H προσέγγιση της BeyondTrust
Το Virtual Private Networking (VPN) βρίσκεται στον πυρήνα των λύσεων απομακρυσμένης πρόσβασης εδώ και χρόνια. Μπορεί σήμερα τα τμήματα πληροφορικής να γνωρίζουν και να έχουν κατανοήσει καλά το VPN ωστόσο μπορεί να τύχει να είναι περίπλοκο στην εφαρμογή του ή στην ασφάλιση του. Και η πανδημία του κορωνοϊού είχε ως αποτέλεσμα να εκτεθούν πολλά από τα μειονεκτήματα του. Τα VPNs δεν κλιμακώνονται πάντα καλά για να καλύψουν την αυξανόμενη ζήτηση. Όπως πολλοί οργανισμοί ανακάλυψαν εκ των υστέρων, τα VPNs μπορούν να φτάσουν γρήγορα σε σημείο κορεσμού όσον αφορά την χωρητικότητα τους, εμποδίζοντας τους χρήστες να πραγματοποιήσουν νέες συνεδρίες ή παρέχοντας κακή εμπειρία σύνδεσης για όσους είναι ήδη συνδεδεμένοι.
Καθώς οι χάκερ εστιάζουν τις προσπάθειες τους στους απομακρυσμένους εργαζόμενους, η παροχή μίας όλα-η-τίποτα απομακρυσμένης πρόσβασης στα εταιρικά δίκτυα αυξάνει τους κινδύνους, ειδικά όταν το προσωπικό πληροφορικής και οι εξωτερικοί εργολάβοι χρειάζονται προνομιακή πρόσβαση. Πέρασαν οι μέρες που οι χάκερ ήταν εκτός και οι χρήστες (υπάλληλοι) εντός του εταιρικού δικτύου. Σήμερα, όλα τα αιτήματα πρόσβασης πρέπει να αντιμετωπίζονται ως δυνητικά κακόβουλα, επειδή τα εσωτερικά εταιρικά δίκτυα δεν αποτελούν ασφαλή φρούρια.
Την ώρα που πολλοί οργανισμοί κοιτάζουν να βρουν τρόπους να εφαρμόσουν λύσεις ασφαλούς απομακρυσμένης πρόσβασης για τον ολοένα αυξανόμενο αριθμό των υπαλλήλων τους, πολλοί στρέφονται σε μοντέλα μηδενικής εμπιστοσύνης για να αντικαταστήσουν τις παλαιότερες λύσεις VPN. Η μηδενική εμπιστοσύνη μπορεί να είναι λιγότερο περίπλοκη για ανάπτυξη και συντήρηση από το VPN. Και εκ σχεδιασμού, οι λύσεις μηδενικής εμπιστοσύνης είναι πιο ασφαλείς, αξιόπιστες και υψηλότερης απόδοσης.
Ποιο είναι το μοντέλο ασφαλείας μηδενικής εμπιστοσύνης;
Το μοντέλο ασφαλείας μηδενικής εμπιστοσύνης αναπτύχθηκε από τον John Kindervag, πρώην αναλυτή της Forrester πριν από περισσότερα από 10 χρόνια. Και από τότε, έχει υιοθετηθεί από τις Microsoft, Cisco, Palo Alto, Symantec και πολλές άλλες εταιρείες. Πιο πρόσφατα, το NIST και το National Center for Cyber Security Excellence δημοσίευσαν μία ανάλυση που ονομάζεται NIST SP 800-207 Zero Trust Architecture.
Η βασική έννοια της ασφάλειας μηδενικής εμπιστοσύνης είναι:
«Κάθε χρήστης και σύνδεση πρέπει να επαληθεύονται πριν αποκτήσουν πρόσβαση σε πόρους πληροφορικής ανεξαρτήτως της προέλευσης της σύνδεσης».
Η μηδενική εμπιστοσύνη βελτιώνει την ασφάλεια απαιτώντας ασφαλή και επικυρωμένη πρόσβαση σε όλους τους πόρους. Και η αρχή του ελάχιστου προνομίου εφαρμόζεται για τον περιορισμό της πρόσβασης αποκλειστικά στους πόρους που απαιτούνται για να κάνουν τις εργασίες τους οι χρήστες. Όταν οι οργανισμοί φτάσουν στην πλήρη ωριμότητα της μηδενικής εμπιστοσύνης, πρέπει να επιθεωρούν και να καταγράφουν όλες τις δραστηριότητες χρησιμοποιώντας συστήματα ασφάλειας πληροφοριών και διαχείρισης συμβάντων (SIEM) όπως είναι τα Azure Sentinel και Splunk.
