Zero Trust לעסקים — מדריך ליישום ארכיטקטורת אפס-אמון

"לא סומכים על אף אחד" — זו לא סתם סיסמה. Zero Trust היא גישת אבטחה שמניחה שכל בקשת גישה עלולה להיות זדונית, גם אם היא מגיעה מתוך הרשת הפנימית. במקום חומה חיצונית אחת שמגינה על הכל, כל משאב מוגן בנפרד.

למה המודל הישן לא עובד יותר

המודל המסורתי — Firewall בכניסה, ורשת פנימית "מהימנה" — נבנה לעולם שבו כולם ישבו במשרד וכל השרתים היו בחדר שרתים אחד. העולם הזה נגמר:

• **עבודה מרחוק** — עובדים מתחברים מהבית, מקפה, מחו"ל
• **ענן** — שרתים ב-Azure, אפליקציות ב-SaaS, מידע בכל מקום
• **BYOD** — מכשירים אישיים ניגשים למידע ארגוני
• **מתקפות מבפנים** — Lateral Movement אחרי פריצה ראשונית עוקף כל Firewall

מתקפת כופרה טיפוסית: התוקף נכנס דרך מייל פישינג, מקבל גישה לתחנת עבודה אחת, ומשם נע רוחבית ברשת הפנימית כי הכל "מהימן". Zero Trust שובר את הדפוס הזה.

חמשת העקרונות

1. אימות מתמיד (Never Trust, Always Verify)

כל בקשת גישה — גם מתוך הרשת — עוברת אימות. לא מספיק שהמשתמש התחבר בבוקר. כל גישה למשאב = בדיקה מחדש.

2. גישה מינימלית (Least Privilege)

כל משתמש מקבל את ההרשאות המינימליות שהוא צריך לעבודה שלו. לא Admin by default. לא גישה לכל השיתופים. לא VPN שפותח הכל.

3. הנחת פריצה (Assume Breach)

מתכננים את האבטחה כאילו התוקף כבר בפנים. המשמעות: סגמנטציה, ניטור, ותגובה מהירה.

4. אימות מפורש (Explicit Verification)

כל החלטת גישה מבוססת על: זהות המשתמש, מצב המכשיר, מיקום, זמן, ורגישות המשאב. לא רק סיסמה.

5. Micro-Segmentation

במקום רשת שטוחה אחת — חלוקה לאזורים מבודדים. גם אם תוקף פורץ לאזור אחד, הוא לא יכול לנוע לאחרים.

איך מתחילים — תוכנית הטמעה מעשית

שלב 1: מיפוי נכסים ומשתמשים (שבוע 1-2)

לפני שמגינים — צריך לדעת על מה: - אילו מערכות קריטיות קיימות - מי ניגש אליהן ומאיפה - אילו זרימות תעבורה קיימות ברשת - אילו חשבונות מיוחסים (Admin) פעילים

שלב 2: MFA בכל מקום (שבוע 3-4)

הצעד הראשון וההשפעתי ביותר. MFA חוסם 99.9% ממתקפות גניבת סיסמאות. - M365/Entra ID — Conditional Access עם MFA - VPN — אימות מרובה גורמים - מערכות קריטיות — MFA גם לגישה פנימית - חשבונות Admin — FIDO2 או Hardware Token

שלב 3: Conditional Access (שבוע 5-8)

מדיניות גישה דינמית שבודקת: מי, מאיפה, עם מה, ומתי: - מכשיר לא מנוהל? → גישה מוגבלת (דפדפן בלבד, בלי הורדות) - מיקום לא מוכר? → MFA נוסף + התראה - שעות לא רגילות? → חסימה אוטומטית + בדיקה

שלב 4: Micro-Segmentation (חודש 3-4)

חלוקת הרשת לאזורים מבודדים: - שרתי ייצור מופרדים משרתי פיתוח - תחנות עבודה לא מדברות ישירות עם שרתי DB - IoT (מצלמות, מדפסות) ב-VLAN נפרד - ניהול (management) ב-subnet מבודד

שלב 5: ניטור מתמיד (חודש 5-6)

Zero Trust בלי ניטור הוא חצי עבודה: - SIEM/SOC לאיסוף וניתוח לוגים - EDR/XDR לזיהוי התנהגות חריגה בנקודות קצה - UEBA (User and Entity Behavior Analytics) לזיהוי שימוש חריג בחשבונות

