארגון בעקבות חדירה של כופרה לארגון (ransomware) ובין התיקיות המוצפנות היתה תיקיה אחת חשובה במיוחד לפעילות הארגון ואנשי הIT היו תחת לחץ נוראי למצוא פתרון מהיר לבעיה.

השתלשלות האירועים תישמע מוכרת להרבה מאד אנשי IT, לחברה היה פתרון גיבוי מיושן שלא נבדק כמו שצריך כי הוא התבסס על NDMP ושחזור מדגמי של NDMP  הוא לא תענוג גדול, מערכת האחסון שלהם עמדה בפני שדרוג ולא נשאר להם מקום כדי לשמור עומק משמעותי של snapshots, כמו גופי IT רבים בעולם הם עבדו קשה עם מעט מאד כוח אדם ולא היה להם זמן לכתוב נהלים ולתרגל "מקרים ותגובות" לאירועים סייבר שונים כי הם היו עסוקים עד מעל לראש בחיי היום-יום, בקיצור, לא היה שם שום דבר מיוחד, הם היו גוף IT סטנדרטי.

ביום האירוע, מרוב לחץ, במקום לבצע שחזור מתוך snapshot כלומר, במקום להציג את snapshot הצידה ולהעתיק מתוכו את המידע הנדרש, הם ביצעו revert to snap לעותק הנקי היחיד שהיה להם. התהליך היה פשוט ונוח, לקח להם שעה להחליט לבצע את זה וחצי דקה לבצע את זה בפועל וזהו, הם חזרו חצי יום אחורה בזמן לתיקיה נקיה מווירוסים והכל עבד ואושר גדול ו… הם לא מצאו את patient zero, הם לא ניתקו את התחנות המזוהמות מהרשת, התיקייה הקריטית הוצפנה מחדש ועכשיו בלי גיבוי תקין ובלי סנפשוט לחזור אליו, לא הייתה להם שום ברירה אחרת מלבד לשלם את דמי הכופר.  אמא שלי היתה אומרת "היה שמח".

כמו שאני מדגיש לא פעם כשאני כותב על נושאי אבטחת מידע, זה לא תחום ההתמחות שלי אבל יש כמה דגשים שכל איש תשתיות אמור להכיר:

  1. יש להקפיד ולעדכן את כלל המערכות באופן קבוע
  2. יש לגבות ולבדוק את תקינות הגיבוי
  3. יש לחנך את העובדים שלנו
  4. יש לכתוב נהלי חירום ולתרגל אותם באופן קבוע

כמובן שזה המקום להשוויץ שבמערכות Infinidat אפשר להריץ 100,000 snapshots בלי לפגוע בביצועים וכמעט בלי לצרוך נפח וכל אחד מהסנפשוטים ניתן להפוך ל read/write ככה שאפשר ליצור עומק מאד משמעותי של נקודות שחזור אפשריות וממש אין צורך לבצע revert ולוותר עליהן במקרה שחזור.

DellEMC world

בשבוע שעבר נערך כנס Dell EMC world השנתי בוגאס, לראשונה במתכונת המאוחדת לאחר הרכישה הענקית. אלו ההכרזות המרכזיות בעולם האחסון ולטעמי יותר מעניין מה לא נכלל בהן מאשר מה שכן.

VMAX – הוכרזה גרסאת High-End חדשה, 950F, שאמורה לספק שדרוג ביצועים משמעותי בעיקר בגלל שימוש במעבדים עדכניים יותר ותוספת זיכרון. מעניין לציין שנעדרה כל התיחסות לדגמי VMAX שאינם מבוססי All Flash, לאן הם נעלמו מהרדאר? DellEMC  טוענים כאן ל6 תשעיות זמינות ו the register מזכירים נכון שאנחנו באינפינידט כבר מזמן מדברים על 7 תשעיות אז כולכם מוזמנים לבדוק אותנו במבחן השוואתי.

