Ewolucja bezpiecznego dostępu

Ewolucja bezpiecznego dostępu
Bartosz Chmielewski, Pulse Secure
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
O ewolucji bezpiecznego dostępu (zdalnego) w swojej prezentacji podczas konferencji IT@BANK mówił Bartosz Chmielewski, Systems Engineer w firmie Pulse Secure

W typowej architekturze dostępowej organizacji można wyróżnić to, co znajduje się wewnątrz oddzielone od tego co jest na zewnątrz. To określa nam, co jest bardziej, a co mniej zaufane.

W klasycznym przypadku zdalny dostęp definiujemy jako kierunek z zewnątrz do wewnątrz. Wewnątrz są zasoby firmy, a ktoś z zewnątrz próbuje do nich uzyskać dostęp. Taka sytuacja jest obecnie dużo częstsza ze względu na pandemię.

Zdalny dostęp

W ramach zdalnego dostępu wykorzystywane są mechanizmy zdalnego uwierzytelniania (często wielokrotnego), badania zgodności, żeby niwelować potencjalne ryzyko braku zgodności.

W ramach tzw. architektury Zero Trust nie możemy ufać nikomu niezależnie czy jest na zewnątrz, czy wewnątrz organizacji

Kolejny to RBAC (ang. role-based access control), kontrola dostępu wykorzystująca odpowiednie mapowanie na role. Czyli żeby użytkownik miał najmniejsze możliwe przywileje potrzebne do realizowania zadań. Inne kierunki dostępu to „inside in” co jest najczęściej realizowane przez różne systemy kontroli dostępu wewnętrznego.

Też są bardzo istotne, bo w ramach tzw. architektury Zero Trust nie możemy ufać nikomu niezależnie czy jest na zewnątrz, czy wewnątrz organizacji.

Mamy też takie kierunki jak „outside out”, czyli z zewnątrz do zewnątrz oraz „inside out”, czy ktoś jest wewnątrz organizacji, ale ma dostęp do zasobów, które są poza firmą. Wszystkie te kierunki trzeba brać pod uwagę, jeśli mówi się o architekturze Zero Trust.

Twierdze

Obecnie firmy mają wiele centrów danych, korzystają z różnych chmur publicznych i dlatego model dostępowy ewoluuje. Dlatego zapewnienie dostępu z wykorzystaniem klasycznych rozwiązań staje się trudne i kosztowne.

Zasoby firmy tworzą wyspy i nie jest to już jedna „twierdza”, ale szereg twierdz — wysp, do których użytkownik ma mieć dostęp

Pracownicy są w coraz większym stopniu mobilni i przechodzą też pomiędzy organizacją a dostępem zdalnym. Dlatego istotne znaczenie ma redukcja tzw. powierzchni ataku.

Z drugiej strony użytkownik musi mieć łatwy dostęp do aplikacji i nie można go obarczać na przykład różnymi połączeniami VPN i żeby wiedział, gdzie ma się połączyć, by mieć dostęp do konkretnej aplikacji, jeżeli są one w różnych miejscach. Dla użytkownika wewnętrznego tzw. UX powinien być taki sam.

Zasoby firmy tworzą wyspy i nie jest to już jedna „twierdza”, ale szereg twierdz — wysp, do których użytkownik ma mieć dostęp. Zorganizowanie takiego zunifikowanego dostępu jest skomplikowane i często nieefektywne. Dlatego firma proponuje inne rozwiązanie.

Rozwiązanie dla systemu rozproszonego

Cloud Security Alliance w 2013 r. opublikował dokument, który definiuje architekturę Software Defined Perimeter (SDP), w której tzw. kontroler SDP zarządza bezpiecznym dostępem. Jest pośrednikiem, którego zadaniem jest przeprowadzenie części procesów na przykład autoryzacji, compliance checking lub odpowiedniego mapowania użytkownika na role.

Przekierowuje też do bramki, za którą dany zasób jest faktyczne. Taka bramka może być zlokalizowana w Data Center firmy, w Azure, Amazonie lub w innej chmurze publicznej. Końcowy użytkownik nie musi się martwić, gdzie są zasoby.

Co więcej, jest użyty mechanizm stałego sprawdzania zgodności danego klienta. Użytkownik nic nie musi wiedzieć, wystarczy, że połączy się z kontrolerem. Dla użytkowników, którzy tego wymagają, nadal jest możliwe zestawienie klasycznego połączenia VPN.

Rozwiązanie bardzo dobrze wpisuje się w politykę Zero Trust, bo kontroler zarządza zaufaniem długoterminowo, a autoryzacja jest stale sprawdzana i dostęp może być w każdej chwili odcięty, jeśli jest taka potrzeba.

Można oceniać ryzyko, jeśli, ktoś łączy się z różnych, nietypowych lokalizacji itp. Jak stwierdził prelegent, takie rozwiązanie, to redukcja powierzchni ataku.