Zgodzimy się chyba wszyscy, że sam login i hasło od dawna nie stanowią wystarczających mechanizmów weryfikacji użytkownika. Uruchamiając usługę VPN przeznaczoną do pracy zdalnej, tak naprawdę wpuszczamy kogoś do siedziby naszej firmy. Dajemy dostęp do sieci korporacyjnej i do wszystkich jej zasobów. Chcemy mieć jak największą pewność, że osoba, którą wpuszczamy, jest tą, za którą się podaje. Odpowiedzą na to zapotrzebowanie, jest uwierzytelnianie z wykorzystaniem więcej niż jednego składnika – czegoś, co wiesz (login i hasło), coś, co masz (token), czegoś, czym jesteś (cecha biometryczna). Czy musimy zatem każdemu pracownikowi kupować sprzętowy token? W większości przypadków nie ma takiej potrzeby. Z powodzeniem będzie nim jego służbowy smartfon z odpowiednim oprogramowaniem. Po stronie koncentratora VPN musimy także dodać mały komponent, który będzie obsługiwał autentykację dwuskładnikową. Na rynku są dostępne rozwiązania zarówno darmowe, jak i komercyjne. A jeżeli podstawę naszej sieci stanowi Active Directory lub Azure Active Directory to odpowiednie mechanizmy znajdziemy w chmurze Azure.
Użytkownik wpuszczony do sieci nie może poruszać się po niej bez żadnego nadzoru. Nie ma znaczenia, czy jest to osoba pracująca z biura, czy zdalnie. W każdym stadzie może znaleźć się czarna owca, a my mamy obowiązek chronić cenny majątek firmy, jakim są dane. Dobrze zaprojektowane systemy zarządzania tożsamością nie mogą traktować pracownika w biurze i wysłanego na home office jako dwóch różnych osób.
Monitorowanie tego, w jaki sposób zachowuje się użytkownik, jest niezbędne, lecz niewystarczające. Nasze działania na nadużycia w takiej sytuacji będą głównie reaktywne. Minimalizujące szkody, gdy naruszenie zostanie zidentyfikowane. Dlatego powinniśmy postawiać na rozwiązania pro aktywnie blokujące niepożądane czynności. Użytkownik chce wydrukować poufny dokument? Zablokuj. Próbuje przesłać poza firmę dokument zawierający określone słowa kluczowe? Zablokuj. Oczywiście wszystko musi odbywać się automatycznie w tle. Odpowiednie do realizacji tego typu zadań oprogramowanie możemy z powodzeniem wykorzystać zarówno lokalnie, jak i w chmurze publicznej. Wdrożenie odpowiednich narzędzi we własnym data center jest jednak kosztowne i czasochłonne, zatem całkowicie niedostosowane do obecnej niecodziennej sytuacji. Pozostają zatem rozwiązania chmurowe. Dwaj główni gracze na rynku aplikacji biurowych i pracy grupowej, czyli Microsoft i Google, oferują od dawna zaawansowane, i coraz lepsze mechanizmy szeroko pojętego bezpieczeństwa. Dzięki nim przesuwamy środek ciężkości z kontroli kim jest osoba mająca dostęp do zasobów (i czy w ogóle powinna go mieć), na analizę i akceptację czynności, które wykonuje. Na uwadze musimy mieć cały proces ich tworzenia i wykorzystywania – od pierwszego draftu przez przesyłanie do odbiorców wewnętrznych i zewnętrznych, wyświetlania go w trakcie wideokonferencji, a na koniec w razie potrzeby trwałego zablokowania zawartości lub usunięcia z nośników danych.
Tak naprawdę jedyną drogą szybkiego i bezpiecznego wdrożenia pracy zdalnej pracowników w obecnej sytuacji jest wykorzystanie usług w chmurze oraz zapewnienie jednolitego zarządzania tożsamością użytkowników. Tylko chmura pozwoli na szybkie wdrożenie mechanizmów bezpieczeństwa, jak i skalowanie niezbędnych do pracy zasobów. Zatem czy te wszystkie VPN-y są nam tak naprawdę do czegoś potrzebne? Przecież dostęp do usług chmurowych i tak odbywa się z wykorzystaniem szyfrowania SSL. Rzeczywiście, dla tego typu usług VPN zazwyczaj jest zbędnym dodatkiem. Nie wszystkie zasoby jednak w prosty sposób przeniesiemy do chmury. Dostęp do CRM czy innych biznesowych aplikacji zainstalowanych w firmowym data center nadal zapewnimy poprzez tunele VPN – ich przeniesienie to kosztowna, a czasem nawet niemożliwa do wykonania operacja. A gdyby i te zasoby udostępnić bez VPN-a? To jest przyszłość, do której powoli będziemy dążyć. Koncepcja Zero Trust Security i produkty takie jak Google Identity-Aware Proxy nie są jedynie nowinkami, o czym najlepiej świadczy projekt Google BeyondCorp. Zanim jednak rzucimy się na nowoczesne rozwiązania, skupmy się na szybkim wdrożeniu tradycyjnego VPN-a, zarządzaniu tożsamością i odpowiednich mechanizmach ochrony danych. To jedyny sposób na szybkie wypchnięcie pracowników na home office.
czy logowanie się do chmury nie jest również obarczone ryzykiem? czy nie mamy mniejszej kontroli nad danymi i rozpoznaniem logującego niż w pełni monitorowanym środowisku? wydaje się, że sama chmura stała się synonimem leku na całego zło
Zarówno chmura jak i on-prem mają swoje wady i zalety, zagrożenia i mocne strony. W sytuacji nietypowej i nagłej (choć z pewnym wyprzedzeniem możliwej do przewidzenia) jak obecna pandemia administratorzy stanęli przed zadaniem wypchnięcia na pracę zdalną dziesiątek, setek lub tysięcy ludzi, często na stanowiskach które nigdy nie miały być zdalne właśnie ze względu na aspekty związane z bezpieczeństwem informacji. Jeszcze pół roku temu windykacja telefoniczna, call center banku albo linii lotniczej prowadzone z domu było czymś nie do pomyślenia.
W takiej sytuacji jak mamy chmura akurat w dużej mierze była odpowiedzią na zapotrzebowanie i operacyjne (na przyjkład rozwiązania VDI), zarządzania kosztami (skalowalność), szybkość wdrożenia jak i bezpieczeństwa. To ostatnie było realizowane przez efekt skali istniejących już w chmurze rozwiązań monitoringu i ochrony treści choćby. Wszystkie te elementy nie byłyby możliwe do wdrożenia w tradycyjnych centrach danych – w jednym z moich projektów sprzęt zamówiony w styczniu dotarł dopiero pod koniec kwietnia ze względu na częściowy paraliż ruchu cargo i linii produkcyjnych choćby.
Ale będzie też wycofywanie się z usług chmurowych i powrót częściowy do rozwiązań on-prem. Teraz dopiero przeprowadzana jest porządna analiza ryzyka tych rozwiązań i podejmowane są długoterminowe decyzje.