- בלוג
- חוות שרתים מאובטחת בישראל – Jetserver
חוות שרתים מאובטחת בישראל – Jetserver
חוות שרתים מאובטחת בישראל – Jetserver
פורסם ב 24-12-2024
קודם כל…
מה זה חוות שרתים?
חוות שרתים היא מבנה מסויים וסגור, המאגד בתוכו כמות ניכרת של שרתים. הן למעשה סוג של מרכזי נתונים (Data Center), ומהוות את הבסיס לכל שירות ענן שאנו מכירים.
מן הסתם, חוות מדובר ביותר מכמה שרתים שנמצאים בתוך מבנה סגור. השרתים מסודרים במרבית המקרים במערכי שרתים – קבוצות של מחשבים (הלא שרתים הם למעשה מחשבים) המאוגדים יחדיו בתוך מסדי מחשוב (או “מגירות” בתוך “ארון”), ומחוברים באמצעות נתבים (ראוטרים) ומתגים (סוויצ’ים) כדי לתקשר ביניהם ועם העולם שבחוץ – עם רשת האינטרנט ואיתנו.
מערכי שרתים אלה, בחלק גדול מהמקרים, יתפקדו כמחשב אחד, דהיינו ישלבו את משאביהם כדי ליצור “סופר מחשב” ולבצע משימות שמצריכות יותר דרישות מאלה שהשרת הממוצע יכול לספק, בעיקר מבחינת יכולת עיבוד נתונים, זיכרון פנימי, עיבוד גרפי וכיוצא בזה.
אמנם אנחנו עוסקים (בעיקר) באחסון אתרים, אבל דוגמה טובה לכך היא כריית מטבעות קריפטו, הדורשת כמות משאבים גבוהה כדי להיות יעילה. מרבית האנשים והארגונים לא מצוידים לאכלס כמות מחשבים גבוהה בעלי יכולות עיבוד חזקות במיוחד. לא רק שאין לזה מקום, צריך גם לאבטח אותם, לדאוג לאספקת חשמל ורשת חשמל יציבה בעלת הספק גבוה וקירור ברמה תעשייתית או יותר.
בעולם שלנו – עולם אחסון האתרים – חוות שרתים תשמש, לרוב, למטרות כמו:
“צבירי” שרתים וירטואליים פרטיים (VPS)
שרתים וירטואליים פרטיים, מעצם קיומם באמצעות וירטואליזציה, מצריכים לא רק את המשאבים שיש להקצות לשרת הוירטואלי עצמו במסגרת החבילה או השירות (כוח עיבוד, זיכרון פנימי, אחסון נתונים וכדומה), אלא מספיק משאבים כדי להריץ את הפלטפורמה שמריצה את השרת הוירטואלי. מאחר ואחסון אתרים הוא שירות נצרך במיוחד, ומאחר ורבים מלקוחותיהן של חברות אחסון אתרים משתמשים בשרתים וירטואליים, ישנו צורך בחוות שרתים שתספק תשתית להפעלה של מספר שרתים וירטואליים גבוה בו זמנית. דבר זה בהכרח אומר צורך בהמון משאבים להריץ את כולם, ועוד יותר משאבים כדי להקים ולהריץ שרתים וירטואליים נוספים.
אחסון נתונים בענן
מי מאיתנו לא השתמש בשירותי אחסון ענן כמו Google Drive או Dropbox, העלה תמונה זו או אחרת לאחת מהרשתות החברתיות, או השאיר מסמכים שונים בתיבת הדוא”ל שלו?
והרי לא נצפה שמארק צוקרברג ישמור את כל התמונות מהטיול לחו”ל של כל משתמשי פייסבוק על כונני דיסק און קי, נכון?
אחסון נתונים מסיבי (גם אינספור קבצים קטנים מתהווים לאחסון מסיבי) מתבצע על חוות שרתים, לא רק בגלל שניתן להציב בהן כונני אחסון גדולים (או “לאחד” מספר כונני אחסון ומספר שרתי אחסון לשרת אחסון גדול אחד), אלא גם מפני שיש צורך בכוח עיבוד רב כדי לנווט, למקם ולנהל את הקבצים הנכתבים והנקראים ואת מסדי הנתונים שלהם.
