האם לחזור ממחשוב ענן לתשתיות מקומיות?

בשנים האחרונות חברות רבות עברו (ועוברות) מתשתיות מקומיות לתשתיות בעננים ציבורי כמו אמזון, גוגל, מיקרוסופט וכו'. בחלק מהמקרים המעבר היה מלא לחלוטין, וברוב המקרים – המעבר היה חלקי, כאשר החברה מעבירה תשתיות מסוימות בלבד והשאר יועבר לפי שיקולים והחלטות בעתיד.

כעת, יותר ויותר קולות נשמעים בכיוון ההפוך: מעבר מתשתיות ענן אל תשתיות מקומיות. חברת Citrix ביצעה בבריטניה סקר בקרב צוותי IT בחברות שונות, והיא מצאה כי רבע מהחברות הנסקרות כבר העבירו כמחצית או יותר מהתשתית שלהן בענן – בחזרה לתשתית מקומית או COLO.

מטבע הדברים, אפשר לחשוד בכך שחברת Citrix שמרוויחה מכך שלקוחותיה משתמשים במוצריה בתשתיות מקומיות – תפרסם זאת. אחרי הכל, ספקי ענן (במיוחד מיקרוסופט) הם מתחרים ישירים שלה בתחומים כמו VDI, אך אני יכולה לאמר כי שמעתי בחודשים האחרונים ממספר מנהלי IT בחברות שונות פה בישראל תהיה אם "לחזור הביתה" ולהעביר הכל בחזרה לתשתית מקומית.

מבחינה טכנית, ישנה כמובן אפשרות "אמצע" – להפעיל איש FINOPS כדי לראות היכן ניתן לחסוך, ובמקרים רבים ניתן לחסוך בצורה משמעותית כאשר מסתכלים על דברים שלא שמו לב אליהם. חברות וארגונים רבים בודקים היטב, לדוגמא, אלו סוגי Instnace הם שוכרים, ואלו הנחות ניתן לקבל (בין אם מדובר ב-SPOT או Reserved Instance כדוגמאות), אך קשה למצוא מישהו שממש עורך חשבון כשבוחרים אחסון לאותו Instance. אך ה"בזבוזים" הכי גדולים מתרחשים ברקע, כשלא מבצעים חישוב רציני לפני שבוחרים שרותי SAAS שונים שמציע הספק. להלן מספר דוגמאות:

  • בשביל מה להרים DB ולתחזק אותו אם הספק מציע שרותי DB מנוהלים מסוגים שונים?
  • שומרים מידע בתעריף הכי גבוה של אחסון אובייקטים (S3) מבלי להזיז את הקבצים הישנים יותר לשכבות יותר נמוכות ויותר זולות
  • בוחרים פתרונות אבטחה שהשתמשו בהן "בבית" (בתשתית המקומית) במקום לבדוק פתרונות אבטחה אחרים זולים ואולי טובים יותר (לאו דווקא מטעם ספקי הענן).
  • משתמשים בפתרון ה-CDN של ספק הענן במקום פתרונות CDN צד ג'
  • משתמשים בשרותי ה-K8S של ספק הענן גם כשלא מדובר בצרכי פרודקשן, וכך במקרים רבים יוצרים עוד ועוד Nodes שאמנם לא מבצעים הרבה עבודה, אך בהחלט משפיעים על החשבונית החודשית
  • ואפשר לתת עוד ועוד דוגמאות….

בקיצור – ההתמכרות לשרותי SAAS היא אחד החלקים שמכבידים מאוד בחשבון.

כפי שציינתי – איש FINOPS יוכל לסייע לארגונים בחסכון בתשתיות הענן, אולם איש FINOPS לא יוכל לסייע – בהחלטה אם "לחזור הביתה" או לא. להלן מספר נקודות:

  • יותר ויותר יצרני שרתים, אחסון וכו' לתשתית המקומית "הבינו את הפואנטה" ועתה אותם יצרנים "דוחפים" את הלקוחות לכיוון השכרת ציוד (אתם משלמים על הברזל, הברזל מכיל יותר ממה שרכשתם והיתרה ביניהם "נעולה" עד שתחליט לקחת גם את השאר) וניהול חיצוני ע"י היצרן – חברות כמו HPE מציעות את GreenLake, חברת Dell מציעה את APEX, ולנובו מציעים את Truscale (אני בטוחה שיש עוד הצעות). אם יש משהו אחד שאני בהחלט יכולה לאמר באופן גורף – זה שאני לא ממליצה לאף גוף, קטן כגדול, לשכור שרותים אלו. אתם ממש לא רוצים את שרותי הניהול הללו (ראיתי פעם מבחן שניתן לתומכים אצל אחת היצרניות שמציעות שרותי ניהול. לא אציין שמות, אך בהחלט אומר כי צריך להתאמץ להיכשל במבחן כזה), ועדיף לרכוש ציוד באופן סופי מאשר השכרה עם כל מיני עלויות שיצוצו פה ושם. אתם כבר מכירים את זה מספקי הענן…
  • בענן או בתשתית מקומית, קחו/תשכרו אנשים מקצועיים. יצא לי בלא מעט מקרים להדגים לארגונים כי במחיר העלות השנתית שהם שילמו לדוגמא על DB מנוהל, היה ניתן לשכור אנשי מקצוע מהשורה הראשונה כדי להקים DB באותה תשתית, כולל ביצוע אופטימיזציות, וללקוח היה נשאר לא מעט עודף.
  • המנעו מהצעות "היברידיות" של ספקי הענן: רוב ספקי ענן ישמח לשלוח אליכם מספר "ברזלים", אולם במקרים רבים עדיף להשמיש ברזלים קיימים (ואולי לשדרג?) או לרכוש חדשים ולבצע חיבור לענן הציבורי שמארח את התשתיות שלכם.
  • שימוש ב-Multi Cloud: הנה מונח שרבים משתמשים בו לפני חתימת הסכם עם ספק ענן ציבורי, אך הרוב המוחלט לא משתמש בו לאחר מכן (אלא במקרים בודדים מסוימים). אני תמיד ממליצה שתשתית הפרודקשן תהיה לפחות בחלקה מתארחת אצל ספק ענן ציבורי אחר, עם מערכת Fail Over למקרה ויש תקלות אצל ספק הענן העיקרי שלכם.

