תגית: security

Nutanix Enterprise AI 2.4.0 and Knafeh cake

כתבתי כבר כמה פעמים על פתרון ה Nutanix Enterprise AI שלנו, כאן למשל וכאן, ואפילו חלקתי אתכם דמו קצר כאן וממש אתמול התפרסמה ידיעה שאולי תזקק עוד קצת למה בכלל צריך פתרונות כמו שלנו ולמה לא כל הארגונים יכולים או רוצים פשוט לצרוך שירותי AI חיצוניים.

אז ממש אתמול פורסם שחוקרים ישראלים הציגו בכנס Black Hat את היכולת להשתלט על חשבונות ChatGPT ולהוציא מהם מידע כולל השגת גישה לחשבון Google Drive שמקושר לאותם חשבונות. כתוב גם שהם הדגימו יכולות דומות לגבי co-pilot ולגבי Salesforce  Einstein שעליו אני מצטער להודות שאפילו עוד לא שמעתי עד פרסום הידיעה הזו.

לכאורה, לפי הכתוב, החוקרים מנצלים חולשות מובנות בשירותים עצמם ואין צורך אפילו לשטות במשתמשים ככה שילחצו על קישור או יפעילו כלי, רק צריך לדעת את כתובת המייל שלהם.

זה תזמון מעולה אם ככה שאתמול השקנו את עדכון 2.4.0 של שירת ה AI שלנו שכולל שפע של חידושים וביניהם יכולת נוספת על בקרה לגבי המודלים המותרים בשימוש בסביבה ותמיכה בשימוש בפרוקסי לניתוב גישה לשירותים חיצוניים ככה שהפתרון המאובטח שלנו הפך מאובטח עוד יותר.

הוספנו גם תמיכה ב GPU חדשים כמו H200 או RTX Pro 6000 שמספקים עלות-ביצועים מעולים ואפילו תמיכה באינפרנסיג באמצעות CPU כלומר תמיכה ב AMX אם יש לכם מעבדים תומכים כמובן וגם שדרגנו על הדרך את אופן הגדרת ה End Point ועכשיו במקום טופס ארוך יש Wizard (אשף 😊) אז לסיכום החיים בטוחים יותר מהירים יותר וקלים יותר עם Nutanix NAI.

זהו, אני הולך להכין עוגת גלידה כנאפה, הרבה שלבים אבל מעט עבודה בכל שלב, מוזמנים לנסות גם ולחלוק איתי את התמונות המתכון של עדי קלינהופר נמצא כאן והתמונה היא מפעם קודמת שהכנתי את העוגה והשלבים הראשונים שכבר הכנתי היום יוצאים פחות פוטוגניים, הירוק של הפיסטוק פחות עמוק וגם הבנן שלי עוזר לי והוא קצת חסר סבלנות אז הקדאיף פחות שזוף ובכל זאת אני אופטימי לגבי הטעם.

בברכת בשורות טובות,

שישובו כל החטופים והחטופות במהרה אמן וכל החיילים והחיילות בריאים ושלמים!

שלכם כרגיל,

ניר מליק

Nutanix Enterprise AI, some cool user AI and a Nutanix micro segmentation demo for you to enjoy!

Nutanix Enterprise AI

אנחנו ממש ברגעים אלו מכריזים על פתרון חדש בשם NAI, רוצים לנחש באיזה תחום הוא?

נכון!

Nutanix Enterprise AI הוכרז רשמית ממש עכשיו והוא מרחיב את פתרון ה GPT-in-a-Box שדיברנו עליו בקצרה כאן וגם כאן למשל.

אנחנו רוצים לעזור ללקוחות לבצע בInferencing בפועל כמה שיותר קרוב לצריכה אבל לאפשר גמישות מלאה ולכן ניתן להריץ את הפתרון על כל פתרון קוברנטיס סטנדרטי (כל מה שעונה להגדרת CNFC Certified), שלנו או לא שלנו, בענן הציבורי כולל השירותים המנוהלים EKS, AKS, GKE , הענן הפרטי או bare metal.

אגב איך הייתם מגדירים Inferencing בעברית? התרגום המילולי הוא הסקה או הקשה אבל זה לא מרגיש מדויק מספיק, חסר כאן קצת מיצוי וקצת זיקוק אולי, לא?

הפתרון כולל Model repository כלומר מאחסן את המודלים שמורשים בארגון ומנהל עבורם role base access לניהול הרשאות ארגוני כמו לכל אפליקציה ארגונית אחרת. אנחנו מאפשרים נקודת גישה, endpoint, סטנדרטית לחלוטין כלומר למשל אם כבר התחלתם לפלרטט עם Open.AI ועכשיו אתם רוצים לבוא הביתה, אנחנו זמינים לכם ללא כל שינוי או בשינוים מינוריים בלבד, אתם כבר מדברים את השפה. המודלים עצמם יכולים להיות מלא אופציות של LLM אם זה משהו מה hugging face, אם זה NVIDIA NIM או אפילו משהו ייחודי לכם!

החלק האחרון הוא החלק הפחות סקסי אבל המשמעותי להפוך ניסוי קטן לפתרון ברמת enterprise, החלק של ניטור וניהול, החלק הכבד שתומך באפליקציה, כל נושא ה day-2 שלא חשבתם עליו בשלב בו החוקרים רק קצת שחקו עם AI והריצו משהו קטן על הלפטופ שלהם.

Google notebook LM

אגב כלי AI, שלחתי את זה לחברים בקבוצת ה Nutanix User Group שלנו אבל אני חייב לחלוק גם כאן, שמעתם כבר על Google notebook LM? זה שירות ממש מדהים בעיני ברמת הביצוע. נתתי לו קישור לפוסט הקודם שלי כאן בבלוג הצנוע הזה  וביקשתי ממנו ליצור פרק פודקסט קליל והומוריסטי. התוצאה לדעתי לא פחות ממדהימה. כרגע האופציה לפודקסט היא באנגלית בלבד אבל כאמור נתתי לו קישור לפוסט בעברית ותוך ממש כמה דקות נוצר פרק פודקסט בין גבר ואישה שמדברים בקלילות כמעט טבעית לחלוטין עלי כבלוגר, על זה שאני שוחה ומשלב בבלוג שלי בין החיים האישיים והמקצועיים והם אפילו הסבירו מה זה low code / no code, אם יש לכם שמונה דקות תקשיבו לזה:

וכמובן אם אתם לא ב user group  שלנו אתם מוזמנים גם בווטסאפ וגם בלינקידינקי.

Nutanix Flow micro-segmentation Demo

בלי קשר, השתתפתי היום בוובינר ביחד עם החברים בחברת Faddom, היתה נוכחות מאד מרשימה ואני מקווה שכל מי שהיה נהנה ולמד אני תמיד משתדל לכבד את הזמן של מי שמשקיע בי ומקווה שאכן היה ניצול זמן נכון של כולנו. בהמשך לוובינר הכנתי כאן דמו קצר על הפעלת חוקים ב Nutanix Flow Micro-Segmentation מקווה שתמצאו אותו מועיל גם.