XtremeIO – גם כאן כלול שדרוג חומרה שמספק שיפור ביצועים אבל נסיגה מוחלטת מהכרזת יכולות NAS ובשעה טובה הוכרזה יכולת מובנית לרפליקציה אבל וזה אבל גדול, זו הכרזה על יכולת עתידית כלומר גם עכשיו אחרי ההכרזה הזו לקוחות XtremeIO צריכים כלי חיצוני לרפליקציה. Xterme היו מהחלוצים בעולם ה All Flash  , מהחלוצים לספר לנו עד כמה מערכות All Flash יותר יעילות ממערכות היברידיות אבל אם יורדים לפרטים הקטנים אז העיסק נעשה קצת יותר מורכב, בשביל לקיים קלאסטר מלא של 8 בריקים צריך זו מתגי אינפיניבנד אז זו לא מערכת זולה ופשוטה במיוחד, בשביל לספק 2.8PB של נפח אחסון, בקלאסטר מלא של 8 בריקים, הם צריכים להתבסס על יחס של 3:1 וגם צורכים כפול מכמות חשמל שצורכת מערכת מלאה של אינפינידט שמספקת 2.8PB לפני דחיסה אז מה בדיוק כל כך יעיל וזול כאן? שימו לב שלא מדובר כאן על סתם FUD או לכלוך כי אני עובד אצל יצרן מתחרה אלא הכל אחד לאחד מדף המוצר שלהם עצמם

Isilon – גם בגזרה זו אין רבולוציה אלא אבולוציה, שוב מדובר על שיפור ביצועים, בעיקר באמצעות שדרוגי חומרה וגם כאן אין למשל איזכור לנסיגה מיכולות ה iSCSI.

Unity – מרגיש כמו תקליט שבור, שוב שדרוג חומרה קל בגרסאות All Flash בלי שינוי משמעותי בתוכנה. העובדה שעדיין, ב 2017, בדור רביעי של מערכות "unified" עדיין ניתן לבצע דחיסה רק לשירותי קבצים ולא לשירות Block מזכירה לנו כי בקרביים, ה Unity עדיין נשענת על ארכיטקטורה נפרדת של קלריון וסלרה לשירותים השונים, האריזה נוצצת והולכת ומתהדקת מדור לדור אבל זו עדיין לא באמת מערכת Unified  אלא רק "Unified" או כמו שאבי דיכטר קורא לזה, מערכת "יעני" Unified.

Faster Than All Flash

אם אתם זוכרים אז בפעם הקודמת סיפרתי לכם על מבצע ה Faster Than All Flash שלנו שבו אנחנו מציעים ללקוחות לבחון אותנו בשטח, בתנאי אמת, עם real live hand grenades ולהציב אותנו ראש בראש מול מוצרי All Flash, במידה ולא נעמוד בתחרות ולא נספק ביצועים טובים מהם תחת עומסי עבודה אמיתיים ולא איזה בנצ'מארק סינטטי, אנחנו נתרום 10,000$ לארגון צדקה לבחירתו של הלקוח.

מי שרוצה מוזמן להקשיב לבריאן סטובר שלנו מדבר על העובדה של All Flash הוא לא הפתרון היחיד לאתגרי האחסון שלכם ולמה אנחנו חושבים שהפתרון שלנו יותר נכון:

זה הכל להפעם חברים,

בפעם הבאה סיכום של IDC storage transformation בפרנקפורט, סיכום של VeeamON בניו אורלינס ומסלול טיול מומלץ בטרנסילבניה (לא צוחק!)

