כאשר ארגונים עוברים ממרכז הנתונים המקומי לאפליקציות SaaS, הם זקוקים לפלטפורמת אבטחה אחידה שתתאים לכל צרכיהם. ארגונים היברידיים דורשים גישה מאובטחת וחלקה של משתמשי קצה לכל היישומים – מדור קודם ומודרני. מיקרוסופט כרגע אינה מספקת זאת. לעומת זאת, MobileIron מעניקה ללקוחות ולשותפים אפשרות לאבטח אפליקציות מקומיות, יישומי ענן, נתונים, מכשירים וזהויות – הכל בפתרון אחד. ו- MobileIron מציעה חוויה עקבית ללא סיסמה לכל היישומים.
שוק שירותי הענן לא זהה לשווקי התוכנה המסורתיים שמיקרוסופט צמחה מהם. בעבר, מיקרוסופט הייתה יכולה למכור את Windows לארגון בציפייה שתוכל לנעול את הלקוח בפלטפורמה שלה בעשר השנים הבאות או יותר. בעידן הענן זה פשוט לא עובד. אמנם האינטגרציות של מיקרוסופט עשויות להיות הדוקות יותר וחוויות משתמשי הקצה חלקות יותר עם הפתרונות שלהם, אך ארגונים רבים מעוניינים להשתמש באפליקציות ושירותים Best of Breed על מנת לאפשר לעובדים את חוויית משתמש הקצה המיטבית. בסקר של גרטנר שנעשה בנובמבר 2019 נמצאה מערכת mobileiron חביבת הקהל ומובילה בפער גדול על intune בכל ההיבטים כולל: סולמיות (scalability), קלות השימוש, אינטגרציה, והתאמות.
הלקוחות בוחרים ב- MobileIron כאשר נדרשת חוויית Onboard פשוטה של משתמשים ולממשק הניהולי הטוב ביותר. MobileIron מציעה את הגמישות לעבוד בכל מכשיר עם כל אפליקציה של כל ספק שהוא, ואילו ב- Microsoft Intune עליכם לבחון את פרטי המקרה על פי השימוש. לדוגמה Mobileiron תומך בצורה מלאה בתרחישים הבאים:
MobileIron הוא הפתרון הטוב ביותר עבור ארגונים שצריכים לנהל מכשירים מעבר ל- Windows ו- iOS על ידי מתן תמיכה בכל מקרי השימוש במכשירי הקצה האפשריים.
גישת האמון האפסי Zero-Trust של MobileIron מספקת את הנראות ואת בקרות ה- IT הנחוצות כדי לאבטח, לנהל ולפקח על כל מכשיר, משתמש, אפליקציה ורשת המשמשים לגישה לנתונים עסקיים. הוא מגן על הנתונים על דרכי הגישה והשימוש בהם – לא משנה היכן הוא נמצא, או מי הבעלים של המכשירים והשירותים המעורבים. יכולות קריטיות אלה נותנות את התשתית לתרחישים בהם Intune לא יכול לתמוך באופן מלא וזאת לתשתית on-prem, SaaS, או היברידית.
לאחרונה גילו חוקרים מאוניברסיטת פרדו ואוניברסיטת איווה (Purdue University and the University of Iowa) תחום שלם של פרצות מסוג man-in-the-middle בפרוטוקול ה-5G שעומד לכבוש את העולם בקרוב. פירוש הדבר, שאם עדיין לא עשית זאת, זה הזמן הנכון לעבור להזדהות מבוססת zero-trust. איננו יודעים מאיפה הפגיעות הבאה תגיע, אך אנו יכולים לנקוט צעדים להכנה. השלב הראשון הוא להפסיק לסמוך על מכשירים שאנו לא מפקחים עליהם כל העת. השלב הבא הוא לנקוט בפעולה ברגע שאנחנו מגלים חריגות כלשהן, פעולות כמו הסרת כל תוכן ארגוני רגיש, חסימת מכשיר מגישה לענן ולמשאבים ארגוניים, או אפילו מחיקת התוכן העסקי מהמכשיר לחלוטין. מעקב הוא חשוב, אך הגנה על הארגון שלך על ידי פעולה מהירה היא קריטית. לשם כך הוסיפה mobileiron את רכיב ה-Threat defence באמצעות שיתוף פעולה עם חברת Zimperium על מנת לאפשר הגנה אקטיבית על המכשירים. בניגוד למתחרים, Mobileiron מאפשר סגירת מעגל מזיהוי לחסימה ללא חיבור לשירות חיצוני באמצעות רכיב מובנה במכשיר.
על מנת לנהל בצורה טובה את האבטחה של אפליקציות מנוהלות ב-iOS, פיתחו מייקרוסופט את ״מדיניות ההגנה על אפליקציות״ Intune app protection policies. מטרתו למנוע מעבר מידע מסביבה מנוהלת (container) לסביבה פרטית במכשיר. MobileIron יכולה לנהל את מדיניות ההגנה על אפליקציות וכך להנגיש את כל אמצעי ההגנה ממקום מרכזי ולפשט את העבודה. על ידי הוספת מדיניות ההגנה של אפליקציות Intune לרשימה הארוכה של פתרונות נתמכים, כולל Android enterprise, Samsung Knox, iOS ו-Windows Information Protection ממשיכה Mobileiron לתת ללקוחות את הגמישות הדרושה להם כדי לעמוד בדרישות העסקיות ולתמוך בכל מגוון המכשירים הנדרש.
הזדהות באמצעות MobileIron device-as-identity היא הראשונה מסוגה בשוק. MobileIron מאפשרת גישה ללא סיסמה לשירותי ענן מכל מכשיר – מנוהל או לא מנוהל – באמצעות המכשיר הנייד כמזהה מאובטח של המשתמש, ואילו הגישה של מיקרוסופט מתחילה ומסתיימת בדפדפן. מיקרוסופט מספקת כעת אימות ללא סיסמה רק עבור Windows Hello.
