גישת המיקרו-סגמנטציה המהפכנית של אוניברסיטת בר-אילן
אוניברסיטת בר אילן נמנית עם האוניברסיטאות הגדולות בישראל, ואת קמפוס האוניברסיטה הממוקם בליבה של גוש דן פוקדים מדי יום אלפי סטודנטים מכל רחבי הארץ, חברי סגל ומבקרים מישראל ומחו"ל.
בדומה לארגונים גדולים רבים אחרים בישראל, גם אוניברסיטאות נמצאות לא פעם בחזית של מתקפות סייבר על ידי האקרים וגורמים עוינים אחרים ברחבי העולם. לא פעם התברר שמערכות אבטחת הסייבר שנבחרו ודרכי הפעלתן לא היו ברמה מספקת כדי לבלום מתקפות זדוניות, ובמספר מקרים תשתיות המחשוב של מוסדות אקדמיים מובילים – נפרצו. זו הסיבה שאוניברסיטת בר אילן החליטה על שדרוג מערכות כולל במערך אבטחת הסייבר שלה.
לאוניברסיטה תשתיות מחשוב המבוססות על פתרונות שונים של יצרניות הטכנולוגיה המתקדמות בעולם. שירותי המחשוב של האוניברסיטה תומכים ב-5,000 משתמשים, ובהם עובדי האקדמיה, המרצים, החוקרים והסטודנטים, המפעילים אלפי מכשירים דיגיטליים מסוגים שונים. ניהול מערכות המחשוב של האוניברסיטה מתבצע בעזרת מספר אשכולות, המרוכזים בשני אתרים עיקריים: הראשון, אתר מחשוב מרכזי והשני אתר DR מרוחק, כאשר חלק מהמערכות מהוות גיבוי למערכות הקיימות.
פתרונות אבטחה מבוססי גישת מיקרו-סגמנטציה
לאור אתגרי האבטחה המתרבים, החליט אגף המחשוב בבר אילן להטמיע לראשונה פתרונות אבטחה מבוססי גישת מיקרו-סגמנטציה, בנוסף לפיירוול (Firewall) המסורתי. פתרון מסוג זה עולה בקנה אחד עם האופי המיוחד של האוניברסיטה, שמטרתה העיקרית היא הנגשת מידע מחקרי ואקדמי לציבור הרחב. הפתרון מאפשר את שיתוף המידע, אך בה בעת מגן על הנתונים הרגישים הנמצאים בתוך מערכות האוניברסיטה.
"מוסדות אקדמיים בארץ ובעולם נתונים למתקפות חוזרות ונשנות כמעט מדי יום, ולצערנו, אוניברסיטת בר אילן איננה שונה מהם", אמר עודד בן יעקב, רמ"ד וירטואליזציה ומערכות מיקרוסופט באוניברסיטת בר אילן. "בעבר ההגנה הייתה מבוססת בעיקר על חומות פיירוול, כך שאם גורם חיצוני היה מצליח לחדור אל נקודה פגיעה בתוך הרשת עצמה, הוא יכול היה למעשה להגיע אל הרשת כולה. לאחר בדיקה מעמיקה של הנושא, הבנו שהעיסוק באבטחת המידע רק מתגבר ודורש יותר ויותר משאבי זמן מצד כל הצוותים המעורבים. מסיבה זו חיפשנו אחר פתרונות משלימים, שיהיו אחראים על אבטחת המידע ברשת, כאשר המטרה שעמדה לנגד עינינו היא קודם כל צמצום משטחי התקיפה".
בן יעקב המשיך והרחיב: "לצורך ביצוע הפרויקט בחרנו בפתרון NSX של חברת VMware, שהוטמע בבר אילן על ידי חברת המומחים והאינטגרציה Wizards. פתרון NSX VMware, המבוסס על טכנולוגיית וירטואליזציה של רשתות התקשורת, מסייע לנו לממש את תפישת המיקרו-סגמנטציה ליצירת אזורים מאובטחים 'גרעיניים' בדאטה סנטרים (Data Centers) ובעננים, כך שכל אחד מהם מבוסס ומוגן בנפרד.
פרויקט זה הינו הראשון מסוגו בתחום הטמעת פתרון NSX intelligence בארץ. פתרון ייחודי זה רץ על קוברנטיס (Kubernetes) מובנה, בשילוב פלטפורמת VMware Tanzu, המסוגל לתת תמונה רחבה יותר וביצועים טובים יותר בזמן אמת".
"כיום הפתרון מאפשר לנו לראות מפה ויזואלית וברורה של כל המערכת, מי פונה אליה ולמי היא פונה, וכיצד היא מקשה על התוקף להיכנס", הוסיף בן יעקב.
בבר אילן נבחרו שתי אפליקציות, שנחשבו ל"בטן הרכה" של המערכת, ובהן יושם הפתרון בשלב הראשון. במהלך הפרויקט נעשתה התאמה של הפתרון ללקוח, והיה צורך בלימוד של הרשת וכתובות IP חיצוניות, באמצעות כלי AI. בשלב השני נוסחו הכללים למערכת.
לדברי בן יעקב, "הפרויקט בוצע באופן פשוט ומהיר, ורץ על קשרים בין אפליקציות ושרתים, במקום להסתמך על בנייה ידנית. אם בעבר פרויקט כזה היה לוקח שבועות או חודשים, בפועל הפרויקט הנוכחי נמשך ימים בודדים, לפחות מהצד של חברת VMware והשותף Wizards. פעולת ההטמעה כולה נעשתה בצורה אוטומטית. העבודה מול שתי החברות הייתה מקצועית ומוצלחת מאד. כיום יש לנו שתי מערכות שפועלות במקביל, ואנו מרוצים משתיהן ומרוויחים מהמגוון ומכך שכל מערכת מביאה איתה את היתרונות שלה".
בעתיד הקרוב מתכוונים להרחיב באוניברסיטת בר אילן את הפתרונות גם לסביבה רחבה יותר וליישומים נוספים. בנוסף, הכוונה היא להגדיל את מספר השרתים הקיימים באוניברסיטה. "כל יום שבו אני מסוגל לבודד עוד מערכת מפני פריצות, מהווה רווח נקי בשבילנו", סיכם בן יעקב. "בעזרת פתרונות VMware נמשיך לחסום ניסיונות פריצה, ולא נאפשר גישה למאגרי המידע של האוניברסיטה ולנתונים הרגישים שהמערכות שלה כוללות".