VPN או אפס אמון: לחשוב מחדש על גישה מרחוק לעסק
ה-VPN שחיבר את העובדים שלכם למשרד במשך שנים הפך לאחת הדרכים המותקפות ביותר לתוך עסק קטן. הנה מה שגישת אפס אמון משנה, מתי VPN עדיין בסדר, ואיך לבחור בלי הסיסמאות השיווקיות.
במשך שנים התשובה לשאלה 'איך עובדים עובדים מהבית' הייתה פשוטה: מתקינים VPN. הוא בונה מנהרה מוצפנת ממחשב נייד אל רשת המשרד, וברגע שמתחברים, המחשב מתנהג כאילו הוא יושב ליד שולחן בתוך הבניין. המודל הזה שירת עסקים קטנים היטב לאורך זמן רב. הבעיה היא שדווקא הדבר שהופך VPN לנוח, העלאת משתמש מרוחק לתוך הרשת הפנימית, הוא היום אחת החולשות הגדולות שלו, ותוקפים שמו לב. גישת אפס אמון היא החלופה שיציעו לכם יותר ויותר. הנה מה שבאמת שונה, במונחים שבעל עסק יכול להשתמש בהם ולא בגרסה השיווקית.
מה VPN באמת עושה
VPN, ראשי תיבות של רשת פרטית וירטואלית, יוצר חיבור פרטי ומוצפן דרך האינטרנט הציבורי. העובד מתחבר לשער VPN, שלרוב בנוי בתוך חומת האש, מוכיח מי הוא, ומאותו רגע המחשב הנייד שלו נחשב לחלק מרשת המשרד. הוא יכול להגיע לשרת הקבצים, למערכת הנהלת החשבונות, לכל מה שיושב בפנים. ההצפנה באמת שימושית, וזמן רב התמורה הייתה שווה את זה. המלכוד מסתתר בביטוי 'חלק מרשת המשרד'. ה-VPN מעניק גישה רחבה לכל מה שבפנים, והוא עושה זאת דרך שער שחייב לשבת חשוף לאינטרנט כדי שאנשים יוכלו להגיע אליו מבחוץ.
למה VPN הפך למטרה
שער VPN חייב להיות נגיש מהאינטרנט מעצם תכנונו, מה שהופך אותו לדלת קבועה וגלויה שמאחוריה כל החברה. בשנים האחרונות השערים האלה הפכו למטרה מועדפת. חולשות במוצרי VPN נפוצים מתגלות שוב ושוב, ותוקפים פועלים מהר: גופי אבטחה ציינו שחולשות חמורות בגישה מרחוק מנוצלות לעיתים קרובות תוך כמה שבועות מרגע שהן מתפרסמות, וזה מהיר יותר ממה שהרבה עסקים קטנים מספיקים לעדכן. גרוע מכך, ברגע שתוקף עבר את ה-VPN, הוא בתוך הרשת עם אותה גישה רחבה שהייתה לעובד. סיסמה גנובה בלי MFA, או שער לא מעודכן, יכולים למסור את כל המשרד. שום דבר מזה לא הופך VPN לחסר תועלת. זה אומר ש-VPN חשוף לאינטרנט שלא מעודכן במהירות ולא מוגן ב-MFA חזק הוא נטל אמיתי, וזה בדיוק המצב שבו נמצאים בשקט הרבה VPN של עסקים קטנים.
מה גישת אפס אמון משנה
גישת אפס אמון לרשת, שמקוצרת בדרך כלל ל-ZTNA, יוצאת מהנחה אחרת: לא לתת אמון אוטומטי, לאמת כל בקשה, ולהעניק רק את הגישה שבאמת נחוצה. בפועל, במקום להעלות משתמש מרוחק לכל הרשת, ZTNA מחבר אותו רק ליישומים הספציפיים שמותר לו להשתמש בהם, ורק אחרי בדיקה מי הוא ולעיתים גם אם המכשיר שלו תקין ומעודכן. רואה החשבון מקבל את מערכת הנהלת החשבונות וכלום מעבר לזה. היישומים הפנימיים אינם חשופים לאינטרנט הפתוח כמו שער VPN; הם יושבים מאחורי מתווך שמייצר חיבור רק אחרי שהמשתמש והמכשיר עברו את הבדיקות. אם חשבון אחד נפרץ, התוקף מגיע ליישום אחד, לא לכל המשרד.
דרך פשוטה לדמיין את ההבדל
חשבו על VPN כמפתח לדלת הכניסה של הבניין. ברגע שאתם בפנים, אתם יכולים ללכת בכל מסדרון ולנסות כל ידית. ZTNA דומה יותר לכרטיס מגנטי של מלון שפותח רק את החדר שלכם ואת חדר הכושר, נבדק בכל פעם, ועובד רק כל עוד ההזמנה שלכם בתוקף. לעסק, המעבר הזה מ'בתוך הרשת' ל'מותר להשתמש ביישום הזה' הוא כל העניין. הוא מגביל כמה רחוק טעות בודדת או כניסה גנובה יכולות להגיע, וזה ההבדל בין אירוע שנשאר במערכת אחת לבין אירוע שמתפשט בכל החברה.