בחירה ב-Mobileiron היא בחירה ביצרן שכל התמחותו בניהול התקני קצה וניידים. ולראיה, הציונים הגבוהים שמשיגה החברה במדדים השונים כולל 9 שנים רצוף ברביע המובילים בגרטנר, במבחני יכולת ולאחרונה נבחרה להיות הנציג היחיד בין יצרני ה-MDM במבחני Zero Trust.
המומחים שלנו ב teraworks יעזרו לכם לתכנן ולהטמיע את מאפייני הניהול ואבטחת המידע עבור התקני הקצה והניידים שלכם בסביבת מיקרוסופט Azure AD ו-Office 365 במהירות על מנת שתוכלו להנות מהאמינות, פשטות השימוש והגמישות של הפלטפורמה.
קבלת Token מושגת על ידי תהליך תקשורת בין שירות או אפליקציה לבין שרת הרשאות. פרוטוקול OAuth 2.0 מאפשר מספר תרחישי זרימה המשמשים לקבלת הרשאות. תהליכי הזרימה משתנים במידה שבה שרת ההרשאות ״סומך״ על שרת האפליקציה (מבחינת אבטחת מידע).
| OAuth Term | Definition |
| Authorization Server | השרת האמון על ההרשאות והקצאת ה- Tokens |
| Client Application | האפליקציה אשר מבקשת בשם המשתמש גישה לנתונים |
| Resource Owner | המשתמש אשר מבקש הרשאת גישה לנתונים באמצעות האפליקציה |
| Resource Server | השרת אשר חושף נתונים באמצעות API ומסוגל לאמת Access Token שמגיעים משרת ההרשאות |
תרחישי הזרימה בהם תומך הפרוטוקול מגוונים מאוד והעיקריים שבהם:
1. Implicit Flow – מותאם לאפליקציות ״דף בודד״ SPA לא מהימנות (כמו Angular או Vue.js)
2. Code Flow – עבור אפליקציות מהימנות (כמו Spring Boot או .NET)
3. Code Flow with PKCE – עבור אפליקציות Untrusted Native או Mobile Apps.
4. Client Credentials – עבור Server to Server בין שרתים מהימנים ללא משתמש קצה.
5. Resource Owner Password – לא מומלץ – שימש בעבר עבור שירותי אינטרנט מהימנים עם דף כניסה מותאם אישית שמעבירים את סיסמת משתמש הקצה אל שרת ההרשאות.
בבלוג זה נתמקד בתהליך שמשמש ארגונים המעוניינים לבנות מערכת הזדהות והרשאות עבור אפליקציה מהימנה כגון אתר אינטרנט עם משתמש קצה.
תרחיש זה מאפשר לשרת ההרשאות להתמודד עם ארכיטקטורה הכוללת רכיב דפדפן (שאינו מהימן) ורכיב מתווך מהימן כגון יישום Spring Boot או NET.
התרחיש מנצל את תכונות ההפניה המובנות בפרוטוקול HTTP שפועלות על ידי הדפדפן. התהליך מתחיל ביוזמת משתמש הקצה בפניה אל שרת האפליקציה לקבלת נתונים. הבקשה נענית בהפניה של הדפדפן אל שרת ההרשאה לאימות של משתמש הקצה. רכיב האימות מתבצע בדרך כלל באמצעות ספק שירות חיצוני, Identity Provider, כמו OKTA.
שרת ההרשאות סומך עליו לטפל באישורי ההזדהות של המשתמש בצורה מאובטחת. למערכת OKTA היכולת לא רק לשמור על סיסמת המשתמש בצורה מאובטחת אלא לאמת את התהליך באמצעות הזדהות מוכוונת הקשר Context כגון הרשת שממנה בוצעה ההזדהות, המכשיר שממנו בוצעה, הזמן והתנהגות המשתמש. בנוסף המערכת מכילה פקטור הזדהות נוסף להקשחת התהליך Multi-Factor authentication.
בהנחה שהאימות עבר בצורה מוצלחת, שרת ההרשאה ינותב חזרה לאפליקציה שלך (באמצעות הדפדפן) עם קוד הרשאה בכתובת האתר.
אפליקציית התווך יכולה כעת בצורה מאובטחת ״ומאחורי הקלעים״, להשתמש בקוד שהתקבל בשילוב עם פרטי התצורה של שרת ההרשאות Client Secret ו- Client ID על מנת לבקש Access Token. על מפתח האפליקציה לוודא שהטוקן הזה לא ייחשף אל משתמשי הקצה ויישמר סודי. הוא מהווה תחליף לגיטימי לפרטי ההזדהות של המשתמש.
לאחר קבלת Access Token משרת ההרשאות, ינותב הקליינט למסור אותו אל שרת הנתונים. שרת הנתונים נדרש לאמת את הטוקן לפני השימוש בו.
הטוקנים הם בפורמט JSON Web Token או בקיצור JWT וחתומים על ידי מפתחות אסימטרים JSON Web Keys או בקיצור JWK אותם ניתן לקבל משרת ההרשאות ולשמור בשרת הנתונים. על מנת לפענח אותם ולאמת את מקורם ניתן להשוות את המפתח ששימש להצפנת הטוקן עם המפתח שנשמר בשרת ההרשאות מקומית או לחזור בקריאת API, אל שרת ההרשאות על מנת לאמת את הטוקן (פחות מומלץ בתרחישים הדורשים ביצועים גבוהים).
מקורות:
באמצעות MobileIron זמן העבודה למשימת הקצאת והגדרות תצורה של התקנים למשתמשים חדשים יורד דרמטית. מנהלי מערכת יכולים להגדיר במהירות מכשירים over-the-air, ללא צורך בגישה ידנית אל המכשיר.זה לא רק אמצעי לחסכון של שעות IT, זה גם מבטיח שמשתמשי הקצה שעובדים במקומות מרוחקים, יכולים במהירות להתחיל להשתמש במכשירים החדשים שסופקו להם. כל היישומים, הפרופילים ואמצעי האבטחה הדרושים כבר מוכנים כדי להיות פרודוקטיביים.
