V posledních dvou letech se řádově znásobila intenzita síťového provozu mezi interním prostředím firem a jejich okolím. Tisíce hybridních pracovníků se připojují k firemním aplikacím a datům zvnějšku. Mnoho služeb navíc ani neleží v on premise firemních datových centrech, ale v cloudu. Podle bezpečnostního architekta Simac Technik Jana Petery, vyžaduje tato situace také nový pohled na implementaci zabezpečeného přístupu do sítě a na internet.
Bezpečný přístup uživatele do sítě zajišťuje řetězec na sebe navazujících a spolupracujících tradičních a cloudových technologií. Ověřování uživatelů v lokální síti řeší chytrý radius server, provoz je kontrolován pomocí Next Generation firewallu s antimalwarovou ochranou a s propojením na cloudové Threat Intelligence služby. Vnitřní síťový provoz sledují Network Detection and Response senzory, které pro detekci hrozeb využívají prvky umělé inteligence. Provoz hybridních pracovníků mimo hlavní pobočku kontrolují SASE cloudové služby s centrálně definovanými bezpečnostními pravidly. Zmíněné komponenty popisuje v následujícím rozhovoru Jan Petera.
Jaké bezpečnostní otázky dnes se zákazníky nejčastěji řešíte?
Základním požadavkem je řízený přístup do vnitřní sítě. Týká se to jak komerčních, tak i státních organizací. I v dnešní době je stále mnoho firem, které povolují přístup do sítě všem zařízením bez rozdílu a spoléhají se pouze na firewall na perimetru sítě, v lepším případě ve verzi NG (Next Generation). My doporučujeme alespoň základní segmentaci sítě a nasazení „chytrého“ radius serveru, který identifikuje uživatele a zařízení před vlastním přístupem. Většinou se nasazuje na LAN, WiFi a VPN přístupy. Zjednoduší se tím správa politik a všechny logy jsou pěkně pohromadě. Část zákazníků se s tím spokojí a už neřeší autorizační část, tedy, kam v infrastruktuře mají různá zařízení přístup. Je to škoda, protože většina radius serverů má tuto funkci v základní licenci. Zde je nutná úzká spolupráce s bezpečnostním oddělením, které definuje politiky přístupu. Zákazníci se často bojí, že to omezí koncové uživatele, kteří si pak budou stěžovat. Ale při vhodném nasazení se není čeho bát, protože design a nástroje jsou v současné době již dobře propracované.
Ale toto základní řešení se dá určitě dál rozvíjet…
Samozřejmě, ale část zákazníků bohužel usne na vavřínech a odškrtne si, že mají splněno. Což je škoda, protože součástí těchto nástrojů je i řada dalších užitečných funkcí. Mezi ně můžeme počítat například mikrosegmentaci, kdy je každé zařízení v síti izolované a přístup na ostatní prvky v síti je řízen centrální politikou. Pak není třeba složitě definovat omezující access listy s IP adresami zařízení, které se především u mobilních klientů často mění. Rovněž je určitě dobré radius server propojit s dalšími bezpečnostními systémy v síti, firewally nebo NDR systémy (Network Detection and Response System). Pokud některý systém detekuje problém na zařízení, třeba infekci malwarem, radius server ho může automaticky izolovat v síti.
Jak doporučujete zabezpečit zaměstnance, kteří nesedí pouze uvnitř sítě, ale pohybují se i mimo firmu například s notebooky?
Zde se nabízí několik možností, které se kombinují podle potřeby. Konzervativní metodou je nasazení AlwaysOn VPN, která se uživateli na zařízení automaticky spustí, pokud je mimo vnitřní doménu a veškerý provoz je přesměrovaný na hlavní firemní firewall, který provoz kontroluje. Uživatele to ale často omezuje a někdy bývá i problém se sestavením VPN, pokud je například ve vnitřní síti svého zákazníka.
Máte tedy k dispozici nějaké další možnosti?
