Secure Workspace גישה ארגונית מאובטחת — לכל אחד, מכל מקום
פתרון Zero Trust שנותן גישה לעובדים, פרילנסרים ושותפים חיצוניים — מבלי לחשוף את הרשת הפנימית. הצפנה מקצה לקצה, MFA מובנה, וניהול גישה גרעיני לפי משתמש, מכשיר ושעה.
העבודה השתנתה. האבטחה שלכם צריכה להשתנות איתה.
המודל הישן של VPN וחומה ארגונית כבר לא מספיק. Parallels Secure Workspace מספק גישה מבוקרת ליישומים ספציפיים, על בסיס זהות ובדיקת context — לא חיבור פתוח לכל הרשת.
ZTNA — Zero Trust Network Access
כל בקשה מאומתת לפי context: מי המשתמש, מאיזה מכשיר, באיזו שעה ועל איזה יישום. "Never trust, always verify" — ללא הנחות מקדימות של אמון.
גישה דרך הדפדפן
הקליינט הוא הדפדפן. HTTPS דרך port 443 בלבד — ללא פתחים נוספים בחומת אש. אין התקנת agent: לא ב-Windows, לא ב-Mac, לא ב-iOS. עובד מכל מכשיר.
גישה למשתמשים חיצוניים
פרילנסרים, יועצים, או עובדי קבלן מקבלים גישה ליישום ספציפי — בלי VPN, בלי הענקת חשבון פנימי. הרשאות מפורטות (granular usage rights) לכל משאב.
בידוד מהמכשיר
היישום רץ בתוך הדפדפן בסשן מבודד. ניתן לחסום העתקה/הדבקה/הדפסה/הורדה. דליפת מידע נמנעת מתחילתה.
Audit + הקלטת סשן
תיעוד מקיף של כל סשן: מי, מתי, מאיפה, מה עשה. הקלטת וידאו מלאה של הסשן (Session recording). ייצוא ל-SIEM, התראות בזמן אמת.
הקמה מהירה
חיבור ל-AD, Azure AD או LDAP קיים. Let's Encrypt SSL אוטומטי. פריסה תוך ימים. ללא שינוי בתשתית הקיימת — שכבת אבטחה נוספת בלבד.
גישה לקבצים ואתרים פנימיים
גישה מאובטחת ל-File servers ול-OneDrive דרך CIFS, ולאתרי intranet ול-SaaS דרך Reverse proxy. הכל מאוחד בדפדפן אחד.
גישה ליישום, לא לרשת.
במודל המסורתי, חיבור VPN פותח את כל הרשת לעובד. ב-Secure Workspace, כל משתמש מקבל גישה רק ליישום שאושר לו — בלי לראות את שאר התשתית.
הגישה מבוצעת דרך הדפדפן. היישום מוצג כתמונה מבודדת, ובקרת ההרשאות נבדקת בכל בקשה ובקשה.
התוצאה: אין יותר vulnerable surface area של VPN, אין נתיב לתקיפה רוחבית, ואין חשש לאובדן מכשיר עם access tokens.
מתאים בדיוק לצורך שלכם
פתרון יחיד שעונה על מגוון רחב של אתגרים ארגוניים
החלפת VPN
תחליף מודרני ל-VPN מסורתי. במקום לפתוח את כל הרשת לעובד — גישה מבוקרת ליישום ספציפי בלבד, עם MFA מובנה והקלטת סשן. פריסה והפעלה תוך ימים.
גישה לקבצים ולאתרים פנימיים
גישה מאובטחת ל-File servers ול-OneDrive דרך CIFS, ולאתרי intranet ו-SaaS דרך Reverse proxy. הכל מאוחד בדפדפן אחד — ללא VPN וללא חשיפת תשתית.
תוסף ל-Microsoft RDS
הוסיפו ל-RDS הקיים שלכם שכבת אבטחה מתקדמת: HTML5 access, MFA, SSL, Let's Encrypt, auditing מלא והרשאות גרעיניות — מבלי להחליף תשתית.
קבלנים ו-BYOD
פרילנסרים, יועצים ועובדי קבלן מקבלים גישה ליישום ספציפי בלי VPN ובלי חשבון פנימי. עובד גם מ-BYOD — המכשיר הפרטי לא חשוף.
Mergers & Acquisitions
במהלך מיזוג, צוות החברה הנקנית מקבל גישה למערכות ה-IT של הקונה — בלי מיגרציה מורכבת של AD ובלי VPN.
סקטור רגיש
רפואה, פיננסים, ביטחון — תקני אבטחה מחמירים. תאימות מלאה ל-HIPAA, GDPR, PCI-DSS, ISO 27001.
פחות סיכון. פחות עלות.
VPN ארגוני דורש תחזוקה, עדכוני אבטחה תכופים, רישוי לפי משתמש, ומומחה IT שמנהל את הקונפיגורציה. כל אלו עלויות נסתרות.