את ההקלטה המלאה של הוובינר אפשר למצוא כאן למי שיש יותר זמן וסבלנות:

וזו כאן הכתבה אליה אביב מפנה בסוף ההקלטה:

https://www.calcalist.co.il/article/skxbsy0w1x

בברכת בשורות טובות,

שישובו כל החטופים והחטופות במהרה אמן וכל החיילים והחיילות בריאים ושלמים!

שלכם כרגיל,

ניר מליק

בין ברצלונה לליסבון

מכירים את זה שאתם מצטערים על משהו מסיבות מאד טובות?

השבוע מתקיים כנס ה Nutanix .NEXT, כנס הלקוחות הטכני השנתי שלנו בברצלונה ואני לא שם.

אני לא שם כי אני טס עם הבת שלי לראות את טיילור סוויפט בליסבון ככה שאני מצטער שאני לא חלק מהכנס החשוב הזה אבל אני מאד שמח על הזכות לקחת את הבת שלי להופעה כזו ככה שאני מפסיד את הכנס מסיבות טובות.

זה לא פשוט לעקוב אחרי כזה כנס מרחוק, הסשנים המרכזיים, ה key notes, משודרים לנו מרחוק אבל האוירה לא עוברת מסך לדעתי, זה מרגיש כמו שזה, מרוחק.

ועדיין, שווה לעבור על שטף הדברים שכבר הוכרזו, חלקם מהווים פריצות דרך של ממש.

אתמול בסשן הפתיחה, רג'יב מייסד ומנכ"ל החברה הטיל מיד בתחילת דבריו שתי פצצות ולחובבי סירטי פיראטים וסרטי מלחמה כמוני הוא ממש shot across the bow כנגד ברודקום.

ההצהרה הראשונה היא שאנחנו פותחים את פלטפורמת ה HCI שלנו ובקרוב נתחיל לאפשר שימוש באחסון חיצוני ולא סתם, פתרון האחסון החיצוני הראשון שעומד להתמך הוא Dell PowerFlex ואחריו באופן כללי תתאפשר תמיכה בפתרונון אחסון בקישוריות IP.

ההצהרה השניה היא שאותה Dell עומדת להתחיל למכור פתרון אחוד מבוסס חומרה של Dell ופלטפורמת התוכנה שלנו. הפתרון ימכר ויתמך במלואו על ידי Dell ורג'יב הציע בחיוך לקרוא לו NxRail.

שני הצעדים האלו מרחיבים משמעותית את היכולת שלנו לסייע ללקוחות ולקוחות פוטנציאלים להנות מהפלטפורמה שלנו, מדגישים את התמיכה החזקה של היצרניות הכי גדולות בעולם המחשוב בנו ובטכנולוגיה שלנו ועוקצת על הדרך את ברודקום, Dell היתה הבעלים של VMware עד לא מזמן והיה נראה כאילו כלום לא יסדוק את השותפות הזו.

האוירה הזו של פתיחות והתרחבות ממשיכה גם בהעמקת המסר של AHV on any server ובקרוב מאד יושלם המהלך האסטרטגי שהוכרז באוגוסט עם Cisco ונאפשר תמיכה גם בשרתי ה UCS Blade שלהם ולאחר מכן נרחיב את התמיכה ב Blade Form factor. הרבה מאד לקוחות מחכים לתמיכה בתצורות האלו והרבה מאד לקוחות מחכים לאופציה להרחיב עוד את השימוש בחומרות קיימות כמו למשל VSAN ready nodes.

עוד בחזית הפתיחות והגמישות נמצאת ההכרזה שניתן להשתמש בפתרון האחסון התוכנתי שלנו על גבי שרתים וירטואליים וקונטיינרים בתוך סביבת הענן ה Native של הלקוחות. אם ההכרזה על תמיכה באחסון חיצוני מלמדת על ניתוק ה Hypervisor מהאחסון, כאן אנחנו רואים ניתוק האחסון מה Hypervisor. לקוחות שצריכים פתרון אחסון גמיש וחכם בתוך סביבת הענן שלהם יכולים עכשיו לעשות את זה גם באופן תוכנתי לחלוטין ולא רק כמו שתמכנו בעבר על בסיס bare metal resources בלבד. תחשבו למשל על היכול לשדרג את פתרון האחסון לרמת enterprise grade גם בתוך סביב EKS קיימת או סביבת OpenShift!

בהמשך להכרזות האלו דיברו הרבה גם על AI ובוצעו שתי הדגמות חיות מעניינות. אל תוך הפלטפורמות שלנו הוספנו ממש co-pilot שמאפשר לנו להתכתב עם המערכות שלנו במלל חופשי ובהדגמה הראשונה, ידידי חוזה גומז הראה איך הוא מבקש מהבוט במלל פשוט להקים מכונה וירטואלית והבוט מספק את כל שורות הקוד הנדרשות. לאחר מכן חוזה הדגים גם את יכולת ה day 2 וביקש מהבוט פשוט להוסיף משאבים למכונה שנוצרה קודם לכן. בהדגמה השניה, טובי קנופ שהיה המייסד של D2iQ שרכשנו בשנה שעברה ועכשיו נקראת NKP הדגים איך הוא משתמש בבוט המובנה במערכת כדי להבין את ההתראות שקיבל בסביבת הקונטיינרים שלו ואפילו משתמש בבוט כדי לפתור את הבעיה עליה דיברה ההתראה. אגב טובי היה מי שהוביל את הקונטיינריזציה של Air B&B וטוויטר ו D2iQ היא הגלגול של mesosphere ככה שהאיש יודע על מה הוא מדבר בעולם הקונטיינרים, אם הוא מוכן להתכתב עם בוט בסביבה הזו נראה לי שגם אנחנו יכולים.

עד עכשיו היו גם שתי הכרזות מעניינות בעולם אבטחת המידע, הראשונה, בנוגע לסנפשוטים מאובטחים, הוספנו את היכולת ל multi party verification כלומר ניתן להגדיר ששינוי מדיניות או מחיקת סנפשוטים ידרוש יותר מאישור אדמין אחד במערכת, כמו מנגנון שני מפתחות בצוללת, ככה שגם אם נגנב משתמש יחיד או שיש לנו אדמין ממורמר אחד בסביבה לא ניתן לגרום נזק משמעותי.  השניה נוגעת להרחבת יכולת ה datalens שלנו, אותו כלי ניתוח מידע והתמודדות עם מתקפות כופרה, שעכשיו תומך גם ב AWS S3 בדומה לתמיכה במערכות האחסון שלנו ושל אייסילון.

למי שעוד חי עם הרגליים על הקרקע הרחבנו גם משמעותית את נפח האחסון הנתמך ל Node בודד ועכשיו ניתן לייצר שרתים עם 550TB NVMe שמספקים עד 10GB throughput כל אחד, מישהו אמר חמישה פטה בחצי ארון לטובת AI training?!

