כשהססמאות חלשות – OKTA חזקה

סיסמאות זה לחלשים? חישבו שוב: רק בארצות הברית עסקים מפסידים 7.3 מיליון דולר בשנה בשל פרצות אבטחה. ומה קורה ברחבי העולם? לא פחות מהפסד שנתי ממוצע של 4.47 מיליארד דולר בגלל כשלים בבקרה. ואם זה לא מספיק, נמצא כי 81% מהפריצות למערכות IT  בארגון גם הם תוצאה של סיסמאות חלשות.  סכומי-עתק יורדים לטמיון בשל כשלי אבטחת מידע.

בעידן כזה, מישהו חייב לנהל את העניינים. בקלות, בפשטות ובנוחות. איך עושים את זה? בשתי מילים: ניהול אחוד.

אז מה הגנה מלאה על אפליקציות ומידע – בלי מגע אדם

אתם כבר יודעים איך זה עובד: על כל מחשב בארגון מותקנות תוכנות ייחודיות, הרשאות ספציפיות לאפליקציות, תמונות וסרטונים אישיים, סיסמאות, הודעות ובעצם…. כל חייו של העובד עוברים למכשירים הניידים והנייחים במשרד. כשעובד מגיע מהבית, הוא מביא אתו לא רק את הסנדוויץ' שלו, אלא גם את הווירוסים שהמחשב שלו נושא עמו, את הסיסמאות הפשוטות שדרכן יכולים האקרים ותוכנות אחרות לחדור למאגרי המידע של הארגון, "חורים" המאפשרים דליפת מידע החוצה וגם את אופן ארגון המידע במחשב הפרטי שלהם. פערים בפלטפורמות, ברישיונות ובגרסאות של התוכנות יכולים לגרום לבלאגן גדול בארגון, כזה שאפילו מנהל ה-IT לא יידע מהיכן להתחיל לנהל אותו. אבל למה להכביר במילים? יש לזה שם:Bring Your Own Device BYOD

הנטייה של עובדים להשתמש במכשירים הפרטיים שלהם במשרדי החברה מאפשרת את נזילות המידע ויוצרת פתח לפריצות. זה השלב שבו מנהלים מתחילים לאבד שליטה על מה שקורה בארגון שלהם. המחקרים מראים כי מרבית הפריצות למאגרי מידע קורות בגלל סיסמאות חלשות. בקלות ובמהירות, המידע הארגוני שלך נחשף לעיניים הלא נכונות. עם OKTA – זה לא קורה.



להפוך חולשה לחוזקה

קורונה, פוסט מודרניזם, BYOD ותופעות אחרות של התקופה –  כל אלו מצריכים ניהול אחוד של המכשירים הארגוניים. סלולרי, טאבלט, לפטופ ומכשירים ניידים אחרים מהווים נקודות דליפה ופריצת מידע לארגון. החדשנות הפוסט מודרנית מאפשרת לעובדים שלך לעבוד מכל מקום, בכל שעה.



עם OKTA – ניתנת גישה ממודרת והיררכית לפי דרגים.

  • בלי חשש מזליגת מידע בעקבות עובדים שעזבו
  • גניבת זהויות? לא אצלנו!
  • ניהול זהויות מרכזי ומתוחכם
  • Context based authentication
  • ביטחון מלא בחשיפה לרשתות זרות



אוקטה היא הסלקטור הניצב בפתח הארגון ומונע חדירה של גורמים לא רצויים. כשמחלקת ה-IT שלכם מאבדת את השליטה על התוכנות הנרכשות, כשכל עובד שחוזר למשרד מצריך השקעה ואדמיניסטרציה של חצי יום עבודה, כשהשולי הופך להיות העיקר – זה הזמן לעבור ל OKTA.

המשיכו לקרוא עוד על OKTA באתר שלנו. יש לכם עוד שאלות ? צרו קשר עמנו עוד היום!

MobileIron & Microsoft – שילוב מנצח

אם אתם שוקלים מעבר לחבילה של מיקרוסופט office 365 עם Intune עליכם לבחון מקרוב את המשמעויות של זה. מגבלות על אפשרות הבחירה (BYOD), חוויית השימוש של משתמש הקצה, אבטחה וגמישות תפעולית עלולות להאט את תוכניות העבודה למעבר למקום עבודה דיגיטלי עדכני.

אנו נשאלים על ידי הלקוחות שלנו כיצד מיקרוסופט ומוביילאיירון משלימים זה את זה ומה התרחישים בהם הם עושים זאת בצורה מיטבית. זיהינו מספר סיבות לכך שלקוחות רבים של מיקרוסופט בוחרים ב- MobileIron:

תשתית מחשוב היברידית זקוקה לגמישות שמספק MobileIron

כאשר ארגונים עוברים ממרכז הנתונים המקומי לאפליקציות SaaS, הם זקוקים לפלטפורמת אבטחה אחידה שתתאים לכל צרכיהם. ארגונים היברידיים דורשים גישה מאובטחת וחלקה של משתמשי קצה לכל היישומים – מדור קודם ומודרני. מיקרוסופט כרגע אינה מספקת זאת. לעומת זאת, MobileIron מעניקה ללקוחות ולשותפים אפשרות לאבטח אפליקציות מקומיות, יישומי ענן, נתונים, מכשירים וזהויות – הכל בפתרון אחד. ו- MobileIron מציעה חוויה עקבית ללא סיסמה לכל היישומים.