Stále častěji se dnes používá koncept SASE (Secure Access Service Edge), kdy se provoz kontroluje na vstupu do internetu, ať je zákazník kdekoli. Je zaměřen na současný moderní styl práce, při němž uživatelé často pracují z domova, na dovolené, ze sítí svých vlastních zákazníků, používají kombinaci lokálních a cloudových firemních služeb a aplikací včetně veřejných služeb typu Gsuite nebo O365. Zjednodušeně se tento systém dá představit jako pračka provozu nabízená jako cloudová služba. Není třeba instalovat žádný speciální hardware. Pokud zákazník již službu nepotřebuje, přestane jednoduše platit licence.
Jak to přesně funguje?
Na koncovém zařízení běží agent, který vybraný provoz přesměrovává do cloudové služby. Ta provoz zkontroluje podle předdefinovaných pravidel. Je jedno, jestli jste v tu chvíli ve vnitřní síti nebo u sebe doma. Příkladem tohoto nástroje je Cisco Umbrella, která se velmi jednoduše implementuje. Základní verze zahrnuje DNS/URL filtering. Pokud zařízení potřebuje přeložit nějaký název služby/serveru v internetu, je požadavek odeslán do Umbrelly, která funguje jako chytrý DNS server. Pokud je vše v pořádku, je vrácena IP adresa cílového serveru. V opačném případě je odpověď zablokována nebo se zobrazí stránka s varováním. V pokročilejších konfiguracích se chová Cisco Umbrella jako plnohodnotný web proxy server včetně služeb typu Firewall, Cloud Access Broker, DLP, Remote Browser Isolation. Tímto nástrojem je možné v některých případech například nahradit firewall na pobočkách. Provoz je v tomto případě směrován do cloudové služby pomocí IPSEC tunelu.
Dnes se hodně skloňují útoky APT (Advanced Persistent Threat). Existuje proti nim obrana?
APT je aktuálně velký strašák bezpečnostních administrátorů. Tyto útoky se těžko detekují a trvají v řádu týdnů až měsíců. Útočník se většinou do sítě propracovává velmi zvolna. Na jejich eliminaci se většinou osvědčily NDR systémy s pokročilými prvky umělé inteligence. Bohužel již není v možnostech člověka ručně identifikovat a propojit všechny potenciální příznaky útoku, a to během takto dlouhé doby. Jen je třeba se psychicky srovnat s tím, že tyto systémy pracují samostatně, je nutné se spolehnout na jejich analytický engine s umělou inteligencí. Výhodou je, že na rozdíl od běžných IPS signaturních sond zobrazují pouze důležité a relevantní informace. Což je zároveň jejich velká přednost.
Bezpečnostní specialisté dnes nejsou skoro k mání. Umí si vaše bezpečnostní řešení poradit s nedostatkem lidí?
Výrobci tento problém naštěstí berou v potaz a nabízejí zastřešující management systém, který vše propojuje do jedné konzole, vizualizuje a zjednodušuje správu. Bezpečnostní analytik nemusí procházet mnoho dashboardů jednotlivých nástrojů a korelovat logy, ale má vše pohromadě ve zjednodušené formě. Zároveň, pokud se použije více nástrojů od jednoho dodavatele, lze následně využít jejich společnou synergii. Jednotlivé komponenty spolu komunikují, předávají si bezpečnostní informace, mohou aktivně reagovat a závadný provoz nebo zařízení zablokovat. Automatické reakce bezpečnostního nástroje se dříve všichni báli jako čert kříže, ale dnes je to skoro nezbytné. Nelze čekat, až administrátor během pracovní doby objeví nějaký problém a začne postupně dohledávat, jaká zařízení jsou už asi napadena.
Chcete ve své firmě otestovat, jak vám se zabezpečením dokáže pomoci cloudový bezpečnostní nástroj Cisco Umbrella? Získejte 14denní bezplatný test řešení – obraťte se na bezpečnostního architekta Jana Peteru, který vám tuto možnost zprostředkuje a poradí s konkrétním nasazením.
- Email: security@simac.cz
- Tel.: +420 283 061 281
