ארגון מסורתי הפועל כ-20 שנה באותן שיטות הפך תוך חצי שנה לארגון מבוסס ענן הפועל גלובאלית וכולל שרידות, המשכיות עסקית ואבטחת מידע.
ישבתי במשרדו של מנכל החברה, שהיה ממוקם ליד מעבדת ההנדסה הגנטית בחווה הפסטורלית שלהם בדרום. הוא סיפר לי על מהלך עסקי עם חוצפה ישראלית טיפוסית שהחברה הצליחה לבצע שהביא לזכייתה בעסקה ענקית בסין. העסקה כוללת תכנון מעבדה דומה אבל גדולה בכמה סדרי גודל, תכנון פיזי, אספקה של ציוד מתקדם וכמובן העברת ידע לגידול (שהינו הנכס המשמעותי ביותר של החברה).
אך מאז שהעסקה נסגרה, הם נתקלים באירועים מתרבים שמומחי אבטחת מידע היו מסווגים כניסיונות חדירה אל מחשבי הצוות העוסק בפרויקט. היקף וסוג הפעילות שעסקו בה בעבר לא הציפו צורך במערך מחשוב מוגן במיוחד.
התבקשנו לבצע תכנון מחדש למערך המחשוב של החברה כאשר העקרונות המובילים הם: ניידות גבוהה בסביבה גלובאלית, שיתוף נוח של מידע בין אנשי החברה לספקים חיצוניים, גמישות בשימוש במכשירי קצה כולל מכשירים אישיים, קלות תפעול ומחיר.
עם הצידה הזו יצאנו לדרך לתכנון המערך החדש לא לפני שהצהרנו שכל פעילות החברה תעבור לענן וקיבלנו התחייבות הבעלים לגבות אותנו במהלך השינוי אל מול העובדים (התרענו שזה יכאב).
הצעד הראשון ליציאה לענן היה תכנון מחדש של ניהול הזהויות שמשתמשות במערכות המידע של החברה. הפתרון שהפעלנו היה מערכת ניהול זהויות בענן של יצרן מוביל. עובדים, קבלני משנה, שותפים עסקיים, לקוחות. יש לוודא שכולם נרשמים בספריה מרכזית ומקבלים את הגדרות הכניסה המתאימות עבורם למערכות השונות. ניתן לייבא אותם בקלות באמצעות LDAP או מתוך אפליקציות קיימות אם לא קיימת ספריה מקומית (נניח Gmail).
הגדרנו את מאפייני האבטחה הרצויים שכללו:
לאחר מכן הגדרנו את האינטגרציה לאפליקציות ענן. המערכת מתחברת באמצעות SAML לרוב שירותי הענן הקיימים ובכך מייתרת את הצורך בניהול הזהויות באפליקציות השונות באמצעות Trustשמתבצע בין הדומיין של הלקוח באפליקציית הענן לדומיין שלו במערכת.
אפליקציות מובילות כמו Salesforce ו-GSuite מאפשרות רמת אינטגרציה גבוה יותר הכוללת הקצאה של רישיונות ו-Roles למשתמשים ואף את הקמתם באפליקציית היעד על פי מאפיינים שהוגדרו מראש (Provisioning). זהו מרכיב חשוב ביותר שכן, עזיבת עובד מטופלת בקלות על ידי מניעת גישה שלו למערכת ואף ניתן להגדיר באופן אוטומטי הסרת ההרשאות והרישיון שלו מהאפליקציות שבהן השתמש.
העברת הדואר לאופיס 365 התבצעה בצורה חלקה יחסית היות ורוב המשתמשים המשיכו לעבוד על האאוטלוק המקומי. אימות המשתמשים מתבצע מול מערכת ההזדהות ולכן ניתן לשמר את ההשקעה בגרסת אופיס 2013 עבור האאוטלוק ולרכוש רישיוי אופיס אונליין עבור שרת הדואר של 365 כשלשניהם סיסמא אחת.
המעבר לאשבל גם כן היה חלק. מכיוון שאשבל לא מאפשרים הזדהות בפרוטוקול SAML השתמשנו בטכנולוגית SWA (Secure web Authentication) המובנית במערכת על מנת לאפשר SSO. זהו תהליך קל שמאפשר מחד שמירה על השליטה בסיסמא על ידי Administrator עם חוויית משתמש קלה ובטוחה של הלקוח דרך פורטל ה-SSO.
האתגר הגדול ביותר היה ההתנערות משרת הקבצים הישן. ניהול השיתופים, רמות ההרשאה והגיבוי לא תאמו את הציפיות של החברה והיוו פירצת אבטחה קלה לכל דכפין. איום כופר שארע לאחרונה היה הקש ששבר את גב הגמל והחברה אישרה מעבר לתיקיה משותפת לענן.
הבחירה ב-SharePoint Online נבעה מסיבה כלכלית שכן מייקרוסופט נותנים נפח של 1TB לאתר כחלק מחבילת הבסיס של אופיס אונליין שנרכשה עבור שרת הדואר.
הקושי האובייקטיבי של אנשים עם הרגלים חדשים כמו גם קשיי גדילה של המוצר היווה אתגר משמעותי בהטמעת הפתרון. אבל רובם נפתרו תוך כדי תנועה כאשר נוצר ישור קו עם פיצ'רים סטנדרטים בתעשייה שהיו חשובים כגון סנכרון תיקיות למחשבים.
עכשיו לאחר שסגרנו את חדר השרתים ועברנו לשימוש באפליקציות ענן, נותרו רק תחנות העבודה והניידים כרכיבי מחשוב שנדרש לנהל פיזית. על מנת לענות לעקרונות שהוגדרו על ידי המנכל, בחרנו בשירות ענן מיצרן מוכר לניהול תחנות הקצה בתצורה של שירות ענן.
המוצר מכיל למעשה ארבע פונקציות עיקריות:
היתרון הגדול של השירות עבור החברה הינו העלות הנמוכה ביחס לשירותים דומים, קלות השימוש והעובדה שהוא מתקשר מול הרכיבים דרך האינטרנט בצורה מאובטחת ולא מחייב רשת ארגונית.
יתרון נוסף שלא בא לידי ביטוי כאן אבל מאוד רלוונטי לעידן הגלובלי וה- BYOD הוא שהמוצר מנהל מחשבי Windows, Linux ו-MACOS באותו אופן עם צורך בידע מוקדם מינימאלי.
אין ספק שישנם עוד היבטים רבים שניתן לשפר ולשדרג אך במגבלות הדרישות והתקציב אנו חושבים שהתצורה הנוכחית מאפשרת גמישות ובטיחות מרביים בעולם החדש אליו נכנסה החברה.