Πως οι προμηθευτές ασφαλείας μπορούν να βοηθήσουν στην εφαρμογή της μηδενικής εμπιστοσύνης
Οι προμηθευτές ασφαλείας, όπως η BeyondTrust και η Microsoft, επιτρέπουν στους χρήστες να έχουν πρόσβαση σε εταιρικά περιουσιακά στοιχεία χρησιμοποιώντας έλεγχο ταυτότητας μεμονωμένης σύνδεσης ή έλεγχο ταυτότητας πολλαπλών παραγόντων χωρίς να απαιτείται σύνδεση VPN. Αυτές οι λύσεις μηδενικής εμπιστοσύνης μπορούν να αντικαταστήσουν το VPN και τους reversed proxies. Η υπηρεσία Application Proxy της Microsoft «τρέχει» στο cloud και η κίνηση δικτύου τερματίζεται στους διακομιστές της Microsoft. Ομοίως, η BeyondTrust ακολουθεί την ίδια προσέγγιση με τη δική της λύση Privileged Remote Access. Οι οργανισμοί απλώς χρειάζεται να εφαρμόσουν/ αναπτύξουν έναν ή περισσότερους συνδέσμους στις εγκαταστάσεις τους ή παράγοντες endpoint ώστε οι υπηρεσίες cloud να μπορούν να συνδεθούν σε περιουσιακά στοιχεία του intranet.
Οι υπηρεσίες Privileged Remote Access και Application Proxy απλοποιούν την απομακρυσμένη πρόσβαση επειδή δεν απαιτούν εισερχόμενες συνδέσεις από το Διαδίκτυο. Όλη η κίνηση εξέρχεται από τις θύρες 80 και 443. Δεν απαιτείται DMZ, ωστόσο στην περίπτωση που οι οργανισμοί επιλέξουν να αναπτύξουν DMZ, οι διακομιστές στο DMZ δεν χρειάζεται να συνδεθούν σε κάποιο domain. Και επειδή και οι δύο λύσεις αποτελούν υπηρεσίες cloud, τόσο η Microsoft όσο και η BeyondTrust διαχειρίζονται από μόνες τους την ασφάλεια, την υψηλή διαθεσιμότητα, την επεκτασιμότητα και την προστασία από κατανεμημένες επιθέσεις άρνησης εξυπηρέτησης (DDoS).
7 βήματα για ωριμότητα μηδενικής εμπιστοσύνης
Για να βοηθήσει τους οργανισμούς να προχωρήσουν στην εφαρμογή λύσεων ασφαλείας μηδενικής εμπιστοσύνης, η Microsoft προωθεί τα ακόλουθα 7 βήματα για πλήρη ωριμότητα μηδενικής εμπιστοσύνης:
- Ασφαλίστε την ταυτότητα με μηδενική εμπιστοσύνη
- Ασφαλίστε τις τερματικές συσκευές με μηδενική εμπιστοσύνη
- Ασφαλίστε τις εφαρμογές με μηδενική εμπιστοσύνη
- Ασφαλίστε τα δεδομένα με μηδενική εμπιστοσύνη
- Ασφαλίστε την υποδομή με μηδενική εμπιστοσύνη
- Ασφαλίστε τα δίκτυα με μηδενική εμπιστοσύνη
- Παρέχετε ορατότητα, αυτοματοποίηση και «ενορχήστρωση» με μηδενική εμπιστοσύνη
Τα πρώτα δύο βήματα είναι σημαντικό να εφαρμοστούν αρχικά:
Ασφαλίστε την ταυτότητα με μηδενική εμπιστοσύνη: Ο έλεγχος ταυτότητας πολλαπλών παραγόντων και η είσοδος (sign-in) χωρίς κωδικό πρόσβασης παρέχουν ισχυρό έλεγχο ταυτότητας για τους χρήστες. Το Azure AD αξιολογεί τους παράγοντες κινδύνου κατά τις συνεδρίες σύνδεσης των χρηστών και παρέχει ανίχνευση κινδύνων σε πραγματικό χρόνο.
Ασφαλίστε τις τερματικές συσκευές με μηδενική εμπιστοσύνη: Οι συσκευές πρέπει να συμμορφώνονται με τις εταιρικές πολιτικές προτού οι χρήστες συνδεθούν σε εφαρμογές. Η εγγραφή MDM (Mobile Device Management) με πολιτική Intune και Azure AD Conditional Access διασφαλίζει ότι οι συσκευές είναι υγιείς και συμβατές πριν από την πραγματοποίηση απομακρυσμένων συνδέσεων.
Μηδενική εμπιστοσύνη – επόμενα βήματα
Ενώ τα VPN έχουν τη θέση τους στο τεχνολογικό τοπίο, το πεδίο εφαρμογής γίνεται όλο και μικρότερο. Η μηδενική εμπιστοσύνη είναι ασφαλέστερη, περισσότερο αξιόπιστη και ευέλικτη, ενώ παρέχει επιπλέον καλύτερη απόδοση από τα VPNs. Αν οι προνομιακοί χρήστες χρειάζονται πρόσβαση σε απομακρυσμένα συστήματα, η μηδενική εμπιστοσύνη μπορεί να προστατεύσει καλύτερα τα συστήματα παρέχοντας τους απαραίτητους ελέγχους, παρακολουθώντας τις συνεδρίες και αναλύοντας τα δεδομένα καταγραφής σε κάθε βήμα. Η ασφάλεια ελάχιστου προνομίου είναι εξίσου σημαντικό να εφαρμοστεί για την παροχή επαρκούς προστασίας έναντι των σημερινών απειλών, ανεξάρτητα από ποια λύση απομακρυσμένης πρόσβασης χρησιμοποιείτε.
Για να μάθετε περισσότερα, δείτε το on-demand webinar: Is VPN dead?
Πηγή: BeyondTrust