Secure Workspace מחליף את כל זה במודל פשוט: רישוי גמיש, ניהול מרכזי דרך הדפדפן, אינטגרציה ל-Identity Provider קיים, וללא צורך בקליינטים על מכשירי הקצה.
הארגון מקבל אבטחה ברמה גבוהה יותר, חוויה טובה יותר למשתמש הסופי, וחיסכון משמעותי בעלויות תפעול.
5 שלבים מהדפדפן ליישום הארגוני
Parallels Secure Workspace בנוי על ארכיטקטורת Zero Trust Network Access — לא חושף את הרשת, מאמת כל בקשה, ומגביל גישה ליישומים מאושרים בלבד. הנה הזרימה המלאה:
דפדפן
המשתמש פותח Chrome / Edge / Safari על כל מכשיר (Mac / PC / iPad / Android). אין לקוח להתקין.
Reverse Proxy
הבקשה מגיעה ל-Secure Gateway של PSW על פורט 443 (HTTPS) — היחיד שצריך להיות פתוח החוצה. כל פורטי השרת האחרים סגורים.
MFA + Identity
אימות זהות מול AD / Azure AD / Okta / SAML. תוספת MFA (Duo, Azure MFA, RADIUS, TOTP, Windows Hello).
Authorization
בדיקת הרשאות — לאיזה יישומים המשתמש מורשה? אילו granular controls (אין copy/paste, אין download, אין print)?
יישום מאושר
המשתמש רואה רק את היישום הספציפי — לא את הרשת. הקלטה מלאה של כל פעולה ל-audit.
ההבדל המהותי מ-VPN: ב-VPN, המכשיר נכנס לתוך הרשת — אם הוא נדבק בנוזקה, הכל פגיע. ב-PSW, רק תמונה (pixels) של היישום עוברת — שום קוד או קבצים לא נחשפים למכשיר.
PSW מול חלופות ZTNA מובילות
שוק ה-ZTNA צמח דרמטית ב-2024-2026 — אבל לא כל הפתרונות שווים. ZScaler, Cloudflare Access ו-Tailscale מתחרים, אבל כל אחד מתאים לסיטואציה שונה. הנה השוואה הוגנת:
| קריטריון | Parallels Secure Workspace | ZScaler ZPA | Cloudflare Access | Tailscale |
|---|---|---|---|---|
| ארכיטקטורה | App publishing + RDS | Cloud broker | Cloud broker | Mesh VPN (WireGuard) |
| דורש קליינט על המכשיר | ✗ (דפדפן בלבד) | ✓ Z-App | חלקי (WARP) | ✓ קליינט בכל מכשיר |
| פרסום יישומי Windows מקומיים (RDS) | ✓ Built-in | דורש ZScaler Cloud RBI | אינטגרציה חיצונית | לא קיים |
| בידוד מלא ממכשיר הקצה | ✓ pixels בלבד | חלקי | המכשיר רואה תעבורה | המכשיר על אותה רשת |
| Session recording לרגולציה | ✓ מובנה | דורש Cloud Browser Isolation | חיצוני | לא קיים |
| פריסה On-prem | ✓ | SaaS בלבד | SaaS בלבד | ✓ Self-hosted |
| תאימות GDPR / HIPAA | ✓ data במדינה | data ב-Cloud | data ב-Cloud | ✓ self-hosted |
| עלות שנתית פר משתמש | $80-150 | $120-300 | $60-120 | $30-60 |
| מתאים ל | App publishing + ZTNA | Enterprise SASE/SSE | Cloud-first SaaS | DevOps / VPN פנימי |
* המסקנה: PSW הכי טוב כשצריך לשלב גישה ליישומי Windows פנימיים (ERP, CRM, מערכות ישנות) + ZTNA. ZScaler טוב לארגונים עם SaaS-only architecture. Cloudflare טוב להגנה על אתרים פנימיים. Tailscale טוב ל-DevOps של חברות technology.
שאלות נפוצות על ZTNA ו-Secure Workspace
מה זה ZTNA ולמה זה תחליף ל-VPN?
ZTNA (Zero Trust Network Access) הוא מודל אבטחה שמאמת כל בקשה ומאשר גישה ליישומים בודדים — לא לרשת כולה. VPN פותח את כל הרשת הארגונית לעובד, מה שהופך כל מכשיר נגוע לפוטנציאל לפריצה. ZTNA מבודד — המשתמש רואה רק יישומים מאושרים, והמכשיר שלו לא מתחבר לרשת הפנימית. זה המודל שגוגל, מיקרוסופט, ועוד עשרות ארגונים גדולים עברו אליו ב-2023-2026.
תוך כמה זמן אפשר לפרוס Secure Workspace בארגון?
POC ראשוני עם 10-25 משתמשים: 1-2 שבועות. פריסה מלאה לארגון של 100-500 משתמשים: 3-6 שבועות, תלוי במורכבות ה-AD ובמספר היישומים שצריך לפרסם. ESK Israel מספקת ליווי מלא — מ-architecture design ועד training של צוות IT.