שלכם,

ניר מליק

קצת מכל דבר – סכום חודש מרץ

בשבוע שעבר הייתי כזכור במומביי, הרבה תודה ל @ShanyHadas שהתארחה בינתיים כאן בבלוג וכתבה קצת על עולם אבטחת המידע. כמחווה וכתודה אני רוצה להפנות אתכם להרצאה של @benjammingh שהעוסקת בעיקר באופן שבוא יש לבחור מודל איומים ריאלי. נכון שה NSA  יכולים לפרוץ אליכם לארגון ונכון שגוגל יודעים עליכם הרבה מאד מידע אבל שניהם כנראה לא מאיימים על היכולת של החברה שלכם לעשות עסקים ולעומת זאת העובדה שהמזכירה של המנכ"ל מחזיקה פתק עם הסיסמאות שלה מתחת למקלדת יכולה להיות בעייתית מאד. בן נראה יותר כמו מקעקע מאשר כמו איש אבטחת מידע והוא נראה קצת יבשושי עד שמתרגלים להומור הבריטי אבל הוא מעביר כמה נקודות מאד חשובות על סדר עדיפויות נכון בבחירת המאבקים במלחמה על אבטחת המידע.

בחזרה למומביי, ואוו איזו חוויה ואיזו הפתעה, איזה מקום מוזר מיוחד ומעניין. החודש הייתה לי גם יומולדת ובפעם הראשונה ב 39 שנותיי יצאתי מארוחה צמחונית ובמקום ללכת למקדונלדס אמרתי לעצמי ואוו ענקי, כן, פעם ראשונה שהתרגשתי ונהניתי מארוחה צמחונית לגמרי. אגב, הטיסה עצמה היתה אירוע די מדכא, שורה 55 במטוס עמוס לחלוטין בעבדי הייטק, המטוס נראה ומרגיש כמו הסעה מאורגנת של מפעל, עשרות אנשים שבאופן קבוע טסים כל שבוע הלוך חזור מישראל להודו ורובם באופן מופגן לא באמת מרוצים מהסידור הזה.

מרץ היה החודש הראשון שלי באינפינידט אבל הוא גם החודש האחרון בשנה עבור הרבה יצרניות ולכן הוא חודש של הרבה סיכומים בתעשיית המחשוב. מאחר חברות רבות מפרסמות את הדו"חות הציבוריים שלהן ברבעון זה, גם האנליסטים השונים מפרסמים את הדו"חות שלהם, דו"חות על הדו"חות.

אז שוק התשתיות האחודות הלוהט נתקל בקיר בסוף שנת העסקים, ככה מדווחים לנו ב IDC. הסקירה לא מספקת ניתוח רצני לגבי הסיבות להצטננות השוק הזה אבל זה הולך יד ביד עם הירידה בשוק השרתים. כדאי לשים לב למגמות כאן, שוק השרתים הבודדים יורד לעומת שוק התשתיות האחדות שעדיין עולה אבל עולה פחות מהר, לדעתי המשמעות של המגמות האלו היא שהרעיון מאחורי תשתיות אחודות אכן עובד והלקוחות באמת מחפשים את הפשטות לקוחות קונים פחות אבל אם הם בכל אופן מבצעים רכישה, יותר לקוחות יחפשו פתרון אחוד מאשר שרתים בודדים. בעידן של שחיקת התקציבים, לקוחות מחפשים מודל רכש פשוט, מודל הטמעה פשוט ומודל ניהול פשוט.

לעומת שוק השרתים, בשוק האחסון אפשר לראות לצד שחיקה ברווח, עליה מאד משמעותית בנפחים שנרכשו השנה. אולי הפער בין השרתים לאחסון מגיע מהעובדה שקצב הגידול בעוצמת השרתים (כוח עיבוד וכמות זיכרון) גבוה מקצב הגידול בנפח האחסון הזמין ביחידת דיסק כאשר החריג היחיד כאן הוא דיסקי ה 16TB SSD שעדיין לא מהווים סטנדרט נפוץ בתעשייה.

בינתיים בעולם מקביל, @jessfraz כתבה פוסט רגזני על ההבדל התפיסתי בין קונטיינרים לשאר מיני ירקות וכנראה קלעה לדעת הקהל הטוויטרית או לפחות לדעתו של (@marioploria) כי הוא קנה שני דומיינים במיוחד לכבוד הפוסט שלה ועכשיו גם containers.win וגם containers.fail מפנים אל הפוסט שלה.

