Zapewniamy nowoczesne podejście do bezpieczeństwa połączeń zdalnych

Z Piotrem Czopikiem, architektem rozwiązań bezpieczeństwa w Barracuda, rozmawiamy o potrzebach z obszaru bezpieczeństwa IT związanych z większym – niż w przeszłości – wykorzystaniem modelu pracy zdalnej i rosnącym zastosowaniem usług chmurowych, istocie koncepcji bezpieczeństwa opartego na zerowym zaufaniu i działaniu w praktyce mechanizmów Zero Trust Network Access, a także o unikalności rozwiązania Barracuda CloudGen Access i jego przewagach nad tradycyjnymi połączeniami VPN.

W jak dużym stopniu firmowe środowiska IT zmieniły się w obliczu pandemii COVID-19?

Fakt, że duża część pracowników wykonuje obowiązki zdalnie rodzi dużo wyzwań związanych z koniecznością zapewnienia im bezpiecznego dostępu do tych zasobów, z których przed pandemią korzystali lokalnie. Wiele osób korzysta też dziś z prywatnego sprzętu, a to – z punktu widzenia działów bezpieczeństwa – tworzy ogromne problemy. Oznacza bowiem konieczność potraktowania każdego urządzenia, które jest poza kontrolą zespołu IT, jako potencjalnego wektora ataku. Firmowe zespoły bezpieczeństwa nie dysponują przecież wiedzą o tym, jakiego rodzaju szkodliwe oprogramowanie znajduje się na tych komputerach czy urządzeniach mobilnych, ani nawet czy i w jaki sposób są one chronione. Niezbędne jest więc odgórne założenie, że taki sprzęt może narazić firmową infrastrukturę IT na niebezpieczeństwo.

Potrzebne jest wprowadzenie zasad Zero Trust na poziomie warstwy komunikacji pomiędzy użytkownikiem a zasobami, z których korzysta. Zaufanie oznacza konieczność zbudowania pewnej relacji między użytkownikiem i narzędziem, którego używa, a firmowym środowiskiem IT. Chodzi o to, aby w zakresie środowiska operacyjnego sprzętu, z którego korzystają poszczególni użytkownicy, możliwe było uwierzytelnienie i udowodnienie, że nie stanowi on zagrożenia dla firmowej infrastruktury.

Na czym, w praktyce, polega wdrożenie koncepcji Zero Trust?

Implementacja modelu Zero Trust Network Access opiera się na konieczności wykazania, że komunikacja z danym komputerem jest bezpieczna. W praktyce, wdrożenie tej koncepcji polega na połączeniu dwóch elementów. Pierwszym z nich jest wieloskładnikowe uwierzytelnienie użytkownika. Ten etap ma na celu udowodnienie, że osoba, która zgłasza chęć dostępu do firmowej infrastruktury, jest faktycznie do tego uprawniona. Mamy tu do dyspozycji wiele rozwiązań uzupełniających tradycyjne dane dostępowe – od czynników biometrycznych, po wykorzystanie dodatkowych urządzeń.

Kolejną warstwę stanowią testy weryfikujące zabezpieczenia narzędzia, za pośrednictwem którego dany użytkownik łączy się z siecią firmową. Na tym etapie mamy możliwość sprawdzenia zgodności konfiguracji sprzętu użytkownika z politykami bezpieczeństwa. W ramach zdefiniowanej wcześniej listy kontrolnej możemy np. ocenić, czy system operacyjny komputera, z którego korzysta użytkownik, jest aktualny, czy posiada aktywne oprogramowanie antywirusowe, czy włączona jest funkcja szyfrowania dysków. Mamy też możliwość sprawdzenia oprogramowania firmware. Wiele zależy tu od firmowej polityki bezpieczeństwa. W przypadku restrykcyjnego podejścia możliwe jest wykorzystanie m.in. dodatkowych metod uwierzytelnienia.

Pozytywna weryfikacja na poziomie tych dwóch etapów pozwala na uzyskanie dostępu do określonych zasobów w sieci firmowej. Co ważne, jest to relacja krótkotrwała, bo proces weryfikacji jest powtarzany w ustalonych odstępach czasu. Jest też w pełni transparentny dla użytkowników.

Czy wdrożenie podejścia ZTNA wiąże się z negatywnym narzutem na efektywność i elastyczność pracy użytkowników?

Nie. W praktyce, użytkownicy odczuwają działanie tego typu mechanizmów dopiero w momencie, kiedy jakiś punkt listy kontrolnej zostanie zweryfikowany negatywnie. Wówczas żądanie połączenia do chronionych zasobów jest odrzucone. Z pewnością może być to uciążliwe dla użytkowników, ale takie właśnie ma być. Chodzi o to, aby zablokować potencjalne źródło zagrożeń i wymusić ustalone działanie po stronie użytkownika, np. konieczność zaszyfrowania dysku, zmiana konfiguracji urządzenia czy aktualizacja oprogramowania antywirusowego lub systemu operacyjnego. Jednocześnie rozwiązanie, które oferujemy, w momencie odrzucenia żądania połączenia generuje proste rekomendacje działań, które użytkownik może podjąć, aby kolejna próba połączenia została zaakceptowana. Jest to funkcja szczególnie cenna dla tych organizacji, które dysponują ograniczonymi kompetencjami w obszarze bezpieczeństwa i wsparcia IT.

Które z rozwiązań Barracuda daje możliwość wykorzystania koncepcji ZTNA?