תשתית היברידית לניהול ניידים ותחנות קצה מול שירותי רשת ושירותי ענן

זה לא מסתיים במיקרוסופט 

שוק שירותי הענן לא זהה לשווקי התוכנה המסורתיים שמיקרוסופט צמחה מהם. בעבר, מיקרוסופט הייתה יכולה למכור את Windows לארגון בציפייה שתוכל לנעול את הלקוח בפלטפורמה שלה בעשר השנים הבאות או יותר. בעידן הענן זה  פשוט לא עובד. אמנם האינטגרציות של מיקרוסופט עשויות להיות הדוקות יותר וחוויות משתמשי הקצה חלקות יותר עם הפתרונות שלהם, אך ארגונים רבים מעוניינים להשתמש באפליקציות ושירותים Best of Breed על מנת לאפשר לעובדים את חוויית משתמש הקצה המיטבית. בסקר של גרטנר שנעשה בנובמבר 2019 נמצאה מערכת mobileiron חביבת הקהל ומובילה בפער גדול על intune בכל ההיבטים כולל: סולמיות (scalability), קלות השימוש, אינטגרציה, והתאמות.


פרס הלקוחות הממליצים הוענק למוביילאיירון

חווית משתמש-קצה UX וגמישות בבחירת המכשירים

הלקוחות בוחרים ב- MobileIron כאשר נדרשת חוויית Onboard פשוטה של משתמשים ולממשק הניהולי הטוב ביותר. MobileIron מציעה את הגמישות לעבוד בכל מכשיר עם כל אפליקציה של כל ספק שהוא, ואילו ב- Microsoft Intune עליכם לבחון את פרטי המקרה על פי השימוש. לדוגמה Mobileiron תומך בצורה מלאה בתרחישים הבאים:

  • מכשירי אנדרואיד עם פרופיל אישי מנוהל, Android with a managed personal profile.
  • מכשירי סמסונג וזברה עם עדכוני Firmware Over-the-Air.
  • שליטת macOS מלאה.

MobileIron הוא הפתרון הטוב ביותר עבור ארגונים שצריכים לנהל מכשירים מעבר ל- Windows ו- iOS על ידי מתן תמיכה בכל מקרי השימוש במכשירי הקצה האפשריים.

אבטחת הזהות, המכשיר, האפליקציה והנתונים – הכל באחד

גישת האמון האפסי Zero-Trust של MobileIron מספקת את הנראות ואת בקרות ה- IT הנחוצות כדי לאבטח, לנהל ולפקח על כל מכשיר, משתמש, אפליקציה ורשת המשמשים לגישה לנתונים עסקיים. הוא מגן על הנתונים על דרכי הגישה והשימוש בהם – לא משנה היכן הוא נמצא, או מי הבעלים של המכשירים והשירותים המעורבים. יכולות קריטיות אלה נותנות את התשתית לתרחישים בהם  Intune לא יכול לתמוך באופן מלא וזאת לתשתית on-prem, SaaS, או היברידית.

ניטור חסימה והסרת תוכן ממכשיר נגוע Threat Defence

לאחרונה גילו חוקרים מאוניברסיטת פרדו ואוניברסיטת איווה (Purdue University and the University of Iowa) תחום שלם של פרצות מסוג man-in-the-middle בפרוטוקול ה-5G שעומד לכבוש את העולם בקרוב. פירוש הדבר, שאם עדיין לא עשית זאת, זה הזמן הנכון לעבור להזדהות מבוססת zero-trust. איננו יודעים מאיפה הפגיעות הבאה תגיע, אך אנו יכולים לנקוט צעדים להכנה. השלב הראשון הוא להפסיק לסמוך על מכשירים שאנו לא מפקחים עליהם כל העת. השלב הבא הוא לנקוט בפעולה ברגע שאנחנו מגלים חריגות כלשהן, פעולות כמו הסרת כל תוכן ארגוני רגיש, חסימת מכשיר מגישה לענן ולמשאבים ארגוניים, או אפילו מחיקת התוכן העסקי מהמכשיר לחלוטין. מעקב הוא חשוב, אך הגנה על הארגון שלך על ידי פעולה מהירה היא קריטית. לשם כך הוסיפה mobileiron את רכיב ה-Threat defence באמצעות שיתוף פעולה עם חברת Zimperium על מנת לאפשר הגנה אקטיבית על המכשירים. בניגוד למתחרים, Mobileiron מאפשר סגירת מעגל מזיהוי לחסימה ללא חיבור לשירות חיצוני באמצעות רכיב מובנה במכשיר.


ניטור וחסימת המכשיר עם גילוי נוזקה בחלק הפרטי (לא מנוהל

אבטחה מתקדמת עבור office 365 ממקום אחד מרכזי

על מנת לנהל בצורה טובה את האבטחה של אפליקציות מנוהלות ב-iOS, פיתחו מייקרוסופט את ״מדיניות ההגנה על אפליקציות״ Intune app protection policies. מטרתו למנוע מעבר מידע מסביבה מנוהלת (container) לסביבה פרטית במכשיר. MobileIron יכולה לנהל את מדיניות ההגנה על אפליקציות וכך להנגיש את כל אמצעי ההגנה ממקום מרכזי ולפשט את העבודה. על ידי הוספת מדיניות ההגנה של אפליקציות Intune לרשימה הארוכה של פתרונות נתמכים, כולל  Android enterprise, Samsung Knox, iOS ו-Windows Information Protection ממשיכה Mobileiron לתת ללקוחות את הגמישות הדרושה להם כדי לעמוד בדרישות העסקיות ולתמוך בכל מגוון המכשירים הנדרש.

הזדהות ללא סיסמא באמצעות MobileIron

הזדהות באמצעות MobileIron device-as-identity היא הראשונה מסוגה בשוק. MobileIron מאפשרת גישה ללא סיסמה לשירותי ענן מכל מכשיר – מנוהל או לא מנוהל – באמצעות המכשיר הנייד כמזהה מאובטח של המשתמש, ואילו הגישה של מיקרוסופט מתחילה ומסתיימת בדפדפן. מיקרוסופט מספקת כעת אימות ללא סיסמה רק עבור Windows Hello.

