הוכחות אפס ידיעה לפרטיות שיחות ברשתות וירטואליות מבוזרות

מה זה בכלל SASE ולמה זה כל כך חשוב?

ניסיתם פעם להשתמש ב-VPN כבד ומסורבל כשאתם יושבים בבית קפה, רק כדי לגלות שהאינטרנט זוחל בזמן שאתם בסך הכל מנסים לפתוח גיליון נתונים פשוט? בכנות, זה אחד הדברים המתסכלים ביותר בעידן ה-"עבודה מכל מקום", וזו בדיוק הסיבה שכולם מדברים לאחרונה על SASE.

פעם, אבטחת מידע הייתה דומה לטירה מוקפת חומה וחפיר – היה לכם חומת אש (Firewall) חזקה במשרד, וכל עוד הייתם בפנים, הייתם "מוגנים". אבל היום, הנתונים שלנו נמצאים בכל מקום. אנחנו משתמשים ב-Salesforce מהמטבח, ניגשים לתיקים רפואיים מהטאבלט, או בודקים מלאי קמעונאי מהמחסן.

לפי המדריך של IBM, המונח SASE (נהגה כ-"סאסי") הוא ראשי תיבות של Secure Access Service Edge. מדובר, למעשה, בשיטה לארוז את עולמות הרשת והאבטחה לחבילה אחת מבוססת ענן. כך לא תצטרכו לנתב את כל התעבורה שלכם בחזרה לחדר שרתים מאובק במטה החברה רק כדי לבדוק דואר אלקטרוני.

• SD-WAN (תשתית רשת): זהו "המוח" שמחשב את הנתיב המהיר ביותר עבור הנתונים שלכם, בין אם אתם משתמשים ב-5G, ב-Wi-Fi הביתי או בסיב אופטי במשרד.
• SSE (אבטחה): זהו החלק של "המאבטח". אלו ראשי תיבות של Security Service Edge, מונח שהוצג מאוחר יותר כתת-קבוצה ייעודית של מודל ה-SASE הרחב, במטרה להתמקד אך ורק בצד ההגנה.
• הקצה (The Edge): במקום מרכז בקרה אחד, האבטחה מתבצעת ב-"נקודות נוכחות" (PoPs) הקרובות פיזית למקום שבו אתם נמצאים.

דו"ח של חברת Gartner משנת 2021 הגדיר רשמית את חצי האבטחה של המודל כ-SSE. זה קריטי כי זה מונע את תופעת ה-"Hairpinning" – אותו שיהוי (Lag) מעצבן שבו המידע שלכם נוסע מאות קילומטרים למרכז נתונים מרוחק, רק כדי לחזור לאתר ששרתיו נמצאים במרחק של כמה קילומטרים מכם.

בין אם אתם מנהלים רשת קמעונאית או מרפאה קטנה, אתם לא רוצים להתעסק עם עשרה כלי אבטחה שונים. SASE מפשט את העניינים על ידי העברת חוקי האבטחה לענן. כפי שמציינים ב-Microsoft, זה מאפשר לאכוף את אותם הכללים על עובד עם מחשב נייד בפארק ועל המנכ"ל בחדר הישיבות.

זה לא רק עניין של מהירות, אלא בעיקר לוודא שהדלת הדיגיטלית האחורית לא נשארת פתוחה. בהמשך נצלול לעומק המרכיבים המרכזיים כמו SD-WAN ונבין איך צד האבטחה עובד בפועל.

מפרקים את רכיבי ה-SASE לגורמים

תהיתם פעם למה הרשת הארגונית שלכם מרגישה כמו פקעת חוטים סבוכה שאף אחד לא רוצה לגעת בה? האמת היא שאנחנו פשוט מנסים להשתמש בכלים של 2010 כדי לפתור בעיות של 2025. מודל ה-SASE (קצה שירותי גישה מאובטחת) הוא בעצם המספריים שמאפשרים לנו סוף סוף לחתוך את כל הבלאגן הזה.

