IT@BANK 2020 | Czy bezpieczny dostęp do szerokiego katalogu aplikacji lokalnych i chmurowych musi być zawsze koszmarem dla mobilnego użytkownika?

Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
Jeszcze kilkanaście lat temu rozwiązanie problemu efektywnego i elastycznego dostępu do zasobów i aplikacji nie było tak trudne jak dziś. Aplikacje i zasoby instalowane były zazwyczaj w jednym miejscu, czyli najczęściej w siedzibie firmy. Urządzenia użytkowników albo w ogóle nie opuszczały tej siedziby, albo robiły to rzadko. Zdalny dostęp do zasobów był realizowany tylko i wyłącznie dla odpowiednio skonfigurowanych i zabezpieczonych komputerów firmowych. Rozwiązania oparte na tunelach VPN były w stanie taką łączność zagwarantować, zapewniając przy tym należytą kontrolę i widoczność. Dziś jednak świat wygląda inaczej i zmienił się znacznie nie tylko z perspektywy zasobów i aplikacji, ale i klienta, który do tych zasobów chce uzyskać dostęp.

Bartosz Chmielewski
Systems Engineer
Central and Eastern Europe
PulseSecure

Spróbujmy zatem określić te zmiany, które burzą stary porządek przy definiowaniu architektury efektywnego dostępu do zasobów i aplikacji.

Zasoby i dostęp do nich

Na początek zajmijmy się zasobami. Dziś zasoby i aplikacje niezbędne do zapewnienia użytkownikom produktywności rzadko już są skonsolidowane w jednej fizycznej lokalizacji. Nie tylko mogą być rozmieszczone w różnych centrach danych, ale i w różnych chmurach prywatnych czy publicznych. Do tego dochodzą nam jeszcze różne modele ich dostarczania (SaaS, PaaS, IaaS), co jeszcze bardziej komplikuje istotę problemu. Często, gdy spróbujemy narysować schemat rozmieszczenia naszych aplikacji, okaże się, że narysujemy wiele osobnych wysp w ramach zarówno lokalnych centrów danych, jak i infrastruktur w chmurach, które tylko niekiedy są ze sobą połączone. 

Przyjrzyjmy się teraz klientowi, który chciałby uzyskać dostęp do zasobów i aplikacji. Po tej stronie również nastąpiły (jeszcze przed COVID-19) spore zmiany, gdyż duża grupa użytkowników jest dziś stosunkowo mobilna i potrzebuje uzyskiwać dostęp z wielu urządzeń (co najmniej komputer i smartfon). Na rynek pracy wchodzi też nowe pokolenie, które przyzwyczajone jest do innych standardów pracy z aplikacjami, co też napędza trend BYOD. Zasoby muszą być łatwo dostępne, dobrze zaprezentowane i stale pod ręką, bo w przeciwnym razie odbije się to znacząco na produktywności pracownika. Miejsce pracy, w obliczu nowej rzeczywistości, w której użytkownik może łączyć się z domu, kafejki internetowej, biura… jest dziś bardziej narażone ze względu na liczne luki w zabezpieczeniach. Obecna pandemia jeszcze przyśpieszyła transformację stanowiska pracy, ale jeszcze przed nią kierownictwo wielu organizacji wyznaczyło za cel działom IT wspomaganie produktywności i wspieranie nowoczesnych form pracy i mobilności zamiast ograniczeń i zakazów znanych z przeszłości.

Bezpieczeństwo jest najważniejsze

Wobec wyżej odpisanych zmian zarówno w naturze aplikacji i zasobów oraz samego klienta czy użytkownika – efektywne zapewnienie dostępu do szerokiego katalogu aplikacji dla wymagającego użytkownika stało się problemem trudnym do rozwiązania. Pamiętajmy jednak też, że bezpieczeństwo to nie tylko należyte zapewnienie dostępu do aplikacji czy zasobu, ale również odpowiednia widoczność, rozliczalność, silne uwierzytelnienie, badanie stanu klienta i wiele innych mechanizmów, które wpisują się w całokształt najlepszych praktyk w tym obszarze.

W 2013 r. Cloud Security Alliance opracowało koncepcję nazwaną Software Defined Perimeter (w skrócie SDP), nazywaną czasem również Black Cloud. Polega ona (w skrócie) na ukryciu wszystkich cennych zasobów za urządzeniami dostępowymi (Accepting SDP Host) oraz stworzenie roli kontrolera (SDP Controller), który ma zarządzać całym cyklem życia klienta od pierwotnej rejestracji aż do uzyskaniu dostępu do zasobu ulokowanego za urządzeniem dostępowym. Kanał danych jest całkowicie odseparowany od kanału kontrolnego.

