הצופה על החומה: שלמה קרמר בטור מיוחד ל"גלובס"

שלמה קרמר, ממייסדי צ'ק פוינט וקאטו נטוורקס, מסכם תקופה בעולם חומות האש – ומציג את האתגרים המסובכים שמאחורי הפיכתן לפשוטות לשימוש ■ מהתחלת העבודה על הפיירוול הראשון - ועד העתיד הצפון לתחום אבטחת הסייבר

שלמה קרמר / צילום: בז רטנר, רויטרס
שלמה קרמר / צילום: בז רטנר, רויטרס

בתור אחד מהמייסדים של צ'ק פוינט וקאטו נטרווקס (Cato Networks) החדשה יחסית, לעתים קרובות שואלים אותי לגבי העתיד של תחום ה-IT באופן כללי, ושל תחומי האבטחה והרשתות באופן ספציפי. השיחה נעה באופן קבוע לכיוון טכנולוגיית רשת חדשה או תגובה לאיום האבטחה האחרון. למעשה, אני חושב שהעתיד של ה-Firewall, חומת האש, טמון בפתרון בעיה שהתחלנו לטפל בה בעבר.

FireWall-1, השם של חומת האש האייקונית של צ'ק פוינט, הוא שם מוזר למוצר. המוצר שהפך למילה נרדפת לחומות אש לא היה חומת האש הראשונה. הקטגוריה הייתה כבר קיימת כשהמצאתי את השם ושמרתי את קובץ הפרויקט הראשון (קובץ Yacc grammar, למקרה שרציתם לדעת). למעשה, אחד מהדברים הראשונים שגיל ואני עשינו כשהתחלנו את מחקר השוק שלנו עבור צ'ק פוינט בשנת 1992 היה להירשם לרשימת דיוור חדשה בנושא חומות אש שהייתה מיועדת, מן הסתם, למנהלי אבטחה.

אבל FireWall-1 הייתה חומת האש הראשונה שפישטה את אבטחת הרשתות. הפשטות עשתה את FireWall-1. מתוכנה למכשירים, האבולוציה של חומות האש הוצתה על ידי הפשטות. מדובר באותה דינמיקה בדיוק שהניעה את גור שץ ואותי להקים את קאטו נטוורקס ולהרוויח מהעידן הבא של חומות האש - המעבר לענן.

["האינטרנט לא בנוי להיות אמין או מהיר, הוא בנוי להיות זול": גור שץ בראיון ל"גלובס"]

על מנת שתוכלו להבין באמת מדוע הפשטות כל כך מהותית, אני מזמין אתכם להצטרף אלי למסע אישי של 25 שנה בתחום חומות האש. אספר לכם פרטי טריוויה שלא הרבה יודעים ואלמד אתכם איך להבין טוב יותר את הכיוון אליו חומת האש ותשתית האבטחה שלכם הולכות.

המודלים הרגילים לא עבדו בשבילנו

כשהתחלנו לפתח את FireWall-1, חומות האש הקיימות היו מפלצות מורכבות. פתרונות כגון Raptor Firewall או Trusted Information Systems Firewall Toolkit (FWTK) הסתמכו מאוד על התאמות ספציפיות של הקוד לסביבת הלקוח. שניהם הגיעו מתאגידים אמריקאים (אם אני זוכר נכון, Raptor הייתה של דופונט ו-FTWK הייתה של דיגיטל).

המוצרים הצריכו תשומת לב מתמשכת. לפעמים היה צריך להתקין שרת פרוקסי חדש על חומת האש רק כדי להשתמש ביישומים אינטרנטיים חדשים. לפעמים, כדי לשדרג יישום קיים היה צורך בלשדרג את שרתי הפרוקסי הקיימים, או להסתכן בנפילת היישום. באופן לא מפתיע, הפתרונות נמכרו לתאגידים גדולים שהיו מוכנים לשלם על התאמות בהיקף נרחב על מנת ליישם ולתחזק אותם.