עמדתי לסיים את הפוסט הזה ולשלוח אבל פתאום ראיתי שחטיבת ה IP  של ברוקייד נרכשת על ידי Extreme Networks תמורת 55M דולר. 55M עבור חטיבת ה IP לעומת המחיר המלא שברודקום שילמו על החברה כולה בשנה שעבר, 5.5B (מיליארד!) דולר. זה פער די מדהים והוא מראה כנראה את הפער בין שווי של פעילות מובילה בעולם לבין חטיבה חלשה בתחום מוצף.

 

שלכם תמיד,

ניר מליק

פוסט אורח: "הצד שלה" וקצת על אבטחת המידע בארגון‎

שלום לקוראי הבלוג,

אני הדס, רעייתו האוהבת של כותב בלוג זה, ואשת אבטחת מידע ותיקה (היום כבר לא אומרים "אבטחת מידע" אלא "הגנת סייבר", למרות שברוב המקרים אומרים אחד ומתכוונים לשני ולהפך). בזמן שבעלי מכלה צ'פאטי ודהל-בהט במומבאי (ראו פוסט קודם), אני התפניתי לספר לכם על "הצד שלה", וגם לחלוק איתכם קצת תובנות, ממעוף הציפור, בנושא אבטחת המידע הארגונית.

נושא ה"טיסות לחו"ל מטעם העבודה" אינו זר לנו. בעבר בעלי נסע לכנסים בחו"ל ואף זכה בטיולי פנאי מטעם החברה במקומות שונים בעולם אך זו הפעם הראשונה שהוא נוסע, ממש, לעבוד בחו"ל. התחושה מעורבת- מצד אחד גאווה גדולה ופרגון עצום, ומצד שני הימים הארוכים וההתמודדות עם כל המטלות בבית בלי עזרה היא לא פשוטה. משימות שהן בדרך כלל נחלתו הבלעדית כמו הר הכלים בכיור או מיתון עליצותה המוגזמת של הכלבה מצטרפות למשימות השגרתיות של ההורות ותפעול הבית והופכות, יחד עם הגעגועים, למעמסה שהיא לא רק רגשית. יש לנסיעות האלה גם צדדים חיוביים, כך למדתי. למשל, אתמול הלכתי לישון בשמונה בערב בלי שום רגשות אשם, גם הררי הכביסה צומצמו בחצי, והילדה ואני אוכלות רק מה שאני אוהבת לארוחת הערב, מבלי להתחשב בהעדפותיו הקולינריות של אדם נוסף.

בדרך כלל תחומי העיסוק של בעלי ושלי לא מצטלבים. אנחנו מבינים היטב זה את זה אבל עדיין, מערכות גיבוי ואחסון גדולות כמו NetApp, ועכשיו גם Infinidat, לא סובלות מאותו סוג איומי סייבר שיש, למשל, למערכות הפעלה.

ברור, מערכות שמחזיקות את כל המידע הארגוני, גם הרגיש ביותר, הן יעד מועדף על תוקפים, אולם ברוב המקרים הן ייחודיות ופחות נגישות ממערכות אחרות, מוחצנות יותר, כגון תחנות הקצה הארגוניות, שרת הדוא"ל, שרת הweb ודומיהן.

בהקשר קרוב, בשבוע שעבר התקיימה תחרות ההאקינג Pwn2Own השנתית, בה לוקחים חלק משתתפים מכל העולם ויכולים לזכות בפרסים של מאות אלפי דולרים. המשימה העיקרית בתחרות השנה הייתה "התחמקות ממכונות וירטואליות", המתחרים קיבלו מכונה וירטואלית של VMware או Hyper-V והיו צריכים להשיג שליטה בשרת המארח ("guest to host"). הקבוצה שזכתה בפרס הראשון, אנשי אבטחת מידע מחברת Qihoo360 הסינית, הצליחו להשלים את האתגר באמצעות שימוש בחולשת heap overflow  בדפדפן Edge, שהובילה לחשיפת באג type confusion בקרנל ווינדוס שהובילה לניצול uninitialized buffer ב- VMware.