תחשבו על SD-WAN (רשת מרחבית מוגדרת תוכנה) כעל ה-GPS החכם של הנתונים שלכם. בימים עברו, השתמשנו בקווי MPLS – שהיו למעשה כבישי אגרה פרטיים ויקרים שהובילו רק למשרד. אם הייתם בבית, הייתם צריכים "לנסוע" כל הדרך עד למשרד רק כדי לעלות על הכביש ה"בטוח" לאינטרנט. זה היה איטי, ומסורבל.

לפי פוסט בבלוג של CodiLime, טכנולוגיית ה-SD-WAN מפרידה בין חומרת הרשת לבין פונקציות הבקרה. זה אומר שאתם לא כבולים לנתב המיושן שנמצא בארון התקשורת; התוכנה היא זו שמחליטה אם שיחת הזום שלכם תעבור דרך הסיב האופטי של המשרד, חיבור 5G או תשתית האינטרנט הביתית, בהתבסס על הביצועים בזמן אמת.

• נפרדים מהחומרה: אין צורך במיליון קופסאות יקרות בכל סניף. ה"מוח" נמצא בתוכנה.
• ניתוב מבוסס ביצועים: אם קו האינטרנט הראשי מתחיל לזייף (השהיות, קפיצות בביצועים ושאר רעשי רקע), ה-SD-WAN מעביר את התעבורה לגיבוי באופן אוטומטי בלי שבכלל תרגישו.
• קיצוץ בעלויות: אפשר להפסיק לשלם על קווי ה-MPLS היקרים ולהשתמש באינטרנט רגיל, מה שהופך את מחלקת הכספים להרבה יותר מרוצה.

עכשיו, אם ה-SD-WAN הוא ה-GPS, אז ה-SSE (קצה שירותי אבטחה) הוא הרכב המשוריין. זהו חצי האבטחה של מטבע ה-SASE. כפי שציינו קודם, גרטנר טבעה את המונח הזה כי יש חברות שכבר פתרו את נושא הקישוריות ורק רוצות את מעטפת האבטחה.

SSE הוא עניין משמעותי כי הוא מאגד כלים כמו SWG (שער אינטרנט מאובטח – כלי שמסנן תעבורת רשת כדי לחסום אתרים זדוניים), CASB (ברוקר אבטחת גישה לענן – נקודת ביקורת בין המשתמשים לאפליקציות ענן), ו-FWaaS (חומת אש כשירות – פיירוול מבוסס ענן שגדל יחד עם התעבורה שלכם) לפלטפורמה אחת. דוח של Zscaler משנת 2024 מציין כי SSE הוא תת-קבוצה של SASE המתמקדת ישירות בשירותי האבטחה הללו. (דוח אבטחת בינה מלאכותית של Zscaler לשנת 2024). זה פתרון מושלם לחברה שהיא כבר "Cloud-First" ולא מעוניינת לנהל רשתות פיזיות מורכבות בסניפים.

ה-SSE עוזר לארגונים להשתחרר מתופעת ה-"Hairpinning" – אותו מצב מעצבן שבו התעבורה שלכם נשלחת למרכז נתונים מרוחק רק כדי להיבדק לפני שהיא ממשיכה לאתר היעד.

אולי תחשבו, "אני לא יכול פשוט לקנות רק את חלק האבטחה?". ובכן, התשובה היא כן, אפשר. אבל SASE הוא גרסת ה"טובים השניים מן האחד". כשמשלבים את הרישות (SD-WAN) עם האבטחה (SSE), מקבלים ניהול מממשק אחוד אחד.

רשת קמעונאית, למשל, יכולה להשתמש ב-SASE כדי לחבר 500 חנויות. במקום להציב חומת אש ונתב בכל חנות, הם מגדירים מדיניות SASE אחת. אם קופאי בסיאטל מנסה לגשת לאתר חשוד, ה-SWG חוסם אותו מיידית, בעוד ה-SD-WAN מבטיח שעסקאות כרטיסי האשראי יישארו במסלול המהיר ביותר.

