לארי אליסון, אורקל: "האבטחה הכי טובה היא דווקא בענן"

"אורקל (Oracle) שואפת להסיר את מתג הכיבוי מן האבטחה ולהפוך אותה לגורם מובנה במחשוב כברירת המחדל, וזאת ברמה נמוכה עוד יותר של מערך הטכנולוגיה, כשהמצב האידאלי הוא להטמיע את האבטחה ברמת החומרה של המעבד עצמו, ולא להשאיר את מתג האבטחה לבחירתם של משתמשי היישומים". כך אמר לארי אליסון, יו"ר ביצועי ומנהל טכנולוגיות ראשי של החברה, במהלך נאום הפתיחה של כינוס ה- Oracle OpenWorld 201, ביום ראשון ה-25 באוקטובר.

אליסון, המייסד והמוביל של חברתו מזה 38 שנה (החל מ-1997 עת פיתח את תוכנת ניהול בסיסי הנתונים הטבלאיים – Relational, החלוצה בעולם), התמקד בתחום האבטחה בענן, אם כי לא רק בענן, אלא גם במתקן. בכל מקום. כשהוא ואורקל מכנים את הסביבה החדשה Oracle Cloud, ענן הכולל עבודה במתקן התאגיד, עבודה בענן שלו ועבודה בענן של אורקל וכל שילוב ביניהן. מבחינת תעשיית ה-IT והצרכנים, האבטחה היא הנושא המטריד ביותר בעולם המחשוב בעידן הענן. לדבריו, "אנו זקוקים לאבטחה טובה בהרבה. אנו זקוקים לדור הבא של האבטחה. אנחנו לא ממש מצליחים לנצח בקרבות סייבר רבים. אנחנו מפסידים בהרבה מקרבות אלה".

אם אין די בכך שבסיסי הנתונים הקמעונאיים הכוללים את פרטיהם של כרטיסי אשראי נפרצים דרך קבע, הרי שהשנה נאלצה ממשלת ארצות הברית להודות, כי איבדה 20 מיליון רשומות של עובדים, שכללו בין היתר נתוני בדיקות רקע וטביעות אצבע שלהם. לדברי אליסון, ה-CIA נאלץ להחזיר הביתה עובדי שגרירויות, מחשש שסיפור הכיסוי שלהם נחשף.

אורקל מצפינה את הנתונים בכל מקום בו הם נמצאים ועוברים. צילום: פלי הנמר

לדבריו, ייתכן כי הפיכת תכונות האבטחה לאופציונליות הייתה פעולה הגיונית בשלב כלשהו, כאשר לתכונות אבטחה כגון הצפנה הייתה השפעה גדולה על מהירות העיבוד (כלומר האטה שלו בגלל משך בדיקות האבטחה), אולם במערכת האבטחה שאורקל מציעה, אין בכך עוד כל טעם הגיוני. היא כה מהירה, עד שאינה מאטה כלל.

"אחד היתרונות של שירותי הענן של אורקל טמון בעובדה כי האבטחה תמיד תופעל כברירת מחדל", הוא אומר. כלומר המצב האידיאלי Always On.

לדברי אליסון, אחת הדרכים המאפשרות לשפר את האבטחה, היא הפיכתה לחלק בסיסי מן המחשוב. מוטב למקם את האבטחה ברמת בסיס הנתונים מאשר ביישום, כיוון שכל היישומים יכולים לקבל בירושה (inherit) את תכונות האבטחה מוטעמות בסיס הנתונים שלהן. בדומה לכך, טוב יותר למקם את האבטחה ברמת המעבד מאשר ברמת מערכת ההפעלה, כיוון שסיליקון עמיד יותר בפני ניסיונות פריצה. "מיקום כזה עדיף על מיקום בתוכנה, כיוון שאת התוכנה ניתן לשתנות", הוא אומר.