על אף הייחודיות של מערכות הגיבוי והאחסון, מידי פעם אפשר לפגוש בחולשה סוררת במוצרים ספציפיים. חולשות כאלה עלולות אפילו לאפשר גישה מרוחקת לממשק הניהול או הרצת קוד, ולכן כדאי לבצע מעקב אחר החולשות המתפרסמות באתר CveDetails לפי שם היצרן, ולוודא שהמערכת בה אתם משתמשים לא חשופה לחולשות (או לפחות שיש לכם את הגרסא העדכנית ביותר). יש המון דוגמאות לחולשות כאלו, אני אבחר שתיים שמוגדרות קריטיות: חולשה CVE-2017-5600 ב- OnCommand Insight Data Warehouse של NetApp שפורסמה לפני חודש בדיוק, העלולה לאפשר לתוקף מרוחק גישה לממשק וביצוע פעולות, או חולשה CVE-2016-9871 במערכת ההפעלה EMC Isilon OneFS שפורסמה גם היא בחודש שעבר והתעדכנה לפני כשבוע, ומאפשרת למשתמש בעל הרשאות ISI_PRIV_LOGIN_PAPI ו- ISI_PRIV_SYS_SUPPORT לקבל גישת root. אגב, כשהיצרן עצמו מדווח על חולשות במוצרים שלו, הוא ברוב המקרים לא יציג PoC או את אופן הניצול הספציפי של החולשה. ככה הם יצרנים, לא אוהבים לירות לעצמם ברגל.

אז איך מתגוננים? כמובן הטמעת עדכוני אבטחה / שדרוג גרסא ברגע שהם מתפרסמים, בהנחה שאפשר לעשות את זה בלי, או במינימום, פגיעה בשירות. כמובן, גם עצות כלליות כמו שמירת הערנות והזהירות של עובדי הארגון בשילוב עם מערכות הגנה סבירות ומעלה הן טובות בכל הקשר, גם כאן.

ברוב המקרים ההתייחסות ברשת היא רק לאיומים הניצבים בפני משתמשי הגיבוי בענן, בדר"כ שירותי אחסון ציבוריים כמו Google Drive, Azure וכאלה, מכיוון שמערכות הגיבוי ה"גדולות" שלכם מגיעות עם הגדרות אבטחה מומלצות, הן יקרות מכדי שתוקף (שהוא לא מדינה) ירכוש אותן רק לצרכי חיפוש פרצות אבטחה והן מוגנות ע"י שלל מערכות ההגנה הארגוניות שה- CISO המוכשר שלכם כבר אפיין ותכנן ודאג שיטמיעו על הצד הטוב ביותר. ככה לפחות אני מקווה.

שלכם,

רעייתו

 

מחשבות בנושא NSX

פעמיים בשנה, במהלך כל השירות הצבאי שלי, מפקד היחידה היה מעביר שיעור לכלל הלוחמים. כל שיעור התחיל באותה דוגמא על סילוני, אחד הלוחמים, שרצה לשמור על הבית שלו והיו לו גדר וכלב שמירה וכל מני אמצעי שמירה אחרים. אחד הלקחים המשמעותיים בשיעור היה העובדה ש"קו המגע לעולם יפרץ". פורץ נחוש מספיק תמיד ימצא דרך לפרוץ אל הבית של סילוני וסילוני חייב להגן גם מבפנים. סילוני גם היה מאד מוטרד מהמנקה שבא פעם בשבוע ולוודא שהיא באה לבד ושהיא אכן מי שהיא אומרת שהיא אחרי הכל לא כל פורץ נראה כמו פורץ וקשת האיומים היא רחבה ומגוונת. זה היה שיעור נהדר על ההבדלים בין טקטיקה ולאסטרטגיה, בין תכנית סדורה לגמישות מחשבתית ובין רצוי למצוי. מאד אהבתי את השיעורים האלו ואני זוכר חלקים שלמים מהם עד היום.