בעולם הרוח עלה על הבמה אגדת המרוצים סבסטיאן וטל, ארבע פעמים אלוף עולם ב F1. הוא דיבר על הפעילות שלו בעולם המרוצים ועל מה שהוא עושה בימינו בעולמות התמיכה באיכות הסביבה והדלקים החלופיים והיה גם די מרגש לשמוע אותו מתאר את הריצה שיזם בסוף השבוע האחרון באימולה במלאות 30 לתאונה המחרידה בה מצא את מותו הנהג האגדי איירטון סנה והיה מאד יפה שלא שכח והזכיר גם את רולנד רמנברגר שנהרג באותו סוף השבוע באותו המסלול אך נשאר בצילו של סנה וקצת נשכח.

כאמור אני עוקב מרחוק אז אולי פספסתי משהו אבל אני חושב שכיסיתי את הדברים הגדולים ואשמח להוסיף פרטים בפוסטים עתידיים.

במסגרת הכנס עשו הרבה כבוד גם לקבוצת ה Nutanix Champions שלנו אז אם אתם רוצים להצטרף, אם אתם טכנולוגיים, אוהבים נוטניקס ומעורבים בקהילה סביבכם בואו נדבר.

אני לא בטוח שאוכל להתחבר לסשן של סוף היום אז לא בטוח אם יהיו לי עוד עדכונים אבל מקווה שכולם זוכרים to shake it off ושכולם גם זוכרים להביא לי קצת חמון!

בברכת בשורות טובות,

שישובו כל החטופים והחטופות במהרה אמן וכל החיילים והחיילות בריאים ושלמים!

שלכם כרגיל,

ניר מליק

backup, security and running around tunnels

הטיסה הביתה היתה פחות נוראית, קודם כל תודה ל JetBlue שהטיסה איתם לניו-יורק היתה לא נוראית בכלל וטיסת ההמשך עם אל-על היתה קשוחה אבל נסבלת. לקראת הנחיתה בבית ניגש אלי אחד הדיילים ואמר שהגיע מברק (מברק!)  שהמזוודה שלי לא עלתה על הטיסה אז בנחיתה אני צריך לגשת לדלפק של אל-על לסדר את העניין. הייתי ממש מבואס כי הפעם ממש השקעתי במתנות ועמדתי כולי מבואס בתור לדלפק הזה. אחרי שמילאתי את הניירת הנדרשת, שניה לפני שיצאתי לתור המוניות, החלטתי לעבור ליד המסוע הרלוונטי לטיסה שלי רק ליתר בטחון, תארו לכם מה רבה היתה שמחתי לראות את המזוודה שלי שם, איזו הפתעה נעימה, מעניין איזה גליץ' מערכות גרם לדייל לקבל מברק (כן כן הוא אמר מברק!) שגוי?

בכל מקרה, הכנס עצמו בוגאס היה מעולה, מאד מעניין ומגוון, כמובן שלא כל הסשנים היו באותה רמה אבל בגדול אחלה אירוע. סיפרתי לכם בפוסט הקודם שיצאתי לרוץ אז זה היה ביום שני וביום שלישי יצאתי לרוץ שוב, הפעם ביחד עם הכנס כחלק מהאג'נדה הרשמית, בקבוצה של 150 רצים, עם די'גיי טישרטים וליווי משטרתי כדי לחסום לנו צמתים, היה ממש מגניב! אגב כל הריצות האלו, כמו כל הפעילויות בכנסים שלנו, מוקדשות להעלאת המודעות לארגון Charity: water שאנחנו תומכים בו, מוזמנים להעיף מבט ולתרום, ברכה עליכם ועל ביתכם!

סיפרתי לכם לא מזמן, לקראת הנסיעה הזו, גם על פרויקט המנהרות של אלון מאסק, אז הנסיעה המנהרות נחמדה ומרגישה קצת עתידנית אבל רק קצת כי למרבה הפתעתי ואולי אי הבנתי, הטסלות ממש ממש לא אוטונומיות, יש להן נהגים או במקרה שלי נהגת חביבה. אני לא יודע כמה היא צודקת ואני מקווה שהיא לא כי יש לי הרבה אמון בעתיד התחבורה האטונומית, היא טוענת שלעולם הרכבים במנהרות לא יהיו אוטונומיים לחלוטין. ראשית, כי הם עצמם לא מספיק חכמים ולא סומכים עליהם לנסוע בלי נהג שיפקח עליהם ושנית, כי הנוסעים לא מספיק חכמים וכל הזמן משנים את דעתם, רוצים לחזור למלון לקחת את הטלפון שהם שכחו או טועים בתחנה שהם ביקשו וכו'. בכל מקרה הנסיעה במסלול הקצר מהמלון למרכז הכנסים וחזרה יעילה ונעימה אבל כמובן שמאד מוגבלת במערכת המנהרות המאד מצומצמת בינתיים ובעומס מאד נמוך של מיעוט נוסעים.

השבוע הזה התחיל היום הגיבויים הבינלאומי, international backup day, שחל ב31 במרץ, ואמנם הפרק שוחרר בשבוע שעבר אבל לא מזמן התראיינתי לפודקסט "למה סייבר?!" והוא רלוונטי מאד לנושא גיבוי ושחזור, אשמח אם תאזינו

זוכרים שבקיץ סיפרתי לכם על פתרון ה GPT-in-a-Box  שלנו? אולי אתם לא זוכרים כי הסחתי את דעתכם עם סיפורים על רומניה אבל אני מזכיר לכם ללכת לקרוא את הפוסט ההוא כי החברים ב jfrog פירסמו מחקר שמדבר על הסיכונים במודלי LLM ומראים כמה קל להחדיר קוד זדוני לתוך מודלים שזמינים להורדה בריפו הכי פופולרי בתחום, Hugging face. אז שימרו על עצמכם, שימו לב למה אתם מורידים מאיפה ואם אתם צריכים עזרה דברו איתנו יש לנו הרבה מומחים בתחום שיודעים לבנות ביחד אתכם פרויקט GPT אירגוני משלכם בצורה בטוחה ונכונה, ביחד השמיים הם הגבול!

עוד בנושא אבטחה, הפרק האחרון בפודקסט של Nutanix Community מארחים השבוע את kasm ומדברים על אבטחת דפדפנים ואפליקציות

למי שמתעניין בקהילת השותפים של נוטניקס יש אתר יעודי ששמו next וזה כמובן גם שם הכנס השנתי שלנו שיערך השנה במאי בברצלונה למי מכם שעדיין לא נרשם. אגב למשתמשי נוטניקס בישראל יש גם קבוצת ווטסאפ די שקטה, אם אתם רוצים להצטרף דברו איתי אני במקרה מכיר את האדמין 😊

בברכת בשורות טובות,

שישובו כל החטופים והחטופות במהרה אמן וכל החיילים והחיילות בריאים ושלמים!