בסופו של יום, אני עדיין חושבת שהדרך הטובה ביותר כיום לעבוד היא:

  • פיתוח וטסטים – עדיין בתשתיות מקומיות.
  • פרודקשן בלבד – בענן, עדיף Multi Cloud
  • כמה שיותר להימנע מ"השכרות" שרותי SAAS בתשתיות מקומיות, ואם חושבים לשכור שרותים מסויימים, מומלץ להסתכל גם על הצעות שאינן מטעם ספקי הענן (דוגמאות: CDN – Cloudflare, גיבויים – Backblaze).
  • אימוץ פתרונות מבוססי קוד פתוח
  • המנעו מאימוץ פתרונות שמייצרים Vendor Lock כתוצאה מהעברת חלקים רבים בתשתית לספק פתרון מסוים.

ברודקום רכשה את VMWare – מה ניתן לעשות?

בהמשך לפוסט הקודם, נתרכז בפוסט זה ברעיונות ובצעדים שניתן איתם להקל על הבעיה.

על מנת לטפל בענייני רישוי יקר, ניתן לבצע מספר צעדים, כאשר חלקם דורש השקעה כספית חד פעמית, ואילו חלק אחר דורש השקעה יותר טכנית ומחשבה עמוקה לגבי פתרונות שונים.

אני רוצה להצהיר מראש: פוסט זה אינו "אנטי VMware". אני חושבת שפתרון הוירטואליזציה עצמו (ESXI + vCenter) הוא פתרון מעולה שהרוויח את מקומו הדומיננטי בשוק הוירטואליזציה ביושר! במקרה זה הבעיה היא ה"הורים" – המשקיעים וברודקום שגרמו למצב הנוכחי (בעת כתיבת שורות אלו אני מוצאת כי גם DELL ניתקה את קשרי השת"פ עם VMware/ברודקום).

נעבור להצעות. אתחיל בהצעה שכרוכה בעלויות חד פעמיות: שדרוג חומרה.

כפי שידוע לרובכם, כל רשיון ESXi תומך בכמות של עד 32 ליבות פיזיות בשרת (אין הגבלה על כמות הזכרון), וכאן ניתן לחשוב על קונסולידציה של שרתים פיזיים, הנה מספר אופציות:

  • "הפרשה" של שרתים ישנים (כן, אותם שרתי מבוססי מעבדי Xeon מסידרת E5-XXXX)  לטובת שדרוג לשרת אחד או 2 עם מעבדי AMD EPYC או Intel Xeon (במקרה שחושבים לרכוש שרת מבוסס AMD EPYC דור שלישי או רביעי: אפשר לרכוש שרת מבוסס מעבד אחד. כיום עם מעבדים אלו, אפשר לרכוש מעבדים עם כמות ליבות גדולה, כך שאין צורך ממשי בשרת עם 2 מעבדים). לאחר הרכישה והוספת המערכות ל-vCenter, ניתן לבצע מיגרציה של המכונות הוירטואליות מהשרתים הישנים ובסיום ניתן להעביר את הרשיון משרת ישן לשרת חדש. כך ניתן בקלות לקבל חסכון בעשרות אחוזים – בהתאם לתשתיות שיש בארגון.
  • שדרוג מכונות קיימות: יש לכם שרתים עם 8 ליבות? החליפו את המעבדים (בהתאם למה שניתן) למעבדים עם 16 ליבות (בשרתים עם 2 תושבות מעבדים) ואם השרת כבר מכיל 32 ליבות סה"כ, עיינו באתר של אינטל או יצרן השרת, ובידקו אם ישנן גרסאות מעבדים מאותה משפחה עם מהירות שעון גבוהה יותר (במקרים רבים המשווקים מוכרים מעבדים עם מהירות שעון נמוכה בכדי להוזיל את עלויות השרת). כנ"ל לגבי זכרונות: אפשר לשדרג למהירות זכרון (MT, MegaTransfer) יותר גבוהה אם מכניסים רק מקל זכרון יחיד פר ערוץ זכרון (עיינו בחוברת או PDF של השרת), ואם ננצל את מחירי הזכרון שירדו (במיוחד ECC DDR4), אפשר לרכוש DIMM עם כמות זכרון גבוהה ובכך גם להגדיל את כמות הזכרון, וגם לקבל מהירות יותר גבוהה.