MobileIron תומך בכל תכניות ההרשמה של היצרנים המובילים, כולל: Android zero-touch,
Apple DEP, Samsung Knox Mobile Enrollment (KME), Microsoft Windows Autopilot
מנוע המדיניות של MobileIron UEM נותנים יתרונות גדולים לארגון אשר נדרש להעניק גישה מאובטחת למשאבי החברה. המערכת תומכת בפרוטוקוליSSO סטנדרטים בגישה לשירותי ענן ובעבודה מול Identity Providers . לעומתם גישה לשירותי רשת פנימיים ניתנת באמצעות certificate ו- split-tunnel VPN המובנה במוצר.
בנוסף לכך, ההחלטה על מתן גישה מהמכשיר למידע ארגוני יכולה להתבסס על הקשרים (Context) כגון: רמת הניהול של המכשיר (מנוהל או BYOD), המשתמש, הרשת ממנו מחובר, האפליקציה הדרושה, אם המכשיר אבד או נגנב, או אם משתמש מנסה לגשת לרשת בלתי מורשית, מנוע המדיניות של MobileIron יכול לשלול גישה ולנקוט בפעולות מתאימות כגון הודעה ל- IT או למנוע גישה מההתקן.
עובדי השטח זקוקים בדרך כלל ליישומים מאוד מוגדרים כגון מערכת מלאי, מפות או אפליקציות נקודת מכירה (POS). מערכת MobileIron UEM מפשט מאוד את תהליכי הפריסה של אפליקציות מרשימה "מולבנת" whitelisted של יישומים עסקיים.
כמו כן המערכת מאפשרת למנוע ממשתמשים את התקנת האפליקציות הנמצאות ב"רשימה שחורה" כגון רשתות חברתית, אימייל אישי ושירותי הזרמת מוזיקה. יכולות אלו עוזרות לשמור על היישומים העסקיים והנתונים בטוחים מפני יישומים זדוניים, ונותן ל- IT נראות ושליטה בכל היישומים והנתונים במכשירים הפרוסים בשטח.
MobileIron מסייע ל- IT להבטיח שעובדי השטח והמכשירים שהם נושאים מוגדרים רק למשימה שעבורה הונפקו. בתלות במערכת ההפעלה של המכשיר ובדרישות האבטחה, מנהלי מערכת יכולים לנהל מכשירים בתצורת קיוסק כדי להבטיח שמשתמשים ניגשים רק לאפליקציות מורשות מרשתות מוכרות. באמצעות MobileIron, מנהלי מערכת יכולים לאכוף מגבלות מסוימות על מכשירים כגון: השבתת המצלמה והמיקרופון, הגבלת אפשרויות Wi-Fi, כניסה לאפליקציות ארגוניות מסוימות רק דרך VPN בצורה שקופה .תכונה זו עוזרת להגן על אפליקציות ומכשירים מהתנהגות משתמשים לא בטוחה, כגון גישה לרשתות או אפליקציות שעלולות להיות בסיכון.
עובדי השטח משתפים לעתים קרובות מכשירים, למשל בחנות קמעונאית בה כמה עוזרים עשויים לגשת לאותו מכשיר לחפש מלאי או לבדוק לקוחות במהלך משמרת. לכל עובד תתכן אחריות או תפקיד שונה, פונקציות הדורשות גישה ברמת אבטחה שונה לאפליקציות או תוכן.
MobileIron מאפשר לתמוך באופן מאובטח במכשירים משותפים בין מספר עובדים על יד מערכת הרשאות המאפשרת להקצות גישה לקבוצות ומשתמשים פרטיים על פי תפקידם.
"יותר ממחצית מהארגונים (52%) מציעים כעת לעובדיהם את היכולת לבחור באיזה סוג מחשב הם משתמשים בעבודה. כאשר ארגונים נותנים לעובדים את היכולת לבחור את הטכנולוגיה שלהם, הם בחרו באופן עקבי באפל. 72% מהעובדים בוחרים ב- Mac בארגונים המאפשרים בחירה." סקר בקרב 580 ארגונים בנושא השפעת אפשרות הבחירה בטכנולוגיות על שביעות רצון עובדים 2018.
בנוסף לתהליכים הללו, המפץ הגדול הקרוב בשוק תחנות העבודה, סיום התמיכה של מיקרוסופט ב- Windows 7 תותיר מאות מיליוני משתמשים עם מערכת הפעלה בת עשר. הנגשת מערכות Mac לשוק העסקי, תפתח לראשונה את האפשרות לארגונים לבחור באלטרנטיבה נוספת בכמויות שלא נראו בעבר.
בסביבת העבודה עמה מתמודדים ארגונים כיום המורכבת מתחנות Windows10 ו-MacOS, היתרון בניהול ואבטחה באמצעות פלטפורמה אחודה גדול. לקוחות שכבר משתמשים ב- MobileIron לניהול הניידים מסוג Android ו- iOS על בסיס יומיומי יכולים למנף את ההשקעה במערכת הקיימת, תוך כדי הוזלת עלויות. MobileIron UEM מכסה תרחישים רבים שמטרתם לייעל את האבטחה, כמו גם לשפר את השימושיות עבור מנהלי מערכת ומשתמשים כאחד. מערך היכולות הרחב של המערכת משתרע על מחזור החיים המלא של תחנת העבודה MacOS – החל מפריסתה עד לגריטה. במאמר זה נדגיש את הערך שאנו מביאים ללקוחות בכל אחד מהשלבים הללו.