שלכם כרגיל,

ניר מליק

How Palo Alto Networks protect modern applications on Red Hat OpenShift. לייב בלוג –

לצערי עדיין עובדים בחצר אבל ננסה לעקוב אחרי הסשן למרות הרעש. אני לא איש אבטחת מידע למרות שיש לי נסיון בתחום מלפני שנים רבות אבל אני באמת סקרן לראות מה פאלו-אלטו יודעת לעשות בענן הציבורי, כמו הרבה חברות אחרות, פאלו-אלטו גדלה בעולמות ה On-Prem, עוד לפני שהמצאנו את הענן והמעבר מקופסאות פיזיות שמגינות על ה Perimeter לעולמות לוגיים לחלוטין הוא תמיד מעניין.

הפוקוס של הסשן, על פי רועי ליטרט שמציג, הוא השת"פ בין פאלו-אלטו ורד-האט בעולמות של קונטיינרים ו open-shift. מאז שקמה החברה ב 2007 המטרה שלה היתה להגן על כל המידע בארגון מכל המקומות המחוברים לרשת, מתחנות הקצה ועד חדר השרתים ולספק שקיפות לגבי כל הרשת והגנה מפני כל סוגי ההתקפות.

פאלו-אלטו מחולקת לשלוש חטיבות, חטיבה ראשונה שמתעסקת בחומות האש הארגוניות, קו המוצרים ממנו צמחה החברה. חטיבה שניה היא חטיבת הפריזמה, חטיבת הענן ושירותי הענן שמספקת גם פתרונות לעולם הקונטיינרים והסרבר-לס. החטיבה השלישית היא  חטיבת ה end point.

חלק ממה שהקפיץ את היכולות של פאלו-אלטו בתחם הענן הוא שפע של רכישות מאז 2018, למעלה מ 3 מיליארד דולר רכישות בשנים האלו כשמעל חצי מזה רק בעולמות הענן.

ארז קירזון מרד-האט מציג עכשיו:

האתגר שרד-האט לקחה על עצמה בעולם הקוברנטיס זה שההפצה שלהם תכלול כל מה שצריך כדי להריץ שירותים בפרודקשן, לכלול את כל ה dependencies על מנת לעבוד בפרודקשן בסביבות הכי תובעניות. ההפצה היא open source, היא מאד מאובטחת באופן מובנה וניתן להתקין אותה בתאימות מלאה על כמעט כל דבר שנרצה להתקין אותה על מנת לעבוד.

סליחה, היה עכשיו קונצרט של פטישונים ודיסקי-חיתוך בחוץ ופספסתי את ההתחלה של הסגמנט הזה שמדבר על אופרטורים אבל הפואנטה היא שרד-האט מבצעת תמיכה בדיקות תקינות ובדיקות עומסים לאופרטורים של האקו-סיסטם על מנת לאפשר הרבה אוטומציה וגמישות למשתמשים ההפצה שלה

צילום מסך מתוך המצגת

עוברים עכשיו אל גיא נוי מפאלו אלטו לטובת דמו

אוף, כמה קשה להתרכז עם הרעש הזה

מזכיר עכשיו הרבה טכנולוגיות של WAAS/WAF, סריקה של S3, מיקרוסגמנטיישן ושל IAM Security

פאלו-אלטו מתחילה לסרוק ולאתר רגישויות (vulnerability) כבר בשלב גיט-האב והג'נקינס כלומר הגנה משלב הבילד, דרך הship ואל תוך ההרצה בפרודקשן

אני מתקשה לעקוב ואין לי שום דבר חכם להגיד מעבר לזה שה GUI נראה נעים ויעיל.

המערכת בונה סט חוקים לרמה של פקודות ה runtime המותרות וכו' ומתריעה על כל חריגה מסט החוקים המותר, positive security. המערכת מונעת כל שינוי בביינארי או בסרטיפיקט.

הדגמה יפה של ניהול access control באמצעות ה WAAS, נעילה של ה API לפקודות מסויימות עם פרמטרים ספציפיים

המערכת מאפשרת ניהול inventory מלא של כל מה שרץ לנו בסביבה

אני נאלץ לעזוב את הסשן, סך הכל נראה מעניין, הרבה מאד מידע זמין למנהל המערכת והרבה יכולת שליטה מאד גרנולרית

שלכם,

ניר מליק

bond, hacker bond – meltdown and spectre

זוכרים שב2006 דן חלוץ מכר מניות כמה שעות אל תוך האירועים בגבול הצפון שהתגלגלו למה שאנחנו מכירים כמלחמת לבנון השניה? אז מסתבר שמנכ"ל Intel עשה דבר דומה בשנה שעברה. על פי דיווחים שונים, בריאן קרזניץ מכר מניות בשווי עשרים עד ארבעים מיליון דולר וזאת למרות שלחברה כבר נודע על פרצות אבטחת המידע עליהן כולנו מתבשרים רק בימים אלו. זה אולי זמן טוב לשורט על אינטל כי המניה ירדה אבל עוד לא צנחה לקרקעית

intel

בגדול, הפרצה הידועה בשם Meltdown ייחודית למעבדי אינטל ומאפשרת לכלי התקיפה לחדור אל עמודי הזיכרון השמורים לליבת מערכת הפעלה. הפרצה רלוונטית לכלל מערכות ההפעלה וחלק מהיצרניות כבר הוציאו עדכון תוכנה להתמודד עם הפרצה. יש לקחת בחשבון עלות של כ30% בביצועי המעבד לאחר יישום עדכון התוכנה.

מערכות בתצורת Appliance פחות חשופות להבנתי לפרצה זו היות ולמשתמש אין דרך להריץ תהליכים חיצוניים על גבי המערכת אבל גם אם אני צודק, אז צריך לקחת את זה בערבון מוגבל כי אנחנו תלויים בעד כמה מי שבנה את ה Appliance באמת הקשיח את הגישה. אצלנו ב Infinidat למשל הגישה ל Core מתבצעת רק באמצעות מפתח הצפנה פרטי ששמור רק אצלנו.

פרצה נוספת, קשה יותר לניצול אך נפוצה הרבה יותר היא Spectra. ספקטרה אינה ייחודית רק למעבדי אינטל, היא רלוונטית גם למעבדי AMD ומעבדי ARM. המידע על שתי הפרצות הוא חלקי בלבד וההסבר על ספקטרה נשמע מסתורי לגמרי כי הוא מדבר על פרצה שמנצל פגם בדרך שבה אנחנו מתכננים מעבדים מהיסוד. אולי אם אתה, קורא יקר, במקרה, מהנדס חומרה בתחום המיקרו-מעבדים, הבנת על מה מדובר, לי זה נשמע כמו שקר כלשהו אבל ההשלכה של האמירה הכללית הזו היא שהפתרון לפרצה לא יימצא בקרוב אלא יחייב דור חדש של מעבדים שמתוכננים לגמרי אחרת.

פריט בונוס לחובבי הז'אנר, ספקטרה זה גם הארגון אחריו רודף ג'יימס בנוד בסרטים רבים החל מכדור הרעם וד"ר נו ועד הסרט ספקטרה מ 2015 בכיכובו של דניאל קרייג שעושה תפקיד טוב מהצפוי בתפקיד בונד.

spectre

בברכת עדכונים תוכנה נעימים!