MobileIron proven leader 

בחירה ב-Mobileiron היא בחירה ביצרן שכל התמחותו בניהול התקני קצה וניידים. ולראיה, הציונים הגבוהים שמשיגה החברה במדדים השונים כולל 9 שנים רצוף ברביע המובילים בגרטנר, במבחני יכולת ולאחרונה נבחרה להיות הנציג היחיד בין יצרני ה-MDM במבחני Zero Trust.

המומחים שלנו ב teraworks יעזרו לכם לתכנן ולהטמיע את מאפייני הניהול ואבטחת המידע עבור התקני הקצה והניידים שלכם בסביבת מיקרוסופט Azure AD ו-Office 365 במהירות על מנת שתוכלו להנות מהאמינות, פשטות השימוש והגמישות של הפלטפורמה.

הטמעת IDM בפורטל הארגוני שלכם בקלות

פרוטוקול oauth 2.0 – בימינו, כשאתה שומע מישהו מדבר על OAuth, סביר להניח שהם מתכוונים ל- OAuth 2.0. גרסאות קודמות לתקן אינן מיושמות יותר.OAuth היא פרוטוקול הרשאה המאפשרת לך לעבוד עם מערכות חיצוניות בצורה מאובטחת באמצעות מזהים דיגיטליים הנקראים Tokens. סוג אחד של Tokens נקרא Access Token. תפקידו לאפשר לך לממש APIs בצורה מאובטחת. שירות ה- API יכול להשתמש ב- Access Token כדי לקבוע אם אתה רשאי לעשות את מה שאתה מנסה לעשות או לא.

קבלת Token מושגת על ידי תהליך תקשורת בין שירות או אפליקציה לבין שרת הרשאות. פרוטוקול OAuth 2.0 מאפשר מספר תרחישי זרימה המשמשים לקבלת הרשאות. תהליכי הזרימה משתנים במידה שבה שרת ההרשאות ״סומך״ על שרת האפליקציה (מבחינת אבטחת מידע).

הגדרות חשובות להבנת התהליך:

OAuth Term
Definition

Authorization Server 
השרת האמון על ההרשאות והקצאת ה- Tokens


Client Application

האפליקציה אשר מבקשת בשם המשתמש גישה לנתונים

Resource Owner

המשתמש אשר מבקש הרשאת גישה לנתונים באמצעות האפליקציה
Resource Server
השרת אשר חושף נתונים באמצעות API ומסוגל לאמת
Access Token שמגיעים משרת ההרשאות

Authorization Flows

תרחישי הזרימה בהם תומך הפרוטוקול מגוונים מאוד והעיקריים שבהם:

1. Implicit Flow – מותאם לאפליקציות ״דף בודד״ SPA לא מהימנות (כמו Angular או Vue.js)

2. Code Flow – עבור אפליקציות מהימנות (כמו Spring Boot או .NET)

3. Code Flow with PKCE – עבור אפליקציות Untrusted Native או Mobile Apps.

4. Client Credentials – עבור Server to Server בין שרתים מהימנים ללא משתמש קצה.

5. Resource Owner Password – לא מומלץ – שימש בעבר עבור שירותי אינטרנט מהימנים עם דף כניסה מותאם אישית שמעבירים את סיסמת משתמש הקצה אל שרת ההרשאות.

איזה תרחיש מתאים למערכת שאתם מפתחים? קבלו את עץ החלטה!

בבלוג זה נתמקד בתהליך שמשמש ארגונים המעוניינים לבנות מערכת הזדהות והרשאות עבור אפליקציה מהימנה כגון אתר אינטרנט עם משתמש קצה.

Authorization Code Flow

תרחיש זה מאפשר לשרת ההרשאות להתמודד עם ארכיטקטורה הכוללת רכיב דפדפן (שאינו מהימן) ורכיב מתווך מהימן כגון יישום Spring Boot או NET.

התרחיש מנצל את תכונות ההפניה המובנות בפרוטוקול HTTP שפועלות על ידי הדפדפן. התהליך מתחיל ביוזמת משתמש הקצה בפניה אל שרת האפליקציה לקבלת נתונים. הבקשה נענית בהפניה של הדפדפן אל שרת ההרשאה לאימות של משתמש הקצה. רכיב האימות מתבצע בדרך כלל באמצעות ספק שירות חיצוני, Identity Provider, כמו OKTA. 

Okta Authentication and MFA 

שרת ההרשאות סומך עליו לטפל באישורי ההזדהות של המשתמש בצורה מאובטחת. למערכת OKTA היכולת לא רק לשמור על סיסמת המשתמש בצורה מאובטחת אלא לאמת את התהליך באמצעות הזדהות מוכוונת הקשר Context כגון הרשת שממנה בוצעה ההזדהות, המכשיר שממנו בוצעה, הזמן והתנהגות המשתמש. בנוסף המערכת מכילה פקטור הזדהות נוסף להקשחת התהליך Multi-Factor authentication.

Access Token

בהנחה שהאימות עבר בצורה מוצלחת, שרת ההרשאה ינותב חזרה לאפליקציה שלך (באמצעות הדפדפן) עם קוד הרשאה בכתובת האתר. 

אפליקציית התווך יכולה כעת בצורה מאובטחת ״ומאחורי הקלעים״, להשתמש בקוד שהתקבל בשילוב עם פרטי התצורה של שרת ההרשאות Client Secret ו- Client ID על מנת לבקש Access Token. על מפתח האפליקציה לוודא שהטוקן הזה לא ייחשף אל משתמשי הקצה ויישמר סודי. הוא מהווה תחליף לגיטימי לפרטי ההזדהות של המשתמש. 