האם העסק שלכם באמת צריך ZTNA?
לא כל עסק קטן צריך למהר. אם יש לכם קומץ עובדים, משרד אחד, וכמעט הכול כבר רץ ב-Microsoft 365 או בשירותי ענן אחרים, בקרות הגישה מרחוק החשובות ביותר שלכם הן MFA וגישה מותנית על חשבונות הענן האלה, לא מוצר גישה חדש. ZTNA מצדיק את מקומו כשיש לכם מערכות פנימיות שאנשים צריכים להגיע אליהן מבחוץ, כמה אתרים או קבלני משנה, מידע רגיש שצריך להוכיח מי ניגש אליו, או פשוט VPN מזדקן שקשה לשמור מעודכן. להרבה עסקים בישראל התשובה הכנה היא תמהיל: יישומי ענן מאובטחים ב-MFA חזק, ו-ZTNA לפני אותן מערכות פנימיות מעטות שהצדיקו בעבר את ה-VPN.
הבשורה הטובה: אולי כבר יש לכם את זה
זה לא חייב לומר לקנות פלטפורמה חדשה לגמרי. גם FortiGate וגם Check Point, שתי חומות האש הנפוצות ביותר בעסקים קטנים בישראל, כוללות יכולות ZTNA לצד ה-VPN המסורתי, לעיתים קרובות בלי עלות רישוי נפרדת. אם כבר רצה אצלכם אחת מהן, מעבר לכיוון גישת אפס אמון יכול להיות פרויקט הגדרה ולא רכישה חדשה. שווה לדעת את זה לפני שמישהו מנסה למכור לכם מוצר נפרד על גבי חומת האש שכבר יש לכם. העבודה האמיתית היא בתכנון נכון של כללי הגישה ובהטמעה בלי להפריע לאנשים, לא בחומרה.
לעשות את זה בלי לשבש לכולם
מעבר מ-VPN לאפס אמון הוא פרויקט, לא מתג שמדליקים ביום שישי. מפו מי צריך להגיע למה, הגדירו גישה ליישומים הספציפיים האלה, בדקו עם קבוצה קטנה, והריצו את זה במקביל ל-VPN הקיים לפני שמשביתים את הישן. בחיפזון, או שתנעלו אנשים מחוץ לכלים שהם צריכים, או שתשאירו את שתי הדלתות פתוחות בו זמנית. בכוונה, עובדים לרוב בקושי מרגישים בשינוי מעבר להתחברות ליישומים שפשוט עובדים, בזמן שהשער החשוף שהם מעולם לא ידעו שהוא סיכון נעלם בשקט ברקע.
אם אתם נשארים על VPN בינתיים
אין בושה להישאר עם VPN, ולעסק קטן עם משרד אחד זה יכול להיות סביר לגמרי. אם זה אתם, כמה דברים מפסיקים להיות אופציונליים. אכפו MFA על כל כניסת VPN, בלי יוצאים מן הכלל לאף אחד. עדכנו את הקושחה של שער ה-VPN ושל חומת האש מהר כשמגיעים עדכונים, כי זה המכשיר שתוקפים בודקים הכי הרבה. הסירו חשבונות של אנשים שעזבו. ולעולם, כחלופה 'פשוטה', אל תשאירו שולחן עבודה מרוחק פתוח לאינטרנט; זו אחת מנקודות הכניסה המנוצלות ביותר שיש. VPN מנוהל היטב זה בסדר. אחד שנשכח הוא הזמנה פתוחה.
כמה זה עולה וכמה זמן זה לוקח
באופן סביר, בעלי עסקים רוצים תחושת סדר גודל לפני שמתחייבים. הקשחת VPN קיים היא בדרך כלל הניצחון המהיר: אכיפת MFA, החלת עדכוני קושחה שממתינים וניקוי חשבונות ישנים אפשר לעיתים קרובות לעשות בחלון תחזוקה קצר ומתוכנן. הכנסת גישת אפס אמון היא עבודה גדולה יותר, שנמדדת בכמה שבועות ולא בחודשים לעסק קטן טיפוסי, כי הזמן הולך למיפוי מי צריך אילו יישומים ולבדיקה זהירה לפני המעבר. אף אחד מהם לא חייב להיות שינוי גדול אחד. הדפוס הנכון הוא לתקן קודם את הסיכונים הדחופים ב-VPN הנוכחי, ואז להכניס ZTNA בהדרגה למערכות שצריכות, כך שהאבטחה משתפרת בכל צעד במקום לחכות שפרויקט גדול אחד יסתיים.
