banner

ארגון מסורתי הפועל כ-20 שנה באותן שיטות הפך תוך חצי שנה לארגון מבוסס ענן הפועל גלובאלית וכולל שרידות, המשכיות עסקית ואבטחת מידע.

ישבתי במשרדו של מנכל החברה, שהיה ממוקם ליד מעבדת ההנדסה הגנטית בחווה הפסטורלית שלהם בדרום. הוא סיפר לי על מהלך עסקי עם חוצפה ישראלית טיפוסית שהחברה הצליחה לבצע שהביא לזכייתה בעסקה ענקית בסין. העסקה כוללת תכנון מעבדה דומה אבל גדולה בכמה סדרי גודל, תכנון פיזי, אספקה של ציוד מתקדם וכמובן העברת ידע לגידול (שהינו הנכס המשמעותי ביותר של החברה).

אך מאז שהעסקה נסגרה, הם נתקלים באירועים מתרבים שמומחי אבטחת מידע היו מסווגים כניסיונות חדירה אל מחשבי הצוות העוסק בפרויקט. היקף וסוג הפעילות שעסקו בה בעבר לא הציפו צורך במערך מחשוב מוגן במיוחד.

MFA- SSO- OKTA- אוקטה

התבקשנו לבצע תכנון מחדש למערך המחשוב של החברה כאשר העקרונות המובילים הם: ניידות גבוהה בסביבה גלובאלית, שיתוף נוח של מידע בין אנשי החברה לספקים חיצוניים, גמישות בשימוש במכשירי קצה כולל מכשירים אישיים, קלות תפעול ומחיר.

עם הצידה הזו יצאנו לדרך לתכנון המערך החדש לא לפני שהצהרנו שכל פעילות החברה תעבור לענן וקיבלנו התחייבות הבעלים לגבות אותנו במהלך השינוי אל מול העובדים (התרענו שזה יכאב).

ניהול זהויות OKTA

הצעד הראשון ליציאה לענן היה תכנון מחדש של ניהול הזהויות שמשתמשות במערכות המידע של החברה. הפתרון שהפעלנו היה מערכת ניהול זהויות בענן של יצרן מוביל. עובדים, קבלני משנה, שותפים עסקיים, לקוחות. יש לוודא שכולם נרשמים בספריה מרכזית ומקבלים את הגדרות הכניסה המתאימות עבורם למערכות השונות. ניתן לייבא אותם בקלות באמצעות LDAP או מתוך אפליקציות קיימות אם לא קיימת ספריה מקומית (נניח Gmail).

הגדרנו את מאפייני האבטחה הרצויים שכללו:

  1. אישור גישה מכל מכשיר דרך פורטל אחד ( SSO – Single Sign On)
  2. הפעלת הזדהות כפולה בגישה למערכות (MFA – Multi Factor Authentication)
  3. מדיניות הזדהות אחידה לכלל אפליקציות הענן
  4. וניטור ניסיונות התחברות מחוץ לישראל

לאחר מכן הגדרנו את האינטגרציה לאפליקציות ענן. המערכת מתחברת באמצעות SAML לרוב שירותי הענן הקיימים ובכך מייתרת את הצורך בניהול הזהויות באפליקציות השונות באמצעות Trustשמתבצע בין הדומיין של הלקוח באפליקציית הענן לדומיין שלו במערכת.

אפליקציות מובילות כמו Salesforce ו-GSuite מאפשרות רמת אינטגרציה גבוה יותר הכוללת הקצאה של רישיונות ו-Roles למשתמשים ואף את הקמתם באפליקציית היעד על פי מאפיינים שהוגדרו מראש (Provisioning). זהו מרכיב חשוב ביותר שכן, עזיבת עובד מטופלת בקלות על ידי מניעת גישה שלו למערכת ואף ניתן להגדיר באופן אוטומטי הסרת ההרשאות והרישיון שלו מהאפליקציות שבהן השתמש.

דואר אלקטרוני

העברת הדואר לאופיס 365 התבצעה בצורה חלקה יחסית היות ורוב המשתמשים המשיכו לעבוד על האאוטלוק המקומי. אימות המשתמשים מתבצע מול מערכת ההזדהות ולכן ניתן לשמר את ההשקעה בגרסת אופיס 2013 עבור האאוטלוק ולרכוש רישיוי אופיס אונליין עבור שרת הדואר של 365 כשלשניהם סיסמא אחת.

ERP

המעבר לאשבל גם כן היה חלק. מכיוון שאשבל לא מאפשרים הזדהות בפרוטוקול SAML השתמשנו בטכנולוגית SWA (Secure web Authentication) המובנית במערכת על מנת לאפשר SSO. זהו תהליך קל שמאפשר מחד שמירה על השליטה בסיסמא על ידי Administrator עם חוויית משתמש קלה ובטוחה של הלקוח דרך פורטל ה-SSO.

