מה זה בכלל Zero Trust?
דמיינו בניין משרדים שבו כל מי שעובר את השער הראשי מקבל גישה חופשית לכל חדר, לכל קומה ולכל מחשב. זה בדיוק איך שרשתות מחשבים מסורתיות עבדו במשך עשרות שנים — מי שעבר את חומת האש נחשב "מהימן".
מודל Zero Trust (בעברית: "אפס אמון") הופך את התפיסה הזו על הראש. הרעיון פשוט ומהפכני: אל תסמוך על אף אחד, תמיד אמת. כל משתמש, כל מכשיר וכל בקשת גישה — בין אם מבפנים או מבחוץ — חייבים לעבור אימות מחדש, בכל פעם.
הגישה הזו פותחה לראשונה על ידי ג'ון קינדרוואג (John Kindervag) ב-2010 כשעבד ב-Forrester Research. מאז, היא הפכה מרעיון אקדמי לדרישה של ממש — ממשלת ארה"ב הנחתה את כל הסוכנויות הפדרליות לעבור למודל Zero Trust, וארגונים בכל העולם עוקבים.
למה המודל המסורתי כבר לא עובד?
המודל הישן של "טירה וחפיר" (Castle and Moat) התבסס על הנחה אחת: כל מה שבתוך הרשת הארגונית — בטוח. אבל העולם השתנה:
4 סיבות שהביטחון ההיקפי קרס
- עבודה מרחוק: עובדים מתחברים מהבית, מבתי קפה, מחו"ל. הגבולות של "הרשת הארגונית" טושטשו לחלוטין.
- ענן: נתונים כבר לא יושבים רק בשרת במשרד. הם מפוזרים בין Azure, Google Cloud, SaaS ועוד.
- מכשירים אישיים: BYOD (Bring Your Own Device) הפך לנורמה. סמארטפונים ולפטופים אישיים ניגשים למידע רגיש.
- תקיפות מתוחכמות: 80% מהפריצות מגיעות מגניבת הרשאות (Credentials). התוקף כבר "בפנים" — חומת האש לא רלוונטית.
שלושת העקרונות של Zero Trust
כל ארכיטקטורת Zero Trust מבוססת על שלושה עקרונות ליבה:
אמת תמיד (Verify Explicitly)
כל בקשת גישה חייבת לעבור אימות מלא — זהות המשתמש, מצב המכשיר, מיקום, שעה ביום ועוד. אין "חד-פעמי" — כל פעולה נבדקת מחדש.
הרשאה מינימלית (Least Privilege)
כל משתמש מקבל גישה רק למה שהוא צריך, רק כשהוא צריך — ולא יותר. מנהל כספים לא צריך גישה לקוד, ומפתח לא צריך גישה לנתוני שכר.
הנח תמיד פריצה (Assume Breach)
תכנן את המערכת כאילו התוקף כבר בפנים. פילוח מיקרו (Micro-Segmentation), ניטור רציף וגילוי חריגות — כך שגם אם חלק נפרץ, הנזק מוגבל.
Zero Trust בפועל: מה זה כולל?
ארכיטקטורת Zero Trust היא לא מוצר בודד שקונים ומתקינים. זו אסטרטגיה שלמה שכוללת מספר רכיבים שעובדים יחד:
| רכיב | תפקיד | דוגמה |
|---|---|---|
| זהות דיגיטלית (Identity) | אימות חד-ערכי של כל משתמש | I-AM® של FortyTwo Labs |
| ניהול מכשירים (Endpoint) | וידוא שהמכשיר בריא ומעודכן | MDM, EDR |
| גישה מותנית (Conditional Access) | כללים דינמיים לפי הקשר | חסום גישה ממדינה חריגה |
| פילוח רשת (Micro-Segmentation) | בידוד אזורים ברשת | שרת כספים מבודד מ-WiFi אורחים |
| ניטור רציף (Monitoring) | זיהוי התנהגות חריגה בזמן אמת | SIEM, UEBA |
| הצפנה (Encryption) | הגנה על נתונים במנוחה ובתנועה | TLS 1.3, AES-256 |
הבסיס: זהות דיגיטלית חזקה
בלב כל מערכת Zero Trust עומד שאלה אחת: "מי אתה, באמת?"
שם משתמש וסיסמה כבר מזמן לא מספיקים. סיסמאות נגנבות, נמכרות ב-Dark Web ומשותפות בין עובדים. כדי לבנות Zero Trust אמיתי, צריך זהות קריפטוגרפית — הוכחה מתמטית שהמשתמש הוא מי שהוא טוען שהוא.
