Ve firmách se mění styl práce a čím dál víc z nich řeší okamžitou dostupnost dokumentů, aplikací, systémů nebo služeb. Vzdálený přístup však komplikuje fakt, že některé služby fungují v cloudu. Jak se popasovat se zabezpečením, když si nechcete zabetonovat firemní prostředí na perimetru?
Počítejte s tím, že uživatelé preferují komfort před zabezpečením a volí co nejpohodlnější způsob vzdáleného přístupu. Nejdůležitějším požadavkem tedy bývá snadné používání. V praxi to znamená, že firmy hledají řešení, které:
- nevyužívá klienta,
- funguje kdekoli,
- je přístupné i ze specifických zařízení,
- je jednoduché na vysvětlení
- a je jednotné pro všechny firemní zdroje (cloudové i on-premise).
Osvícené IT by však přesto nemělo rezignovat alespoň na základní bezpečnostní pravidla jako:
- bezpečné ověřování identity,
- spolehlivý šifrovaný kanál,
- důvěra v připojované zařízení nebo řešení, které zaručí bezpečný přístup i z neznámých zařízení a prostředí,
- omezení výjimek,
- automatizace při změnách oprávnění (ideálně z Active Directory nebo IdM).
Takže co s tím? Existuje hned několik opatření, která vám zajistí vyšší úroveň zabezpečení. Tady je 7 tipů.
- Rozdělte cloudové služby podle rizika a určete nutnou úroveň ochrany. V ideálním případě vyjděte z celofiremní analýzy rizik nebo si postup nechte schválit na odpovídající úrovni vedení.
- Umožněte přístup k co nejvíce firemním zdrojům s pomocí jednotného řešení.
- Pro nejcitlivější přístupy (obvykle administrátor) využijte dodatečnou úroveň ochrany jako jump server, session recording, PIM/PAM. Tímto mezičlánkem efektivněji vynutíte pravidla a umožníte logovat aktivity.
- Nepublikujte interní služby samostatně, ale na zabezpečeném kanálu jako VPN nebo mobilní kontejnerové aplikace.
- Zvažte použití adaptivních systémů, které vyhodnocují rizikovost uživatele na základě změn jeho chování či střídání zařízení.
- Nepovažujte cloudové služby za bezpečné. Zaměřují se primárně na dostupnost a funkcionalitu. Proto je nutné donastavit jejich zabezpečení, případně využít CASB vrstvy.
- Kalkulujte s tím, že nejčastějším zdrojem infekce jsou dokumenty. Hlídejte proto jejich oběh odpovídajícím zero-day řešením, a to i v cloudu. Pokud k nim bude uživatel přistupovat vzdáleně, nemusí procházet přes chráněný firemní perimetr.
Dejte si však pozor na technické překážky, které mohou vyplynout při volby špatné technologie. Tady je pár příkladů:
- Mobilní telefon sám o sobě nezaručí multifaktorovou autentizaci.
- U starších stanic může nastat problém s kompatibilitou HTML5.
- Obvykle podporované mobilní platformy jsou pouze iOS a Android. Zejména iOS má řadu technologických omezení, která brání v implementaci bezpečnostních mechanismů.
- U běžných uživatelů je dnes preferovaný tzv. bezagentský přístup, se kterým odpadá nutnost správy a distribuce „tlustých klientů”.
- U IPSEC klientů musíte zajistit distribuční mechanismus certifikátů a CRL.
Cloudové služby často umožňují ochranu před brute force útokem a vyhodnocení rizika podle změny geolokace. Obě funkcionality však mohou zabránit využití služby také oprávněnému uživateli – zejména pokud se geolokace vyhodnocuje pouze pomocí IP adresy zařízení.
Pokud není cloudová aplikace provázána Single Sign On funkcionalitou, zvažte její autentizační mechanismus. U slabších forem autentizace loginem a heslem nepoužívejte stejnou identitu jako u vnitrofiremních systémů. Uživatelé totiž často využívají omezený počet hesel, a pokud dojde k jejich prolomení, je velmi snadné vyzkoušet je na otevřené službě.
Spoluautoři článku:
|
Maroš Barabas, Lukáš Solil
|
Tomáš Jurák
|
Petr Česal
|
Tomáš Baier
|
Martin Fruhauf
|
 |
 |
 |
 |
 |
