2 דרכים שבהן אפל הופכת את מחשבי המק של הארגון למאובטחים יותר

עקב האכילס של מחלקות ה-IT בארגונים הוא עדיין משתמשי הקצה. החדשות הטובות הן שבין רכיב ה-T2 לשרת MDM, לאפל יש פתרונות אבטחה שיצילו את המצב

צילום/ תמונה: pexels

מאת עומר ניניו, מומחה תמיכה במערכות Apple, Jamf ו-ABM בחברת WeDiggIT

בעידן הנוכחי, בו חברות רבות חשופות למתקפות מצד גורמים עויינים, חייב כל ארגון לנקוט בכל המהלכים האפשריים ולהשתמש בכל האמצעים הקיימים על מנת להגן על עצמו. הארגונים מבינים את זה וההשקעות של מחלקות ה-IT בכלי הגנה על סביבתן גדלות משנה לשנה והופכות לעצומות. למרות זאת, על פי מחקרים רבים, עקב האכילס דרכו מצליחים פצחנים לחדור אל משאבי ה-IT של הארגונים הוא בדרך כלל משתמשי הקצה. לכן, הדרך הטובה ביותר להגן על הנכסים הדיגיטליים נחלקת לשניים: הדרכת העובדים כדי שיכירו בסכנות האורבות ורכישת ציודי קצה בעלי הגנה עצמית מובנית.

חברת אפל, הידועה בסטנדרטים גבוהים של שמירה על אבטחת מידע ופרטיות, הציגה את הפתרון שלה בצורתו המתקדמת ביותר כבר בדצמבר 2017 עם הכרזתה על צ’יפ האבטחה T2, רכיב מובנה בדגמי ה-iMac Pro. מאז, אותו פתרון עבר שדרוג משמעותי וכעת הוא מוטמע בכלל מחשבי החברה. אפל מצהירה שהרכיב משפר את האבטחה במחשביה, אבל איך?

כיצד צ’יפ ה-T2 משפר את האבטחה?

בכל הפעלה של המחשב רכיב T2 בודק האם גרסת מערכת ההפעלה עדכנית והאם היא מאושרת לשימוש על ידי אפל או חתומה בחתימה מאושרת של Microsoft (למערכות המריצות מערכת הפעלה באתחול כפול – BootCamp). רק אם התשובה היא כן – המחשב ימשיך ויתקדם בעלייה.

במילים פשוטות: אם מתגלה חור אבטחה משמעותי, אפל יכולה למנוע מהמערכות לעלות ולסכן את המשתמשים, עד שיותקן עדכון התוכנה לשמירה על המידע. בנוסף, המערכת מונעת את הפעלת המחשב מכוננים חיצוניים כברירת מחדל, על מנת למנוע דליפת מידע.

נדבך נוסף ומהותי של רכיב האבטחה הוא ההצפנה. רכיב ה-T2 מקושר חומרתית לכלל רכיבי המחשב כך שהמידע שנמצא על-גבי הכונן הקשיח מוצפן. אם אמצעי האחסון של המחשב נגנב, המידע שנמצא עליו לא נגיש לאף אחד.

אמצעי הגנה נוספים אותם מציעה אפל כאפשרויות מומלצות למשתמשים הם הגנת המערכת באמצעות סיסמת משתמש וכמובן אפשרות להפעיל את FileVault 2 להצפנת המידע ושימוש בסיסמת ה-Firmware למניעת גישה מדיסק חיצוני.

מהו שרת ה-MDM

כאמור, אמצעי ההגנה האלה רלוונטיים לכל מחשבי אפל המכילים את רכיב האבטחה, אבל במקרה של ארגונים יש צורך באבטחה חזקה יותר. אז מה עושים ארגונים? משתמשים ב-MDM.

שרת Mobile Device Management) MDM) מאפשר למחלקות ה-IT, בנוסף לאפשרות להפצת תוכנות והגדרות בעזרת החנות הפנימית (Self Service), גם אפשרות לאיסוף מידע אודות המחשב, מיקומו, תוכנות מותקנות, כתובת IP, ועוד.

על בסיס מידע זה, ניתן לחלק את המחשבים ל-Smart Groups ולהפעיל מגבלות ותכונות בהתאם למצב הנוכחי של המחשב, לקבל התראות על הפרת מדיניות, למנוע הפרת מדיניות ואף למחוק או לנעול מחשבים מרחוק במידת הצורך.

לאחרונה, פתחה אפל את האפשרות לרישום המחשב כמחשב ארגוני באמצעות הפורטל החדש שלה,ABM – Apple Business Manager. השירות מקנה שכבת הגנה נוספת לארגונים בשל העובדה שהוא מונע ממשתמש קצה להפוך למשתמש Root ולהסיר פרופלים שהותקנו על ידי מחלקת ה-IT.

