Угадай кто? Проблемы управления доступом в эпоху удаленной работы

Угадай кто? Проблемы управления доступом в эпоху удаленной работы

13 ноября 2022 г.
<цитата>

TLDR: VPN устарели. Пришло время перейти на сеть с нулевым доверием (если вы еще этого не сделали)

Если вы сотрудник, который работает удаленно, я уверен, что вы были в такой ситуации. Вы пытаетесь получить доступ к корпоративному облачному ресурсу из дома, но не можете пройти через VPN компании.

Опыт ужасен: он медленный, с трудом подключается, и когда вы, наконец, подключитесь, вы не сможете получить доступ к половине вещей, которые вам нужны, без обмена сообщениями Slack в ИТ-службу поддержки.

С другой стороны, если вы ИТ-специалист, который управляет удаленными работниками, ваши пользователи постоянно жалуются на VPN, и вы изо всех сил пытаетесь справиться с запросами на добавление новых приложений и служб в корпоративный брандмауэр.

Вы бегаете, как курица с отрубленной головой, от внесения IP-адресов в белый список до поддержания сложных назначений подсетей и сегментов VLAN. Вам начинает казаться, что ваша работа — это не что иное, как предоставление доступа к различным частям сети, как у стража средневекового замка.

Если это звучит знакомо, то вы не одиноки. В эпоху удаленной работы управление доступом стало одной из самых важных и сложных задач для ИТ-специалистов.

Контроль доступа в эпоху удаленной работы

Проблема в том, что большинство решений для управления доступом были разработаны для мира, в котором все работают в офисе. Для управления доступом они полагались на такие вещи, как IP-адреса и межсайтовые VPN.

Но в эпоху удаленной работы эти решения уже не годятся. Сегодня сетевая безопасность и контроль доступа сложны. Пользователи получают доступ к корпоративным ресурсам со всего мира.

Трудно отслеживать все различные устройства, приложения и пользователей в вашей сети. Трудно понять, что они делают и куда идут. И особенно сложно убедиться, что они не делают того, чего не должны делать.

Но это не должно быть так. Существует новый класс решений, предназначенных для эпохи удаленной работы. В этих сетевых решениях для управления доступом используются идентификаторы пользователей и устройств, а не IP-адреса.

Проблемы с VPN

Виртуальные частные сети были разработаны для другой эпохи — эпохи, когда сетевая безопасность основывалась на периметре. Но в эпоху удаленной работы периметр практически исчез. Первым шагом в переходе на решение Identity-First является понимание ограничений вашей текущей VPN:

* Несовместимо с удаленной работой: виртуальные частные сети полагаются на IP-адреса для управления доступом. Но когда пользователи работают удаленно, у них часто нет статического IP-адреса. Это затрудняет предоставление им доступа к необходимым им ресурсам.

* Проблемы безопасности: виртуальные частные сети предоставляют доступ ко всем сетям, увеличивая радиус действия вторжений. Хуже того, публично раскрывая точку доступа к вашей сети, VPN могут дать злоумышленникам возможность идентифицировать системы и пользователей в вашей сети.

* Плохое взаимодействие с пользователем. Самая большая жалоба на VPN — это плохое взаимодействие с пользователем. Пользователи должны войти в систему, дождаться установления соединения, а затем надеяться, что они действительно смогут получить доступ к тому, что им нужно. В битве между пользовательским опытом и безопасностью безопасность каждый раз проигрывает. Если вы заставите своих пользователей прыгать через препятствия, чтобы получить доступ к ресурсам, которые им нужны для работы, они найдут обходные пути (часто творческие) для доступа к нужным им данным.

* VPN сложно масштабировать. По мере роста числа пользователей и устройств растет и сложность управления VPN.

* Сложность аудита и проверки доступа. Если к вашей сети через VPN подключаются сотни или даже тысячи пользователей, может быть сложно проверить и проверить, кто и к чему имеет доступ.