עשור לאחר השירות הסדיר שלי, בערך, קיבלתי את תפקיד איש הפריסייל הראשון שלי בחברת "אינטרנט זהב" שלימים התאחדה עם "קווי זהב" שלימים התאחדה עם "פרטנר". אותם ימים נדמו לי כימים של פריחה בתחום אבטחת המידע, חברות רבות עדיין פעלו כמעט ללא כל אמצעי אבטחת מידע וחלק מהשיחות שלנו עם לקוחות עדיין עסקו בשאלה אם בכלל צריך להתקין חומת אש בארגון, האם יש צורך להשקיע בהתקנת תוכנת אנטי-וירוס טובה ועוד כל מני דיוני בסיס כאלו. מכרנו מאות יחידות חומרה של checkpoint ולצד זאת ביצענו גם לא מעט הטמעות של מוצרים יחודיים יותר כמוצרי One Time Password OTP, מוצרי NAC ופה ושם אפילו דיברנו על חומות אש אפליקטיביות, WAF, למרות שעבור מרבית הלקוחות הישראלים באותה תקופה היו מוצרים אלו יקרים מדי. מרבית הלקוחות הרלוונטיים, לקוחות ה Web,  הבינו את החשיבות של כלים אלו אבל גם עבורם לפעמים העלות הכספית היתה גבוהה ממה שנראה היה להם מוצדק לשלם.

אותם ימים היו גם ימי ראשית הווירטואליזציה בתחום השרתים בארץ. כנסים רבים עסקו אז בהצגה ראשונית של VMware vSphere וכמו רבים מסביבי די נדהמתי כשהדגימו ביצוע vMotion של שרת וירטואלי בין שרתים פיזיים תוך שידור של סרט באיכות גבוהה מבלי שהסרט אפילו מגמגם (נדמה לי שזה היה "רובוטריקים").

עבר עוד עשור מאז, וירטואליזציה של שרתים היא כבר הסטנדרט בתעשייה ומרבית השרתים בעולם הם שרתים וירטואליים, וירטואליזציה של מערכות אחסון אינה חידוש אמיתי ואפילו וירטואליזציה של רשתות תקשורת היא מושג מאד ותיק לכל מי שמכיר רשתות Multi-Protocol Label Switching MPLS או Virtual Route Forwarding VRF. גם בתחום אבטחת המידע חלו שינויים מרחיקי לכת. ראשית, כמו שמפקד פלוגת מפקדה הוא היום מפקד הפלוגה הטכנו-לוגיסטית, גם תחום אבטחת המידע שינה לעצמו את השם לתחום ה"סייבר". שנית, באופן קצת יותר מהותי, גם תעשיית ה IT הפנימה ש"קו המגע לעולם יפרץ". אם בעבר חומת אש בנקודת הכניסה לרשת ותוכנת אנטי-וירוס על השרתים ותחנות הקצה היו מערך אבטחת המידע כולו, היום ברור כי מערך אבטחת המידע חייב להיות מערך רב שכבתי הכולל כלי בקרה וניטור, כלי תגובה וכלי ניתוח ושכמו תמיד, עדיין ולמרות הכל, מתקפות רבות מתרחשות בתוך ומתוך הארגון ובתוך הסביבה קשה כיום לראות ולהכיל אותן.

כחלק מהאבולוציה בעולם אבטחת המידע, מתפשטת התפיסה הנקראת Trust No One לפיה אין יותר חלוקה של הרשת הארגונית לאזורים בטוחים או מבודדים. כל שרת, מכונה ומשתמש הם סכנה פוטנציאלית ברשת, גם לאחר הזדהות בכניסה ועמידה בתנאי הסף לשימוש ברשת כמו עדכניות תוכנות ההגנה וכו'. על מנת ליישם תפיסה זו בפועל, יש צורך בעדכון טופולוגית הרשת שכן, עד היום, מרבית כלי השליטה והניתוח היו עיוורים לנעשה בתוך התת-הרשת, בתוך ה VLAN. מרבית כלי הניתוח והשליטה פעלו במעבר בין תת הרשתות, רק כאשר שרת פונה אל שרת ברשת אחרת התעבורה נבדקת בחומת האש או מתג הליבה.