אומרים כי "הצורך הוא אבי ההמצאה" וזה בהחלט נכון במקרה של גיל, מריוס ושלי. היינו רחוקים שנות אור מאמריקה התאגידית. תמיכה נרחבת באתר הלקוח, יישומים מותאמים אישית, שירותים מקצועיים - המודלים הרגילים לא עבדו בשבילנו כשישבנו בדירה של סבתי במרחק של 16 אלף קילומטרים מהשוק, מזיעים בקיץ הישראלי הקודח בלי מזגן ועם 300 אלף דולר בלבד בחשבון הבנק של החברה.

הזדקקנו לאסטרטגיה אחרת. מה שהיינו צריכים היה פתרון שונה מאוד: קל לשימוש בלי שירותי תמיכה, קל לפריסה בלי שירותים מקצועיים, קל לרכישה מרחוק, ומעל לכל פשוט מספיק בשביל ששלושה מתכנתים מיומנים יוכלו לבנות אותו לפני שייגמר להם התקציב (כ-12 חודשים).

היו שני גורמים מהותיים להפיכת חומת האש לפשוטה לשימוש:

■ מנוע אבטחה אוניברסלי שמסוגל להתמודד עם כל יישום שהוא בהינתן קובץ הקונפיגורציה הנכון. תמו הימים של פריסת ועדכון שרתי פרוקסי מותאמים אישים עבור כל יישום. בשנים שיבואו, כשדפוסי התעבורה של האינטרנט השתנו והחלו לכלול כמות הולכת וגוברת של יישומים, תכונה זו הפכה לקריטית.

■ ממשק משתמש גרפי אינטואיטיבי שכל מנהל מערכת יוכל להבין ולהשתמש בו באופן מיידי.

למעשה, לא הצלחנו ליצור את הממשק הנכון בפעם הראשונה. כעבור מספר חודשים, הרצנו "קבוצת מיקוד" עם כמה חברים שלמזלנו היו מפתחי PC. באותם ימים, מפתחי PC היו הרבה יותר מיומנים בממשק משתמש מאתנו, שהשתמשנו בתחנות עבודה של Sun. בקבוצת המיקוד שלנו שנאו את הממשק, ונאלצנו להתחיל את הכל מההתחלה, ולפתח ממשק דמוי-PC שנראה כך:

צילום מסך של הממשק הראשוני של FireWall-1 / באדיבות שלמה קרמר
 צילום מסך של הממשק הראשוני של FireWall-1 / באדיבות שלמה קרמר

ייתכן ששמתם לב שהמארח נקרא "Monk" בחוק הבסיס. זה היה אחד משני מחשבי ה-Sun שלנו (למעשה שאלנו אחד מהם מהמפיץ הישראלי של Sun), ונקרא כך על שם הפסנתרן ומלחין הג'אז ת'לוניוס מונק. המכונה השנייה נקראה Dylan . וכל האייקונים המגניבים האלה? כולם צוירו על ידי מריוס , אשר שימש גם בתור המעצב הגרפי שלנו. הוא עבד על PC.

על מנת שהמוצר יהיה פשוט לפריסה, השקענו מאמצים כדי לדחוס את כל ההפצה לדיסקט אחד עם מדריך התקנה שהיה מודפס על המדבקה שעל הדיסקט:

הדיסקט הראשוני של FireWall-1 / באדיבות שלמה קרמר
 הדיסקט הראשוני של FireWall-1 / באדיבות שלמה קרמר

הנקודה הקריטית האחרונה הייתה איך לגרום לכך שהמוצר יהיה קל לרכישה. בעולם שבו המתחרים מכרו באופן ישיר וחלק נכבד מהרווחים שלהם הגיעו מהטמעה באתר הלקוח, אנחנו החלטנו להיות חברה שפועלת בערוץ טהור ולמכור באופן בלעדי דרך שותפים.

היה לנו מזל לחתום בשלב מוקדם עם SunSoft, זרוע התוכנה של יצרנית המחשבים המובילה בזמנו, סאן מיקרוסיסטמס, ולהפוך לחלק מחבילת הסולאריס הפופולרית שלהם. יכולות ההפצה של סאן היו קריטיות בימים הראשונים. בשוק שהתפתח בהמשך, העובדה שהיה קל מאוד לרכוש את FW-1 דרך השותפים שלנו הייתה קריטית.