לארי אליסון מבטיח אבטחת נתונים מלאה לכל פתרונות אורקל הן במתקן והן בענן, הפרטי והציבורי כאחד. צילום: פלי הנמר

אורקל פועלת בתפיסה זו, כפי שמעיד ה-SPARC M7, הדור האחרון של משפחת המעבדים שהיא ממשיכה לפתח שנים לאחר רכשה את סאן מיקרוסיסטמס (Sun Microsystems) בשנת 2010. מעבר להצפנה מבוססת חומרה, אשר מופעלת כברירת מחדל, ה-SPARC M7 מתאפיין בטכנולוגיה שנקראת "Silicon Secured Memory", ואשר חוסמת קטגוריה שלמה של באגים של אבטחה, המוכרים כ-buffer overflows (גלישת מאגר) ונוצלו לרעה בהיקפים גדולים.

במקרה של גלישת מאגר, תכנית מתחזה שמשיגה שליטה בנתונים שאמורים להיות תחת שליטתה של תכנית אחרת. לתכנית כזו היה חלק בפגיעות האבטחה של באג Heartbleed שהתגלה ב-SSL בשנה שעברה, וגם בבאג ה-Venom שהתגלה מאוחר יותר. "טכנולוגיית Silicon Secured Memory אף יכולה למנוע גלישות מאגר תמימות יותר, שנגרמת על-ידי שגיאות תכנות", הוסיף אליסון.

אבטחת הזיכרון פועלת על-ידי "נעילת" הקצאות זיכרון שנותבו לתכנית נתונה ואספקת "מפתח" לתכנית, אומר אליסון. כאשר תכנית מנסה לגשת לאזור בזיכרון מבלי שיהיה ברשותה את המפתח המתמטי הדרוש, הגישה נדחית וניתן לשלוח התראה לתוכנה המיועדת לניטור אבטחה. אגב, מודל ההגנה על הקצאת זיכרון מרכזי ליישומים השונים, נראה חדש בתעשיית ה-IT של עידן הענן, אך הוא מוכר וידוע בעולם מחשבי המיינפריים Mainframe של יבמ (IBM) – מה שמזכיר שגם מודל הווירטואליזציה של השרתים, החל למעשה במיינפריים של השרת הענק כבר בשנות ה-70 במאה הקודמת, וכונה מערכת הפעלה VM Virtual Machine.

טכנולוגיית הגנת נתונים בחומרה. צילום: פלי הנמר

"אילו טכנולוגיית Silicon Secured Memory הייתה פעילה בתקופה של Heartbleed, היא הייתה מגלה את הבאג ואף עוצרת אותו", אמר אליסון, "וזה נכון גם לגבי Venom. היא הייתה פשוט משביתה אותם בזמן אמת".

"גם אם החלפת כלל המעבדים הקיימים במרכז הנתונים אינה נראית כצעד מציאותי, הרי ששילוב התכונה ב-5%-3% משרתי הענן תאפשר למפעיל מרכז הנתונים לדעת במהירות כי המרכז נמצא תחת מתקפה. כך בדיוק מתכננת אורקל להתחיל ולהשתמש במעבדים בענן שלה", אומר אליסון. "מיד כשנדע שאנו נתונים למתקפה, נוכל גם לעשות משהו".

שתי התקפות מפורסמות מהעת האחרונה: Heartbleed ו-Venom. צילום: פלי הנמר

במהלך נאום הפתיחה שלו הכריז אליסון על Oracle Private Cloud Machine for PaaS ו-IaaS, דגם שרת נוסף במשפחת ה-engineered systems של אורקל. Oracle Engineered Systems הם שרתים בקצה הגבוה של המשפחה, שהוגדרו מראש למטרות ספציפיות. במקרה זה, הרעיון הוא לסייע ללקוחות שמעוניינים להתחיל לעבוד עם הענן הציבורי של אורקל , תוך שמירת האופציה להעברת היישומים שלהם בין מרכזי הנתונים והענן. "מערכת private cloud machine כוללת חומרה, מערכת הפעלה, בסיס נתונים וכן תצורות של תווכה middleware הזהות לאלה שבהן נעשה שימוש בענן הציבורי של אורקל", כך אומר אליסון. "כאילו נטלנו פיסת ענן מתוך הענן עצמו והצנחנו אותה הישר במרכז הנתונים שלך הלקוח המשתמש".

אורקל משולב ענן: SaaS, PaaS, IaaS. צילום: פלי הנמר