בתחום הבריאות, זה קריטי עוד יותר. רופא שמבצע שיחת וידאו עם מטופל מהבית זקוק לשיהוי נמוך (בזכות ה-SD-WAN) אך חייב גם לעמוד בתקני אבטחה מחמירים (בזכות ה-SSE). אם יש לכם רק חצי מהפאזל, תקבלו או וידאו מקוטע או פרצת אבטחה.

ראיתי את זה קורה בכמה תחומים:

1. פיננסים: איגוד אשראי ארצי השתמש ב-SASE כדי לאחד את כלי האבטחה שלו, מה שצמצם משמעותית את מספר לוחות הבקרה שצוות ה-IT היה צריך לנטר.
2. ייצור: חברה עם מפעלים ברחבי העולם השתמשה בזה כדי לאבטח את חיישני ה-IoT שלה מבלי לשלוח מהנדסים לכל אתר כדי להגדיר חומרה.
3. חינוך: אוניברסיטאות משתמשות בזה כדי לאפשר לסטודנטים גישה למשאבי הספרייה מכל מקום, תוך שמירה על רשת הקמפוס מפני תוכנות זדוניות שסטודנטים מורידים בטעות למחשבים האישיים שלהם.

זה לא רק עניין של טכנולוגיה מתקדמת – זה לוודא שהעובד שיושב ליד שולחן המטבח נהנה מאותה רמת הגנה כמו אלו שיושבים במטה החברה. בהמשך, נבין למה במודל ה-SASE, "אמון" היא מילה גסה.

כיצד ארכיטקטורת SASE מסייעת בזיהוי איומים

תהיתם פעם מדוע הרשת ה"מאובטחת" של החברה שלכם מרגישה לפעמים כאילו היא מוחזקת על ידי נייר דבק ותפילות? זה קורה בדרך כלל כי אנחנו עדיין מנסים לתת אמון באנשים על סמך המיקום הפיזי שבו הם יושבים – וזו, למען האמת, דרך גרועה מאוד לנהל אבטחה בשנת 2025.

הלב הפועם של האופן שבו SASE באמת תופס את ה"רעים" הוא קונספט שנקרא אפס אמון (Zero Trust). בימים עברו, אם הייתם במשרד, הרשת פשוט הניחה שאתם "מהטובים". מודל אפס אמון הופך את הקערה על פיה – הוא יוצא מנקודת הנחה שכל משתמש הוא איום פוטנציאלי עד שיוכח אחרת.

כפי שצוין מוקדם יותר במדריך של מיקרוסופט, לא מדובר רק בהתחברות חד-פעמית. זהו ערוץ גישה מונחה זהות. המערכת בודקת ללא הרף: האם זה באמת המנכ"ל? למה הוא מתחבר מטאבלט במדינה אחרת בשלוש לפנות בוקר?

• ההקשר הוא המלך: פלטפורמת ה-SASE בוחנת את תקינות המכשיר שלכם, את המיקום הגיאוגרפי ואת המשאב שבו אתם מנסים לגעת לפני שהיא מאפשרת לכם להיכנס.
• מיקרו-סגמנטציה: במקום לתת לכם את המפתחות לכל הטירה, אתם מקבלים גישה אך ורק לאפליקציה הספציפית שאתם צריכים. אם האקר גונב את הסיסמה שלכם, הוא נשאר תקוע בחדר אחד במקום לשוטט בכל הבניין.
• בדיקת תקינות מכשיר: כלים להגנת נקודות קצה בודקים אם חומת האש של הלפטופ פעילה ואם התוכנה מעודכנת עוד לפני שה-API בכלל מאפשר לכם להתחבר.

אחד הדברים המרשימים ביותר באופן שבו SASE מנהל זיהוי איומים הוא הפיכת האפליקציות שלכם ל"חשוכות". בתצורה רגילה, שער ה-VPN שלכם פשוט יושב חשוף באינטרנט, וכמעט מנופף בדגל להאקרים.