Taką funkcjonalność posiada Barracuda CloudGen Access. Jest to rozwiązanie oferowane w modelu usługowym, które pozwala na zapewnienie bezpieczeństwa firmowej infrastruktury w sposób przystający do dzisiejszego, bardzo rozproszonego, charakteru firmowych środowisk IT. Co jednak bardzo ważne, w jego przypadku infrastruktura chmurowa jest używana jedynie do centralnego zarządzania, a nie samej obsługi połączeń. Myślę, że takie podejście wyróżnia naszą ofertę na tle konkurencji.

Bezpieczne połączenia realizowane są bezpośrednio pomiędzy urządzeniem użytkownika a działającym na zasadzie proxy punktem dostępowym, mieszczącym się np. w firmowym centrum danych. Proxy może być zlokalizowane zarówno w chmurze publicznej, jak i w chmurze prywatnej. Zaletą rozwiązania jest właśnie to, że w gruncie rzeczy serwer proxy można zainstalować prawie wszędzie. Platforma Barracuda CloudGen Access daje także możliwość zapewnienia zgodności z przepisami w realiach powszechnej pracy zdalnej i hybrydowej – i to bez konieczności zakupu dodatkowej infrastruktury.

Proces wdrożenia rozwiązania Barracuda CloudGen Access jest bardzo prosty, co pozwala na uproszczenie i skrócenie czasu wdrożenia koncepcji ZTNA w organizacji. Za pośrednictwem poczty elektronicznej uprawnieni użytkownicy otrzymują wiadomość zawierającą link pozwalający na pobranie i zainstalowanie niezbędnej aplikacji – czy to z poziomu komputera pracującego pod kontrolą systemów Windows lub macOS, czy też z urządzenia mobilnego wykorzystującego platformy iOS lub Android. W kolejnym kroku użytkownik loguje się do aplikacji, co automatycznie dodaje dane urządzenie do listy zaufanych urządzeń, które mogą mieć dostęp do firmowej infrastruktury, pod warunkiem pozytywnej weryfikacji listy kontrolnej.

Widać tu pewne analogie względem tradycyjnych połączeń VPN…

Nasze podejście zastępuje tradycyjne bramy VPN, ale ma nad nimi znaczącą przewagę. Barracuda CloudGen Access to rozwiązanie w pełni aplikacyjne. Takie podejście pozwala na uruchomienie punktu dostępowego praktycznie na każdym sprzęcie, w dowolnym centrum danych, w środowisku kontenerowym czy w chmurze publicznej Microsoft Azure lub Amazon Web Services. Tym samym zyskujemy ogromną elastyczność i swobodę w budowaniu bezpiecznych, bezpośrednich połączeń z użytkownikami, a jednocześnie nie mamy dodatkowych kosztów zakupu i utrzymania infrastruktury. Co więcej, jeśli dana organizacja posiada firewall firmy Barracuda, to punkt dostępowy ZTNA można uruchomić bezpośrednio na takim sprzęcie.

Liczba punktów dostępowych wspieranych w ramach platformy Barracuda CloudGen Access nie jest w żaden sposób limitowana. Koszty licencji uzależnione są jedynie od liczby obsługiwanych użytkowników. Najniższa licencja Barracuda CloudGen Access obejmuje 25 użytkowników, górnego limitu nie ma.

Rozwiązanie Barracuda CloudGen Access działa też na zasadzie bezpośredniej komunikacji urządzenia końcowego z punktem dostępowym, który może być uruchomiony w dowolnym środowisku. Myślę, że to ważne, ponieważ na rynku istnieją konkurencyjne rozwiązania, w przypadku których weryfikacja dostępu i konfiguracji sprzętu odbywa się na poziomie chmury obliczeniowej. Jest to o tyle kontrowersyjne, że wymaga przekierowania ruchu użytkownika do platformy chmurowej utrzymywanej przez firmę trzecią, a dopiero w kolejnym kroku do naszego centrum danych.

Czy w takim przypadku tradycyjne tunelowanie połączeń VPN traci rację bytu?

Tak, tym bardziej że standardowy VPN zapewnia jednocześnie tylko jedną nitkę połączenia użytkownika z siecią firmową. W razie potrzeby połączenia się z inną częścią infrastruktury lub uzyskania dostępu do zasobów innego centrum danych, konieczne jest zerwanie jednego połączenia i zestawienie kolejnego tunelu VPN. Niemożliwe staje się więc jednoczesne korzystanie z zasobów dostarczanych za pośrednictwem różnych elementów firmowej infrastruktury IT. Funkcjonalność Barracuda CloudGen Access umożliwia natomiast całkowite przemodelowanie sposobu budowania zdalnych połączeń tak, aby odwzorowywały złożoność całej infrastruktury, po której chce – i jest do tego uprawniony – poruszać się dany użytkownik. Eliminujemy również konieczność ręcznego zestawiania bezpiecznych połączeń. Cały proces odbywa się automatycznie i w sposób przezroczysty dla użytkownika.

Nie mniej ważny jest fakt, że standardowa transmisja VPN opiera się na włączeniu uwierzytelnionego komputera do jakiegoś fragmentu firmowej sieci wraz z innymi zasobami, które niekoniecznie powinny być dostępne dla danego użytkownika. Jest to kolejny potencjalny wektor ataku. Dla porównania, Barracuda CloudGen Access pozwala na bardzo precyzyjne sterowanie uprawnieniami na poziomie konkretnych użytkowników z ograniczeniem praw dostępu do poziomu jednej, wybranej aplikacji. Eliminuje to m.in. szansę skanowania podatności w sieci zdalnej, co jest możliwe w przypadku tradycyjnych VPN.