התהליך מתחיל בזיהוי המשתמש מדפדפן שאינו מהימן וממשיך בהחלפת טוקן מאחורי הקלעים

JSON Web Tokens

לאחר קבלת Access Token משרת ההרשאות, ינותב הקליינט למסור אותו אל שרת הנתונים. שרת הנתונים נדרש לאמת את הטוקן לפני השימוש בו. 

הטוקנים הם בפורמט JSON Web Token או בקיצור JWT וחתומים על ידי מפתחות אסימטרים JSON Web Keys או בקיצור JWK אותם ניתן לקבל משרת ההרשאות ולשמור בשרת הנתונים. על מנת לפענח אותם ולאמת את מקורם ניתן להשוות את המפתח ששימש להצפנת הטוקן עם המפתח שנשמר בשרת ההרשאות מקומית או לחזור בקריאת API, אל שרת ההרשאות על מנת לאמת את הטוקן (פחות מומלץ בתרחישים הדורשים ביצועים גבוהים).

מקורות:

  • https://developer.okta.com/docs/guides/implement-auth-code/-/use-flow/
  • https://developer.okta.com/docs/concepts/auth-overview/#what-kind-of-client-are-you-building
  • https://developer.okta.com/blog/2018/12/13/oauth-2-for-native-and-mobile-apps

MobileIron – ניהול MacOS

"בשנת 2015 אפשרו IBM לעובדים את השימוש בתחנות עבודה Mac של אפל, שלוש שנים מאוחר יותר והמספר עומד על 135,000 תחנות." כך פתח בדבריו ה-CIO של יבמ פלצ'ר פלבין בכנס למשתמשי Mac בשנה שעברה (אוקטובר 2018). כמו יבמ, השימוש במאק צובר תאוצה בארגונים גדולים נוספים. אפל זיהו את הפוטנציאל ולכן מערכות ההפעלה האחרונות יצאו עם פתרונות מובנים המאפשרים ניהול מרכזי המותאם לצרכי השוק העסקי.

mobile device management - MobileIron - ניהול MacOS

"יותר ממחצית מהארגונים (52%) מציעים כעת לעובדיהם את היכולת לבחור באיזה סוג מחשב הם משתמשים בעבודה. כאשר ארגונים נותנים לעובדים את היכולת לבחור את הטכנולוגיה שלהם, הם בחרו באופן עקבי באפל. 72% מהעובדים בוחרים ב- Mac בארגונים המאפשרים בחירה." סקר בקרב 580 ארגונים בנושא השפעת אפשרות הבחירה בטכנולוגיות על שביעות רצון עובדים 2018.

בנוסף לתהליכים הללו, המפץ הגדול הקרוב בשוק תחנות העבודה, סיום התמיכה של מיקרוסופט ב- Windows 7 תותיר מאות מיליוני משתמשים עם מערכת הפעלה בת עשר. הנגשת מערכות Mac לשוק העסקי, תפתח לראשונה את האפשרות לארגונים לבחור באלטרנטיבה נוספת בכמויות שלא נראו בעבר.

בסביבת העבודה עמה מתמודדים ארגונים כיום המורכבת מתחנות Windows10 ו-MacOS, היתרון בניהול ואבטחה באמצעות פלטפורמה אחודה גדול. לקוחות שכבר משתמשים ב- MobileIron לניהול הניידים מסוג Android ו- iOS על בסיס יומיומי יכולים למנף את ההשקעה במערכת הקיימת, תוך כדי הוזלת עלויות.  MobileIron UEM מכסה תרחישים רבים שמטרתם לייעל את האבטחה, כמו גם לשפר את השימושיות עבור מנהלי מערכת ומשתמשים כאחד. מערך היכולות הרחב של המערכת משתרע על מחזור החיים המלא של תחנת העבודה MacOS – החל מפריסתה עד לגריטה. במאמר זה נדגיש את הערך שאנו מביאים ללקוחות בכל אחד מהשלבים הללו.

פריסת תחנות הקצה On-Boarding and Deployment

המערכת תומכת בתכנית אפל לפריסת מחשבים (המכונה DEP), המאפשר הפצה ​​ללא מגע של מכשירי macOS ו- iOS. זהו חיסכון זמן ענקי עבור ה-IT ומאפשר למשתמשים להיות פרודוקטיביים במהירות. בנוסף לתמיכה ב-DEP, MobileIron תומך גם בתוכנית רכישת האפליקציות הארגונית של אפל (VPP), מה שהופך את הקצאת וניהול הרישיונות לאוטומטי. רישום תחנות וגם אפליקציות זמינים כעת דרך פורטל ה-DEP של אפל. MobileIron UEM תומך גם בפריסת תחנות קצה של macOS כולל הרשמה באמצעות דפדפן אינטרנט (iREG), הרשמה בתוך אפליקציית ה- Mobile @ Work שלנו והרשמה באמצעות Apple Configurator 2. הרשמה יעילה, חוסכת זמן ופשוטה עם הרבה אפשרויות גמישות למנהל העסוק. תהליך הרישום מתבצע ללא התערכות של מנהל המערכת ועובד באופן הבא:

ניהול תצורה Configuration and Profile

MobileIron מציעה אפשרויות גמישות רבות שיעזרו לך ליצור ולדחוף תצורות למחשבי מקינטוש. לדוגמה, אתה יכול לדחוף אישורים באמצעות שירות ה- CA המובנה במוצר (Certificate Authority) כדי להבטיח שמחשבי ה- Mac של המשתמשים מוגדרים עם גישה ל- Wi-Fi ו- VPN ארגוניים. באפשרותך ליצור תגיות וקבוצות מכשירים (Device Groups) ובאמצעותם להגדיר הגבלות שונות על המכשירים. אותו מנוע מדיניות מהימן בו המערכת משתמשת כדי ליצור ולאכוף מדיניות במערכות הפעלה אחרות חל גם על macOS, כך שנוכל להיות בטוחים כי המכשיר פועל על פי הכללים שמחלקת ה- IT שלך קבעה.