Dla uproszczenia – porównajmy ten model do klasycznego rozwiązania VPN. Mamy tylko dwa elementy: bramka VPN oraz klienta VPN. To klient lub użytkownik musi posiadać wiedzę, za którą bramką leży konkretny zasób, aby zainicjować odpowiednie połączenie. W architekturze SDP mamy trzy komponenty: klienta, bramkę dostępową oraz kontroler. Ten trzeci pełni rolę zarządcy całego procesu i w razie otrzymania żądania dostępu do konkretnej aplikacji od klienta – przekierowuje tego klienta bezpośrednio do odpowiedniej bramki dostępowej, gdzie zestawiane jest docelowe połączenie. Sama bramka pełni rolę „elementu separującego”, a wszystkie zasoby za nią są dostępne tylko dla klientów, którzy posiadają odpowiednią autoryzację uzyskaną od kontrolera, co wpisuje się w definicję „black cloud”. Opisana wyżej koncepcja świetnie też wpisuje się w popularny ostatnimi czasy model Zero Trust, który zakłada (w skrócie oczywiście) zapewnienie dostępu do zasobów tylko zweryfikowanym użytkownikom czy komputerom. 

Model SDP jest obiecującym standardem i wszystko wskazuje na to, że jego implementacja stanie się konieczna wraz ze wzrostem rozproszenia zasobów/aplikacji oraz wzrostem mobilności pracowników w firmie. Jest naturalną odpowiedzią na zmieniającą się rzeczywistość w sferze dostarczania usług i aplikacji przez działy IT.

Firma Pulse Secure od lat specjalizuje się w zapewnianiu dostępu do zasobów i aplikacji w różnych scenariuszach zgodnych z modelem Zero Trust. Aby wyjść naprzeciw oczekiwaniu klientów borykających się z podobnymi problemami, wprowadziła ona produkt o nazwie Pulse Zero Trust Access (w skrócie PZTA), który implementuje dostęp do zasobów i aplikacji oparty na modelu SDP.

Prościej i szybciej

Warto zaznaczyć, że dostęp do aplikacji i zasobów może być zdefiniowany jako outside-in realizowane najczęściej jako VPN, inside-in realizowane najczęściej jako NAC, inside-out i outside-out realizowane najczęściej jako usługi z szerokiej kategorii Identity Providerów. Pulse Secure wspiera każdy z tych przypadków w kontekście klasycznej oferty produktowej. SDP/PZTA jednak zakłada brak rzeczywistej granicy pomiędzy światem zewnętrznym a wewnętrznym (z ang. perimeter) więc w rzeczywistości realizuje przypadek dostępu any to any (skądkolwiek, dokądkolwiek). 

Dzięki wprowadzeniu w rozwiązaniu PZTA nowego elementu o nazwie PZTA Controller (odpowiednik SDP Controller w modelu SDP) udało się znacznie uprościć życie zarówno administratorom systemów zdalnego dostępu, ale również samym użytkownikom. Po implementacji produktu użytkownik dokonuje połączenia z kontrolerem (po wcześniejszej rejestracji i wymianie certyfikatów) i natychmiast uzyskuje dostęp do zasobów. W żadnym wypadku nie musi mieć świadomości, gdzie te zasoby są rozlokowane. Całym procesem faktycznego zapewnienia odpowiedniego tunelu do właściwej bramki dostępowej, za którą znajduje się zasób, zarządza kontroler dzięki wcześniej skonfigurowanym definicjom aplikacji.

Dzięki centralnemu kontrolerowi, produkt jest w stanie nie tylko zapewnić klientowi łatwość użycia (wszystko dzieje się samo – wystarczy włączyć komputer i dostęp jest zapewniony). Możemy łatwo skonfigurować dostęp do wielu miejsc w centrum danych, do wielu aplikacji w chmurze prywatnej czy publicznej bez nadmiernego nakładu pracy. Tunele pomiędzy klientembramką dostępową zestawiane są dynamicznie i wspierany jest wariant wielu dynamicznych tuneli na raz. Co więcej, dzięki centralnemu kontrolerowi mamy możliwość łatwego osadzenia konfiguracji w jednym miejscu, ale też zapewnienia pełnej widoczności w ramach wszystkich przypadków użycia. Produkt dodatkowo posiada moduł wykrywania anomalii oraz zapewnia przeźroczyste uwierzytelnianie do aplikacji chmurowych dzięki funkcjonalności dostawcy tożsamości w ramach protokołu SAML.

Model SDP jest obiecującym standardem i wszystko wskazuje na to, że jego implementacja stanie się konieczna wraz ze wzrostem rozproszenia zasobów/aplikacji oraz wzrostem mobilności pracowników w firmie. Jest naturalną odpowiedzią na zmieniającą się rzeczywistość w sferze dostarczania usług i aplikacji przez działy IT.

Źródło: Miesięcznik Finansowy BANK