תיקיות משותפות Sharepoint Online

האתגר הגדול ביותר היה ההתנערות משרת הקבצים הישן. ניהול השיתופים, רמות ההרשאה והגיבוי לא תאמו את הציפיות של החברה והיוו פירצת אבטחה קלה לכל דכפין. איום כופר שארע לאחרונה היה הקש ששבר את גב הגמל והחברה אישרה מעבר לתיקיה משותפת לענן.

הבחירה ב-SharePoint Online נבעה מסיבה כלכלית שכן מייקרוסופט נותנים נפח של 1TB לאתר כחלק מחבילת הבסיס של אופיס אונליין שנרכשה עבור שרת הדואר. 

הקושי האובייקטיבי של אנשים עם הרגלים חדשים כמו גם קשיי גדילה של המוצר היווה אתגר משמעותי בהטמעת הפתרון. אבל רובם נפתרו תוך כדי תנועה כאשר נוצר ישור קו עם פיצ'רים סטנדרטים בתעשייה שהיו חשובים כגון סנכרון תיקיות למחשבים.

שלבי ההטמעה:

  1. בניית עץ ספריות והרשאות על פי המבנה העתידי של החברה עם דגש להפרדה בין ספריות לשימוש ההנהלה, לשימוש פנימי וכאלה שמשמשות קבלני משנה.
  2. הגדרת הגישה של המסמכים דרך מגוון אפליקציות אופיס 2013 המותקנות על התחנות.
  3. הוספת האפליקציה לפורטל ה-SSO ופרסומו לכל תחנות הקצה והניידים.
  4. התקנת ה-Agent החדש של Microsoft (גרסת ביטא) לסנכרון תיקיות SharePoint למחשבים.
  5. הפעלת גיבוי על אתר המסמכים של החברה ב-SharePoint באמצעות אפליקציית הענן של חברת Cloud Ally. המוצר מתחבר באמצעות API לאתר ומושך את המידע לגיבוי בענן שלAmazon (תומך גם בגיבוי תיבות דואר).

ניהול תחנות הקצה KACE1000

עכשיו לאחר שסגרנו את חדר השרתים ועברנו לשימוש באפליקציות ענן, נותרו רק תחנות העבודה והניידים כרכיבי מחשוב שנדרש לנהל פיזית. על מנת לענות לעקרונות שהוגדרו על ידי המנכל, בחרנו בשירות ענן מיצרן מוכר לניהול תחנות הקצה בתצורה של שירות ענן.

המוצר מכיל למעשה ארבע פונקציות עיקריות:

  • ניהול אבטחת מידע והגדרות מערכת ההפעלה (באמצעות Agent) 
  • ניהול רישיונות תוכנה
  • ניהול הפצת תוכנה (כל התוכנות המותקנות כולל עדכונים)
  • שירות לקוחות מובנה

היתרון הגדול של השירות עבור החברה הינו העלות הנמוכה ביחס לשירותים דומים, קלות השימוש והעובדה שהוא מתקשר מול הרכיבים דרך האינטרנט בצורה מאובטחת ולא מחייב רשת ארגונית.

יתרון נוסף שלא בא לידי ביטוי כאן אבל מאוד רלוונטי לעידן הגלובלי וה- BYOD הוא שהמוצר מנהל מחשבי Windows, Linux ו-MACOS באותו אופן עם צורך בידע מוקדם מינימאלי.

תהליך ההטמעה כלל:

  1. פריסת סוכנים על המחשבים המנוהלים
  2. בניית פרופיל תחנה כולל הגדרות ואבטחת מידע, ייבוא הפרופיל למערכת והפצתו לכל המחשבים.
  3. הפעלת ניטור רישיונות עבור חבילת האופיס, אנטי-וירוס, ועוד מספר תוכנות נדרשות
  4. הפעלת עדכוני תוכנה מחזוריים לתוספי Java, Flash אנטי וירוס ומערכות הפעלה
  5. בניית White-list למניעת התקנות תוכנות לא רצויות.
  6. הפעלת ניטור לבדיקת תקינות שירותי האנטי וירוס (Services) בתחנות.
  7. ניהול אחיד של Power Management .

אין ספק שישנם עוד היבטים רבים שניתן לשפר ולשדרג אך במגבלות הדרישות והתקציב אנו חושבים שהתצורה הנוכחית מאפשרת גמישות ובטיחות מרביים בעולם החדש אליו נכנסה החברה.