פעולות אפשריות נוספות:

  • ניתן להשתמש ב- MobileIron UEM גם ליצירת חשבונות Office 365 עבור מחשבי ה- Mac שלך.
  • דחיפת עדכוני מערכת הפעלה –Patch Management.
  • עיכוב עדכוני מערכת הפעלה עד 90 יום כדי להתאים אותם ללוחות הזמנים של המשתמשים ולהבטיח תאימות לאפליקציות נוספות שפרסתם.
  • באמצעות ה-Agent המותקן במכשיר ניתן להשתמש ולהתקין סקריפטים בהתאמה אישית כגון הוספת מדפסות.

אבטחת מידע  End Point Security

מניעת אובדן נתונים DLP – Data Leak Prevention עבור מחשבי מקינטוש דורש ממנהלי המערכת לשלוט במספר הגדרות קריטיות. נדרשת מערכת המסוגלת לאכיפה ופיקוח של מדיניות מחד ובמידת הצורך יכולת לנקוט בפעולות מתקנות. MobileIron UEM מספקת את מערך הבקרות המקיף והיכולת לקבוע את המגבלות הדרושות כדי למנוע אובדן נתונים. כמה דוגמאות לכך כוללות:

  • הגדרה ואכיפת סיסמת הגישה למחשב.
  • הבטחת הפעלת קידוד הדיסק Disk Encryption באמצעות Filevault.
  • מניעת צריבת הדיסק הקשיח.
  • הגבלת הגישה לשיתוף קבצים ב- iTunes.
  • התקנת אפליקציה על ידי מנהלי מערכת בלבד.
  • מניעה ממשתמשים להתקין אפליקציות עצמאית מחוץ לחנות האפליקציות של macOS.
  • מניעת מחיקת משתמשים של אפליקציות המערכת של אפל ועוד ועוד!

אפליקציות Per App VPN ואימות מבוסס הקשר Device Trust

מערכת MobileIron כוללת גם רכיב VPN Tunnel המאפשר הגנת VPN ברמת אפליקציה. המערכת תומכת לא רק ב- Mac, אלא גם במכשירי אנדרואיד, iOS ו- Windows 10. באמצעות Tunneling, מנהלי IT יכולים להגדיר ללא מאמץ מכשירים עם סרטיפיקט (Certificate) ותצורות VPN ללא צורך בפתרון VPN של צד שלישי. כל זאת באמצעות MobileIron Sentry, השער המקוון שמנהל, מצפין ומאבטח תנועה בין מחשבי מקינטוש ומערכות ארגוניות אחוריות.

בנוסף לכך, באמצעות MobileIron Access, ניתן להבטיח כי נתונים משירותי ענן נפוצים כמו O365, G Suite, Salesforce או כל שירות התומך ב- SAML 2.0, יהיו זמינים רק למשתמשים מאומתים במחשבי Mac מורשים, ורק כאשר הם משתמשים באפליקציה ייעודית.

המערכת מתממשקת עם Identity Providers צד שלישי כגון OKTA על מנת להוסיף יכולות Device trust בגישה לשירותי ענן קריטיים וכן לאפשר Password less authentication על ידי מינוף התעודות המותקנות על המכשירים כתחליף להזדהות עם סיסמה.

הפצת אפליקציות  Packager

מערכת ההפצה תומכת בהפצת תוכנה עבור macOS עם וללא DEP (Device Enrollment Program). לאחרונה התווספה גם האפשרות להציג התראות בזמן שהאפליקציות מותקנות. כמו כן, כאשר מנהל מערכת מוסיף אפליקציה במנהל ההפצה של אפל DEP, נתוני ה-Metadata של האפליקציה יסונכרנו עם MobileIron וניתן יהיה לפרוס את האפליקציה ללא מעורבות המשתמש למכשיר.

בנוסף, מנהלי מערכת עשויים לרצות לספק לעובדיהם קטלוג אפליקציות ש- MobileIron יכולה לספק עבור macOS וכן עבור כל מערכות ההפעלה האחרות שאנו מנהלים.  בנוסף, מנהלים יוכלו לקבוע תלות (יחסים) בין אפליקציות מרובות. לדוגמא, הם יוכלו להכתיב שלפני התקנת אפליקציה מסוימת, יש להתקין תחילה אפליקציה אחרת (או סדרת אפליקציות). זה יעזור להבטיח את חווית המשתמש הטובה ביותר האפשרית, תוך צמצום מעורבות המשתמש.

מעקב וציות Compliance

MobileIron UEM מספק למנהלים את השליטה והראות הנחוצים לניהול מקינטוש ולהבטיח שהם תואמים. ניתן ליצור מדיניות בהתאמה אישית על סמך מספר קריטריונים של מכשירים, לדוגמה, הוחל בהצפנת Filevault2, וסדרה של פעולות ציות שכבות מוגדרות על בסיס חומרת ההפרה. פעולות הציות עשויות להיות פשוטות כמו התראה הנשלחת למשתמש, או במידת הצורך פעולת הסגר או במקרה הגרוע, מחיקה של מכשיר. פעולות ציות יכולות להיות מונעות גם על ידי אפליקציות. דוגמה נוספת להבטיח תאימות ל- Mac היא הגדרת ואכיפת מדיניות קוד סיסמה. אם מזוהה מקינטוש כבעלי קוד סיסמה שאינו תואם, אתה יכול לדרוש מהמשתמש לאפס את קוד הסיסמה שלו בכניסה הבאה, או למנוע גישה למשאבים ארגוניים. מדיניות ציות מדויקת ופעולות תאימות גמישות, שכבותיות, מספקות למנהלים את הכלים הדרושים להם במאבק המתמשך נגד אובדן נתונים פוטנציאלי.