אילו יישומים אפשר לפרסם דרך PSW?
כל יישום Windows / RDS — Office, SAP, ERP, CRM (Salesforce, Dynamics), מערכות מורשת (Mainframe via TN3270), Bloomberg Terminal, מערכות פיננסיות, מערכות רפואיות (HIS, PACS, DICOM viewers), AutoCAD ויישומי CAD, וכל יישום web פנימי. גם יישומי Linux דרך X11 forwarding.
איך פותחים גישה לעובד חדש או לקבלן?
תוך 30 שניות: מוסיפים את המשתמש לקבוצה מתאימה ב-AD / Azure AD. PSW קורא את הקבוצות אוטומטית ומעניק גישה ליישומים המוגדרים. אין הגדרת מכשיר, אין VPN-client להתקין, אין שינוי על המכשיר של העובד. הסרת גישה — אותו דבר, הסרה מקבוצה = ניתוק מיידי.
מה קורה אם Active Directory נופל?
PSW תומך ב-cached credentials — משתמשים שהתחברו לאחרונה ימשיכו לעבוד עד 24 שעות. כשה-AD חוזר, אימות חוזר לפעולה רגילה. בנוסף, ארגונים עם דרישות HA פורסים שני domain controllers (Primary + Secondary) — PSW מתחבר אוטומטית לזמין.
איזה אבטחה יש למניעת hijacking של סשן?
(1) TLS 1.3 בכל התעבורה. (2) Session timeout מוגדר (idle / absolute). (3) Device fingerprinting — אם המכשיר השתנה באמצע סשן, ניתוק. (4) IP geolocation — חסימת לוגין ממדינות זרות. (5) Session recording מלא — כל פעולה מתועדת ויכולה להישלח ל-SIEM (Splunk, QRadar, ArcSight, Elastic).
תאימות לרגולציות ישראליות (חוק הגנת הפרטיות, רגולציה בנקאית)?
כן. הנתונים נשארים On-prem (או ב-Azure / AWS Israel region אם תעדיפו cloud). הסכמי DPA זמינים, ESK חתומה על NDA עם רוב הלקוחות, ויש לנו ניסיון בעמידה בדרישות הפיקוח על הבנקים, רגולציית הביטוח, ודרישות משרד הבריאות לאבטחת מידע רפואי.
איך זה משתלב עם MFA שיש לנו כבר?
תמיכה ב-Azure MFA, Duo, RSA SecurID, Google Authenticator, RADIUS, וכל ספק TOTP סטנדרטי. גם תמיכה ב-biometric דרך Windows Hello, FaceID או SAML. אנחנו לרוב מסתנכרנים עם ה-MFA הקיים שלכם — אין צורך לבחור מחדש או להחליף.
איך מבצעים backup ו-DR ל-PSW?
הגדרות PSW נשמרות ב-XML — אפשר לעשות backup דקה אחת. השרתים עצמם — pattern של 2 servers ב-active/passive או active/active. אם site שלם נופל — geographic failover ל-DR site (לדוגמה: Primary באזור מרכז, DR בצפון). ESK מתכננת את ה-DR architecture כחלק מההטמעה.
תמיכה במכשירים ניידים (iPhone, Android, iPad)?
כן, מלאה. דרך הדפדפן (Safari / Chrome). יישומי Windows מתאימים אוטומטית למסך מגע — מקלדת וירטואלית, gestures לגלילה ול-right-click. מתאים במיוחד לאנשי שטח (טכנאי בית, נציגי מכירות בדרכים, רופאים ב-rounds).
מה ההבדל בין PSW לבין Parallels RAS? יש לי שניהם?
RAS מתמקד ב-VDI ו-RDS לעובדים פנים ארגוניים — Citrix replacement עם concurrent licensing. PSW מתמקד ב-ZTNA — גישה מאובטחת ליישומים פנימיים מבחוץ, במיוחד ל-BYOD ולקבלנים. הרבה ארגונים משלבים שניהם: RAS לעובדים הקבועים, PSW לעובדי קבלן וגישה חיצונית. ESK עוזרת לתכנן את החלוקה הנכונה.
אפשר לקבל POC חינמי עם משתמשים אמיתיים?
כן. POC של עד 30 יום, 25 משתמשים מלאים, כולל ליווי הקמה ע"י מהנדס ESK. הקמת gateway, אינטגרציה ל-AD, הגדרת MFA, ופרסום 2-3 יישומים שאתם רוצים לבחון. בסוף ה-POC תקבלו דו"ח ביצועים מלא + המלצת architecture לפרודקשן. בקשו POC עכשיו.
מוכנים לאבטח את העבודה המרוחקת?
POC חינמי של 30 יום, ללא התחייבות. צוות ההטמעה שלנו מלווה אתכם מהשיחה הראשונה ועד עליה לאוויר.
בקשו הדגמה ←