הדיסקט הראשוני של FireWall-1 ארוז כחלק מחבילת הסולסטיס של סאן / באדיבות שלמה קרמר
 הדיסקט הראשוני של FireWall-1 ארוז כחלק מחבילת הסולסטיס של סאן / באדיבות שלמה קרמר

ניר קילל והתלונן, וחיפשנו פתרון

בעוד חומות האש הלכו ונעשו פופולריות יותר, נהיה קשה יותר ויותר לתחזק את מודל תחנות העבודה. הרעיון הבסיסי של העסק שלנו - קל לרכישה, קל לפריסה וקל לשימוש - הלך ונשחק בגלל האופן שבו הלקוחות השתמשו במוצר. להשתמש בנקודת בקרת אינטרנט אחת הרצה על תחנת עבודה ייעודית זה משהו אחד, אבל כעת הארגונים הפיצו מאות חומות אש שרצו על כל מיני מכונות ומערכות הפעלה. אתם יכולים לתאר לעצמכם את הבלגן.

המעבר מתוכנה בודדת לקופסאות שארוזות עם התוכנה נראתה כמו הצעד הבא הלוגי והפשוט. המעבר היה הכל חוץ מפשוט.

היה כבר מכשיר פיזי קיים בשוק - הראוטר. זה נראה הגיוני לחלוטין להטמיע את חומת האש במכשיר הזה, לפחות זה מה שאני חשבתי כשחתמתי על הסכם OEM עםWellfeet Communications, יצרנית הראוטרים השנייה בגודלה באותה תקופה (אחרי סיסקו, כמובן). אפילו היה לנו לקוח שביצע רכישה ענקית של 300 צמתים. אחד מהמהנדסים המובילים שלנו, ניר צוק, עבר לבוסטון ועבד במשרד של Wellfleet ותמך באותו פרויקט.

הטמעת חומת האש בראוטר של Wellfeet הייתה רעיון טוב בתיאוריה אבל הוגבלה על ידי המגבלות של הראוטר הבסיס
 הטמעת חומת האש בראוטר של Wellfeet הייתה רעיון טוב בתיאוריה אבל הוגבלה על ידי המגבלות של הראוטר הבסיס

אני זוכר את היום שביקרתי את ניר. הוא לא היה מרוצה בכלל, והוא קילל והתלונן כמו שרק ניר יכול. החומרה ומערכת ההפעלה הבסיסיות של הראוטר של Wellfeet לא היו חזקים מספיק או דינמיים מספיק על מנת לטפל בצרכים של חומת האש המורכבת. המרחק בין הראוטר לתחנת העבודה של סולאריס היה כמו שמיים וארץ. העבודה הזדחלה לאיטה, ובסופו של דבר, ניר היה מוכשר מספיק כדי להפעיל משהו בסיסי, מה שאיפשר לנו להטמיע את 300 צמתי חומות האש שנרכשו על ידי הלקוח. אבל המוצר הוגבל על ידי הפלטפורמה הבסיסית. בסופו של יום, המוצר לא היה מוצלח.

נהיה ברור שיש צורך במכשיר ייעודי, ולכן התחלנו לחפש פלטפורמה גמישה דיו כדי להריץ את חומת האש. אחת מהפלטפורמות הראשונות שהתמקדנו בהן הייתה של חברה בשם Armon, אשר הפעילה פתרון ניטור רשתות המבוסס על תקן RMON.

מכיוון שהמכשיר נבנה כדי להריץ תוכנה מורכבת, חשבנו שהוא יתאים ל-FW-1. המנכ"ל של Armon, יגאל יעקובי, היה תומך נלהב במודל ה-OEM, ונתן לנו רישיון להשתמש בקופסה על מנת לבנות מכשיר חומת אש ייעודי. אבל Armon נרכשה של ידי SynOptics Communications, יצרנית הרכזות המובילה בזמנו, אשר התמזגה עם Wellfeet כדי ליצור את Bay Networks. היינו זקוקים לתמיכת ההנהלה של Bay Networks, והיה עלינו להיפגש עם ג'ים גץ, שלימים הפך לאחד מהמשקיעים המפורסמים של Sequoia.