שלכם,

ניר מליק

שי אגסי, אחסון מבוסס פלאש ותותחים גרמניים

 רכבים אוטונומיים ומערכות אחסון מבוססות Flash

במסגרת תפקידי כאיש פריסייל בספקית האינטרנט 012, השתתפתי בכתיבת מענה למכרז תקשורת עבור חברה חדשה ומהפכנית בתחום הרכב, שבאותם ימים הייתה הבטחה גדולה בתחומה, בטר-פלייס. זה היה מכרז מרתק ובמסגרתו נחשפתי לאתגרים של פריסה ארצית של תחנות טעינה, ניהול ציי רכב, ניטור מערכות הרכב בזמן אמת או בהבזקים קצרים והזרמת תוכן בחזרה אל הרכבים. היזם שמאחורי החברה, שי אגסי, הבטיח מהפכה אמיתית בתחום הרכב, הצליח לרתום לפרויקט תמיכה של מדינות כמו ממשלת יפן שהתגייסה לתמוך בפיילוט של מוניות חשמליות בטוקיו, בנקים גדולים ואת חברת רנו העולמית שהייתה היצרנית הבלעדית של מכוניות בטר-פלייס.

לצערי החברה קרסה שנה אחת בלבד אחרי שהחלה לספק מכוניות ללקוחות פרטיים. האמנתי בחזון אותו הוביל אגסי. כולנו חכמים בדיעבד ונראה שחלקים מהמודל בו בחר אגסי, כמו חיוב טעינה בעמדות החברה בלבד ובחירה ברכב נטול סקס-אפיל לחלוטין, הביאו לכישלון וזאת בניגוד למשל להצלחה היחסית של חברת טסלה של אלון מאסק.

הפרק האחרון של הפודקסאט המצוין של הדסק הכלכלי של תאגיד השידור "כאן" עוסק בטכנולוגיה בעולם הרכב והוא זה שהזכיר לי את בטר-פלייס, בפרק מתראיין שי אגסי ובטר-פלייס שלו מוזכרת כמה פעמים במהלך הדיון. השאלה המרכזית בה עוסק אמסטרדמסקי שהנחה את הפרק היא האם בקרוב נפסיק בכלל לרכוש מכוניות פרטיות? האם הבשלת הטכנולוגיה של רכבים אוטונומיים, ידידותיים לסביבה, ביחד עם התרחבות מודל הצריכה השיתופי בסגנון אובר או ליפט תביא לכך שבקרוב פשוט לא נרצה להחזיק רכב משלנו? הדוברים בפרק בטוחים שכן. בסופו של דבר, נאמר פרק, בעתיד הקרוב מאד, שלוש, חמש או עשר שנים, לא נרכוש מכוניות פרטיות, ילדינו לא ילמדו לנהוג בעצמם ושוק הרכב יעבור תהליך מאד מואץ של התגבשות למספר מאד נמוך, ארבע או חמש, יצרניות ענק שיחלקו ביניהן את השוק.

הנקודה האחרונה, התגבשות השוק למספר קטן של יצרניות ענק, הוא הקישור שלי חזרה אל עולם התוכן שלנו כאן, עולם ה IT. לאחרונה, במסגרת דיון פנימי על השוק כולו, חבר שלי, עופר טל, שלח קישור לרשימה של מעל 100 יצרניות All Flash Storage ובמסגרת המאמר שהכיל את הרשימה, יש גם קישור לרשימה עתיקה של לא פחות מ 172 יצרניות SSD. 172 יצרניות SSD לעומת שלוש עד שבע יצרניות דיסקים, תלוי לרשימה של מי מאמינים. למעלה ממאה חברות מייצרות רק או גם מערכות All Flash.

ברור שלא לכולן יש עתיד. ברור כי על רוב היצרניות הקטנות, אלו המתמחות ב All Flash ואלו שמייצרות "גם" All Flash, על רובן לא שמעתם ולא תשמעו. גם המצליחות יחסית, מתקשות לייצר רווח, Pure היא אחת החברות המצליחות בעולם ה All Flash והיא מדווחת על הפסד של 41.6 מיליון דולר ברבעון האחרון וזה עוד שיפור מהפסד של 78.8 מיליון דולר ברבעון המקביל בשנה שעברה.

מה מייחד כל אחת מאותן מאה פלוס חברות All Flash? האמת היא פשוטה ואת רובן לא מייחד שום דבר וזו הסיבה שרובן תעלמנה. לחלקן יש משהו מיוחד, NetApp למשל מקדמת די בהצלחה את חזון ה DataFabric שלה ומערכות ה All Flash הן רק חלק מהמכלול שם. לנימבל, שנרכשה על ידי HPE, היה ה InfoSite, מערכת האנליטיקה המתקדמת שלה. השורה התחתונה, מי שמתמקד במדיה, בחומרה מהירה, פשוט מיישר קו עם העדר.

הערת אגב על זמינות ותשיעיות

בימים הקרובים אמור להתפרסם whitepaper חדש של IDC שמדבר על החשיבות של זמינות מערכות ברמה גבוה ומציין אותנו לטובה כיצרן היחיד שמתחייב לרמת זמינות של שבע תשיעיות.

כמאמר המשוררת, התשעיות לא מעניינות אף אחד אם הלקוח לא מרוצה אבל אני לא מודאג, יש לנו עוד כמה דברים מגניבים מעבר לרמת זמינות המערכת.

nines dont matter

https://www.zazzle.com/nines_dont_matter_t_shirt-235118578582589495

הערת אגב לגבי חמש תשיעיות, מי שעושה חיפוש על המושג five nines יכול ליפול גם על תותחים גרמניים ממלחמת העולם הראשונה, תותחים בקוטר 15 סנטימטר או 5.9 אינטש. לפי ויקיפדיה תותחים אלו, כמו תותחים גרמנים אחרים מאותה תקופה, הוטבעו במילים Ultima Ratio Regum, בתרגום חופשי מלטינית – הטיעון האחרון של המלך. ככל הנראה מסורת שהתחיל המלך לואי הארבעה עשר לציין שהמלחמה היא המשך הוויכוח.

By Kadin2048 (Own work) [GFDL (http://www.gnu.org/copyleft/fdl.html), CC-BY-SA-3.0 (http://creativecommons.org/licenses/by-sa/3.0/) or CC BY-SA 2.5 (https://creativecommons.org/licenses/by-sa/2.5)%5D, via Wikimedia Commons

מילה על אבטחת מידע לסיום

הידיעה הבאה הכניסה בי יאוש מסוים, איש ה NSA הורשע בבית המשפט על פי הודעתו. מידע מסווג שלקח הביתה, נגנב על ידי שירותי המודיעין הרוסים תוך שימוש בתוכנת האנטי-וירוס של קספרסקי שהותקנה על המחשב שלו. למה זה מכניס בי ייאוש? כי כמו שנכתב כבר בבלוג שלי כאן וכאן, חינוך עובדים להתנהגות מודעת הוא חלק משמעותי במערך אבטחת המידע של הארגון ואם אפילו עובדי NSA לוקחים חומר מסווג הביתה סם כך, מה יגידו אזובי הקיר?