הלקחים המרכזיים שלמדנו מהתהליך:

  1. ברמה ההתנהגותית - ארגון מסורתי (עובדים מבוגרים) מסוגל לאמץ תוך זמן קצר יחסית מהפכה דיגיטלית לשירותי SaaS באופן מלא.
  2. אבטחת מידע - איום הכופר הפך ל-Non-Issue. יש שליטה מלאה בהרשאות גישה למידע.
  3. המשכיות עסקית - אובדן מידע כתוצאה מרשלנות המשתמשים הפך ל-Non-Issue.
  4. ניידות - הנגשת המידע דרך מכשירי הטלפון הניידים הפך למובן מאליו.
  • קטגוריות: מאמרים

  • תגיות:

  • UEM – הבשורה החדשה בעידן BYOD

    מאת: Yafit Zisser | 24/11/2020

    BYOD או "Bring Your Own Device", הינה דרך מקובלת בארגונים ברחבי העולם ולא בכדי: היא חוסכת הוצאות משמעותיות לארגון, היא מאפשרת לעובדים לקחת את העבודה אתם לכל מקום ולהגיב גם לשאלות קטנות בזמן אמת, לעבוד עם מערכות הארגון גם מהסלולרי או מהטאבלט – וכל זאת בתוך שניות ספורות. אבל אז התגלו בעיות פרטיות. Mobileiron מספקת […]

    קרא עוד
  • HR As A Master – וובינר 4/11

    מאת: Yafit Zisser | 08/11/2020

    כיצד מבטיחים את יומו הראשון של העובד שלנו לחוויה מעולה ואיכותית יותר, בד בבד כיצד הופכים את תהליך הקליטה לאוטומטי יעיל עדכני ומאובטח יותר, בתקופה בה שינויים מתרחשים בקצב מטאורי? הוובינר מיועד למנהלי ה IT מנהלי אפליקציות עסקיות בתחום משאבי האנוש HR וכל מי שחוויית קליטת העובד והקטנת החיכוך בין המשתמש למערכות המידע היא נר […]

    קרא עוד
  • MobileIron מצטיינת היכן ש Microsoft עוצרת

    מאת: Yafit Zisser | 21/10/2020

    5 סיבות שבגללן לקוחות מעדיפים את Mobileiron על פני Microsoft Intune. בעידן בו ארגונים מתמודדים עם יותר ויותר אתגרי ניהול מידע, עובדים וטכנולוגיות, בתקופה בה שינויים מתרחשים חדשות לבקרים, צריך שמישהו יעשה כאן סדר. MobileIron UEM, בדיוק בזמן: זו כבר לא סביבת ענן אלא סביבת עבודה ההולכת ומתפתחת כשהיא מציעה לארגונים עבודה רציפה על המידע […]

    קרא עוד
  • Mobileiron ו-MacOS: כששתי ענקיות חוברות יחדיו

    מאת: Itzik Hanan | 27/08/2020

    על פי סקר שנערך בקרב 580 ארגונים ובחן את השפעת מתן הבחירה לעובדים בטכנולוגיות על שביעות רצונם ממקום העבודה, 72% מהעובדים בארגונים מעדיפים Mac. עם 135,000 תחנות עבודה של Mac מבית אפל בתוך שלוש שנים, יותר ויותר מערכות הפעלה מיוצרות עם פתרונות מובנים לניהול מרכזי של המכשיר. בכך, משלימה ההתפתחות הטכנולוגית צעד נוסף בדרך לסינרגיה […]

    קרא עוד
  • Okta Platform-Workshop

    מאת: Yafit Zisser | 18/08/2020

    מנהל מערכת OKTA? בואו ללמוד כיצד להשתמש ביכולות ה api של המערכת על מנת להוציא מידע מגוון או להעשיר את המידע הקיים ממערכות חיצוניות. הסדרה בת 6 סרטונים איתם תוכלו להעמיק את הידע ואת היכולות שלכם במערכת. הסדרה מחולקת לשני חלקים, כל חלק מכיל 3 סרטונים okta platform review – PART 1 Part 1.1 סקירה […]

    קרא עוד
  • כשהססמאות חלשות – OKTA חזקה

    מאת: Muli Motola | 26/06/2020

    סיסמאות זה לחלשים? חישבו שוב: רק בארצות הברית עסקים מפסידים 7.3 מיליון דולר בשנה בשל פרצות אבטחה. ומה קורה ברחבי העולם? לא פחות מהפסד שנתי ממוצע של 4.47 מיליארד דולר בגלל כשלים בבקרה. ואם זה לא מספיק, נמצא כי 81% מהפריצות למערכות IT  בארגון גם הם תוצאה של סיסמאות חלשות.  סכומי-עתק יורדים לטמיון בשל כשלי […]

    קרא עוד
למאמרים נוספים
צור קשר hlink
X

צור קשר

דילוג לתוכן