אפשרות נוספת ושונה לחלוטין (שתצריך מחשבה ותכנון) ממה שהצעתי לעיל, היא ביצוע קונטיינריזציה של המערכות בארגון. כיום, ברוב המקרים, אפשר להריץ אפליקציות שרתים שונות בקונטיינרים, ורוב יצרני שרתי אפליקציות מאפשרים להתקין את תוצרתם ישירות כקונטיינר, תוך קבלת חסכון משמעותי במשאבי התשתית בהשוואה למצב הנוכחי, והכנה לעתיד למעבר לענן (אם חושבים על כך בהמשך). מעבר לכך, מהרגע שמגיעים למצב שרוב האפליקציות שרתים שנריץ, רצים על קונטיינרים בתוך כל מערכת המבוססת Kubernetes (לדוגמא: OpenShift, Rancher ואחרים) – יהיה אפשר להריץ מכונות וירטואליות מלאות (שלא ניתן להמירן לקונטיירים) כקונטיינרים בתוך המערכות שציינתי לעיל (כאן יש הסברים איך לעשות זאת עם Rancher וכאן יש הסברים איך לעשות זאת עם OpenShift), כך שניתן "לכסות" את הרוב המוחלט של הסיטואציות עם פתרונות מבוססי K8S, ולהשאיר דברים שאי אפשר "להזיז" (פתרונות VDI לדוגמא) על vSphere.

מה לגבי פתרונות וירטואליזציה עצמאיים מבוססי קוד פתוח כמו Proxmox, XCP-NG ואחרים? אלו, לדעתי, הם פתרונות טובים מאוד שאישית אני משתמשת בהם (ב-Proxmox) ואני בהחלט מרוצה מהם, אך אלו פתרונות שלא מתאימים ל-Enterprise, משום שבעולם ה-Enterprise יש דרישות רבות שלא מקבלות מענה (מבחינת תמיכה, תאימות, אינטגרציה וכו') מאותן פתרונות.

לסיכום: אפשר לבצע לא מעט צעדים בשביל להפחית עלויות שונות הקשורות לוירטואליזציה, החל משדרוגים ורכישת שרתים אחרים שיכולים לייתר את השרתים הישנים (שתופסים רשיונות שבקרוב תצטרכו לשלם עליהם דמי מנוי), וכלה בפרויקט לביצוע קונטיינריזציה והעברת התשתית לפתרונות יותר מודרניים. בטוחני שיש אפשרויות נוספות. תהיה האופציה שתהיה, קחו את הזמן לבדוק יתרונות וחסרונות לטווח ארוך, לפני שאתם מתחייבים לתשלומים הרבה יותר יקרים על הפתרונות הנוכחיים של התשתית שלכם.

ברודקום רכשה את VMWare – ההמשך

בתחילת השנה פרסמתי פוסט על כך שחברת Broadcom רכשה את חברת VMWare בסכום של 69 מיליארד דולר, ובאותו פוסט/קליפ חיוותי את דעתי, וחשבתי שסיימתי עם הנושא… עד שקיבלתי טלפון מחברה מנמ"ר שביקש ממני לבדוק יותר לעומק ולחוות דעה יותר מפורטת. החלטתי שאם אני בין כה עושה זאת, אני גם אפרסם זאת כאן.

להלן תקציר:

למי שלא מכיר את חברת ברודקום, החברה רוכשת חברות שונות, ולאחר הרכישה היא מוכרת חלקים שונים של החברה הנרכשת, מקצצת בהשקעות בצורה משמעותית בחברה הנרכשת, כך שבמקרים רבים, החברה הנרכשת אינה יותר מ"שלד" ממה שהיתה בעבר חברה גדולה. דוגמאות לא חסר: CA, symantec ויש עוד כמה. גם רכישת VMWare אינה הרכישה האחרונה, החברה רכשה מאז את ConnectAll.

בחודשים האחרונים התקיימו מספר ישיבות עם הנהלת ברודקום, VMware, שותפים ואחרים, בהם התגלו הדברים הבאים:

  • החברה מחסלת את תוכנית השותפים המקורית של VMware וברדקום מעתה היא המחליטה מי יהיו השותפים והתנאים החדשים.
  • החברה משנה לחלוטין את פורטפוליו המוצרים של VMWare ומעתה יהיו שני מוצרי "אב", ורוב המוצרים האחרים של החברה לא יהיו זמינים יותר לרכישה עצמאית, אלא כ"תוספים" לאותם "מוצרי אב" – ארחיב בנושא בהמשך הפוסט
  • ברודקום החליטה ש-VMWare תצא מכל מה שקשור לוירטואליזציית קצה (VDI), ניהול מערכות קצה, וכל מה שקשור ל-End User Computing והיא מציעה את החטיבה למכירה עד סוף השנה הקלנדרית הנוכחית בסכום של 5 מיליארד דולר.

עתה נתרכז בעניין אותם "מוצרי אב": החברה תציע בעצם שני משפחות חדשות, הראשונה תיקרא VCF (ר"ת VMware Cloud Foundation) וחבילה זו תציע את כל מה שיש ל-VMWare להציע בתחום וירטואליזציה מנוהלת, מקומית או בענן (או בצורה משולבת) , כולל חלקים רבים שהוצעו כפתרנות נפרדים ומעתה יוצעו כ-Add-ons (תוסף) למי שרוכש את VCF. להלן תרשים דוגמא למה יוצע לרוכשים (לחצו להגדלה)

קרדיט: William Lam

מוצר האב השני הוא VVF (ר"צ VMware vSphere Foundation) – שזו כמובן חבילת ה-vSphere שמיועדת לקצה הגבוה וללקוחות הגדולים. כמו ב-VCF, גם כאן, מוצרים שהיו בעבר עצמאיים וניתנים לרכישה נפרדת, ימכרו מעתה רק כ-Addons. להלן תרשים החבילה (לחצו להגדלה):

קרדיט: William Lam

כפי שניתן לראות מהתרשימים, ישנם מספר חבילות מוצרים שהחברה כורכת, בין אם הלקוח רוצה או לא. כך לדוגמא, מעתה חבילת ARIA כלולה ב-VVF. יש לך מערכת אחרת לניתוח קבצי LOG  לדוגמא? או שתיפטר מהמערכת או שתשלם עבור חלק שלא תשתמש. מצד שני, ישנם חלקים שמעתה זמינים רק אם רוכשים את VCF – כמו VMWare firewall או ATP.