פתרון NSX של חברת VMware (באמצעות רכישה של חברת Nicira) הינו פתרון וירטואליזציה של רשתות תקשורת. הפתרון עושה שימוש בטכנולוגית  vCloud Networking and Security vCNS ו"רוכב" על virtual distributed switch. באמצעות NSX, כל שרת פיזי, Host, כולל באופן מובנה בתוך תשתית הווירטואליזציה, Hyper-Visor, גם מתג Layer-2, נתב Layer-3, חומת אש וכלי איזון עומסים Load Balancer. כתבתי למעלה שווירטואליזציה של רשתות תקשורת היא לא רעיון חדש והיא לא אבל היישום של NSX, ש"עולה" רמה אל תוך תשתית הווירטואליזציה הוא חידוש מאד משמעותי. כלל האכיפה והבקרה מתבצעות בצמוד לכל שרת וירטואלי, אין צורך במעבר של Session כל הדרך אל כרטיס הרשת הפיזי של השרת המארח, דרך המתגים ועד לחומת האש לביצוע אכיפה.

הפתרון מאפשר למעשה ליצור תת רשת לכל שרת וירטואלי ולכל שרת וירטואלי סט הגדרות המוצמדות אליו ועוברות איתו בין שרתים מארחים ואפילו בין סביבות כולל במעבר לDatacenter אחר, במידה וגם בו מוטמע NSX כמובן. תצורה זו נקראת בשם Micro-Segmentation היות ויחידת הבקרה שלנו משתנה, מישור הייחוס שלנו אינו עוד VLAN אלא פנים ה VLAN, אנו מודעים עכשיו גם לנעשה בין שני שרתים וירטואליים ה"מדברים" ביניהם על גבי אותו שרת מארח, בלי אפילו לצאת למתג החיצוני, "שיחה" שבעבר היתה בדרך כלל חומק מהרדאר נאכפת ומנוטרת במלואה כיום.

eastwest

כפי שניתן לראות בתמונה מעלה, בעבר, גם שני שרתים וירטואליים על אותו שרת מארח היו צריכים לפנות אל חומת האש ולעבור 6 תחנות בדרך, hope, ואילו שימוש ב NSX מאפשר תקשורת ישירה ללא כל Hope ללא ויתור על סט החוקים המנוהל על ידי חומת האש הארגונית.

פתרון NSX הוא לא אי בודד בים ולא מוצר אבטחת מידע עצמאי אלא פתרון תשתית המאפשר eco-system שלם, שיתוף הפעולה בין VMware ויצרני אבטחת המידע והתקשורת המובילים בעולם מאפשר התממשקות בין תשתית ה NSX  למוצרי Palo-Alto, Checkpoint, F5 ואחרים כך שכל ארגון המטמיע פתרון NSX יכול להמשיך ולבחור את הכלים הטובים ביותר בעיניו בשיטת Best of Breed. אם למשל ארגון בוחר להטמיע חומת אש של חברת Palo-Alto, כלל בסיס החוקים והחכמה מנוהל על ידי חומת האש אך האכיפה בפועל מתבצעת על ידי NSX. תוצר נוסף של יישום פתרון בצורה זו הוא חסכון משמעותי בתעבורה בתוך חדר השרתים ועומס מופחת על חומת האש עצמה.

nsxecosystem

מעבר ליכולות אבטחת מידע, הזכרתי גם את נושא המיתוג והניתוב. על ידי שימוש ב virtual distributed switch עם יכולות Layer-2 ו layer-3, מאפשרת תשתית ה NSX גמישות ודינאמיות רבה בהגדרת רשתות התקשורת. למעשה, אנו יכולים להגדיר את רשת התקשורת בתוך חדר השרתים כרשת שטוחה ברמה הנמוכה, רמת המתגים, וכלל הגדרות הסגמנטציה של הרשת מתבצעות ברמה הגבוהה, רמת תשתית הווירטואליזציה hyper-Visor. גם במעבר בין רשתות וטווחי כתובות NSX יוצר את סט החוקים באופן יחידני, Ad-Hoc, על מנת לאפשר תעבורה במידה והיא מורשית על ידי סט החוקים.