זה הכל להפעם,

אשמח לשמוע מה דעתכם!

שלכם,

ניר מליק

 

מיני פוסט – פרצת אבטחה חמורה בפרוטוקול הצפנת תקשורת אלחוטית WPA2

אני לא מומחה אבטחת מידע ואני מפנה את כולכם לקריאה מסודרת באתר https://www.krackattacks.com/

בימים האחרונים פורסמה פרצת אבטחה מובנית בפרוטוקול ההצפנה WPA2 הנפוץ ברשתות תקשורת אלחוטיות ועד לאחרונה נחשב די מאובטח.

על פי הפרסום הפרצה מובנית בדרך הפעולה של הפרוטוקול עצמו ולא באופן היישום של יצרן ספציפי כך שסביר להניח שאם יש לכם או בניהולכם רשת תקשורת אלחוטית, היא חשופה להתקפה.

באופן פשוט ופשטני, באמצעות התקפת man in the middle אפשר לגרום ל access point לשדר את מפתח ההצפנה שוב ושוב. על ידי האזנה לשידור חוזר זה ניתן לבצע מניפולציות על מפתחות ההצפנה והתעבורה. במערכות לינוקס ואנדרואיד 6 המתקפה חמורה במיוחד שכן היא גורמת לקליינט להגדיר לעצמו מפתח הצפנה שכולו אפסים (000…). במקרה שכזה כמובן שניתן אפילו יותר בקלות להשתמש במפתח הצפנה בכדי לקרוא את תוכן התעבורה.

עקבו אחרי הפרסומים ועדכנו את הנתבים\AP שלכם בהקדם!

פוסט אורח: "הצד שלה" וקצת על אבטחת המידע בארגון‎

שלום לקוראי הבלוג,

אני הדס, רעייתו האוהבת של כותב בלוג זה, ואשת אבטחת מידע ותיקה (היום כבר לא אומרים "אבטחת מידע" אלא "הגנת סייבר", למרות שברוב המקרים אומרים אחד ומתכוונים לשני ולהפך). בזמן שבעלי מכלה צ'פאטי ודהל-בהט במומבאי (ראו פוסט קודם), אני התפניתי לספר לכם על "הצד שלה", וגם לחלוק איתכם קצת תובנות, ממעוף הציפור, בנושא אבטחת המידע הארגונית.

נושא ה"טיסות לחו"ל מטעם העבודה" אינו זר לנו. בעבר בעלי נסע לכנסים בחו"ל ואף זכה בטיולי פנאי מטעם החברה במקומות שונים בעולם אך זו הפעם הראשונה שהוא נוסע, ממש, לעבוד בחו"ל. התחושה מעורבת- מצד אחד גאווה גדולה ופרגון עצום, ומצד שני הימים הארוכים וההתמודדות עם כל המטלות בבית בלי עזרה היא לא פשוטה. משימות שהן בדרך כלל נחלתו הבלעדית כמו הר הכלים בכיור או מיתון עליצותה המוגזמת של הכלבה מצטרפות למשימות השגרתיות של ההורות ותפעול הבית והופכות, יחד עם הגעגועים, למעמסה שהיא לא רק רגשית. יש לנסיעות האלה גם צדדים חיוביים, כך למדתי. למשל, אתמול הלכתי לישון בשמונה בערב בלי שום רגשות אשם, גם הררי הכביסה צומצמו בחצי, והילדה ואני אוכלות רק מה שאני אוהבת לארוחת הערב, מבלי להתחשב בהעדפותיו הקולינריות של אדם נוסף.

בדרך כלל תחומי העיסוק של בעלי ושלי לא מצטלבים. אנחנו מבינים היטב זה את זה אבל עדיין, מערכות גיבוי ואחסון גדולות כמו NetApp, ועכשיו גם Infinidat, לא סובלות מאותו סוג איומי סייבר שיש, למשל, למערכות הפעלה.

ברור, מערכות שמחזיקות את כל המידע הארגוני, גם הרגיש ביותר, הן יעד מועדף על תוקפים, אולם ברוב המקרים הן ייחודיות ופחות נגישות ממערכות אחרות, מוחצנות יותר, כגון תחנות הקצה הארגוניות, שרת הדוא"ל, שרת הweb ודומיהן.

בהקשר קרוב, בשבוע שעבר התקיימה תחרות ההאקינג Pwn2Own השנתית, בה לוקחים חלק משתתפים מכל העולם ויכולים לזכות בפרסים של מאות אלפי דולרים. המשימה העיקרית בתחרות השנה הייתה "התחמקות ממכונות וירטואליות", המתחרים קיבלו מכונה וירטואלית של VMware או Hyper-V והיו צריכים להשיג שליטה בשרת המארח ("guest to host"). הקבוצה שזכתה בפרס הראשון, אנשי אבטחת מידע מחברת Qihoo360 הסינית, הצליחו להשלים את האתגר באמצעות שימוש בחולשת heap overflow  בדפדפן Edge, שהובילה לחשיפת באג type confusion בקרנל ווינדוס שהובילה לניצול uninitialized buffer ב- VMware.

על אף הייחודיות של מערכות הגיבוי והאחסון, מידי פעם אפשר לפגוש בחולשה סוררת במוצרים ספציפיים. חולשות כאלה עלולות אפילו לאפשר גישה מרוחקת לממשק הניהול או הרצת קוד, ולכן כדאי לבצע מעקב אחר החולשות המתפרסמות באתר CveDetails לפי שם היצרן, ולוודא שהמערכת בה אתם משתמשים לא חשופה לחולשות (או לפחות שיש לכם את הגרסא העדכנית ביותר). יש המון דוגמאות לחולשות כאלו, אני אבחר שתיים שמוגדרות קריטיות: חולשה CVE-2017-5600 ב- OnCommand Insight Data Warehouse של NetApp שפורסמה לפני חודש בדיוק, העלולה לאפשר לתוקף מרוחק גישה לממשק וביצוע פעולות, או חולשה CVE-2016-9871 במערכת ההפעלה EMC Isilon OneFS שפורסמה גם היא בחודש שעבר והתעדכנה לפני כשבוע, ומאפשרת למשתמש בעל הרשאות ISI_PRIV_LOGIN_PAPI ו- ISI_PRIV_SYS_SUPPORT לקבל גישת root. אגב, כשהיצרן עצמו מדווח על חולשות במוצרים שלו, הוא ברוב המקרים לא יציג PoC או את אופן הניצול הספציפי של החולשה. ככה הם יצרנים, לא אוהבים לירות לעצמם ברגל.