סיום מחזור חיים למכשיר Off-Boarding

מה לגבי מכשיר macOS שצריך להיפטר ממנו? בין אם מדובר בעובד שעוזב את הארגון, או עובר שדרוג טכנולוגי למכשיר, MobileIron UEM מקל על גריטה (decommission) של מכשירים בכך שהיא מאפשרת למנהלי מערכת לבטל  את הרישום בצורה חלקה ומרחוק – ללא מגע יד אדם. המכשיר מפסיק להיות מנוהל וכל התצורות שהותקנו על ידי ה- UEM נמחקות. בנוסף, ניתן למחוק אותו לחלוטין Factory Wipe (חזרה להגדרות היצרן) או למחוק באופן סלקטיבי במקרים בהם העובד הבעלים של המכשיר BYOD ועוזב את הארגון. לאחר מכן ניתן לרשום מחדש בקלות את ה- Mac על שם עובד חדש.


Cloud Transformation

Cloud Strategy & Consulting Services

In this mobile cloud era , IT organizations are expected to be light-footed and competitive when responding to new business requirements: rapid and flexible solutions combined with lower IT Capex. This has led to many IT organizations reacting to clients’ needs and demands through new ways of develop, test, deliver, and operate state-of-the-art solutions with more efficiency and agility in order to meet those new business demands.

Cloud Security - אבטחת מידע בענן

Many IT Organizations started to think about the ways of transformation, this journey involves organizational change from ALL aspects: people, business, technology, and processes.

Nowadays, On-demand, scalability, elasticity, mobility, and pay-as-you-go models are an integral part of IT’s transformation to the cloud.

The transition to the cloud incurs many benefits, primarily extensive reduction of cost through shifting Capex investments in favor of flexible Opex (paying a monthly or hourly based on actual consumed services), reducing capital expenditure for purchasing software licenses and continually upgrading hardware.

Cloud inherent services allow for the cost efficient and swift development and launch of new features, applications, and solutions.

Despite these advantages, there are many dilemmas and questions raised:

How can we carry out this transition
?Where does one start

?Which cloud model is suitable for our organization: Internal, public, or hybrid cloud

?What criteria need to be fulfilled to analyze the internal application for cloud readiness

?How should we avoid business risks such as vendor locking

?How does my organization transfer its internal processes and services to the cloud

?And what about Security and Privacy issues

?How does one lead and manage the organizational change

How will the IT team adapt to the cloud and what kind of jobs they will do in the future? oles and responsibilities

All these questions and dilemmas are a vital part of the transformation and anorganization’s journey to the cloud

Why choose Teraworks to transform your organization

Nowadays, On-demand, scalability, elasticity, mobility, and pay-as-you-go models are an integral part of IT’s transformation to the cloud.

Teraworks has developed a unique approach which ensures that your IT transformation process to the cloud is smooth, successful and maximizes business advantage.

This approach is based on Teraworks’ extensive experience and can be specifically tailored to your organization. In our experience, the key to a successful transformation process is detailed analysis and thorough risk management. Teraworks examines all aspects of economic viability, organizational readiness, the suitability of each potential solution, and the long-term benefits to the organization and its clients before advising on the final, successful transformation process.

טרנספורמציה דיגיטלית-בארגון מסורתי

ארגון מסורתי הפועל כ-20 שנה באותן שיטות הפך תוך חצי שנה לארגון מבוסס ענן הפועל גלובאלית וכולל שרידות, המשכיות עסקית ואבטחת מידע.

ישבתי במשרדו של מנכל החברה, שהיה ממוקם ליד מעבדת ההנדסה הגנטית בחווה הפסטורלית שלהם בדרום. הוא סיפר לי על מהלך עסקי עם חוצפה ישראלית טיפוסית שהחברה הצליחה לבצע שהביא לזכייתה בעסקה ענקית בסין. העסקה כוללת תכנון מעבדה דומה אבל גדולה בכמה סדרי גודל, תכנון פיזי, אספקה של ציוד מתקדם וכמובן העברת ידע לגידול (שהינו הנכס המשמעותי ביותר של החברה).

אך מאז שהעסקה נסגרה, הם נתקלים באירועים מתרבים שמומחי אבטחת מידע היו מסווגים כניסיונות חדירה אל מחשבי הצוות העוסק בפרויקט. היקף וסוג הפעילות שעסקו בה בעבר לא הציפו צורך במערך מחשוב מוגן במיוחד.

MFA- SSO- OKTA- אוקטה

התבקשנו לבצע תכנון מחדש למערך המחשוב של החברה כאשר העקרונות המובילים הם: ניידות גבוהה בסביבה גלובאלית, שיתוף נוח של מידע בין אנשי החברה לספקים חיצוניים, גמישות בשימוש במכשירי קצה כולל מכשירים אישיים, קלות תפעול ומחיר.

עם הצידה הזו יצאנו לדרך לתכנון המערך החדש לא לפני שהצהרנו שכל פעילות החברה תעבור לענן וקיבלנו התחייבות הבעלים לגבות אותנו במהלך השינוי אל מול העובדים (התרענו שזה יכאב).