לפי דוח משנת 2024 של Trend Micro, טכנולוגיית ZTNA (גישת רשת באפס אמון) מחליפה את ה-VPN המגושם ומסתירה את האפליקציות הארגוניות מהרשת הציבורית. אם האקר יסרוק את האינטרנט בחיפוש אחר אפליקציית השכר של החברה, הוא פשוט לא ימצא אותה. היא לא קיימת עבורו, כי ה"סלקטור" של ה-SASE מראה את הדלת רק לאלו שכבר עברו אימות מלא.

מכיוון שכל התעבורה שלכם זורמת דרך ענן ה-SASE, המערכת יכולה להשתמש בבינה מלאכותית (AI) כדי לזהות דפוסים חריגים שבן אנוש היה מפספס בקלות. זה כמו להציב שומר בכניסה שזוכר בדיוק איך כל עובד הולך ומדבר.

תובנה משנת 2024 של Zscaler (שהוזכרה קודם לכן) מסבירה שמכיוון ש-SSE נבנה במיוחד עבור הענן, הוא יכול לבצע בדיקה עמוקה של תעבורה מוצפנת מבלי לגרום לאינטרנט שלכם להרגיש כמו מודם חיוג מיושן.

רוב התוכנות הזדוניות כיום מוחבאות בתוך תעבורה מוצפנת. חומות אש מהדור הישן מתקשות "לראות" לתוך החבילות הללו כי זה דורש כוח עיבוד עצום. אך מכיוון ש-SASE פועל בקצה (Edge), הוא יכול לפצח את החבילות, לבדוק נוכחות של וירוסים באמצעות למידת מכונה, ולסגור אותן בחזרה תוך מילישניות.

ראיתי איך זה מציל סוגים שונים של עסקים:

1. בריאות: רופא משתמש באייפד אישי כדי לבדוק רשומות רפואיות. מערכת ה-SASE מזהה שהמכשיר אינו מוצפן וחוסמת את הגישה לנתונים הרגישים, אך עדיין מאפשרת לרופא לבדוק את המייל הארגוני.
2. קמעונאות: מנהל חנות בקניון מנסה להוריד קובץ מצורף חשוד. ה-SWG (שער אינטרנט מאובטח) מזהה את חתימת התוכנה הזדונית בענן לפני שהיא בכלל נוגעת ברשת המקומית של החנות.
3. פיננסים: איגוד אשראי ארצי משתמש ב-SASE כדי להבטיח שגם אם תשתית האינטרנט הפיזית של סניף מסוים נפרצת, הנתונים נשארים מוצפנים וחיבורי ה"פנים-חוצה" מונעים מהתוקפים לנוע לצדדים בתוך הרשת.

בשורה התחתונה, המטרה היא לצמצם את שטח התקיפה. אם הרעים לא יכולים לראות את האפליקציות שלכם והבינה המלאכותית עוקבת אחר כל תנועה חשודה, אתם נמצאים בעמדת נחיתות הרבה פחות מסוכנת.

בהמשך, נדבר על האופן שבו כל מערך ה-SASE הזה הופך את החיים שלכם לקלים יותר – וזולים יותר – לניהול.

יתרונות מוחשיים לעסק שלך

בואו נהיה כנים, אף אחד לא מתעורר בבוקר עם התרגשות לנהל חומת אש רשתית. בדרך כלל זו עבודה כפוית טובה שבה שומעים מהאנשים רק כשהאינטרנט איטי או כשהחיבור לרשת הפרטית הווירטואלית (VPN) מסרב להתחבר. אבל ארכיטקטורת שירותי גישה מאובטחת בקצה (SASE) באמת משנה את התמונה, בכך שהיא הופכת את כל הבלגן הזה להרבה יותר פשוט לניהול, תוך חיסכון משמעותי בעלויות.