יגאל ואני לבשנו את החליפות הכי טובות שלנו (במקרה שלי, את החליפה היחידה שהייתה לי), ונפגשנו עם ג'ים בבית קפה בלאס וגאס מול תערוכת Interop. הפגישה לא הייתה מוצלחת. ג'ים לא העריך את סגנון הלבוש שלי והקדיש את רוב זמן הפגישה לנזיפה בי. וכך העתיד של חומת האש ספג מהלומה מינורית הודות לחוש האופנה הקלוקל שלי. אך הרעיון כנראה דבק בו, כי עד מהרה פגשנו את ג'ים בנסיבות טובות יותר.

בכל מקרה, לא ויתרתי. מיניתי את אשים צ'נדנה (שלאחר מכן התפרסם בתור משקיע ב-Greylock) לתפקיד סגן נשיא פיתוח עסקים וניהול מוצר, והעברתי את ניר צוק לאזור המפרץ. השניים התחילו, בין היתר, את תוכנית ה-OEM של צ'ק פוינט אשר יצרה מערכת יחסים מוצלחת מאוד עם נוקיה, אשר שימשה במשך שנים רבות בתור הבסיס לסדרת המוצרים של צ'ק פוינט.

כמה שנים לאחר מכן, ניר, ג'ים ואשים הקימו חברה בשם פאלו אלטו נטוורקס  אשר הגדירה מחדש את שוק אבטחת הרשתות ופיתחה את מערכת ההגנה המשולבת המודרנית הראשונה. וכן, הוא היה קל לרכישה, לפריסה ולשימוש, וטיפל באופן נפלא באתגרים של דפוסי התעבורה המשתנים שהיה עליו להגן עליהם.

פאלו אלטו הגדירה מחדשה את שוק אבטחת הרשתות עם מכשירים בעלי הגנה אחידה / באדיבות שלמה קרמר
 פאלו אלטו הגדירה מחדשה את שוק אבטחת הרשתות עם מכשירים בעלי הגנה אחידה / באדיבות שלמה קרמר

 

לחזור לפשטות דרך הענן

חומות אש תמיד עסקו בפעילות מקומית, אך במקור היו לנו שאיפות בתחום ה-WAN. פיתחנו בצ'ק פוינט את VPN-1 מייד לאחר ששיחרנו את FireWall-1 (ואחר כך שילבנו אותם בחבילת מוצרים אחת). ה-VPN הראשון המבוסס על IPsec בין שרתים ולאחר מכן גרסת תכנת קצה עבור משתמשים מרחוק. הרעיון היה להחליף את Frame Relay ו-ATM, אשר קדמו ל-MPLS.

הדיסקט הראשון של VPN-1 שרץ על מכשיר של נוקיה / באדיבות שלמה קרמר
 הדיסקט הראשון של VPN-1 שרץ על מכשיר של נוקיה / באדיבות שלמה קרמר

אז פיתחנו את FloodGate-1 על מנת לספק אופטימיזציה ל-WAN ו-QoS עבור רשת ה-IP VPN. המטרה הייתה ליצור פלטפורמה לרשת WAN איכותית ומבוססת-רשת שלא דרשה חיבורי Frame Relay או ATM יקרים ויעודיים ויכלה להתרחב מעבר למקומות פיזיים עבור כל משתמש נודד.

זה נכשל. MPLS ניצח. אנשים רצו רשתות מגובות ב-SLA כדי להריץ את היישומים הקריטיים שלהם. האינטרנט היה יותר מדי לא צפוי. לאחר הפרויקט הזה עזבתי את צ'ק פוינט. לאחר שעזבתי, הפרויקט של FloodGate-1 נדחק הצידה.

הנחתי את הבעיה הזאת בצד והתחלתי לעבוד על להביא את חומת האש עמוק לתוך מרכזי הנתונים של הארגונים. זה לקח כ-12 שנים והוביל להקמת חברות אחרות שנקראו Imperva ולאחר מכן Incapsula, אשר הוקמה על ידי גור שץ, שעד מהרה הפכה לכוח מרכזי וחדשני בתחום הענן.

ביטול הקופסא הפיזית טופל לראשונה באינקפסולה מרכז הנתונים בשלב זה ישב בעיקר על שירות ענן. אין צורך להשתמש בקופסאות פיזיות כשיש לך שירות ענן חיצוני. אינקפסולה הייתה (ועודנה) הצלחה גדולה כי היא לקחה את אבטחת יישומי Web והעבירה אותה לענן.

בזמן שאנחנו היינו עסוקים עם חומת האש של מרכז הנתונים, הסתבר שהרעיון של הקופסא הפיזית מתפורר. בעולם שבו רוב היישומים הם שירות כתוכנה (SaaS) המגיע מחברה חיצונית, רוב הנתונים שלנו נמצאת על עננים ציבוריים ורוב העבודה מתבצעת על מכשירים ניידים מחוץ למשרד, מה הטעם בקופסא פיזית המגינה בעיקר על המשרד הגדול והריק שלי?

ארגונים התחילו לקנות מספר הולך וגובר של מוצרים להגנה על יישומי SaaS, מרכזי נתונים בענן הפועלים לפי מתכונת שירות כתוכנה (IaaS), ומשתמשים ניידים בנוסף להוצאות השוטפות על חומת האש. וגרוע מכך, הרבה סניפים ומשרדים קטנים שמעולם לא היה להם קשר ישיר עם האינטרנט אלא רק העבירו נתונים דרך MPLS למרכז החברה שם ישבה חומת האש לא יכלו לעשות זאת עוד. האינטרנט הפך לכלי בסיסי. צריך אותו בכל מקום, בכל זמן, בכמויות גדולות ובאופן מאובטח. לכן, טלאים מכל מיני סוגים כמו הגדלת נפח ה-MPLS ושערי אינטרנט מאובטחים הופיעו על מנת להגביר את הזמינות של האינטרנט לכל האלמנטים של הארגון. בשלב זה הכל היה ממש מבולגן. רחוק מאוד מרעיון קלות הרכישה, הפריסה והשימוש של העבר.

בענן, ניתן ליצור רשת אחד עם מדיניות אבטחה כוללת עבור כל האתרים, המשאבים והמשתמשים / באדיבות שלמה קרמ
 בענן, ניתן ליצור רשת אחד עם מדיניות אבטחה כוללת עבור כל האתרים, המשאבים והמשתמשים / באדיבות שלמה קרמ

כשגור (כן, הבחור מאינקפסולה) ואני הקמנו את קאטו נטוורקס לפני קרוב לשלוש שנים, הבנו שבעיות של הרשת הארגונית, גישה לענן, וקישור מאובטח למשתמשים ניידים היו משולבות זו בזו והצריכו ארכיטקטורה חדשה שתאבטח את האינטרנט ואת הרשת האזורית בכל מקום, בכל זמן ובכל חלק מהארגון - סניף משרדי, מרכז נתונים, מקטע של הענן, משתמש נייד. זה היה כמו לחזור בזמן 17 שנים אחורה לימים של VPN-1 ו-Floodgate-1 ולנסות להתמודד עם הבעיה בפעם השנייה, אלא שהפעם זה קרה בעולם אחר לגמרי של מחשוב ענן ומכשירים ניידים. עיקרון המפתח נותר זהה: להביא פשטות לעולם שהולך ונהיה מורכב יותר.

קאטו. טיפול במגוון רחב של מקרי שימוש / באדיבות שלמה קרמר
 קאטו. טיפול במגוון רחב של מקרי שימוש / באדיבות שלמה קרמר

הקמנו רשת בענן על בסיס המודל של אינקפסולה על מנת לספק שירותי רשת ואבטחה מכל מקום ובכל זמן. תחשבו על AWS לאבטחת רשתות. אני מאמין שזו הארכיטקטורה שבעוד עשור תשלוט ברשתות האזוריות של העולם העסקי.