אז איך מתגוננים? כמובן הטמעת עדכוני אבטחה / שדרוג גרסא ברגע שהם מתפרסמים, בהנחה שאפשר לעשות את זה בלי, או במינימום, פגיעה בשירות. כמובן, גם עצות כלליות כמו שמירת הערנות והזהירות של עובדי הארגון בשילוב עם מערכות הגנה סבירות ומעלה הן טובות בכל הקשר, גם כאן.

ברוב המקרים ההתייחסות ברשת היא רק לאיומים הניצבים בפני משתמשי הגיבוי בענן, בדר"כ שירותי אחסון ציבוריים כמו Google Drive, Azure וכאלה, מכיוון שמערכות הגיבוי ה"גדולות" שלכם מגיעות עם הגדרות אבטחה מומלצות, הן יקרות מכדי שתוקף (שהוא לא מדינה) ירכוש אותן רק לצרכי חיפוש פרצות אבטחה והן מוגנות ע"י שלל מערכות ההגנה הארגוניות שה- CISO המוכשר שלכם כבר אפיין ותכנן ודאג שיטמיעו על הצד הטוב ביותר. ככה לפחות אני מקווה.

שלכם,

רעייתו

 

מחשבות בנושא NSX

פעמיים בשנה, במהלך כל השירות הצבאי שלי, מפקד היחידה היה מעביר שיעור לכלל הלוחמים. כל שיעור התחיל באותה דוגמא על סילוני, אחד הלוחמים, שרצה לשמור על הבית שלו והיו לו גדר וכלב שמירה וכל מני אמצעי שמירה אחרים. אחד הלקחים המשמעותיים בשיעור היה העובדה ש"קו המגע לעולם יפרץ". פורץ נחוש מספיק תמיד ימצא דרך לפרוץ אל הבית של סילוני וסילוני חייב להגן גם מבפנים. סילוני גם היה מאד מוטרד מהמנקה שבא פעם בשבוע ולוודא שהיא באה לבד ושהיא אכן מי שהיא אומרת שהיא אחרי הכל לא כל פורץ נראה כמו פורץ וקשת האיומים היא רחבה ומגוונת. זה היה שיעור נהדר על ההבדלים בין טקטיקה ולאסטרטגיה, בין תכנית סדורה לגמישות מחשבתית ובין רצוי למצוי. מאד אהבתי את השיעורים האלו ואני זוכר חלקים שלמים מהם עד היום.

עשור לאחר השירות הסדיר שלי, בערך, קיבלתי את תפקיד איש הפריסייל הראשון שלי בחברת "אינטרנט זהב" שלימים התאחדה עם "קווי זהב" שלימים התאחדה עם "פרטנר". אותם ימים נדמו לי כימים של פריחה בתחום אבטחת המידע, חברות רבות עדיין פעלו כמעט ללא כל אמצעי אבטחת מידע וחלק מהשיחות שלנו עם לקוחות עדיין עסקו בשאלה אם בכלל צריך להתקין חומת אש בארגון, האם יש צורך להשקיע בהתקנת תוכנת אנטי-וירוס טובה ועוד כל מני דיוני בסיס כאלו. מכרנו מאות יחידות חומרה של checkpoint ולצד זאת ביצענו גם לא מעט הטמעות של מוצרים יחודיים יותר כמוצרי One Time Password OTP, מוצרי NAC ופה ושם אפילו דיברנו על חומות אש אפליקטיביות, WAF, למרות שעבור מרבית הלקוחות הישראלים באותה תקופה היו מוצרים אלו יקרים מדי. מרבית הלקוחות הרלוונטיים, לקוחות ה Web,  הבינו את החשיבות של כלים אלו אבל גם עבורם לפעמים העלות הכספית היתה גבוהה ממה שנראה היה להם מוצדק לשלם.

אותם ימים היו גם ימי ראשית הווירטואליזציה בתחום השרתים בארץ. כנסים רבים עסקו אז בהצגה ראשונית של VMware vSphere וכמו רבים מסביבי די נדהמתי כשהדגימו ביצוע vMotion של שרת וירטואלי בין שרתים פיזיים תוך שידור של סרט באיכות גבוהה מבלי שהסרט אפילו מגמגם (נדמה לי שזה היה "רובוטריקים").

עבר עוד עשור מאז, וירטואליזציה של שרתים היא כבר הסטנדרט בתעשייה ומרבית השרתים בעולם הם שרתים וירטואליים, וירטואליזציה של מערכות אחסון אינה חידוש אמיתי ואפילו וירטואליזציה של רשתות תקשורת היא מושג מאד ותיק לכל מי שמכיר רשתות Multi-Protocol Label Switching MPLS או Virtual Route Forwarding VRF. גם בתחום אבטחת המידע חלו שינויים מרחיקי לכת. ראשית, כמו שמפקד פלוגת מפקדה הוא היום מפקד הפלוגה הטכנו-לוגיסטית, גם תחום אבטחת המידע שינה לעצמו את השם לתחום ה"סייבר". שנית, באופן קצת יותר מהותי, גם תעשיית ה IT הפנימה ש"קו המגע לעולם יפרץ". אם בעבר חומת אש בנקודת הכניסה לרשת ותוכנת אנטי-וירוס על השרתים ותחנות הקצה היו מערך אבטחת המידע כולו, היום ברור כי מערך אבטחת המידע חייב להיות מערך רב שכבתי הכולל כלי בקרה וניטור, כלי תגובה וכלי ניתוח ושכמו תמיד, עדיין ולמרות הכל, מתקפות רבות מתרחשות בתוך ומתוך הארגון ובתוך הסביבה קשה כיום לראות ולהכיל אותן.

כחלק מהאבולוציה בעולם אבטחת המידע, מתפשטת התפיסה הנקראת Trust No One לפיה אין יותר חלוקה של הרשת הארגונית לאזורים בטוחים או מבודדים. כל שרת, מכונה ומשתמש הם סכנה פוטנציאלית ברשת, גם לאחר הזדהות בכניסה ועמידה בתנאי הסף לשימוש ברשת כמו עדכניות תוכנות ההגנה וכו'. על מנת ליישם תפיסה זו בפועל, יש צורך בעדכון טופולוגית הרשת שכן, עד היום, מרבית כלי השליטה והניתוח היו עיוורים לנעשה בתוך התת-הרשת, בתוך ה VLAN. מרבית כלי הניתוח והשליטה פעלו במעבר בין תת הרשתות, רק כאשר שרת פונה אל שרת ברשת אחרת התעבורה נבדקת בחומת האש או מתג הליבה.

פתרון NSX של חברת VMware (באמצעות רכישה של חברת Nicira) הינו פתרון וירטואליזציה של רשתות תקשורת. הפתרון עושה שימוש בטכנולוגית  vCloud Networking and Security vCNS ו"רוכב" על virtual distributed switch. באמצעות NSX, כל שרת פיזי, Host, כולל באופן מובנה בתוך תשתית הווירטואליזציה, Hyper-Visor, גם מתג Layer-2, נתב Layer-3, חומת אש וכלי איזון עומסים Load Balancer. כתבתי למעלה שווירטואליזציה של רשתות תקשורת היא לא רעיון חדש והיא לא אבל היישום של NSX, ש"עולה" רמה אל תוך תשתית הווירטואליזציה הוא חידוש מאד משמעותי. כלל האכיפה והבקרה מתבצעות בצמוד לכל שרת וירטואלי, אין צורך במעבר של Session כל הדרך אל כרטיס הרשת הפיזי של השרת המארח, דרך המתגים ועד לחומת האש לביצוע אכיפה.