המערכת תומכת בתכנית אפל לפריסת מחשבים (המכונה DEP), המאפשר הפצה ללא מגע של מכשירי macOS ו- iOS. זהו חיסכון זמן ענקי עבור ה-IT ומאפשר למשתמשים להיות פרודוקטיביים במהירות. בנוסף לתמיכה ב-DEP, MobileIron תומך גם בתוכנית רכישת האפליקציות הארגונית של אפל (VPP), מה שהופך את הקצאת וניהול הרישיונות לאוטומטי. רישום תחנות וגם אפליקציות זמינים כעת דרך פורטל ה-DEP של אפל. MobileIron UEM תומך גם בפריסת תחנות קצה של macOS כולל הרשמה באמצעות דפדפן אינטרנט (iREG), הרשמה בתוך אפליקציית ה- Mobile @ Work שלנו והרשמה באמצעות Apple Configurator 2. הרשמה יעילה, חוסכת זמן ופשוטה עם הרבה אפשרויות גמישות למנהל העסוק. תהליך הרישום מתבצע ללא התערכות של מנהל המערכת ועובד באופן הבא:
MobileIron מציעה אפשרויות גמישות רבות שיעזרו לך ליצור ולדחוף תצורות למחשבי מקינטוש. לדוגמה, אתה יכול לדחוף אישורים באמצעות שירות ה- CA המובנה במוצר (Certificate Authority) כדי להבטיח שמחשבי ה- Mac של המשתמשים מוגדרים עם גישה ל- Wi-Fi ו- VPN ארגוניים. באפשרותך ליצור תגיות וקבוצות מכשירים (Device Groups) ובאמצעותם להגדיר הגבלות שונות על המכשירים. אותו מנוע מדיניות מהימן בו המערכת משתמשת כדי ליצור ולאכוף מדיניות במערכות הפעלה אחרות חל גם על macOS, כך שנוכל להיות בטוחים כי המכשיר פועל על פי הכללים שמחלקת ה- IT שלך קבעה.
מניעת אובדן נתונים DLP – Data Leak Prevention עבור מחשבי מקינטוש דורש ממנהלי המערכת לשלוט במספר הגדרות קריטיות. נדרשת מערכת המסוגלת לאכיפה ופיקוח של מדיניות מחד ובמידת הצורך יכולת לנקוט בפעולות מתקנות. MobileIron UEM מספקת את מערך הבקרות המקיף והיכולת לקבוע את המגבלות הדרושות כדי למנוע אובדן נתונים. כמה דוגמאות לכך כוללות:
מערכת MobileIron כוללת גם רכיב VPN Tunnel המאפשר הגנת VPN ברמת אפליקציה. המערכת תומכת לא רק ב- Mac, אלא גם במכשירי אנדרואיד, iOS ו- Windows 10. באמצעות Tunneling, מנהלי IT יכולים להגדיר ללא מאמץ מכשירים עם סרטיפיקט (Certificate) ותצורות VPN ללא צורך בפתרון VPN של צד שלישי. כל זאת באמצעות MobileIron Sentry, השער המקוון שמנהל, מצפין ומאבטח תנועה בין מחשבי מקינטוש ומערכות ארגוניות אחוריות.
בנוסף לכך, באמצעות MobileIron Access, ניתן להבטיח כי נתונים משירותי ענן נפוצים כמו O365, G Suite, Salesforce או כל שירות התומך ב- SAML 2.0, יהיו זמינים רק למשתמשים מאומתים במחשבי Mac מורשים, ורק כאשר הם משתמשים באפליקציה ייעודית.
המערכת מתממשקת עם Identity Providers צד שלישי כגון OKTA על מנת להוסיף יכולות Device trust בגישה לשירותי ענן קריטיים וכן לאפשר Password less authentication על ידי מינוף התעודות המותקנות על המכשירים כתחליף להזדהות עם סיסמה.
מערכת ההפצה תומכת בהפצת תוכנה עבור macOS עם וללא DEP (Device Enrollment Program). לאחרונה התווספה גם האפשרות להציג התראות בזמן שהאפליקציות מותקנות. כמו כן, כאשר מנהל מערכת מוסיף אפליקציה במנהל ההפצה של אפל DEP, נתוני ה-Metadata של האפליקציה יסונכרנו עם MobileIron וניתן יהיה לפרוס את האפליקציה ללא מעורבות המשתמש למכשיר.
בנוסף, מנהלי מערכת עשויים לרצות לספק לעובדיהם קטלוג אפליקציות ש- MobileIron יכולה לספק עבור macOS וכן עבור כל מערכות ההפעלה האחרות שאנו מנהלים. בנוסף, מנהלים יוכלו לקבוע תלות (יחסים) בין אפליקציות מרובות. לדוגמא, הם יוכלו להכתיב שלפני התקנת אפליקציה מסוימת, יש להתקין תחילה אפליקציה אחרת (או סדרת אפליקציות). זה יעזור להבטיח את חווית המשתמש הטובה ביותר האפשרית, תוך צמצום מעורבות המשתמש.
MobileIron UEM מספק למנהלים את השליטה והראות הנחוצים לניהול מקינטוש ולהבטיח שהם תואמים. ניתן ליצור מדיניות בהתאמה אישית על סמך מספר קריטריונים של מכשירים, לדוגמה, הוחל בהצפנת Filevault2, וסדרה של פעולות ציות שכבות מוגדרות על בסיס חומרת ההפרה. פעולות הציות עשויות להיות פשוטות כמו התראה הנשלחת למשתמש, או במידת הצורך פעולת הסגר או במקרה הגרוע, מחיקה של מכשיר. פעולות ציות יכולות להיות מונעות גם על ידי אפליקציות. דוגמה נוספת להבטיח תאימות ל- Mac היא הגדרת ואכיפת מדיניות קוד סיסמה. אם מזוהה מקינטוש כבעלי קוד סיסמה שאינו תואם, אתה יכול לדרוש מהמשתמש לאפס את קוד הסיסמה שלו בכניסה הבאה, או למנוע גישה למשאבים ארגוניים. מדיניות ציות מדויקת ופעולות תאימות גמישות, שכבותיות, מספקות למנהלים את הכלים הדרושים להם במאבק המתמשך נגד אובדן נתונים פוטנציאלי.