* Отсутствие детального контроля: с VPN все или ничего. Пользователи имеют доступ ко всей сети, что затрудняет ограничение их доступа только тем, что им нужно.

Суть в том, что VPN больше недостаточно для обеспечения безопасности вашей сети. Пришло время перейти к решению, основанному на идентификации.

Identity-First Networking и традиционная сетевая безопасность

Идентификация и доступ на основе контекста

Самая большая проблема с традиционной моделью сетевой безопасности, поддерживаемой VPN, заключается в том, что она опирается на статический периметр. Существует четкое различие между «внутренними» и «внешними» пользователями.

Внутренние пользователи считаются доверенными, поскольку они были физически проверены (например, находятся внутри здания), а внешние пользователи считаются ненадежными и к ним применяются более строгие меры безопасности.

С появлением удаленной работы, распространением мобильных устройств и все более широким использованием облачных приложений периметр сети становится все более проницаемым. Больше нельзя полагаться на сетевой периметр как на границу безопасности.

В сети с нулевым доверием отсутствует понятие «внутренний» сетевой трафик. Ко всем пользователям относятся одинаково, независимо от их местонахождения. Доступ основан на идентификаторе пользователя и контексте, а не на IP-адресе.

Это значительно усложняет злоумышленникам доступ к ресурсам, поскольку им необходимо иметь действующую учетную запись пользователя и иметь возможность пройти оценку как удостоверения, так и контекста.

Тщательный контроль доступа к ресурсам

Хотя VPN создает безопасный туннель между двумя точками, она не обеспечивает детального контроля над тем, кто имеет доступ к каким ресурсам. Сеть с нулевым доверием, с другой стороны, использует идентификатор и контекст для принятия решений в режиме реального времени о том, разрешать или запрещать доступ к ресурсу.

Принципы нулевого доверия

Одна из самых больших проблем с VPN заключается в том, что он несовместим с Zero-Trust. Доступ — это модель безопасности, которая требует, чтобы все пользователи, независимо от их местоположения, аутентифицировались перед доступом к каким-либо ресурсам. Модель основана на следующих принципах:

* Подтвердите, прежде чем доверять: каждый запрос к частному ресурсу аутентифицируется и авторизуется на основе контекстной информации в режиме реального времени (идентификация пользователя, местоположение, устройство, риск и т. д.).

* Никогда не доверяйте, всегда проверяйте: не существует внутренней или внешней сети. Весь трафик обрабатывается одинаково и требует проверки.

* Связать пользователей с их действиями: пользователи идентифицируются, а их действия регистрируются, чтобы вы могли проверить их позже.

* Использовать минимальные привилегии: пользователям предоставляется только минимальный набор разрешений, необходимых им для выполнения своей работы. Ни больше, ни меньше.

Преимущества сети с нулевым доверием

Внедрение сети с нулевым доверием имеет много преимуществ, в том числе следующие:

  1. Повышенная безопасность. Реализуя несколько уровней безопасности, вы можете затруднить проникновение злоумышленников в вашу сеть.

2. Улучшенное соответствие. Сеть с нулевым доверием может помочь вам соответствовать требованиям соответствия, например требованиям GDPR и HIPAA.

3. Улучшенный пользовательский интерфейс. Сеть с нулевым доверием обеспечивает лучший пользовательский интерфейс, чем традиционные VPN, которые могут быть медленными и громоздкими.

4. Упрощенное управление сетью. Сеть с нулевым доверием упрощает управление сетью, устраняя необходимость поддерживать отдельные «внутренние» и «внешние» сети.

Сети с нулевым доверием — это будущее сетевой безопасности. Он обеспечивает более надежную и всестороннюю защиту, чем традиционные модели сетевой безопасности, и им проще управлять и обслуживать.

Пришло время переосмыслить вашу стратегию управления доступом и перейти к модели Identity-First, которая позволит вам воспользоваться преимуществами облака, улучшить взаимодействие с пользователями и повысить уровень безопасности вашей организации.


Оригинал
PREVIOUS ARTICLE
NEXT ARTICLE