אחרי שברודקום/VMWare פרסמו את הדברים (הם פרסמו מאז מספר "עדכונים" – פוסט זה כולל אותם), ולאחר שהם הבינו כי המתחרים כבר פונים ללקוחות החברה, הם הוציאו "הבהרה" נוספת שישנן עוד 2 "חבילות אב".

החבילה הקטנה הנוספת היא חבילת VMware vSphere Standard (VVS) – להלן התרשים (לחצו להגדלה):

כפי שאתם יכולים לראות, מספר התוספים הזמינים לרכישה – קטן מאוד ולא ניתן לרכוש תוספים אחרים שקיימות בחבילות אב אחרות.

ההצעה האחרונה שיש לברודקום/VMWare להציע נקראת VMware vSphere Essentials Plus Kit (VVEP) והיא די זהה ל-VVS. להלן התרשים (ההגבלה ל-3 שרתים היא במקור – לחצו להגדלה):

אלו הם ההצעות הזמינות ללקוחות, כאשר מעתה הכל זמין כמנוי (Subscription) בלבד. לאלו המעוניינים במידע לגבי ה-Validated solution על VCF, אפשר לראות פרטים כאן.

בקליפ שפרסמתי בפוסט הקודם, ציינתי כי חברות גדולות לא יתרגשו מעליית המחיר הצפויה (והיא בהחלט צפויה – מפוסטים שונים ברשת רואים עליה שנעה בין 100 ל-300 אחוז, אבל תמיד כדאי לשאול את הנציגות שמולה אתם עובדים), אך הבעיה המהותית קשורה לעיקר: שום חברה לא מוכנה "לבלוע" עליית מחיר כה גבוהה כשמדובר בדיוק באותו מוצר שהיה זמין במחיר נמוך משמעותית בעבר (כבר ציינתי כי רוב מוצרי VMWare הפסיקו להיות זמינים לרכישה עצמאית ו/או רשיון Perpetual? הנה פוסט של VMware עצמה על כך לגבי רשיונות, כל המוצרים ושרותי SAAS) ולכן רבים מתחילים להתעניין בפתרונות מתחרים (ספקי הענן כבר מציעים הצעות מפתות, Nutanix גם מציעים)

מה ניתן לעשות? על מה מומלץ להסתכל ולבחון? על כך – בפוסט הבא שיפורסם בסופ"ש זה.

חברת Broadcom רכשה את VMWare – מה המשמעות?

חברת ברודקום רכשה לאחרונה את חברת VMWare.

הרכישה עצצמה הסתיימה לפני כחודשיים, ועדיין לא ניתן יהיה לדעת מהן ההשפעות שיהיו כתוצאה מהרכישה – על הלקוחות הקיימים של חברת VMWare. חשוב לזכור: VMware שולטת בשוק הוירטואליזציה ב-On premise ללא עוררין.

בקליפ הבא אסביר מעט את ההשפעה הראשונה והעיקרית על הלקוחות, והאם הרכישה בעצם תשפיע באופן רציני על חברות גדולות.

לטלטל את הספינה

בימים האחרונים ניסיתי מספר פעמים לכתוב פוסט בבלוג זה על המצב הפוליטי בארץ, על המחאות והשביתות, על המכתבים שמפרסמים קבוצות בכירים שונים – ובכל פעם מחקתי את הפוסט, ולו בכדי לא "לפזול" לאחד מהצדדים הפוליטיים ובכלל לא לכתוב בצורה נלהבת לצד זה או אחר. לי יש דעות ברורות שאותן אפרסם במקום אחר כדעות אישיות, וכאן אני רוצה בפוסט זה להתייחס כמה שיותר בצורה טכנית וקרה לדברים, ומדוע הדברים יכולים להשפיע.

חברות, באופן די אירוני, הן ישויות די "רגישות" שמגיבות לפעמים בצורה מאוד מהירה לדברים שבקושי קרו. קחו לדוגמא את עניין המיתון – רבעון או שניים של חוסר רווחים וכבר מניפים את חרב קיצוצי כח האדם, והופ – רשמית ממחר אנשים נהיים מובטלים, לא חשוב כמה הם טובים ומוכשרים מבחינה מקצועית, כמה הם סייעו לחברה כשהיו בעיות טכניות, כמה לילות לבנים הם ספגו וכו' – כשזה מגיע לקיצוצים, הם נחשבים רק כ"מספרים" ויש לפטר אחוז מסוים של אנשים (במקרה הרע. במקרה הטוב כמו אצל אינטל – הלכה רבע מהמשכורת).

חברות מחפשות כמה שיותר שקט תעשייתי וכמה שיותר תנאים והעדפות לכיוונן, החל בחוקי קניין רוחני, סיוע בתפיסת גניבות, בתי משפט ושופטים שמבינים את עניין הקניין הרוחני, אוזן קשבת במשרד האוצר (ענייני רווחים כלואים וכו') ובקיצור – תנאים נוחים, ומה שיותר חשוב – כח אדם מקצועי שזמין. חברות רבות גם מדרגות (פנימית) מדינות שונות בסולמות שונים מבחינת סיכון, איכות כח אדם, תנאי IP ועוד לפני שהם מחליטים מה יוקם והיכן.