איפה גישה מרחוק משתלבת באבטחה הרחבה שלכם
גישה מרחוק היא חלק אחד מתמונה גדולה יותר שכוללת גם את חומת האש, את התחנות ואת הגיבויים שלכם, והתשובה הנכונה תלויה באיך העסק באמת עובד ולא באיזה ראשי תיבות אופנתיים. NetFortress מתכננת ומנהלת גישה מרחוק מאובטחת לעסקים בישראל גם על FortiGate וגם על Check Point, בין אם זה אומר להקשיח את ה-VPN שכבר יש לכם ובין אם להעביר אתכם לגישת אפס אמון בקצב הגיוני. אם אתם לא בטוחים אם המערך הנוכחי שלכם נוח-אבל-חשוף או באמת בטוח, בקשו מאיתנו בדיקה ותקבלו תשובה ישרה.
שאלות נפוצות
האם VPN עדיין בטוח לשימוש?
כן, אם הוא מנוהל היטב. VPN עם אימות רב-שלבי בכל כניסה, קושחה שמתעדכנת במהירות וחשבונות ישנים שמוסרים הוא בחירה סבירה לעסק קטן עם משרד אחד. הסיכון הוא לא VPN באופן כללי; הוא השער הנשכח, הלא מעודכן וחסר ה-MFA, שזה בדיוק מה שתוקפים סורקים ואחת הדרכים הנפוצות שבהן עסקים קטנים נפרצים.
מה ההבדל העיקרי בין VPN ל-ZTNA?
VPN מחבר משתמש מרוחק לכל הרשת הפנימית שלכם, כך שברגע שהוא בפנים הוא יכול להגיע להרבה מערכות. ZTNA (גישת אפס אמון לרשת) מחבר אותו רק ליישומים הספציפיים שמותר לו, אחרי אימות הזהות ולעיתים גם המכשיר שלו. אם חשבון נפרץ, VPN יכול לחשוף את כל המשרד, בעוד ZTNA מגביל את הנזק ליישום בודד.
האם כל עסק קטן צריך לעבור לאפס אמון?
לא. אם יש לכם משרד אחד וכמעט הכול רץ ב-Microsoft 365 או ביישומי ענן אחרים, העדיפות שלכם היא MFA חזק וגישה מותנית על החשבונות האלה, לא מוצר גישה חדש. ZTNA מצדיק את מקומו כשיש מערכות פנימיות שמגיעים אליהן מבחוץ, כמה אתרים או קבלנים, מידע רגיש, או VPN מזדקן שקשה לשמור מעודכן.
האם צריך לקנות מוצר חדש בשביל ZTNA?
לעיתים קרובות לא. גם FortiGate וגם Check Point, חומות האש הנפוצות ביותר בעסקים קטנים בישראל, כוללות ZTNA לצד ה-VPN המסורתי, פעמים רבות בלי עלות רישוי נוספת. אם כבר רצה אצלכם אחת מהן, מעבר לכיוון גישת אפס אמון יכול להיות פרויקט הגדרה ולא רכישה חדשה. המאמץ הולך לתכנון כללי הגישה ולהטמעה בלי לשבש לעובדים.
מהי טעות הגישה מרחוק הגרועה ביותר שצריך להימנע ממנה?
להשאיר שולחן עבודה מרוחק (RDP) פתוח ישירות לאינטרנט. סורקים אוטומטיים מוצאים RDP חשוף תוך שעות ומפעילים עליו ניחוש סיסמאות ללא הרף, וזו אחת מנקודות הכניסה המנוצלות ביותר לכופר. אם עובדים צריכים גישה מרחוק, השתמשו ב-VPN עם MFA או ב-ZTNA במקום, ולעולם אל תחשפו מערכות פנימיות ישירות.
מאמרים קשורים
FortiGate מול Check Point לעסקים קטנים: מה בעל עסק באמת צריך לדעת
השוואה ענייניית ובלי ז'רגון בין שתי חומות האש הנפוצות בעסקים. איפה כל אחת מתאימה, מה המפרט באמת אומר למשרד קטן, ולמה אופן הניהול חשוב יותר מהלוגו על הקופסה.
קרא את המאמראבטחת עבודה מרחוק והיברידית בלי להאט את הצוות
איך לאבטח עבודה מרחוק והיברידית בלי לחנוק את הצוות: מחשבים, חיבורים, VPN, MFA, עדכונים והרשאות גישה.
קרא את המאמרSPF, DKIM ו-DMARC: לעצור תוקפים שמתחזים למייל העסקי שלכם
שלוש רשומות DNS קובעות אם זר יכול לשלוח מייל שנראה בדיוק כאילו הגיע מהחברה שלכם. לרוב העסקים הקטנים הן מוגדרות חלקית או בכלל לא. הנה מה ש-SPF, DKIM ו-DMARC עושים, בשפה פשוטה, ואיך מטמיעים אותן בלי לשבור את הדואר.
קרא את המאמררוצים לאבטח את העסק בלי להקים צוות IT פנימי?
קבעו ייעוץ חינם וקבלו תמונת מצב ראשונית ומעשית על סביבת ה-IT ואבטחת Microsoft 365 שלכם.