אמנם שרתי CDN לא נמצאים ברשימות שירותים המסופקים על ידי חברות כשירותי ענן, אבל גם הם מתארחים בחוות שרתים שונות הפזורות ברחבי העולם – בדרך כלל במיקומים אסטרטגיים ומרכזיים. שרתי ה-CDN שלנו, למשל, פרושים בחוות שרתים שנמצאות באירופה ובארה”ב, כך שניתן לגשת במהירות לאתרים ולסביבות הפיתוח של הלקוחות.
עבודה מרחוק
מאז שהקורונה הכתה בעולם, המון ארגונים וחברות עברו לשיטת עבודה היברידית. יש כאלה שעובדים כמעט באופן בלעדי מרחוק. רק ששוב, מרבית הארגונים לא יכולים/לא רוצים להתעסק בהתקנה, ביישום ובתחזוקה של המשאבים הדרושים לניהול תשתיות של עבודה מרחוק. במרבית המקרים שרת קטן או אפילו צביר שרתים קטן לא יספיק – ועבודה מרחוק דורשת תעבורת ועיבוד נתונים גבוהה, לפעמים במקביל. תעבורה זו דורשת המון משאבים. כוננים משותפים ומאובטחים, הצפנות, שיחות VoIP, שרתי אימייל, פורטלי עבודה, חומות אש, VPN-ים – כל אלה דורשים יותר כוח ומשאבים משרת קטן ופרטי, ואפילו יותר משרתים “רגילים”, שמיועדים ברובם לאחסון אתר וניהולו. חוות שרתים מאפשרת להטמיע ולהשתמש בפלטפורמות השונות שתומכות בצורת עבודה כזאת. פורטלי עבודה, כמעט בכל המקרים, הם אתרי אינטרנט. לכן, המון ארגונים וחברות יבחרו באחסון אתרים בענן.
פיתוח
גם פיתוח של אפליקציות ושירותים שונים מצריך המון כוח עיבוד. הדבר נכון במיוחד כאשר הפיתוח מתבצע על דוקר (Docker), בסביבות מופרדות, עם שימוש בקוברנטס (Kubernetes) וכהנה וכהנה. גם במקרה זה, שרתים “רגילים” לא יספקו את הסחורה מבחינת דרישות מערכת ויכולות עיבוד ואחסון. במקרים של עבודה מרחוק לשם פיתוח, שהולכים ונעשים נפוצים, הדבר נכון אף יותר. שימוש בחוות שרתים ובשירותי הענן השונים מאפשר פיתוח יעיל מרחוק וחוסך את הצורך בהתעסקות בציוד ותשתיות.
חוות שרתים שימושית גם לאחסון גיבויים של המערכות ושל השרתים שלכם. פתרונות התאוששות מאסון רבים (כמו שלנו) מאפשרים אחסון גיבויים של קבצים ואף של מערכות שלמות על חווה שמשמשת כאתר מרוחק, מוגן ומופרד מהשרתים העיקריים עליהם מאוחסנים האתרים/המערכות הראשיים והגיבויים שלהם.
אבטחה של חוות שרתים
כפי שניתן להבין מ-685 המילים הקודמות, חוות שרתים מאכלסות בתוכן מערכות בעלות חשיבות לאלה המשתמשים בשירותים שלהן. החברות הגדולות ביותר מחזיקות בחוות שרתים ברחבי העולם בשביל לספק שירות מהיר ונוח יותר. גוגל, אמאזון, דרופבוקס, מייקרוסופט, ורבות אחרות, כמו גם אינספור סביבות עבודה ופיתוח, אחסון קבצים, שרתים וירטואליים, אתרים, מערכות אטומציה ועוד ועוד ועוד.
מכך נובע באופן טבעי כי חוות שרתים חייבת להיות מאובטחת – הן כדי לשמור על נכסי המשתמשים בה והן כדי להגן על כל הציוד שמרכיב אותה (הקמת ואחזקת חוות שרתים זה עסק יקר…).
הדבר נכון למדינת ישראל על אחת כמה וכמה. ישראל חשופה לסכנות בטחוניות רבות שיכולות לפגוע בחוות שרתים ובכל מבנה במישרין ובעקיפין (לדוגמה, תחנת הכוח המספקת חשמל לחוות השרתים תיפגע). בנוסף לזה, ישראל חשופה לסכנות טבעיות שאינן נפוצות במרבית העולם, כמו רעידות אדמה (השבר הסורי-אפריקאי) וצונאמי. כמובן שבשנים האחרונות התגברו מתקפות הסייבר על ישראל מחוץ ומפנים, כך שגם אבטחת סייבר היא הכרחית.