ניהול זהויות OKTA

הצעד הראשון ליציאה לענן היה תכנון מחדש של ניהול הזהויות שמשתמשות במערכות המידע של החברה. הפתרון שהפעלנו היה מערכת ניהול זהויות בענן של יצרן מוביל. עובדים, קבלני משנה, שותפים עסקיים, לקוחות. יש לוודא שכולם נרשמים בספריה מרכזית ומקבלים את הגדרות הכניסה המתאימות עבורם למערכות השונות. ניתן לייבא אותם בקלות באמצעות LDAP או מתוך אפליקציות קיימות אם לא קיימת ספריה מקומית (נניח Gmail).

הגדרנו את מאפייני האבטחה הרצויים שכללו:

  1. אישור גישה מכל מכשיר דרך פורטל אחד ( SSO – Single Sign On)
  2. הפעלת הזדהות כפולה בגישה למערכות (MFA – Multi Factor Authentication)
  3. מדיניות הזדהות אחידה לכלל אפליקציות הענן
  4. וניטור ניסיונות התחברות מחוץ לישראל

לאחר מכן הגדרנו את האינטגרציה לאפליקציות ענן. המערכת מתחברת באמצעות SAML לרוב שירותי הענן הקיימים ובכך מייתרת את הצורך בניהול הזהויות באפליקציות השונות באמצעות Trustשמתבצע בין הדומיין של הלקוח באפליקציית הענן לדומיין שלו במערכת.

אפליקציות מובילות כמו Salesforce ו-GSuite מאפשרות רמת אינטגרציה גבוה יותר הכוללת הקצאה של רישיונות ו-Roles למשתמשים ואף את הקמתם באפליקציית היעד על פי מאפיינים שהוגדרו מראש (Provisioning). זהו מרכיב חשוב ביותר שכן, עזיבת עובד מטופלת בקלות על ידי מניעת גישה שלו למערכת ואף ניתן להגדיר באופן אוטומטי הסרת ההרשאות והרישיון שלו מהאפליקציות שבהן השתמש.

דואר אלקטרוני

העברת הדואר לאופיס 365 התבצעה בצורה חלקה יחסית היות ורוב המשתמשים המשיכו לעבוד על האאוטלוק המקומי. אימות המשתמשים מתבצע מול מערכת ההזדהות ולכן ניתן לשמר את ההשקעה בגרסת אופיס 2013 עבור האאוטלוק ולרכוש רישיוי אופיס אונליין עבור שרת הדואר של 365 כשלשניהם סיסמא אחת.

ERP

המעבר לאשבל גם כן היה חלק. מכיוון שאשבל לא מאפשרים הזדהות בפרוטוקול SAML השתמשנו בטכנולוגית SWA (Secure web Authentication) המובנית במערכת על מנת לאפשר SSO. זהו תהליך קל שמאפשר מחד שמירה על השליטה בסיסמא על ידי Administrator עם חוויית משתמש קלה ובטוחה של הלקוח דרך פורטל ה-SSO.

תיקיות משותפות Sharepoint Online

האתגר הגדול ביותר היה ההתנערות משרת הקבצים הישן. ניהול השיתופים, רמות ההרשאה והגיבוי לא תאמו את הציפיות של החברה והיוו פירצת אבטחה קלה לכל דכפין. איום כופר שארע לאחרונה היה הקש ששבר את גב הגמל והחברה אישרה מעבר לתיקיה משותפת לענן.

הבחירה ב-SharePoint Online נבעה מסיבה כלכלית שכן מייקרוסופט נותנים נפח של 1TB לאתר כחלק מחבילת הבסיס של אופיס אונליין שנרכשה עבור שרת הדואר. 

הקושי האובייקטיבי של אנשים עם הרגלים חדשים כמו גם קשיי גדילה של המוצר היווה אתגר משמעותי בהטמעת הפתרון. אבל רובם נפתרו תוך כדי תנועה כאשר נוצר ישור קו עם פיצ'רים סטנדרטים בתעשייה שהיו חשובים כגון סנכרון תיקיות למחשבים.

שלבי ההטמעה:

  1. בניית עץ ספריות והרשאות על פי המבנה העתידי של החברה עם דגש להפרדה בין ספריות לשימוש ההנהלה, לשימוש פנימי וכאלה שמשמשות קבלני משנה.
  2. הגדרת הגישה של המסמכים דרך מגוון אפליקציות אופיס 2013 המותקנות על התחנות.
  3. הוספת האפליקציה לפורטל ה-SSO ופרסומו לכל תחנות הקצה והניידים.
  4. התקנת ה-Agent החדש של Microsoft (גרסת ביטא) לסנכרון תיקיות SharePoint למחשבים.
  5. הפעלת גיבוי על אתר המסמכים של החברה ב-SharePoint באמצעות אפליקציית הענן של חברת Cloud Ally. המוצר מתחבר באמצעות API לאתר ומושך את המידע לגיבוי בענן שלAmazon (תומך גם בגיבוי תיבות דואר).

ניהול תחנות הקצה KACE1000

עכשיו לאחר שסגרנו את חדר השרתים ועברנו לשימוש באפליקציות ענן, נותרו רק תחנות העבודה והניידים כרכיבי מחשוב שנדרש לנהל פיזית. על מנת לענות לעקרונות שהוגדרו על ידי המנכל, בחרנו בשירות ענן מיצרן מוכר לניהול תחנות הקצה בתצורה של שירות ענן.

המוצר מכיל למעשה ארבע פונקציות עיקריות:

  • ניהול אבטחת מידע והגדרות מערכת ההפעלה (באמצעות Agent) 
  • ניהול רישיונות תוכנה
  • ניהול הפצת תוכנה (כל התוכנות המותקנות כולל עדכונים)
  • שירות לקוחות מובנה

היתרון הגדול של השירות עבור החברה הינו העלות הנמוכה ביחס לשירותים דומים, קלות השימוש והעובדה שהוא מתקשר מול הרכיבים דרך האינטרנט בצורה מאובטחת ולא מחייב רשת ארגונית.

