MAGAZÍN EGOVERNMENT 2/2022


CITRIX POSKYTUJE "ZERO TRUST NETWORK ACCESS" - BEZPEČNÝ PŘÍSTUP K APLIKACÍM ORGANIZACE

 

Bezpečnost informačních technologií získává potřebnou pozornost ve všech sférách společenského života, pro veřejnou správu je v souvislosti s postupující digitalizací a zaváděním eGovernementu specifická v druhu zpracovávaných informací a případných následcích při útoku a výsledném dopadu na společnost. Nedostatek zdrojů spolu s již nemoderními koncepty informační bezpečnosti významně ztěžují realizaci řešení, která poskytnou potřebnou ochranu a budou nákladově přijatelná.

Kombinace nedůsledné údržby, auditů informačních technologií spolu s konceptem perimetrové ochrany (vnější/vnitřní síť) vytváří prostředí s obtížně řešitelným vzdáleným přístupem zaměstnanců i dodavatelů při zachování potřebné bezpečnosti. Útočníci mají pro průnik do takové organizace bezpočet nástrojů, průnik do samotné sítě je první metou. Následné aktivity jako např. zvýšení oprávnění, detekce síťového zabezpečení a jeho slabin, detekce užívaného SW a případných dalších zranitelností jsou pak další prostor pro bezpečnostní narušitele.

Typickým představitelem tzv. perimetrové ochrany je nejběžněji používaná technologie VPN. Určitě ve své době přinesla uživatelům nové možnosti a způsob, jak rozšířit zabezpečený perimetr i na vzdálené uživatele. Praxe ukazuje, že má svoje limity. Co je zabezpečené nemusí být ještě bezpečné.

zeroV současnosti se pro přístup uživatelů k aplikacím organizace používá modernější přístup zvaný „ZERO TRUST“. V čem spočívá a jak se liší od VPN si ukážeme na jednoduchém analogickém příkladě, který si jistě každý dovede představit i bez hlubokých technických znalostí. Pro pochopení změn, které se dějí v bezpečnostních přístupech a na ně návazných technologií si zkusme vytvořit analogické příklady vzdáleného přístupu s návštěvním řádem pro budovu/sídlo organizace.

Hosta-dodavatele ze společnosti Supply, vstupujícího do budovy organizace označeným vchodem pro dodavatele, uvítá vrátný/bezpečnostní služba a zjišťuje důvod návštěvy a identitu hosta. Host prokáže totožnost kartou vydanou organizací a jako důvod návštěvy uvede smluvené jednání s vedoucím odboru pro dodavatele (typický příklad uživatele připojeného po VPN, tedy uživatele, majícího oprávnění vstupu).

1. Vrátný zaznamená detaily do knihy dodavatelů, vysvětlí cestu ke kanceláři vedoucího údržby a dále se o hosta nezajímá. Zvědavý host prochází budovou, vidí mnoho různých dveří a zkouší je otevírat  - některé jsou zamčené, ale ne všechny. Do odemčených dveří host vždy jen nahlédne, dokud ho v jedné z přístupných místností nezaujme složka s popisem „Návrh rozpočtu 2023“. Duplikačním nástrojem, který má běžně u sebe, vytvoří kopii složky, a pokračuje do kanceláře vedoucího.

Tato analogie VPN přístupu bez dalších bezpečnostních opatření ukazuje, že jednoduché ověření identity a deklarovaný/obvyklý důvod vstupu hosta do sítě není bezpečné.

2. Vrátný ověří v knize dodavatelů, zda je jednání hlášeno, vysvětlí cestu ke kanceláři vedoucího údržby a hostovi udělí oprávnění, která mu dovolí průchod několika zamčenými dveřmi k cílové kanceláři. Na dalších dveřích, které cestou míjí, vidí elektronické zámky a otevírat je raději nezkouší, viditelný sledovací systém brání jeho zvědavosti. V jedné z nepřístupných jednacích místností však přes prosklené dveře zahlédne na hustě popsané nástěnné tabuli nadpis „ Analýza služeb dodavatele Supply“ a o kus níže výrazně podtržené poznámky „finální platbu za dodávku neprovádět, právní oddělení dokončuje přípravu a podklady“. Jedním ze svých nástrojů vyfotí celý obsah tabule včetně dalších detailů a dále pokračuje do kanceláře vedoucího. Po odchodu hosta si vrátný při kontrole časového záznamu pomyslí: „Ještě nikdo nešel na údržbu tak dlouho“.

VPN přístup do segmentové podnikové sítě doplněný NAC bezpečnostním řešením a monitoringem také neobstojí – hosté si stále mohou donést vlastní nástroje a s jejich pomocí najít a získat citlivý obsah či neoprávněný přístup. Výhoda je na straně útočníka, organizace a její bezpečnostní správci musí zajistit funkčnost a aktuálnost kompletního systému, útočníkovi stačí čekat na chybu.

  1. Vrátný ověří v knize dodavatelů, zda je jednání hlášeno, hosta požádá, aby nechal veškeré své vybavení mimo vnitřní prostory organizace a dovede ho ke dveřím, za kterými je jen prázdná chodba, končící v žádané kanceláři. Z perspektivy hosta tu není nic jiného, než schválený cíl, bez svých nástrojů neumí tento tunel prohlédnout.

Přístup na aplikační úrovni se od síťového - VPN zásadně liší možnostmi, kterými případný útočník disponuje, čím méně, tím lépe. I v případě získání identity vidí útočník pouze aplikační relaci, což významně ztěžuje další postup. A to je analogie „ZERO-TRUST“ přístupu – uživatel dostane přístup pouze ke konkrétním aplikacím, může používat pouze omezené nástroje (externí disky, paměti, USB vstupy,…), navíc je po celou dobu monitorováno, co dělá. Pokud jeho činnost vybočuje z očekávaného normálu, systém se začne chránit.

Zero Trust Network Access, neboli přístup k síti s nulovou důvěrou, řeší bezpečnost koncepčně  a kontextuálně- šifrování pro vnitřní i vnější komunikaci, trvalá validace přístupových oprávnění a identit, jasné vymezení oprávněných nástrojů a SW komponent pro daný typ úlohy a přístupu.

Problémem je realizovatelnost takové změny při zachování provozu organizace. Řešení Citrix nabízí řešení pro dosavadní (legacy) aplikace, interní webové i moderní SaaS aplikace, rychlé nasazení do stávající infrastruktury, kompatibilitu a integraci s dalšími bezpečnostními prvky, a v neposlední řadě uživatelskou přívětivost pro koncového uživatele.

Nasazení Citrix pro bezpečný vzdálený přístup k aplikacím a datům zakryje podkladové technologie a systémy a umožní jejich postupnou modernizaci, nabídne klíčové funkce jako více faktorovou autentizaci, podrobnou auditní stopu, ověření koncových zařízení mimo správu organizace (BYOD, počítač třetí strany). Díky „ZERO-TRUST“ platformě Citrix je organizace schopna vytvořit zcela moderní přístup k zabezpečení svých systémů, který je schopen reflektovat současné hrozby a dále se rozvíjet. A přitom není nutno vše vyměnit, mnoho již používaných technologií lze využívat dál.

https://www.citrix.com/solutions/zero-trust-network-access/

 

EG - 2/2022

inPage - webové stránky s AI, doménawebhosting