ישראל זכתה למקום די גבוה אצל חברות רבות בתנאים שציינתי לעיל, ומקומות גבוהים גם זוכים להשקעות מאותן חברות ופרויקטים יוקרתיים יגיעו לאותן סניפים באותן מדינות. קחו לדוגמא את אמזון שמפתחת את ה"כתר" שלה מבחינת מעבדים (מעבדי ה-Graviton) פה בהרצליה פיתוח, אינטל שמפתחת פה מעבדי דסקטופ שונים, אפל שפיתחה שבבים מסויימים וכנראה תפתח פה מעבדים חדשים מתוצרתה, נבידיה (לשעבר Mellanox) שפיתחו ביוקנעם את ה-DPU הראשון ויש דוגמאות רבות נוספות. כל אלו מפותחים פה בארץ ולא במדינות כמו סין שגם שם יש לאותן חברות R&D, מכיוון שהסיכוי לגניבת IP בסין הרבה הרבה יותר גבוה מהסיכון בישראל. בגלל זה פה מפתחים מעבדים, ושם מפתחים דרייברים/מודולים.

כאן מתחיל עניין ה"לטלטל את הספינה" כפי שקרא לכך אחד המשקיעים הידועים ששוחחתי איתו לאחרונה בנושא, וכאן בעצם צריך לשים לב למשהו מסוים – רמת המיקרו פחות מעניינת את אותם משקיעים, ומה שיותר מפחיד אותם – זה רמת המאקרו. כאשר רוצים לשנות דברים שונים ברמה המשפטית, הכלכלית ובאספקטים אחרים בצורה די חד צדדית מבלי שיהיו דיונים עם הקואליציה והאופוזיציה עם הצעות משני הצדדים ופשרות שונות – וזה מה שמפחיד אותן.

חשוב לזכור: גם אם הממשלה הנוכחית תעביר את כל החלטותיה כבר בשבועות הקרובים, לרוב הדברים יקח חודשים ושנים עד שיחלחלו וייושמו, אם בכלל, אך בשביל אותן חברות, ההסתכלות היא על שני מצבים: המצב כיום, כרגע מצד אחד (כולל הלך הרוחות, אגב) ובעוד מספר חודשים לאחר שיעברו החוקים והגזרות שאותן הממשלה תעביר. רק אז חברות רבות יתחילו בעצם "לעשות חושבים" לגבי הסיטואציה החדשה, האם השינויים "טובים" יותר או "גרועים" יותר להן, ולאחר התהליך – לא יקח זמן רב עד שהחברות יחליטו מה הן עושות, בין אם משאירות את הכל כמו המצב הנוכחי, מקצצות כח אדם בסניף המקומי, או סוגרות אותו.

לסיכום: לא, חברות לא הולכות מחר או בשבוע הבא לסגור פה סניפי R&D, אבל חברות עלולות "לחשוב בשנית" לגבי הנושא אם יעברו פה חוקים והחלטות שונות שיכולים פוטנציאלית להשפיע לרעה עליהן, ואם כן – צריך לזכור שכמו בעניין מיתון – החרב נוחתת מהר ובצורה כואבת.

כשצריכים עדכוני אבטחה ואי אפשר לשדרג הפצת לינוקס

הנה סיטואציה שבוודאי מוכרת לחלק מהקוראים: עלה צורך בלשדרג הפצות לינוקס לגרסאות יותר חדשות. מטבע הדברים, כשינסו לשדרג, סביר להניח שיהיו לא מעט מקרים בהם השדרוג מבחינה טכנית יצליח, אך האפליקציות לא ירוצו, סקריפטים יסרבו לפעול, ועוד לא הזכרתי תאימות ל-SystemD שעדיין רבים מעדיפים להתעלם מקיומו, למרות שכל הפצה מודרנית שילבה אותו.

אז מה עושים אם יש לנו מכונת אובונטו מגירסה ישנה כמו 14? זה כבר לא נתמך במסגרת ה-LTS (כלומר Long Term Support) שלא לדבר על המקרים בהם הותקנה גירסת אובונטו אך משום מה לא התקינו גירסת LTS…

לאובונטו יש פתרון שיכול לסייע. בחלק מהמקרים זה בחינם, בחלק זה בתשלום. זה נקרא Ubuntu Advantage. חבילה זו, בניגוד לחבילות ש-רד-האט מוכרת לדוגמא, כוללת מתן תמיכה ועדכוני אבטחה מעבר לשנים המובטחות כולל LTS. לשם הדגמה, להלן הגרף עם הפצות אובונטו וזמן החיים שלהן (לחצו להגדלה):

כפי שניתן לראות – המשבצות הסגולות מכוסות דרך Ubuntu Advantage, כך שגם הפצות ישנות מאוד מקבלות עדיין "חיים" עד לפחות לשנת 2024.

מבחינת מחיר: קנוניקל מאפשרת להירשם לחינם ולקבל עדכונים לעד 3 מכונות ללא הגבלת זמן, במגבלות התיאור שמופיע בקישור הבא. תמיכה בתשלום מעניקה לך מספר פונקציות נוספות:

  • קבלת תמיכה בהתאם לחבילה – מענה תוך שעה, 4 שעות וכו' – לתמיכה ל-OS עצמו
  • קבלת תמיכה לאפליקציות מסויימות תוך עמידה ב-SLA, כולל תיקוני באגים.

הערה: חבילת ה-Ubuntu Advantage המסחרית פעילה על מכונות וירטואליות בלבד. (דווקא ההצעה החינמית עובדת על מכונות וירטואליות ופיזיות) ולשם קבלת תמיכה מסחרית לשרתי אובונטו שרצים על מכונות פיזיות, יש צורך ברכישת מנוי ל-Ubuntu Pro (שנמצא נכון לכתיבת שורות אלו בבטא).