אחד מכאבי הראש הגדולים ביותר בתחום טכנולוגיית המידע הוא "עייפות הקונסולות". יש לכם מסך אחד לנתבים, מסך שני לחומת האש, ואולי מסך שלישי לאבטחת ענן. זה מתיש. לפי נתוני חברת זי-סקיילר (Zscaler), מודל ה-SSE (שהוא הצד האבטחתי של SASE) מאפשר לכם לאחד את כל מוצרי הנקודה הללו לפלטפורמה אחת. זה באופן טבעי מוריד את העלויות התפעוליות וגורם למחלקת הכספים להפסיק לשבת לכם על הצוואר.

• להשתחרר מתפיסת "הקופסה": אתם לא צריכים להמשיך לקנות חומרה יקרה בכל פעם שאתם פותחים סניף חדש. מכיוון שהאבטחה חיה בענן, פשוט מחברים חיבור אינטרנט בסיסי ויוצאים לדרך.
• הורדת עלויות ה-MPLS: כפי שציינו קודם, אפשר להפסיק לשלם על אותם קווים פרטיים יקרים מדי. ה-SASE משתמש באינטרנט הרגיל אך גורם לו לתפקד כמו רשת פרטית, מה שמהווה שינוי כללי במשחק עבור התקציב.
• צמיחה ללא דרמות: אם תגייסו 50 עובדים חדשים מחר, לא תצטרכו להזמין 50 התקני חומרה חדשים או מרכזת VPN גדולה יותר. פשוט מעדכנים את רישיון הענן וממשיכים לעבוד.

כולנו היינו שם – מנסים להצטרף לשיחת זום בזמן שה-VPN מנתב את התעבורה שלכם בסיבוב פרסה דרך מרכז נתונים בצד השני של המדינה. זה יוצר השהיה (Lag) וגורם לכם לרצות להשליך את הלפטופ מהחלון. מכיוון ש-SASE משתמש באותן "נקודות נוכחות" (PoPs) שדיברנו עליהן, בדיקת האבטחה מתבצעת קרוב למשתמש.

תובנה משנת 2024 של זי-סקיילר (שהוזכרה קודם) מסבירה שהארכיטקטורה המבוזרת הזו מבטיחה שהצוות שלכם בבית הקפה ייהנה מאותן מהירויות גבוהות כמו האנשים שיושבים במשרד הראשי.

ראיתי את זה קורה בכמה דרכים שונות:

1. קמעונאות: מנהל חנות צריך לבדוק מלאי בטאבלט. במקום לחכות לחיבור איטי של המשרד האחורי, SASE מנתב אותו ישירות לאפליקציית הענן בצורה מאובטחת.
2. פיננסים: יועץ הלוואות שעובד מהבית יכול לגשת למאגרי נתונים רגישים בלי "גלגל הטעינה האינסופי של ה-VPN" בכל פעם שהוא לוחץ על שמירה.
3. ייצור: מפעלים מרוחקים יכולים לחבר את חיישני ה-IoT שלהם לענן מבלי להזדקק לאיש IT צמוד בשטח שיבוא לתקן חומת אש פיזית בכל פעם שיש תקלה.

העיקרון הוא להפוך את האבטחה לשקופה. כשזה עובד נכון, העובדים שלכם אפילו לא יודעים שהיא שם – הם רק יודעים שהאפליקציות שלהם עובדות מהר. בשלב הבא, נסכם את הדברים ונבחן איך אתם יכולים להתחיל לנוע לעבר העתיד הזה מבלי לשבור את כל מה שכבר בניתם.

הטמעת SASE בלי כאבי ראש

אז החלטתם להתקדם למודל ה-SASE, אבל אתם חוששים לשבור את כל מה שכבר בניתם? האמת היא שרוב האנשים מרגישים ככה; אף אחד לא רוצה להיות זה שמשבית בטעות את הרשת הארגונית ביום שלישי בבוקר.