הפתרון מאפשר למעשה ליצור תת רשת לכל שרת וירטואלי ולכל שרת וירטואלי סט הגדרות המוצמדות אליו ועוברות איתו בין שרתים מארחים ואפילו בין סביבות כולל במעבר לDatacenter אחר, במידה וגם בו מוטמע NSX כמובן. תצורה זו נקראת בשם Micro-Segmentation היות ויחידת הבקרה שלנו משתנה, מישור הייחוס שלנו אינו עוד VLAN אלא פנים ה VLAN, אנו מודעים עכשיו גם לנעשה בין שני שרתים וירטואליים ה"מדברים" ביניהם על גבי אותו שרת מארח, בלי אפילו לצאת למתג החיצוני, "שיחה" שבעבר היתה בדרך כלל חומק מהרדאר נאכפת ומנוטרת במלואה כיום.

eastwest

כפי שניתן לראות בתמונה מעלה, בעבר, גם שני שרתים וירטואליים על אותו שרת מארח היו צריכים לפנות אל חומת האש ולעבור 6 תחנות בדרך, hope, ואילו שימוש ב NSX מאפשר תקשורת ישירה ללא כל Hope ללא ויתור על סט החוקים המנוהל על ידי חומת האש הארגונית.

פתרון NSX הוא לא אי בודד בים ולא מוצר אבטחת מידע עצמאי אלא פתרון תשתית המאפשר eco-system שלם, שיתוף הפעולה בין VMware ויצרני אבטחת המידע והתקשורת המובילים בעולם מאפשר התממשקות בין תשתית ה NSX  למוצרי Palo-Alto, Checkpoint, F5 ואחרים כך שכל ארגון המטמיע פתרון NSX יכול להמשיך ולבחור את הכלים הטובים ביותר בעיניו בשיטת Best of Breed. אם למשל ארגון בוחר להטמיע חומת אש של חברת Palo-Alto, כלל בסיס החוקים והחכמה מנוהל על ידי חומת האש אך האכיפה בפועל מתבצעת על ידי NSX. תוצר נוסף של יישום פתרון בצורה זו הוא חסכון משמעותי בתעבורה בתוך חדר השרתים ועומס מופחת על חומת האש עצמה.

nsxecosystem

מעבר ליכולות אבטחת מידע, הזכרתי גם את נושא המיתוג והניתוב. על ידי שימוש ב virtual distributed switch עם יכולות Layer-2 ו layer-3, מאפשרת תשתית ה NSX גמישות ודינאמיות רבה בהגדרת רשתות התקשורת. למעשה, אנו יכולים להגדיר את רשת התקשורת בתוך חדר השרתים כרשת שטוחה ברמה הנמוכה, רמת המתגים, וכלל הגדרות הסגמנטציה של הרשת מתבצעות ברמה הגבוהה, רמת תשתית הווירטואליזציה hyper-Visor. גם במעבר בין רשתות וטווחי כתובות NSX יוצר את סט החוקים באופן יחידני, Ad-Hoc, על מנת לאפשר תעבורה במידה והיא מורשית על ידי סט החוקים.

פתרון NSX הוא יישום מרשים ויעיל לרעיון קיים. וירטואליזציה של רשתות תקשורת היא לא רעיון חדש אבל היישום הזה מאד מרשים, היכולת להקים ולהוריד מאות סביבות ולרבב סביבה אחת בתוך סביבה שניה רלוונטית לחתכי לקוחות מסויימים, ספקי שירות או סביבות מעבדה גדולות למשל. גם לקוחות המקימים ומעדכנים באופן תדיר סביבות לימוד והדרכה יכולים להנות מהפרדת רשתות והקמה של סביבות בלחיצת כפתור, בשילוב עם פתרון vRealize Automation. היכולת לבצע הפרדה מלאה של סביבות, micro segmentation או guest isolation היא יכולת שרלוונטית לכל לקוח שמבין שמתקפות יכולות לבוא גם מתוך הסביבה ולהתפשט בתוך מה שעד היום היה נחשב, בטעות, כאזור מוגן ומאובטח. קו המגע לעולם יפרץ.

השרטוט מטה מראה את ההבדלים ברישוי בין הגרסאות, הדגשתי באדום את החלק הכי חשוב לדעתי. לא משנה איזו רמת רישוי נרכוש, היא תכלול את יכולת Distributed switching and routing שהיתה עד היום כלול רק ברישוי vSphere ברמות רישוי גבוהות ויקרות ולכן יכולת זו היתה חסם עיקרי לאימוץ פתרון NSX על ידי לקוחות בעלי סביבות פשוטות, קטנות או אילוצי תקציב אגרסיביים. פתרון NSX מתקרב בעדכון רישוי זה לחתך מאד רחב של לקוחות שעד היום נאלצו לוותר למרות הבנה של הצורך

nsxlic

שימוש נוסף ומאד מעניין לפתרון NSX הוא בעולם של שרידות מרובת אתרים. חברות רבות מציעות מערכות אחסון בתצורת active/active geo-cluster. נציין את NetApp Metro-Cluster או IBM SVC כדוגמא. פתרונות אלו מאפשרים ללקוחות להקים תשתית אחסון שרידה בין שני אתרים פיזיים ופתרון NSX מפשט את הקמת תשתית השרתים שמעל למערכות אחסון אלו. אם בעבר היתה חובה להקים תשתית layer-2 על מנת לשמר את טווח כתובות ה IP של השרתים בדילוג בין חדרי השרתים, כיום ניתן באמצעות NSX ל"ייצר" תשתית Layer-2 מעל תשתית Layer-3 כמעט ללא הכנה מוקדמת ובכך לפשט מעבר שרתים בין האתרים באופן חלקי או מלא.שרת וירטואלי "לוקח איתו" את סט החוקים וההגדרות שלו והתשתית תספק לו את כלל הקישוריות הנדרשת. כמובן שהפתרון נתמך באופן מלא על ידי פתרון הניהול Site Recovery manager SRM על מנת לבצע בלחיצת כפתור את תהליך המעבר בין האתרים אך התהליך פשוט מאי פעם.

לסיכום, מפת האיומים על הבית של סילוני מורכבת ודינאמית מאי פעם אך גם הכלים שעוזרים לו להתמודד משתפרים והופכים עם הזמן לזמינים יותר, זולים יותר ופשוטים יותר להטמעה. אני אוהב את VMware NSX. הפתרון יחסית פשוט להטמעה, נותן מענה למגוון צרכים ואתגרים ובניגוד לעבר גם מתומחר באופן הגיוני.

 

שלכם,

ניר מליק