על אחרים אנחנו לא יכולים להעיד, למרות שהגיוני שחברות גדולות מאבטחות את חוות השרתים שלהן כדי לעמוד בתקנים בינלאומיים שונים, וכדי להגן על האינטרסים של לקוחותיהן (וכמובן על עצמן).
על עצמנו, לעומת זאת, אנחנו יכולים להעיד.
הבטיחות של הנכסים שאתם מפקידים בידינו חשובה לנו בג’טסרבר.
איך אנחנו מאבטחים את חוות השרתים שלנו?
אבטחות פיזיות:
אמנם חוות שרתים מעבדת ומאחסנת בתוכה נתונים ונכסים דיגיטליים, אך היא עדיין עשויה מחומר – בטון, פלסטיק, מתכות וחומרים מרוכבים. כדי להגן על השרתים הללו ועל מה שאתם מאחסנים בהם, אנו מיישמים הגנות פיזיות רבות וחזקות. ההגנות עומדות בתקן ISO27001 המחמיר (עליו נכתוב מאמר נפרד בקרוב), והן כוללות: ניטור במצלמות אבטחה; נעילות מתקדמות לדרכי הגישה לתוך החווה ועל מסדי המחשוב; מערכות כיבוי, קירור ואוורור; מערכות לניטור טמפרטורה ולחות; אזעקות וגלאי נוכחות שונים; צוותי אבטחה וצוותים טכניים למקרים של תקלות (זמינים מיידית 24/7); תחזוקה שוטפת; מערכות גיבוי לאספקה החשמלית; ריצפה מוגבהת מעל כבלים; ועוד.
אבטחת סייבר
TCP/IP, הוא “משפחה” של פרוטוקולים לשליטה בתשדורות נתונים על גבי פרוטוקול אינטרנט (Transmission Control Protocol/Internet Protocol). רשת האינטרנט כולה מושתתת על בסיס TCP/IP, המאפשר את התקשורת בין רשתות שונות.
בין המתקפות הנפוצות יותר שניתן לבצע על פרוטוקול TCP/IP ניתן למנות:
שימוש בפורטים (Ports) פתוחים – החיבור של פרוטוקול TCP/IP, באשר הוא מתבצע בין מכשירים שונים, נעזר בפורטים. פורטים הם כמו שערים דרכם תעבורת נתונים מתבצעת, בהתאם למטרה המוגדרת של החיבור. לדוגמה, פורט 889 מאפשר תקשורת נכנסת ויוצאת אך ורק עם יישום רשת מסויים, בעוד פורט 701 מוגדר לאפשר מעבר נתונים בין המחשב שלנו לבין אפליקציית האימייל בה אנו משתמשים. ישנם כלים, כמו nmap, שמאפשרים לסרוק את הפורטים הפתוחים ברשת או לאתר בעיות ניתוב. בהינתן פתח שכזה, התוקף יכול לחדור דרכו לרשת או לשרת בעלי הפורט הפתוח.
זיוף איי.פי. (IP Spoofing) – גורם עויין יודע (או מגלה) מהי כתובת ה-IP של אחד הגורמים המשתמשים ברשת, ומשתמש בכתובת זו על מנת להתחזות לאותו גורם. הנתב, האחראי על ניתוב התעבורה הרשתית, יטעה לחשוב שמדובר באותו גורם מורשה, ויאפשר לו גישה לרשת.
מתקפת אדם באמצע (MITM) – התוקף “משיג” חבילות מידע (Packets) המועברות על גבי הרשת בין שני שרתים או מחשבים, מבצע בהן שינויים ושולח אותן ליעד. מתקפות אלה מתאפשרות כאשר התקשורת איננה מוצפנת (למשל, כאשר לא מתבצע שימוש ב-TLS בתקשורת מקצה-לקצה). מן הסתם, מערכות מתקדמות משתמשות בהצפנות תקשורת ללא תלות בפרוטוקולים בהם משתמשים/לא משתמשים המכשירים המתקשרים ביניהם, כדי למנוע מתקפות כאלה.