הטמעת SASE לא חייבת להיות סיוט של "עקירה והחלפה" (Rip and Replace). למעשה, אפשר לבצע אותה בשלבים, מה שעדיף בהרבה גם לשפיות שלכם וגם לתקציב.

הדרך החכמה ביותר להתחיל היא לטפל בכאב הראש הגדול ביותר שלכם – בדרך כלל מדובר ב-VPN המיושן והמסורבל. כפי שציינו קודם לכן, החלפת ה-VPN בגישת ZTNA (גישת רשת באמון אפס) היא הצעד הראשון המושלם. זה מעניק לעובדים מרחוק מהירות גבוהה יותר ואבטחה משופרת משמעותית, מבלי לגעת בחומרה הפיזית במשרד.

• זהו את "יהלומי הכתר": התחילו בהצבת האפליקציות הרגישות ביותר שלכם תחת הפיקוח של ה-SASE.
• בחרו קבוצת "פיילוט": גייסו כמה עובדים בעלי זיקה טכנולוגית ממחלקות השיווק או המכירות כדי לבחון את הגישה החדשה לפני שמשיקים אותה לכל החברה.
• נקו את הפוליסות שלכם: נצלו את המעבר כתירוץ למחיקת חשבונות משתמש ישנים ששוכבים ללא שימוש כבר שלוש שנים.

דו"ח של חברת Zscaler משנת 2024 מציין כי ניטור חוויה דיגיטלית (Digital Experience Monitoring) נודד כעת לתוך פלטפורמות ה-SASE, וזהו שינוי דרמטי. זה קורה משום ש-SASE יושב ישירות בין המשתמש לאפליקציה, מה שמעניק לו "מושב בשורה הראשונה" לנתוני הביצועים. המשמעות היא שתוכלו לראות בדיוק למה החיבור של המשתמש איטי – האם זה בגלל ה-Wi-Fi הביתי הגרוע שלו או בעיית רשת אמיתית – עוד לפני שהוא בכלל יתקשר לתמיכה הטכנית.

אתם לא חייבים לקנות הכל מספק יחיד אם אתם לא רוצים. חלק מהחברות מעדיפות גישת "ספק יחיד" (Single-vendor) בשביל הפשטות, בעוד שאחרות מעדיפות מודל של "שני ספקים" (Dual-vendor), שבו הן שומרות על תשתית הרשת הקיימת אך מוסיפות שכבת אבטחת ענן חדשה.

המדריך של מיקרוסופט שהוזכר קודם לכן מציע שפריסת ה-SASE שלכם תתחבר לספקי הזהות (Identity Providers) הנוכחיים שלכם. אם אתם כבר משתמשים במערכת הזדהות אחודה (SSO), ודאו שכלי ה-SASE שלכם מתממשק איתה בצורה מושלמת כדי שהעובדים לא יצטרכו לשנן עוד סיסמה.

ראיתי את הגישה המדורגת הזו עובדת בכמה תחומים שונים:

1. חינוך: מערכת אוניברסיטאית התחילה באבטחת מאגרי המחקר של הספרייה באמצעות ZTNA, ולאחר מכן העבירה בהדרגה את אבטחת ה-Wi-Fi בקמפוס לענן.
2. ייצור: חברה גלובלית שמרה על חומרת המפעל שלה, אך העבירה את כל הגישה של קבלני משנה לפלטפורמת SASE כדי להשאיר את הרשת הראשית "חשוכה" ובלתי נראית לגורמים חיצוניים.
3. קמעונאות: רשת חנויות הוסיפה חומות אש מבוססות ענן (FWaaS) קודם כל לסניפים החדשים שלה, בעוד שהסניפים הישנים נשארו על טכנולוגיה מסורתית עד שתוקף חוזי החומרה שלהם פג.

בשורה התחתונה, SASE הוא מסע, לא פרויקט של סוף שבוע. התחילו בקטן, הוכיחו שזה עובד, ואז הרחיבו את הפעילות. הרשת שלכם – ולוח הזמנים של השינה שלכם – בהחלט יודו לכם על כך בהמשך.