מה לגבי מכשיר macOS שצריך להיפטר ממנו? בין אם מדובר בעובד שעוזב את הארגון, או עובר שדרוג טכנולוגי למכשיר, MobileIron UEM מקל על גריטה (decommission) של מכשירים בכך שהיא מאפשרת למנהלי מערכת לבטל את הרישום בצורה חלקה ומרחוק – ללא מגע יד אדם. המכשיר מפסיק להיות מנוהל וכל התצורות שהותקנו על ידי ה- UEM נמחקות. בנוסף, ניתן למחוק אותו לחלוטין Factory Wipe (חזרה להגדרות היצרן) או למחוק באופן סלקטיבי במקרים בהם העובד הבעלים של המכשיר BYOD ועוזב את הארגון. לאחר מכן ניתן לרשום מחדש בקלות את ה- Mac על שם עובד חדש.
Many IT Organizations started to think about the ways of transformation, this journey involves organizational change from ALL aspects: people, business, technology, and processes.
Nowadays, On-demand, scalability, elasticity, mobility, and pay-as-you-go models are an integral part of IT’s transformation to the cloud.
The transition to the cloud incurs many benefits, primarily extensive reduction of cost through shifting Capex investments in favor of flexible Opex (paying a monthly or hourly based on actual consumed services), reducing capital expenditure for purchasing software licenses and continually upgrading hardware.
Cloud inherent services allow for the cost efficient and swift development and launch of new features, applications, and solutions.
Despite these advantages, there are many dilemmas and questions raised:
?Which cloud model is suitable for our organization: Internal, public, or hybrid cloud
?What criteria need to be fulfilled to analyze the internal application for cloud readiness
?How should we avoid business risks such as vendor locking
?How does my organization transfer its internal processes and services to the cloud
?And what about Security and Privacy issues
?How does one lead and manage the organizational change
How will the IT team adapt to the cloud and what kind of jobs they will do in the future? oles and responsibilities
All these questions and dilemmas are a vital part of the transformation and anorganization’s journey to the cloud
Nowadays, On-demand, scalability, elasticity, mobility, and pay-as-you-go models are an integral part of IT’s transformation to the cloud.
Teraworks has developed a unique approach which ensures that your IT transformation process to the cloud is smooth, successful and maximizes business advantage.
This approach is based on Teraworks’ extensive experience and can be specifically tailored to your organization. In our experience, the key to a successful transformation process is detailed analysis and thorough risk management. Teraworks examines all aspects of economic viability, organizational readiness, the suitability of each potential solution, and the long-term benefits to the organization and its clients before advising on the final, successful transformation process.
העובדים המאיישים את עולם התעסוקה המודרני מחפשים את ההשתייכות למקום עבודה המזוהה עם הערכים ותחומי העניין שלהם. מקום עבודה אשר שם דגש על כבוד והערכה לביצועיהם, על מיצוי הפוטנציאל הטמון בהם (קרי מימוש עצמי) ועל התפתחותם האישית והמקצועית.
יחד עם זאת, ארגונים מעוניינים להגיע, לגייס ולקלוט אנשים המתאימים לתרבות הארגונית ובעלי יכולות גבוהות – 'טלנטים' ולכן, מתחרים על העובדים שיצטרפו לשורותיהם. מאחר והקשר בין הארגון לבין העובד מתחיל כבר בתהליך הגיוס והקליטה עולות מספר שאלות רלוונטיות:
נרצה לעשות זאת עבור כלל האנשים העובדים בארגון ובראיה רחבה: עובדי הארגון וקבלני המשנה, היועצים וספקי השירות. בד בבד עם יצירת תדמית גבוהה של הארגון על היותו מקום נבחר על ידי העובדים והספקים לעבוד בו, כמקום נעים, חדשני, מתגמל ומאורגן.
האג'ייל מעודד עבודת צוות והעבודה באיטרציות קצרות מאפשרת לנו לבחון את התהליך, את הסטטוס של המועמדים ולשפר כל הזמן. בנוסף, מאחר וזהו תהליך מהיר המגיב לשינויים נוכל בקלות יחסית ל'סמן' מועמדים מתאימים ולהתקדם איתם בתהליך הגיוס והקליטה.
חברות אג'ייל פורשור וטרהוורקס חברו לשיתוף פעולה בקידום ה HR האג'ילי בישראל. הפתרון שאנו מציעים הוא אפיון תהליך גיוס וקליטה אג'יליים, המותאמים למרקם היחודי של הארגון החל מניהול הגיוס, הצגת הארגון באופן אטרקטיבי וניהול תהליך ההחלטה לגבי המועמדים ע"י חיבור תהליכי של מערכת ניהול זהויות OKTA למערכות HR הקיימות בארגון.
בזמן תהליך הגיוס נעסוק בניהול הציפיות של צרכי הארגון לקליטת העובד ובבירור הצרכים של העובד לעבוד בארגון ובניית הצעת הערך עבורו בהתאמה.
נמסד תהליך קליטה ארגוני וניהול בקלוג משימות לקליטת עובד אפקטיבית. גם עבור קליטה של קבוצת עובדים מתוך / מחוץ לארגון.
לאחר חתימת החוזה, וטרם תחילת העבודה נזהה מהן המערכות הדרושות לעובד לשם ביצוע עבודתו עפ"י שיוכו הארגוני, נתכנן את ניהול הרשאות הכניסה למערכות הארגוניות עוד טרם הצטרפותו לארגון, מתוך הבנת מרחב הפעולה שלו בארגון וע"י כך נקצר את תהליך הקליטה ונייעל את זמן המנהלים המגייסים בארגון.
בקלות ובפשטות נוכל לייצר סיטואציה כך שהעובד מקבל כבר ביום הראשון את כל הכלים הארגוניים וההרשאות הדרושות לביצוע העבודה שלו עם הרגשה שהוא מצטרף לארגון שפתוח ומחכה לבואו.