פתרון NSX הוא יישום מרשים ויעיל לרעיון קיים. וירטואליזציה של רשתות תקשורת היא לא רעיון חדש אבל היישום הזה מאד מרשים, היכולת להקים ולהוריד מאות סביבות ולרבב סביבה אחת בתוך סביבה שניה רלוונטית לחתכי לקוחות מסויימים, ספקי שירות או סביבות מעבדה גדולות למשל. גם לקוחות המקימים ומעדכנים באופן תדיר סביבות לימוד והדרכה יכולים להנות מהפרדת רשתות והקמה של סביבות בלחיצת כפתור, בשילוב עם פתרון vRealize Automation. היכולת לבצע הפרדה מלאה של סביבות, micro segmentation או guest isolation היא יכולת שרלוונטית לכל לקוח שמבין שמתקפות יכולות לבוא גם מתוך הסביבה ולהתפשט בתוך מה שעד היום היה נחשב, בטעות, כאזור מוגן ומאובטח. קו המגע לעולם יפרץ.

השרטוט מטה מראה את ההבדלים ברישוי בין הגרסאות, הדגשתי באדום את החלק הכי חשוב לדעתי. לא משנה איזו רמת רישוי נרכוש, היא תכלול את יכולת Distributed switching and routing שהיתה עד היום כלול רק ברישוי vSphere ברמות רישוי גבוהות ויקרות ולכן יכולת זו היתה חסם עיקרי לאימוץ פתרון NSX על ידי לקוחות בעלי סביבות פשוטות, קטנות או אילוצי תקציב אגרסיביים. פתרון NSX מתקרב בעדכון רישוי זה לחתך מאד רחב של לקוחות שעד היום נאלצו לוותר למרות הבנה של הצורך

nsxlic

שימוש נוסף ומאד מעניין לפתרון NSX הוא בעולם של שרידות מרובת אתרים. חברות רבות מציעות מערכות אחסון בתצורת active/active geo-cluster. נציין את NetApp Metro-Cluster או IBM SVC כדוגמא. פתרונות אלו מאפשרים ללקוחות להקים תשתית אחסון שרידה בין שני אתרים פיזיים ופתרון NSX מפשט את הקמת תשתית השרתים שמעל למערכות אחסון אלו. אם בעבר היתה חובה להקים תשתית layer-2 על מנת לשמר את טווח כתובות ה IP של השרתים בדילוג בין חדרי השרתים, כיום ניתן באמצעות NSX ל"ייצר" תשתית Layer-2 מעל תשתית Layer-3 כמעט ללא הכנה מוקדמת ובכך לפשט מעבר שרתים בין האתרים באופן חלקי או מלא.שרת וירטואלי "לוקח איתו" את סט החוקים וההגדרות שלו והתשתית תספק לו את כלל הקישוריות הנדרשת. כמובן שהפתרון נתמך באופן מלא על ידי פתרון הניהול Site Recovery manager SRM על מנת לבצע בלחיצת כפתור את תהליך המעבר בין האתרים אך התהליך פשוט מאי פעם.

לסיכום, מפת האיומים על הבית של סילוני מורכבת ודינאמית מאי פעם אך גם הכלים שעוזרים לו להתמודד משתפרים והופכים עם הזמן לזמינים יותר, זולים יותר ופשוטים יותר להטמעה. אני אוהב את VMware NSX. הפתרון יחסית פשוט להטמעה, נותן מענה למגוון צרכים ואתגרים ובניגוד לעבר גם מתומחר באופן הגיוני.

 

שלכם,

ניר מליק