נקודה חשובה: קנוניקל, כמיטב המסורת, משאירה לפעמים "חורים" בממשק, דברים שיגרמו לאנשי לינוקס לגרד בפדחתם ולנסות להבין על מה לכל הרוחות התקלה/שגיאה/הודעה. הנה דוגמא:

מבינים משהו מהתוכן במלבן הצהוב? כן, הוא טוען שאם מודל ה-ESM היה פעיל, הוא היה משדרג גם את החבילות הללו. הבעיה? המודול פעיל בהחלט. אם תנסה לשדרג ידנית את החבילות, תגלה שיש בעיות רציניות של תלויות, אבל ה-Advantage משאיר לך לשבור את הראש לבד.

לסיכום: אם יש לכם מערכות שצריכות עדכוני אבטחה אבל אינכם יכולים לשדרג אותן לגירסה מאוחרת יותר של הפצת האובונטו, או שאתם רוצים בכלל לקבל תמיכה ועדכונים לשרתים הללו – Ubuntu Advantage יכול לעזור לכם, רק כדאי שתקחו בחשבון – כי זהו אינו פתרון "שגר ושכח".

אורקל הפסידה בערעור לגבי נימבוס – ניתוח

לאחרונה פורסמה החלטת בית המשפט לגבי הערעור שאורקל הגישה לגבי אי זכייתה במכרז נימבוס. ההחלטה המקורית צונזרה ולהלן הגירסה המצונזרת לקריאתכם (למעוניינים להוריד את הקובץ, הוא זמין כאן):

פסק דין ערעור אורקל

בפוסט זה אתייחס לדברים שנכתבו במסמך, ואני ממליץ לכל גולש לקרוא את פסק הדין לפני שממשיכים לקרוא את הפוסט הזה. המסמך – בהחלט מעניין.

להלן כמה נקודות שעלו לי בראש בזמן קריאת המסמך:

  1. מן היקב ומן הגורן. השופט ציין שאורקל הביאה סיבות שונות מדוע יש לפסול את המרכז, ובמסגרת הטיעונים, היא הביאה טיעונים די מגוכחים, בלשון המעטה, החל מכך ש"פרצו" לגוגל ולאמזון עם "הוכחות" של קטעי עיתונות שרק הראו בעצם כי ה"פריצות" הן הגדרות שגויות של הלקוחות בתשתיות הוירטואליות (של אותן לקוחות) ללא שום הוכחה כי אכן אירעה פריצה לתשתיות של גוגל או אמזון. בנוסף הביאה אורקל את עניין ה-מחאות של עובדי גוגל ואמזון על הקמת תשתית בישראל וקריאה לבטל הסכמים, מה שגרם כמובן לגוגל ואמזון להודיע חגיגית לבית המשפט ששום חוזה לא הולך להיות מופר, והם כבר השקיעו סכומים גדולים בישראל, כולל השגת כל האישורים הנחוצים להקים את התשתיות כאן.
  2. לאורקל לא היו השגות על הזוכים (תיכף ארחיב על כך) והערעור הוא על כך שאורקל לא נבחרה בעצם כ"כשיר נוסף", כלומר כזוכה נוסף, והיא הביאה פרשנות די מקורית משלה, פרשנות שהשופט די מהר פסל תוך ציטוט ממסמכי המכרז ומבלי צורך לפרשן יותר יותר מדי.
  3. אורקל מתעקשת לשמש כ"כשיר נוסף" למרות שהיא לא מגיעה לציונים הנדרשים, לא מבחינה טכנולוגית ולא מבחינת סייבר, ובוודאי שלא ב"ציון איכות מזערי" שהמינימום הנדרש בו הוא 75%, ולמרות זאת – היא רוצה שוועדת המכרזים תתעלם מהמספרים ותוסיף אותה.
  4. אורקל ערערה לא רק עם נסיבות הזויות כמו שכתבתי לעיל, אלא גם ערערה על תשובות עורך המכרז והצוותים, וצוות המכרז השיב לה לגבי ההערות, אולם העניין לא הגיע לדיון והשופט החליט לדחות את הערעור ולקנוס את אורקל ב-270 אלף שקל (90,000 שקל למשרד האוצר, לגוגל, ולאמזון).

וכאן אני רוצה להביע את דעתי ולאמר משהו פשוט: חבל שאורקל ערערה. פסיקת בית המשפט לגבי הערעור הזה – זמינה עתה באינטרנט, באתרי חדשות, וסביר להניח שהדברים יתורגמו ע"י אתרי חדשות שונים לאנגלית, ומשם הדרך להפצה לכל מיני גורמים מחליטים לגבי אם לשכור את שרותי הענן של אורקל – קצרה. מדינת ישראל אינה המדינה היחידה שמעוניינת להשתמש בתשתית ספקי העננים הציבוריים, כל מדינה רוצה לעבור להשתמש, ומסמך כזה רק יקשה על אורקל להתקבל. אחרי הכל, אם ממשלת "אומת הסטארט-אפ" לא חושבת שהתשתית של אורקל מספיק טובה ומאובטחת, מדוע שהם ירצו לשכור תשתית אצל אורקל?

בניגוד לאורקל, מיקרוסופט החליטה שלא לערער על תוצאות המכרז, ולפי מה שקראתי ב-דה מרקר, הם החליטו שהם יתחרו במכרז עתידי של משרד הבטחון. אם יש משהו אחד שאני יכול לאמר בוודאות, הוא שיש בארץ ארגונים רבים, קטנים כגדולים, שכבר "מכורים" ל-Azure כך שאינני חושב שמיקרוסופט תפסיד את השקעתה בתשתית מקומית בישראל, ומיקרוסופט תמיד יכולים להציע הצעות מפתות על מנת שלקוחות לא "יערקו" לתשתיות של המתחרים.