טכנולוגיות שמרכיבות Zero Trust

| רכיב | תפקיד | כלים נפוצים | |--------|--------|-------------| | Identity Provider | ניהול זהויות | Entra ID, Okta | | MFA | אימות חזק | Microsoft Authenticator, Duo, YubiKey | | ZTNA | גישה מרחוק ללא VPN | Zscaler, Cloudflare Access, Entra Private Access | | EDR/XDR | הגנת נקודות קצה | CrowdStrike, SentinelOne, Defender | | SIEM | ניטור וניתוח | Microsoft Sentinel, Splunk | | NAC | בקרת גישה לרשת | Cisco ISE, FortiNAC |

ZT בפועל: דוגמה מעסק ישראלי

חברת ייצור, 120 עובדים. 3 אתרים. לפני Zero Trust: VPN אחד שפותח גישה לכל הרשת. עובד מרחוק שנפרצה לו התחנה = כל הרשת חשופה.

אחרי הטמעה הדרגתית (4 חודשים): - VPN הוחלף ב-ZTNA — כל עובד ניגש רק למערכות שהוא צריך - MFA לכל דבר — כולל כניסה למחשב עצמו - רשת הייצור (OT) מופרדת לחלוטין מרשת ה-IT - ניטור 24/7 דרך SOC מנוהל

התוצאה: אירוע פישינג שקודם היה גורם ל-Lateral Movement נבלם בתחנה הראשונה. הנזק = אפס.

טעויות נפוצות ביישום

1. **"נעשה הכל ביום אחד"** — Zero Trust הוא מסע, לא פרויקט. הטמעה הדרגתית על פני 4-6 חודשים.
2. **MFA בלי Conditional Access** — MFA לבד לא מספיק אם אין מדיניות שמגיבה להקשר.
3. **התעלמות מחשבונות Admin** — חשבון Admin בלי MFA ובלי PAM = הדלת הראחורית הכי גדולה.
4. **רשת שטוחה** — אם כל דבר מדבר עם כל דבר, אין Zero Trust.

איך DLTS מטמיעה Zero Trust

אנחנו מתחילים מהמצב הקיים ולא שוברים מה שעובד: 1. מיפוי תשתיות ומשתמשים 2. MFA + Conditional Access בשבועיים הראשונים 3. ZTNA להחלפת VPN תוך חודש 4. סגמנטציה הדרגתית 5. ניטור SOC מנוהל מיום ראשון

[בואו נתחיל לבנות Zero Trust](/contact)

שאלות נפוצות

**כמה זמן לוקח ליישם Zero Trust?** הטמעה בסיסית (MFA + Conditional Access + ZTNA) — 4-8 שבועות. הטמעה מלאה עם Micro-Segmentation ו-SOC — 4-6 חודשים. הגישה ההדרגתית מונעת שיבושים.

**האם Zero Trust מחליף Firewall?** לא. Firewall עדיין רלוונטי כשכבת הגנה — אבל הוא לא השכבה היחידה. Zero Trust מוסיף הגנה בכל שכבה: זהות, מכשיר, אפליקציה, ומידע.

**כמה זה עולה?** תלוי בגודל ובמורכבות. ארגון עם M365 E3/E5 כבר מחזיק חלק גדול מהכלים (Entra ID, Conditional Access, Defender). ההשקעה העיקרית היא בתכנון, הטמעה, וניטור — לא ברישוי.

Zero Trust בפועל — לא פרויקט, מסע

Zero Trust הוא לא מוצר שקונים. זה שינוי גישה: במקום "הרשת הפנימית בטוחה" → "שום דבר לא בטוח, תמיד מאמתים."

5 הצעדים הראשונים

1. **MFA לכולם** — הצעד הכי משתלם. MFA = Zero Trust שלב 1.
2. **Conditional Access** — Entra ID P1. חסמו Legacy Auth. דרשו Compliant Device.
3. **Least Privilege** — הסירו Domain Admin מכל מי שלא חייב.
4. **Segmentation** — הפרידו שרתים מעובדים ב-VLANs.
5. **EDR** — CrowdStrike/SentinelOne/Defender על כל Endpoint.

זה לא סקסי, אבל זה 80% של Zero Trust בפועל.

קראו גם: [ZTNA](/blog/ztna-la-asakim) | [Micro-Segmentation](/blog/micro-segmentation-la-asakim)