יתרון נוסף שלא בא לידי ביטוי כאן אבל מאוד רלוונטי לעידן הגלובלי וה- BYOD הוא שהמוצר מנהל מחשבי Windows, Linux ו-MACOS באותו אופן עם צורך בידע מוקדם מינימאלי.

תהליך ההטמעה כלל:

  1. פריסת סוכנים על המחשבים המנוהלים
  2. בניית פרופיל תחנה כולל הגדרות ואבטחת מידע, ייבוא הפרופיל למערכת והפצתו לכל המחשבים.
  3. הפעלת ניטור רישיונות עבור חבילת האופיס, אנטי-וירוס, ועוד מספר תוכנות נדרשות
  4. הפעלת עדכוני תוכנה מחזוריים לתוספי Java, Flash אנטי וירוס ומערכות הפעלה
  5. בניית White-list למניעת התקנות תוכנות לא רצויות.
  6. הפעלת ניטור לבדיקת תקינות שירותי האנטי וירוס (Services) בתחנות.
  7. ניהול אחיד של Power Management .

אין ספק שישנם עוד היבטים רבים שניתן לשפר ולשדרג אך במגבלות הדרישות והתקציב אנו חושבים שהתצורה הנוכחית מאפשרת גמישות ובטיחות מרביים בעולם החדש אליו נכנסה החברה.

הלקחים המרכזיים שלמדנו מהתהליך:

  1. ברמה ההתנהגותית – ארגון מסורתי (עובדים מבוגרים) מסוגל לאמץ תוך זמן קצר יחסית מהפכה דיגיטלית לשירותי SaaS באופן מלא.
  2. אבטחת מידע – איום הכופר הפך ל-Non-Issue. יש שליטה מלאה בהרשאות גישה למידע.
  3. המשכיות עסקית – אובדן מידע כתוצאה מרשלנות המשתמשים הפך ל-Non-Issue.
  4. ניידות – הנגשת המידע דרך מכשירי הטלפון הניידים הפך למובן מאליו.

פריסה גלובאלית של מערכת לניהול תחנות קצה

שם הפרויקט: פריסה גלובאלית של מערכת לניהול תחנות קצה

שם הלקוח: Forescout

תאריך סיום: אוקטובר 2018

מטרת הפרויקט:

  • מערכת גלובאלית להפצת תוכנה, ניהול עדכונים, ושדרוגים של תוכנה קיימת בתחנות הקצה.
  • שירות עצמי לעובדים של הורדת תוכנה בצורה מבוקרת ומאובטחת וללא התערבות מצד העובד.
KACE System -UEM QUEST

דרישות הלקוח:

  1. עבור מנהלי מכירות ובכירים, אפשרות ניהול עיתוי השדרוג בצורה גמישה וללא הפרעה לניהול העסקי.
  2. ניהול תחנות הקצה המתניידות דרך האינטרנט ללא צורך בחיבור התחנה לרשת הארגונית.

הרקע לפרויקט:

בארגון הוטמעו מספר מערכות ניהול שתופעלו על ידי מספר צוותים מגיאוגרפיות שונות. מנהלי החברה ביקשו לאחד את המערכות למערכת גלובאלית מרכזית ולהוסיף פונקציונאליות חדשה.

הפתרון שהוטמע:

הפתרון שנבחר היה על בסיס מערכת KACE System Management Appliance מבית Quest. המערכת מאפשרת למנהל ה-IT לקבל תמונת מצב בזמן אמת לגבי כלל התקני הקצה בחברה, לוודא כי הם עומדים בדרישות אבטחת המידע ולאכוף את המדיניות שהוגדרה.

הפונקציונאליות שהוטמעה במהלך הפרויקט:

  1. מעבר לעבודה כשירות ענן גלובאלי, פורטל מרכזי ונהלי עבודה אחודים לכלל הצוותים בעולם.
  2. הפצת עדכונים – עבור מערכות הפעלה ועבור שדרוגים לתוכנות צד שלישי עם ממשק ידידותי למשתמשי הקצה למניעת הפרעה במהלך העסקים הרגיל.
  3. הפצת תוכנה – ניהול הפצת תוכנה "שקט" עבור Office 2016, A\V, Adobe ועוד.
  4. ניהול מרכזי – ממשק הכולל תמונת מצב מפורטת על התקדמות ההפצה ברמה ארגונית.
  5. פורטל שירות עצמי להורדת תוכנה עבור העובדים.
  6. רגולציה, תקינה וניהול מצאי – ניהול חומרה, תוכנה, ורישוי תוכנה לתחנות כולל מחולל דו"חות ניהוליים.

תוצאות הפרויקט:

אברהם רז, מנהל תשתיות פורסקאוט ישראל: "בשיתוף עם חברת טרהוורקס, אנו מסוגלים כיום לאכוף את מדיניות החברה בנושא עדכוני מערכות הפעלה ותוכנות בצורה גלובאלית, ייעלנו את עבודת צוותי ה-IT ושיפרנו את השירות לעובד באמצעות פורטל הורדת תוכנה חדש ונוח. בנוסף הקטנו את החיכוך בין מחלקת ה-IT לאנשי השטח שנבע מאתחולים בזמנים לא נוחים או מהצורך להתחבר לרשת על מנת לקבל תמיכה שכיום יכולה להתבצע מרחוק וללא צורך בהשתלטות על התחנות."

צור קשר hlink
X

צור קשר

דילוג לתוכן