מתקפת מניעת שירות (DoS) או מתקפת מניעת שירות מבוזרת (DDoS) – התוקף מעמיס נתונים על הרשת או על אחד ממרכיבי השרת וגורם לקריסות. בכך נמנעת גישה של גורמים לשרת או לרשת – הם אינם זמינים.
אנחנו מגנים על כל התקשורת העוברת דרך חוות השרתים שלנו – הנכנסת והיוצאת. כל תעבורת הנתונים דרך החווה מנוטרת באמצעות מערכות נגד מניעת שירות מבוזרת (Anti-DDoS) מתקדמות ביותר, הכוללת אלגוריתמים חכמים לזיהוי מתקפות, ושימוש בטכניקות מתוחכמות כמו ניתוב התעבורה למרכזי סינון (Scrubbing Centers – “תחנות” לניתוח נתונים, המזהה “זיהומים” שונים ומתקפות על פי הקוד ומסיר אותם).
בנוסף, חוות השרתים שלנו מוגנת באמצעות מערכת חומת-אש (Firewall) מהמתקדמות שקיימות בשוק כיום. תקינות הנתונים העוברים דרך השרתים מוודאת ונבחנת במגוון מערכות אבטחה וסינון. מערכות אלה כוללות גם בדיקות וסינונים של התקשורת דרך פרוטוקול TCP/IP, על מנת להדק את ההגנה אף יותר.
מאחר ותעבורת הנתונים המתבצעת היא בהמון מקרים בעלת חשיבות, כמו גם הנתונים המאוחסנים על השרתים שבה, ומאחר והתקשורת עם חוות השרתים מתבצעת בעיקר דרך האינטרנט באמצעות פרוטוקול TCP/IP, החשיבות של יישום הגנות כנגד ניצולי פרצות בו היא ברמה קריטית.
התאוששות מאסון
כמובן שהגנות אינן מספיקות לאבטחה ראויה, לא משנה כמה הן חזקות, צפופות ומתקדמות. כפי שאנחנו מזכירים לכם לפעמים – אין דבר כזה הגנה בלתי ניתנת למעקף, וגם ההגנות החזקות וההצפנות המסובכות ביותר יכולות להיפרץ.
לכל מקרה שלא יבוא, יש לנו גם תוכנית התאוששות מאסון, הכוללת גיבויים אוטומטיים בתדירות גבוהה, מערכות יתירות (Redundancy) ותשתיות גיבוי מרוחקות מהחווה עצמה. כך, גם תקלות ותקריות בהיקף גדול במיוחד לא יפגמו בתפקוד השוטף של השרתים בחוות השרתים שלנו.
אם מעניין אתכם לדעת עוד על תוכנית התאוששות מאסון, כתבנו מאמר בנושא.
מערכות יתירות הן למעשה מערכות כפולות. כלומר, השרתים עושים שימוש בסט רכיבים כפול: שני מעבדים, שני לוחות זיכרון פנימי, וכו’. במקרה של כשל באחד מרכיביו של הסט הראשון, הרכיב בסט השני ייכנס מיד לפעולה. העבודה השוטפת דרך השרת תוכל להימשך, בזמן שהתקלה תהיה בתיקון.
כמה מילים לסיום
חוות שרתים הנן כלי יעיל שמאפשר מגוון רחב של שימושים. הוא מאפשר גם את הסרת הצורך בהקמת ואחזקת תשתיות ויכולות עיבוד ותעבורת נתונים באופן פרטי. הוא מאפשר, בקלות יחסית, אחסון של נתונים גדולים וגיבויים, פיתוח, שרתים בעלי צרכים מעל הממוצע, תשתיות ענן ועוד ועוד. לרוב, הן מחזיקות במידע בעל חשיבות גבוהה, כמו גיבויים חשובים, יישומים בפיתוח, אתרים כבדים ומורכבים ותשתיות לעבודה מרחוק. מסיבה זו, חוות השרתים צריכה להיות מוגנת מפנים ומחוץ, כלומר, פיזית ודיגיטלית. בג’טסרבר, אנחנו מספקים לכם חוות שרתים בארץ ובעולם, המוגנות באמצעים המתקדמים ביותר כדי לאפשר לכם אחסון ושימוש בענן עם שקט נפשי ועבודה ללא הפרעות.
לפרטים נוספים, בדקו את תוכניות האחסון בענן שאנו מציעים, או צרו איתנו קשר.