ונקודה נוספת שאני רוצה להדגיש, ושאינה קשורה ישירות לאורקל, אך קשורה להחלטות רכישה/השכרה: גם כשאתם שומעים שגוף גדול X או ארגון גדול Y רוכשים/שוכרים שרות זה או אחר, הדבר אינו אומר בהכרח שאותו גוף או ארגון צודקים בהחלטתם.

לסיכום: לפעמים, לפני שרצים לבית משפט, כדאי אולי לבדוק מה החומרים שיש לך, מה הנקודות שאתה רוצה לערער עליהן, והאם אינך עושה מעצמך צחוק כשאתה מביא טיעונים שכל אדם שמבין טיפה בענן ציבורי היה מגחך לגביהן. אורקל טוענת (לפי הכתבה ב-דה-מרקר) כי הם רוצים לערער שוב.

אני מכין את הפופקורן.

חושבים להתחבר לסיבים?

האם אתם חושבים להתחבר לאינטרנט בסיבים בבית? האם העסק שלכם רץ מהבית?

במהלך השבועות האחרונים שוחחתי עם כמה אנשים מקצועיים וגולשים בפורומים שונים לגבי חיבור אינטרנט דרך הסיבים, חיבור לסלקום, פרטנר, בזק, ובשבוע האחרון התחברתי לסלקום דרך סיב פה בביתי.

סיכמתי את כל המידע שקיבלתי בנקודות, על מנת שאוכל לשתף את הנתונים עם הציבור, במיוחד אלו שנמצאים "על הגדר" או אלו שרק חושבים להתחבר בעתיד, והכנתי קליפ בן 12 דקות עם הנקודות ועם מספר קטן של הדגמות (תקשורת ישירות לחו"ל).

צפיה נעימה.

"הר" פתרונות האבטחה שאינו רלוונטי כל כך

שמענו לאחרונה את מה שהתרחש אצל חברת שירביט (הפריצה שאירעה לתשתית של חברת הביטוח. כיום נודע שהפורצים החליטו לחסוך לעצמם את כל עניין הצפנת המידע עם תוכנת כופרה, והם (הפורצים) החליטו ישר ללכת לסחיטה: 50 ביטקויינים או שהם מפיצים/מוכרים את המידע).

אפשר לצקצק בלשון ואפשר לתהות על ההתנהלות של חברת שירביט בכל הנוגע לאבטחת מידע והגנה על התכנים, אך לפחות ממספר שיחות עם חברים ועמיתים – לא מעט ארגונים גדולים חשופים לא פחות ממה ששירביט היו חשופים לפריצות, ולצערי הרב, עדיין התפיסה של "יש לנו חומת אש, WAF, IPS/IDS, אז אנחנו מוגנים" – שולטת באותם ארגונים.

המציאות פשוטה: גם אם תקים "הר" של Appliances לצרכי אבטחת מידע בכדי להגן על חדירה מבחוץ, הפורצים יכולים לעקוף את כל ההגנות הללו עם פעילות Phishing וכניסה למערכת עם פרטים גנובים. חשוב לזכור: הנקודה הכי חלשה ברוב הארגונים – היא המשתמשים, ולא יעזרו חידודי נהלים לא לפתוח לינקים, לא להוריד/להריץ קבצים במייל וכו' מהסיבה הפשוטה ביותר: אם משתמש קיבל מייל Phishing והוא הזין בו פרטי חיבור אמיתיים, ברוב המקרים הוא לא ירוץ למחלקת IT או אבט"מ לספר על כך. אחרי הכל, מדוע לו לחטוף על הראש? עדיף להפעיל ראש קטן ולהתעלם מכך.

הנקודה הכי חשובה בכל הסתכלות על אבטחת מידע היא Zero Trust. לא לתת שום Trust בין אם מדובר בתקשורת מבחוץ פנימה או בין שרתים או בין מכונות דסקטופ לשרתים. אחרי הכל, אם מאן דהוא הצליח להשיג פרטי גישת VPN למערכת שלכם, מהרגע שהוא מתחבר, הוא נמצא בתוך התשתית של החברה, גם אם יש לו הרשאות מוגבלות (גם עם הרשאות מוגבלות אפשר ליצור נזקים גדולים). יקח לחברה זמן להבין שהפורץ משתמש בפרטי גישת VPN שנגנבו בפעולות Phishing ממשתמש לגטימי, ומאותו רגע שהפורץ מחובר, גרימת הנזק היא פנימית, ה-Firewall וה-WAF שלך לא עוזרים במאומה באותו זמן – וכאן, כדאי לזכור, פורץ חכם לא יחפש לגרום מיידית נזק, אלא יחפש בתשתית נקודות חולשה או תשתית "צדדית" שעליה הוא יכול להתקין את ה-Payload ורק לאחר מספר ימים להפעיל זאת ולהתחיל לגרום נזק/להצפין תוכן או להעביר תכנים.