כאשר אנו פועלים מתוך תכנון ראשוני שכזה אנו משיגים עוד כמה ערכים מוספים נוספים, לדוגמא:
לסיכום, התעדכנות ארגונית שכזו, המתבטאת בהטמעת אג'ייל בתהליכי הHR והטמעת מערכות תומכות מעצימה את העובדים, מספקת תחושת שייכות ומצעידה את הארגון קדימה.
היועצים
שלTeraworks מתמחים ביישום מערכת לניהול זהויות OKTA
ובמערכת HR
של HiBob
ויודעים להתממשק למערכות נוספות, ביניהן – workday, Oracle,
bambooHR Hibob,, ועוד.
עבור חברות, אשר מנסות לספק חוויית משתמש חלקה ומאובטחת, סיסמאות גורמות למועקה רצינית, או שהן מורכבות – ולכן קשות לזכירה לעובדים וללקוחות, או שהן קלות ומהוות יעד עיקרי ומועדף ל"האקֶרים". לא זו בלבד, אלא שזכירת הרשאות גישה שונות על פני אפליקציות ואתרי אינטרנט מרובים עלולה להוות כאב ראש עצום עבור משתמשים, וללחוץ ולהעמיס על צוותי טכנולוגיית מידע עקב פעולות הגדרה והפעלה מחדש (resets) של "סיסמאות שאבדו".
מציאת טכנולוגיית האימות הנכונה עשויה להיות מאתגרת. חברות שואפות לפיתרון, אשר משיג את רמת הסיכון הנמוכה ביותר לגישה בלתי מורשֵית לנתונים של העסקים שלהם. האתגר הוא באיזון הנדרש בין נקיטת האמצעים הדרושים לעמידה בתקני פרטיות כגון GDPR או HIPAA, או הגנה על מידע עסקי סודי ביותר במאגרי נתונים המבוזרים גלובאלית, וזאת מבלי להכביד על המשתמש הסופי. בהינתן אִיום מצד תוקפים, אשר מציבים לעצמם כמטרה את הנקודה הפגיעה ביותר באבטחה של חברה – האנשים שלה – מחייב הדבר להפחית את התלות במשתמש, בראש ובראשונה החלפת אימות מבוסס סיסמאות באימות משתמש חזק יותר ופשוט יותר.
עבור חברות, אשר מנסות לספק חוויית משתמש חלקה ומאובטחת, סיסמאות גורמות למועקה רצינית, או שהן מורכבות – ולכן קשות לזכירה לעובדים וללקוחות, או שהן קלות ומהוות יעד עיקרי ומועדף ל"האקֶרים". לא זו בלבד, אלא שזכירת הרשאות גישה שונות על פני אפליקציות ואתרי אינטרנט מרובים עלולה להוות כאב ראש עצום עבור משתמשים, וללחוץ ולהעמיס על צוותי טכנולוגיית מידע עקב פעולות הגדרה והפעלה מחדש (resets) של "סיסמאות שאבדו".
בהתאם לדו"ח אודות גניבת נתונים מ- 2017, 81% מכל הפריצות עשו שימוש בסיסמאות גנובות או חלשות. על מנת להגן על העובדים והלקוחות שלהם מפני פעולות זדוניות כגון גניבת זהות באמצעות הונאה (phishing), ניסיון חדירה באמצעות שימוש בסיסמאות שכיחות (password spraying) וניסיונות פריצה על ידי איתור סיסמאות (brute force attacks), חברות חייבות לחשוב מחדש, האם די במדיניות הקיימת לגבי סיסמאות לשם אבטחת נתונים רגישים. למעשה, הסיסמה הטובה ביותר הינה היעדר כל סיסמה.
הכרזת Okta משבוע שעבר למעשה מאפשרת לארגונים להחליף סיסמאות באימות גישה חזק יותר וזאת באמצעות השקת פתרון המשלב טכנולוגיה חכמה עם מודיעין בזמן אמת. במאמר זה נציג את הפתרון ומרכיביו:
מהיום, יכולים צוותי טכנולוגיית המידע וצוותי הפיתוח להתקדם לגישת אבטחה המוּנעת באמצעות הקשר – גישה אשר עשויה לנטרל ולהעלים סיסמאות בסופו של דבר.
במהלך השנים האחרונות, השקיעה Okta בפיתוח טכנולוגיות אבטחה הטובות ביותר וכן בשותפויות עם יצרני אפליקציות מובילים, לשם הגנה על הלקוחותיה. עם 4,350 לקוחות ו- 5,500 שותפים בחנות האינטגרציה של אוקטה (Okta Integration Network), צוות התגובה של Okta יכול להבחין באִיומים ובפעילות חשודה, כמו גם לנקוט פעולה נגדם בזמן אמת.
Okta הכריזה על הפונקציונאליות החדשה ThreatInsight, המאפשרת ללקוחותיה ליהנות מתובנות לגבי אִיומים, אשר מטופלות על ידי צוותי התגובה שלה. הדבר מאפשר ללקוחות להבין באופן טוב יותר את מצבם בפועל בבחינת הסיכונים הקיימים ולהתאים את המדיניות שלהם בהתאם, לדוגמא, על ידי החמרת דרישות האימות הארגוניות.
כדי לממש את החזון של ניהול גישה נטול סיסמאות, בוצעה השקעה גדולה בשילוב מידע מודיעיני כפי שהוזכר לעיל (Threatinsight) עם שיפורים במערכת הקיימת. ניתן לציין את הרחבת האינטגרציה למערכות צד שלישי והשיפורים שנעשו בתחומי הגישה מבוססות הֶתקנים (device based) והן את תחום ניהול הסיכונים האוטומטי באמצעות גישה מבוסס הקשרים (contextual access). השיפורים הללו אפשרו לקחת בחשבון מספר אותות קוֹנטקסטואליים – כגון מיקום, הֶתקן ורשת – לשם קביעת רמת האִיום של כל בקשה.