כאן נכנסת FortyTwo Labs, חברת הסייבר של Wisns Group. הפלטפורמה I-AM® מספקת זהות דיגיטלית מבוססת קריפטוגרפיה שלא ניתנת לזיוף — ללא תלות בסיסמאות, ב-PKI מסורבל או באישורים שפג תוקפם.
איך I-AM® מיישמת Zero Trust?
הפלטפורמה של FortyTwo Labs מאמתת את זהות המשתמש ברמה קריפטוגרפית — כלומר, כל אינטראקציה נחתמת באופן שלא ניתן לזיוף או להכחיש. זה לא סתם 2FA עם קוד SMS, אלא הוכחה מתמטית מובנית בכל בקשת גישה. בשילוב עם פלטפורמת π-Control, הארגון מקבל שליטה מלאה על מי ניגש למה, מתי ומאיפה — בלי לסמוך על רשת או מיקום.
6 שלבים להטמעת Zero Trust בארגון
מיפוי נכסים קריטיים
זהו את הנתונים, האפליקציות והמערכות הרגישים ביותר. מה הנזק אם הם ייחשפו? התחילו שם.
הגדרת מדיניות גישה
קבעו כללים ברורים: מי ניגש למה, מאילו מכשירים, באילו שעות. כתבו את זה — לא רק "דעו" את זה.
הטמעת זהות חזקה
עברו מסיסמאות לאימות מבוסס זהות קריפטוגרפית. כלים כמו I-AM® הופכים את זה לפשוט.
פילוח הרשת
בודדו את הרשת לאזורים. שרת הגיבויים לא צריך לדבר עם מדפסת הקומה — ומשתמש אורח לא צריך לראות שרת קבצים.
ניטור והתראות
התקינו מערכות שמזהות חריגות בזמן אמת: גישה בשעה לא רגילה, הורדת קבצים חריגה, כניסה ממיקום חדש.
בדיקה, למידה, שיפור
Zero Trust הוא מסע מתמשך. בצעו סימולציות תקיפה (Pen Testing), בחנו את הלוגים, עדכנו מדיניות.
Zero Trust מול אבטחה מסורתית: השוואה
| קריטריון | אבטחה מסורתית (Perimeter) | Zero Trust |
|---|---|---|
| הנחת יסוד | מי שבפנים — מהימן | אף אחד לא מהימן |
| אימות | בכניסה לרשת בלבד | בכל בקשה, כל פעם |
| הרשאות | גישה רחבה לפי תפקיד | מינימום נדרש, דינמי |
| תגובה לפריצה | התוקף נע בחופשיות ברשת | התוקף חסום באזור מבודד |
| עבודה מרחוק | VPN כנקודת חולשה | גישה מאובטחת מכל מקום |
| ענן | חומת אש לא רלוונטית | מוגן ברמת הזהות |
| עלות פריצה ממוצעת | $4.45M (ממוצע גלובלי) | ירידה של עד 50% בנזק |
מי צריך Zero Trust?
התשובה הקצרה: כל ארגון. התשובה המפורטת:
- ארגונים עם עובדים מרוחקים — אם יש עובד אחד שעובד מהבית, כבר יש חור בחומה.
- חברות שמשתמשות בענן — Microsoft 365, Google Workspace, Salesforce? הנתונים שלכם כבר מחוץ לרשת.
- מוסדות פיננסיים ובריאות — רגולציה מחייבת, ונתונים רגישים במיוחד.
- עסקים קטנים ובינוניים — 43% מהתקיפות מכוונות לעסקים קטנים. הם המטרה הקלה.
- ארגונים שעברו פריצה — הדרך הטובה ביותר למנוע את הפעם הבאה.
שאלות נפוצות
אבטחה מסורתית מסתמכת על חומת אש היקפית — מי שבפנים נחשב מהימן. Zero Trust לא סומך על אף אחד, גם לא על משתמשים פנימיים, ומאמת כל גישה בנפרד.
הטמעה מלאה לוקחת בדרך כלל 6-18 חודשים, תלוי בגודל הארגון ובמורכבות התשתית. ההמלצה היא להתחיל בפיילוט ממוקד ולהתרחב בהדרגה.
בהחלט. עסקים קטנים הם לעיתים מטרה קלה יותר לתקיפות. כלים מודרניים כמו פלטפורמת π-Control של FortyTwo Labs מאפשרים הטמעה גם בארגונים קטנים.
זהות דיגיטלית היא הבסיס של Zero Trust. בלי לדעת בוודאות מי המשתמש — אי אפשר ליישם מדיניות אפס אמון. לכן פתרונות כמו I-AM® הם אבן היסוד.
לא מחליף, אלא משלים. חומת אש עדיין נדרשת כשכבת הגנה, אבל היא לא מספיקה לבדה. Zero Trust מוסיף שכבות אימות והרשאה בכל נקודה.