ישנם דברים שניתן לעשות בעלות לא גבוהה בתשתית החברה. חלק מהרעיונות ישמעו אולי כ-לא קונבנציונאליים בארגונים מסויימים, אבל אני עדיין ממליץ לחשוב עליהן ולא לפסול אותן מראש:

  • להיפטר מסיסמאות: סיסמאות היו ויהיו – מקור לאחד מכאבי הראש הגדולים, כולל כל ה-Policies ליצור אותם, החלפתם וכו'. גם במיקרוסופט ובחברות תוכנה אחרות הבינו זאת מזמן והם מציעים פתרונות שונים המבוססים על טביעת אצבע, Windows Hello, מפתחות כמו Yubikey של Yubico (או Tian של גוגל, ויש גם מפתחות המבוססים בכלל על קוד פתוח כמו Solokeys). בנוסף, שימוש במפתחות מאפשר להשתמש בהצפנות שונות (נתמכות בעיקר ב-Yubikey) ויחסית די קל להטמיע את הפתרונות בכל מערכות ההפעלה.
  • הצפנת תכנים: הסיוט הכי גדול לחברות מבחינת אבטחת מידע, הוא גניבה ו/או הצפנה באמצעות כופרה של המידע, וארגונים גדולים מאוד (חברות כמו קאנון, אוניברסיטאות, בתי חולים ועוד) חוו את הסיוט ונזק משמעותי נגרם לאותם ארגונים. אחד הפתרונות שניתן לבצע הוא הצפנה של רוב התכנים החשובים, וביצוע Decryption דרך Gateway שאליו מחוברים מספר מצומצם של משתמשים. ניתן לדוגמא לבצע זאת בעזרת הקמת LUN שיחובר למערכת לינוקס וירטואלית. מערכת הלינוקס תבצע encryption/decryption עם כלי כמו LUKS-2 או בכלים אחרים, ושיתוף (לאחר decryption) עם SAMBA. אפשר להתגונן נגד כופרה תוך שימוש ב-snapshots (במכונת הלינוקס בשימוש LVM).
  • ביצוע Snapshots – באופן עקרוני, Snapshots ברמת File systems לא אמורים לצרוך כמות משאבים גדולה ליצירה ולכן מומלץ ליצור Snapshots בפתרון האחסון ל-File systems בצורה תכופה מאוד (כל שעה לדוגמא, ובמקרים חשובים כמו הנח"ש – כל מחצית שעה). כך, אם ישנה התקפת כופרה, ניתן לשחזר מה-Snapshot במהירות במקום לשחזר מקלטות.
  • Pen testing הוא פתרון חלקי שלדעתי אינו מספק: לצערי לא מעט ארגונים וחברות שוכרים מישהו מחברה שיבצע בדיקות (Penetration testing), ורובם גם משתמשים באותם כלים וב-Kali Linux (מתי אנשים יבינו ששימוש ב-Kali Linux הוא "אות קין" שלמשתמש אין הבנה רצינית בלינוקס? כל הפצת לינוקס כוללת את כל הכלים הדרושים!) כדי לבצע את הבדיקות, ובמתודה זו הבדיקות והסריקות פשוט אינן מספקות את התשובה המלאה.
    בדיקות הקשחה וחדירה זה לא רק שימוש בכלים כמו nmap, nessus ו-1001 כלים נוספים, אלא לימוד כל המערכת ועבודה בצוות כדי לחשוב על נסיונות חדירה מכל מערכת שרצה בארגון, חולשות שקיימות לכל שרת, לכל Appliance ולכל ציוד (במיוחד ציוד ישן שאין לו עדכונים כבר מספר שנים – ציוד כזה מומלץ להחליף כמה שיותר מוקדם), מי הם האנשים בחברה שפעולות Phishing עליהם יכולות לגרום נזק מהותי, היכן ניתן לעצור או להאט דליפת מידע אם גורם כלשהו הצליח לפרוץ, האם יש עצירה אוטומטית של תעבורת Upload ל-IP שאינו white listed לאחר כמה מאות מגהבייט לדוגמא (כשהפורץ מנסה לגנוב כמה שיותר קבצים), ובקיצור – הכלים הם רק חלק קטן מהעבודה, ודרוש צוות רציני כדי לנסות לפרוץ (מבלי להגביל את הצוות, אבל עם הנחיה לגבות את הכל ולרשום כל גילוי ושינוי) ולא מישהו שהקים Kali Linux על מכונה וירטואלית ומכיר כמה כלים.
  • "קמצנות כרונית" של הרשאות: תופעה שקיימת בכל ארגון – עודף הרשאות שניתנו למשתמשים שונים, הרשאות שנפתחו "זמנית" ונשארו פתוחות או הרשאות שנפתחו ברמת worldwide (בלינוקס/יוניקס זה מוכר כ-777) בגלל שמישהו התעצל לחפש בגוגל ולקרוא איך מגדירים הרשאות בלינוקס. מאוד מומלץ לבצע אחת לחודש או לתקופה לעבור על כל ההרשאות (גם הרשאות מקומיות!) ולצמצם את ההרשאות. אם רוצים להשתמש לדוגמא ב-passwordless ssh, יש להגביל את החיבוריות להרצת פקודות מסויימות, כניסה מכתובות IP מסויימות, ועוד.
  • עדכוני תוכנה ללא תאריכון: אחת הבעיות שכתבתי לגביה שוב ושוב בבלוג זה – מנמ"ר מחליט שעדכונים יהיו אחת ל-X חודשים ותו לא. לך תסביר לאותו מנמ"ר שחולשות אבטחה מתגלות כל הזמן ויש לא מעט מקרים שיש צורך דחוף בהתקנת עדכונים, אחרת התשתית חשופה. דוגמא פשוטה: אם אתם משתמשים ב-vSphere, האם עדכנתם את הטלאי הדחוף הזה?

לסיכום: לפעמים יש צורך בשינוי הגישה והמחשבה על אבטחת התשתית והארגון. הגנה "מבחוץ" כבר לא נותנת כיום פתרונות לנסיונות הפישינג והפריצה, וברוב המקרים הפריצה בכלל תגיע מנסיון פישינג למשתמש וכשהפורץ ישתמש בהרשאות המשתמש מתוך הארגון, או אז תחל ה"חגיגה" ולכן אולי כדאי לחשוב על הדברים בצורה מעט שונה.

Exit mobile version