כך למשל, אם משתמש מנסה להזדהות מתוך כתובת IP מוּכרת, על גבי הֶתקן ידוע, וברשת התאגידית של החברה, המשתמש היה נחשב ל"סיכון נמוך" – והמשתמש לא היה נדרש להזין סיסמה על מנת להתחבר ב- login. במקום זאת, היו פונים אל המשתמש ומניעים אותו להפעיל גורם חליפי, כגון Okta Verify Push. אם המשתמש היה עושה שימוש בהתקן בלתי מנוהל (אף כי ידוע) במיקום חדש, הוא עשוי להיחשב ל"סיכון בינוני", והיו פונים אליו גם בשאלת הזדהות וגם מפעילים גורם הזדהות נוסף כגון Okta Verify Push.
"ההתראות של ThreatInsight וההתראות ההתנהגותיות של Okta מעניקים לנו תובנה לגבי כל ניסיון אימות, תוך שהם מסייעים לנו לפשט את חוויית המשתמש וכן לנקוט פעולה מהר יותר אם משהו נראה לא כשורה", אומר אליאס אוֹקסֶנדָיין IV, מנהל גלובאלי לאבטחת מידע בתאגיד בראון-פוֹרמָן, אחת מחברות המשקאות המזוקקים הגדולות ביותר, אשר מצויות בבעלות אמריקאית. "בעזרת Okta, אנחנו יכולים להגן באופן טוב יותר על החלק החשוב ביותר ולעיתים קרובות הפגיע ביותר באבטחה שלנו – האנשים שלנו".
המאמר תורגם על ידי צוות השירותים המקצועיים של טרהוורקס.
התבקשנו לבצע תכנון מחדש למערך המחשוב של החברה כאשר העקרונות המובילים הם: ניידות גבוהה בסביבה גלובאלית, שיתוף נוח של מידע בין אנשי החברה לספקים חיצוניים, גמישות בשימוש במכשירי קצה כולל מכשירים אישיים, קלות תפעול ומחיר.
עם הצידה הזו יצאנו לדרך לתכנון המערך החדש לא לפני שהצהרנו שכל פעילות החברה תעבור לענן וקיבלנו התחייבות הבעלים לגבות אותנו במהלך השינוי אל מול העובדים (התרענו שזה יכאב).
הצעד הראשון ליציאה לענן היה תכנון מחדש של ניהול הזהויות שמשתמשות במערכות המידע של החברה. הפתרון שהפעלנו היה מערכת ניהול זהויות בענן של יצרן מוביל. עובדים, קבלני משנה, שותפים עסקיים, לקוחות. יש לוודא שכולם נרשמים בספריה מרכזית ומקבלים את הגדרות הכניסה המתאימות עבורם למערכות השונות. ניתן לייבא אותם בקלות באמצעות LDAP או מתוך אפליקציות קיימות אם לא קיימת ספריה מקומית (נניח Gmail).
הגדרנו את מאפייני האבטחה הרצויים שכללו:
לאחר מכן הגדרנו את האינטגרציה לאפליקציות ענן. המערכת מתחברת באמצעות SAML לרוב שירותי הענן הקיימים ובכך מייתרת את הצורך בניהול הזהויות באפליקציות השונות באמצעות Trustשמתבצע בין הדומיין של הלקוח באפליקציית הענן לדומיין שלו במערכת.
אפליקציות מובילות כמו Salesforce ו-GSuite מאפשרות רמת אינטגרציה גבוה יותר הכוללת הקצאה של רישיונות ו-Roles למשתמשים ואף את הקמתם באפליקציית היעד על פי מאפיינים שהוגדרו מראש (Provisioning). זהו מרכיב חשוב ביותר שכן, עזיבת עובד מטופלת בקלות על ידי מניעת גישה שלו למערכת ואף ניתן להגדיר באופן אוטומטי הסרת ההרשאות והרישיון שלו מהאפליקציות שבהן השתמש.
העברת הדואר לאופיס 365 התבצעה בצורה חלקה יחסית היות ורוב המשתמשים המשיכו לעבוד על האאוטלוק המקומי. אימות המשתמשים מתבצע מול מערכת ההזדהות ולכן ניתן לשמר את ההשקעה בגרסת אופיס 2013 עבור האאוטלוק ולרכוש רישיוי אופיס אונליין עבור שרת הדואר של 365 כשלשניהם סיסמא אחת.
המעבר לאשבל גם כן היה חלק. מכיוון שאשבל לא מאפשרים הזדהות בפרוטוקול SAML השתמשנו בטכנולוגית SWA (Secure web Authentication) המובנית במערכת על מנת לאפשר SSO. זהו תהליך קל שמאפשר מחד שמירה על השליטה בסיסמא על ידי Administrator עם חוויית משתמש קלה ובטוחה של הלקוח דרך פורטל ה-SSO.
האתגר הגדול ביותר היה ההתנערות משרת הקבצים הישן. ניהול השיתופים, רמות ההרשאה והגיבוי לא תאמו את הציפיות של החברה והיוו פירצת אבטחה קלה לכל דכפין. איום כופר שארע לאחרונה היה הקש ששבר את גב הגמל והחברה אישרה מעבר לתיקיה משותפת לענן.
הבחירה ב-SharePoint Online נבעה מסיבה כלכלית שכן מייקרוסופט נותנים נפח של 1TB לאתר כחלק מחבילת הבסיס של אופיס אונליין שנרכשה עבור שרת הדואר.
הקושי האובייקטיבי של אנשים עם הרגלים חדשים כמו גם קשיי גדילה של המוצר היווה אתגר משמעותי בהטמעת הפתרון. אבל רובם נפתרו תוך כדי תנועה כאשר נוצר ישור קו עם פיצ'רים סטנדרטים בתעשייה שהיו חשובים כגון סנכרון תיקיות למחשבים.