בנוסף, מאפשר השירות פריסה של מחשבי ה-Mac לעובדי הארגון בתהליך של Zero Touch Deployment – התאמה מלאה וספציפית של המחשב למשתמש הקצה ולמחלקה אליה הוא שייך בארגון.

איך זה קורה בפועל?

הארגון מזמין את המכשירים מספק שהוא משווק מנוהל מוסמך של אפל (בעל מספר DEP) והמספר הסידורי של המכשיר מוגדר במערכות העולמיות של אפל כמכשיר בבעלות הארגון.

באמצעות פורטל ABM, מנהלי ה-IT מבצעים את תהליך ה-deployment למכשירים שרכש הארגון על ידי קישור הפורטל למערכת הניהול הארגונית – MDM (לדוגמא מערכת JAMF).

את סט ההגדרות למשתמש הקצה קובעת מחלקת ה-IT באמצעות שילוב בין תוכנית Device Enrollment Program – DEP ובין מערכת ניהול הMac ומערכת MDM הארגונית.

שרת Jamf Pro התומך ב-Zero-Day Support מלא, נבחר והומלץ על ידי 94% מחברות ה-Fortune 500 כגון IBM וחברת אפל עצמה. המערכת של השרת מתמקדת בניהול כלל מוצרי אפל בארגון, תומכת בכל העדכונים של מערכות ההפעלה של החברה עם הוצאתם לשוק ומוודאת שיופצו ויוגדרו במכשירים של משתמשי הקצה באופן אוטומטי באמצעות כלים מתקדמים.

כאשר שרת ניהול מתקדם (MDM), כמו Jamf Pro,  מקושר לפורטל ABM, מחלקת ה-IT יכולה לבצע את כל הגדרות אבטחת המיידע בארגון; להגדיר חיבור לרשתות WiFi מוגדרות מראש, כולל רשתות מאובטחות בפרוטוקול 802.1x; להפעיל יישומים ארגוניים ברשתות מאובטחות ומאושרות בלבד ולנעול או למחוק מכשיר שאבד או נגנב.

בנוסף המחלקה יכולה לבצע רכישה והפצה של אפליקציות במסגרת VPP – Volume Purchase Program, וכן לנהל ולהעביר אפליקציות שנרכשו במסגרת VPP בין מכשירי הארגון ועוד.

שילוב כלי ניהול מתקדמים אלו עם תכונות האבטחה המובנות של שבב הT2 במחשבי הMac המקצועיים מציב מערכת חזקה, יציבה, מוגנת, נוחה לשימוש ובעיקר – בטוחה ומאובטחת לארגונים.

הכתבה בחסות WeDiggIT

חברת WeDiggIT הינה משווק מוסמך ומנוהל Apple solution expert בעלת מספר DEP ראשון בישראל אשר התקינה בהצלחה מערכות MDM בשילוב ABM במוסדות חינוך וארגונים. לפרטים נוספים לחצו כאן.

כתב אורח

אנחנו מארחים מפעם לפעם כותבים טכנולוגים אורחים, המפרסמים כתבות בתחומי התמחות שלהם. במידה ואתם מעוניינים לפרסם פוסט בשמכם, פנו אלינו באמצעות טופס יצירת קשר באתר.

הגב

4 תגובות על "2 דרכים שבהן אפל הופכת את מחשבי המק של הארגון למאובטחים יותר"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
משחק של חתול ועכבר
Guest
משחק של חתול ועכבר

אם יהיו יותר מחשבי אפל בארגונים, אזי יפתחו אליהם וירוסים וימצאו חורים במערך האבטחה

קייסי המגן
Guest

שטויות במיץ, כבר היום אפל מהווה חלק ניכר באירגונים גדולים ואסטרטגים ועובדה שהמצב לא השתנה…

משה
Guest

אני לא כל-כך בטוח שזה נכון… בארה״ב מקינטוש מאוד נפוץ ויש לו לא מעט יתרונות על האלטרניטיבה מה שהופך אותו ל… זול יותר.

עובד גם בחול
Guest

אני עובד בצ’ק פוינט, עושה הרבה עבודות גם בחול וגם בארץ, לא יצא לי לראות אגון שיש לו מערך מקצועי של מקים.. לכל היותר 10 מחשבים מק.. וגם זה בלחץ.. המחיר שלהם מאוד גבוהה התחזוקה לא זולה והמקצועיות של הצוות שמתחזק אותם לא להיט. לפתח וירוסים בשביל כמות כזו מזערית של מחשבים בארגון זה בזבוז זמן. יש למקים יתרונות חלקם טובים חלקם פחות אבל וידנוס עדיין שולט בשוק. בכל ארגון גדול זה 90 אחוז וינדוס אחריו לינוקס על מגוון צורותיו (לינוקס/יוניקס/וכד’) ולבסוף מק.

wpDiscuz

תגיות לכתבה: