שרת "הלבנה" מאי 2010 מול תחנת "הלבנה" המצוי :תחנת "הלבנה" בשנים האחרונות הולך ונפוץ השימוש בתחנות "הלבנה" ,שאמורות להוות תחנת מעבר הכרחית בעת הכנסת מידע חיצוני לתוך רשת רגישה. התצורה המקובלת הנה לפרוס תחנות "הלבנה" ברחבי הארגון ,אלא שלעיתים קרובות הארגון משתרע: · על פני יותר מאשר מתחם יחיד, · ובכל מתחם על פני יותר מאשר מבנה יחיד, · ובכל מבנה על פני יותר מקומה אחת. הפריסה הרחבה משפיעה באופן ישיר על כמות תחנות ה"הלבנה" שנדרש לפרוס ברחבי הארגון. את תחנות ה"הלבנה" ניתן להתקין במגוון תצורות: · כעמדה עצמאית המנותקות מרשת .Stand Alone - · כחלק מהרשת הארגונית היותר רגישה )שלעיתים היא סגורה על עצמה(. · כחלק מהרשת הארגונית הפחות רגישה )שלעיתים היא פתוחה לאינטרנט(. השימוש המקובל בתצורות השונות של התקנת תחנות ה"הלבנה" טומן בחובו לצד היתרונות גם חסרונות וקשיים לא מעטים .חלקם של החסרונות והקשיים הנם כלליים ומשתקפים בכל תצורות ההתקנה הקיימות ,וחלקם הנם ספציפיים לתצורת ההתקנה זו או אחרת של תחנות ה"הלבנה" .להלן פרוט כמה מהחסרונות האופייניים: · קשיים אדמיניסטרטיביים ואבטחתיים: § קושי לנהל מרחוק פרופילי "הלבנה" מרובים ושונים ,המותאמים לתחנות שונות. § קושי לנהל משתמשים בתחנות מפוזרות. § קושי לעדכן חתימות במנועי אנטי-וירוס מפוזרים. § קושי למשוך קבצי Logמתחנות מפוזרות. · חסרונות כלכליים: § צורך ברכש מחשבי "הלבנה" רבים ,החל מהחומרה ועד למערכת ההפעלה. § צורך ברכש רישיונות "הלבנה" רבים. § עלויות תחזוקה גבוהות. · קשיים ברמת המשתמש: § הצורך להגיע פיזית אל תחנת "הלבנה" ,שאינה בהכרח נמצאת בקרבה לשולחן העבודה של המשתמש ,לא בהכרח בקומה בה הוא יושב ,ויתכן שאפילו לא בבניין בו הוא יושב. § כאשר מחשב ה"הלבנה" אינו חלק מהרשת הרגישה ,ישנו צורך למצוא מחשב ברשת הרגישה שהוא בעל כונני מדיות פתוחים ,דרכו ניתן להכניס מדיה נתיקה לרשת הרגישה. הרצוי :שרת "הלבנה" מענה למרבית החסרונות שהוצגו לעיל לגבי עמדות ה"הלבנה" הרבות והמפוזרות ניתן להשיג באם עושים שימוש בשרת "הלבנה" מרכזי ברשת. שרת "הלבנה" רשתי מאפשר: · בכניסתו :לקבל את כל הקבצים המיועדים ל"הלבנה" ,וזאת מכל עובדי הארגון המורשים לקבל שירותי "הלבנה". · לבדוק את הקבצים על פי פרופילים שונים ,לבצע בהם פעולות אקטיביות ,ולאשר לשימוש רק את אלו שעברו בהצלחה את ה"הלבנה". · ביציאתו :לחלק את הקצבים המאושרים ליעדם ,בהתאם מדיניות המוגדרת ול Workflow-הארגוני. השימוש בשרת "הלבנה" מרכזי מביא איתו יתרונות רבים: · יתרונות אדמיניסטרטיביים ואבטחתיים: § אין צורך לנהל מרחוק תחנות רבות .הניהול מבוצע במקום אחד מרכזי. § פרופילי "הלבנה" שונים נקבעים ומופעלים במקום אחד מרכזי. § נוח לנהל משתמשים בצורה מרכזית. § קל יחסית לעדכן חתימות במנועי אנטי-וירוס מרכזיים. § יצירת הלוגים נעשית בשרת מרכזי ,ומשיכתם לפיכך מתבצעת מנקודה בודדת. · יתרונות כלכליים: § נדרש רכש שרת בודד. § נדרש רכש רישיון בודד ל"הלבנה" מרכזית. § עלויות התחזוקה נמוכות. · יתרונות ברמת המשתמש: § אין צורך להגיע פיזית אל תחנת "הלבנה" המרוחקת משולחן העבודה שלו. § אין צורך למצוא מחשב בעל כוננים פתוחים ,דרכו ניתן להכניס מדיה נתיקה לרשת הרגישה. היתרונות של שימוש בשרת "הלבנה" מרכזי הנם אם כן משמעותיים ביותר ,למול החסרונות שבשימוש בתחנות "הלבנה" מפוזרות. האתגר :אבטחת מסלול הגישה לשרת ה"הלבנה" מניתוח היתרונות הרבים שבשימוש בשרת "הלבנה" מרכזי עולה שהמקום המתאים ביותר למקם את שרת ה"הלבנה" הנו דווקא ברשת הרגישה עצמה. עולה אם כן השאלה :מדוע לא נפוץ השימוש בשרת "הלבנה" מרכזי ברשת הרגישה? התשובה לכך היא שלמרות היתרונות המשמעותיים שבשימוש בשרת "הלבנה" מרכזי ,קיים מאז ומתמיד מחסום אבטחתי קריטי המונע את אימוץ המודל של שרת "הלבנה" מרכזי: מאחר והמידע המיועד ל"הלבנה" נחשב למידע עוין בטרם "הולבן" ,והוא בעל פוטנציאל איום ונזק לרשת הרגישה ,אין בנמצא דרך מאובטחת בה המשתמשים יכולים להכניס קבצים לרשת הרגישה, ולהעבירם לבדיקת "הלבנה" רשתית ,וזאת מבלי לסכן את המידע הקיים באותה רשת רגישה שבה ממוקם שרת ה"הלבנה". פתרונות של שימוש במחשבים וירטואליים ,או יישומי Terminalלסוגיהם ,נחשבים ללא מאובטחים יחסית מאחר ומדובר למעשה באפליקציות הרוכבות מעל למערכות ההפעלה הפועלות ברשת הרגישה ,וזו הסיבה שמחשבים וירטואליים ויישומי Terminalאינם מספקים את המענה האבטחתי הראוי. האתגר האבטחתי הוא לכן כפול: · לאפשר את הכנסת הקבצים המיועדים ל"הלבנה" לרשת הרגישה ,מבלי לסכן את הרשת הרגישה בעת ההכנסה ,כשהמרכיב הראשון שלה שפוגש את הקובץ החיצוני בעת כניסתו לרשת הוא הדיסק המקומי שבתחנת הקצה. · לשנע את הקבצים ברשת הרגישה ,מנקודת הכניסה ועד לשרת ה"הלבנה" המרכזי ,וזאת מבלי לפגוע ברשת הרגישה בעת השינוע. בנוסף ,קיים אתגר תפעולי ברמת המשתמש: · להקל משמעותית את הטרחה של המשתמש המעוניין להעביר קבצים ל"הלבנה" ,ע"י כך שנקרב אליו את שער הכנסת הקבצים ל"הלבנה" ,בשאיפה עד לשולחן העבודה שלו. המענה :מערכת )InjectorIT (patent pending מערכת InjectorITפותחה בחב' יזמטק במיוחד בכדי לספק את המענה האבטחתי שיאפשר הכנסת קבצים ממדיות נתיקות ושייעודם להגיע לשרת "הלבנה" מרכזי ברשת. הפעלת מערכת InjectorITמייצרת מסלול הכנסה מאובטח ,המתחיל בתחנת הקצה וממשיך עד שרת ה"הלבנה" המרכזי .במסלול המאובטח הזה מועברים הקבצים המיועדים ל"הלבנה" ,וזאת מבלי שהם מסכנים בדרכם את מחשבי ושרתי הרשת הרגישה. - InjectorITמשלבת מרכיבים התורמים לאיכות ולחסינות האבטחתית של פעולתה: · מתבצע זיהוי איכותי של המשתמשים ,כמקובל ברשת הרגישה. · הרשאות אישיות נקבעות פרטנית לכל משתמש מורשה. · קיימת תמיכה בעבודת משתמשים מזדמנים ,עבור מקרים של לשכות שירות וקבלת קהל. · הפעלת המערכת נעשית באמצעות התקנים מורשים בלבד ,המונפקים פרטנית ע"י הארגון לעובדים מאושרים. · המשתמש עושה שימוש במערכת הפעלה Linuxמנוונת ומוקשחת ,באמצעות ממשק משתמש המנוון גם הוא. · המערכת מאתחלת את עצמה בסיום כל מחזור הכנסת קבצים. · העברת הקבצים מהכניסה ועד לשרת ה"הלבנה" המרכזי נעשית בתווך ממוגן המונע התפשטות קוד עוין. קיימת הפרדה ברורה בין תפקיד ה Admin- האבטחתי ,לבין המשתמש המכניס את הקבצים לרשת הרגישה. שילוב מערכת InjectorITיכול להתבצע בתצורות התקנה שונות: · פריסתה בתצורה של תחנות קיוסק ייעודיות המחוברות לרשת הרגישה .קיימות אפשרויות: § להפעיל את אפליקציית InjectorITבצורה קבועה בתחנת קיוסק קבועה ,גם ללא נוכחות דיסק קשיח מקומי, ולכן גם ללא צורך בהתקנת מערכת ההפעלה .Windows § לעשות שימוש במסך מגע ,ולוותר על השימוש במקלדת ובעכבר. · הפעלת InjectorITעל תחנות העבודה של משתמשים מורשים ,וזאת בתחנה שבדרך כלל עושה שימוש בדיסק קשיח ובמערכת הפעלה .Windowsמערכת InjectorITפועלת רק לאחר שמערכת ההפעלה Linuxהמוקשחת הועלתה בתחנת המשתמש במקום מערכת ההפעלה Windowsהסטנדרטית. הפתרון הכולל שמציעה חב' יזמטק להלבנת קצבים בעזרת שרת "הלבנה" רשתי ,משלב אם כן משני מרכיבים ייחודיים: · – InjectorITמערכת המאפשרת להכניס את הקבצים לרשת הרגישה בצורה מאובטחת ,החל מהמדיה הנתיקה ועד לשרת ה"הלבנה" המרכזי. · – SelectorITמערכת ה"הלבנה" שבגרסת Serverשלה היא משמשת כשרת "הלבנה" רשתי. שילוב שתי המערכות מאפשר לראשונה להפעיל יכולת "הלבנה" רשתית ,בעלת יתרונות אבטחתיים ,ניהוליים ותפעוליים.
© Copyright 2024