עכשיו לאחר שסגרנו את חדר השרתים ועברנו לשימוש באפליקציות ענן, נותרו רק תחנות העבודה והניידים כרכיבי מחשוב שנדרש לנהל פיזית. על מנת לענות לעקרונות שהוגדרו על ידי המנכל, בחרנו בשירות ענן מיצרן מוכר לניהול תחנות הקצה בתצורה של שירות ענן.
המוצר מכיל למעשה ארבע פונקציות עיקריות:
היתרון הגדול של השירות עבור החברה הינו העלות הנמוכה ביחס לשירותים דומים, קלות השימוש והעובדה שהוא מתקשר מול הרכיבים דרך האינטרנט בצורה מאובטחת ולא מחייב רשת ארגונית.
יתרון נוסף שלא בא לידי ביטוי כאן אבל מאוד רלוונטי לעידן הגלובלי וה- BYOD הוא שהמוצר מנהל מחשבי Windows, Linux ו-MACOS באותו אופן עם צורך בידע מוקדם מינימאלי.
אין ספק שישנם עוד היבטים רבים שניתן לשפר ולשדרג אך במגבלות הדרישות והתקציב אנו חושבים שהתצורה הנוכחית מאפשרת גמישות ובטיחות מרביים בעולם החדש אליו נכנסה החברה.
המפתח האישי למידע בין לאומי
ניהול גישה מאובטחת הינו מתודולוגיה המשתייכת לתחום ניהול זהויות. שירותי ניהול גישה מאובטחת הם המפתח הראשי למידע בעידן בו נתונים זורמים ללא הפסקה, מכל מקום לכל מקום, בכל רגע, בכל נקודה בעולם.
BYOD – Bring Your Own Device
גישה הדוגלת בשימוש במכשירים פרטיים ומאלצת ארגונים להתאים את מערכות ההגנה הקלאסיות למניעת זליגת מידע ממכשירים פרטיים בשל חדירת וירוסים, מעבר מידע בין אפליקציות ארגוניות למכשיר פרטי, אחסון מידע אישי בענן ועוד. שיטה המסרבלת את העבודה ומצריכה מתודולוגיה גמישה יותר.
אבטחת גישה במאה ה-21
אירועי סייבר, וירוס כופר, אירועים בלתי צפויים, דליפות וגניבות מידע כתוצאה משימוש באפליקציות צד ג' – כל אלו מצריכים רשת אבטחה יעילה ומתפקדת.
התוצאות הן, בדרך כלל, מוצרי אבטחה שהם טובים, אבל לא מספקים את האבטחה הרצויה ובמקרים רבים, פוגעים במהירות תעבורת המידע. ב-Teraworks לא מכניסים ראש בריא למיטה חולה. במקום להתפשר על איכות תעבורת המידע או על איכות אבטחת המידע, ב-Teraworks מקפידים על תעבורת מידע באיכות הגבוהה ביותר, במהירות גבוהה ובנוחות מקסימלית.
כדי לשמור על גישה מאובטחת בנקודות בין לאומיות בלי לסכן את המידע הארגוני, Teraworks מעמידה לרשות מנהלי ה- IT וה-CISO בארגונים הגדולים בעולם את מערך אבטחת הגישה הנוח, היעיל, הבטיחותי והמהיר בעולם.
מתודולוגיות אבטחת גישה מקובלות
הזדהות חזקה
אימות כפול הוא מתודולוגיה המשמשת למניעת התחזות ו/או קבלת אישור גישה לא חוקית לרשת. כדי לוודא את זהות המשתמש בצורה טובה יותר אנו מאתגרים אותו ומבקשים מידע נוסף מעבר לסיסמא (something you know). המרכיב הנוסף יכול להיות אמצעי הנמצא ברשות המשתמש (something you have) כגון קוד מתחלף או זיהוי ביומטרי (something you are) כגון תביעת אצבע. סוג של מתודולוגיה מסוג Two-Factor Authentication או Multi-Factor Authentication הינו הכרחי בעידן של ריבוי סיסמאות ומערכות המסכן את הסיסמא.
"מחזיק מפתחות" מודרני
בשנים עברו עובדים נדרשו להצטייד ב"מחזיק מפתחות" המייצר קוד אישי לשימוש בתוכנות וביישומים השייכים לארגון. גם כיום קיים פתרון דומה אבל מותאם יותר באמצעות שליחת סיסמה מוגבלת בזמן ל-SMS או שימוש באפליקציה מאובטחת עם Push Notification. אמצעי Push בטוחים יותר מכיוון שאינם נשמרים פיזית במכשיר ועל כן אינם בסכנת גנבה.
הגנת נקודה
אין גבולות לענן. לכן לא
ניתן להסתמך על חומרה או רשת ארגונית. רכיבי Firewall, NAC ו-VPN ישנים אפשרו גישה לעובדים אל משאבי מידע
בתוך הארגון, אך המידע צובר נפח גם בשירותי ענן. פתרונות כגון Jump Server ו-LDAP לגישה מאובטחת אל שרתים כבר אינם מותאמים לעידן שבו השרת נמצא
בענן מרוחק. ובנוסף, פיתוחים מודרניים מבוססי Serverless או Containers מאלצים
את הארגונים לשנות גישה. מבנה
הרשת החדשה מחייבת לאפשר לארגון לשנות ולהרחיב את המבנה שלה תוך כדי תנועה אך
מחייב רמת אבטחה גבוה יותר.
ניהול גישה בעידן הענן
ב-Teraworks לא מתפשרים על פחות מהטוב ביותר. זוהי הסיבה שב-Teraworks עובדים עם מוצרים נבחרים שנבחנו היטב. המוצרים המובילים של החברה מאפשרים לארגון לשמור על גבולות גישה ברורים בעידן בו השליטה על תחנות הקצה הולכת ומתערערת.
