Blog eksperta

Praca zdalna, jako wykonywanie obowiązków służbowych poza siedzibą firmy, nabiera ostatnio kluczowego znaczenia dla zapewnienia ciągłości biznesowej i przetrwania organizacji w dobie zagrożenia epidemią i  jej skutków w postaci izolacji pracowników.

Infradata wspomaga swoich klientów, oferując swoje doświadczenie i ekspertów w celu optymalizacji i wdrażania bezpiecznego zdalnego dostępu, dostosowanego do potrzeb i realiów danej organizacji, zwłaszcza w tym krytycznym momencie, gdzie jest mało czasu na reorganizację sposobów pracy zdalnej.

Infradata pomaga swoim klientom zmaksymalizować wykorzystanie dostępnych środków technologicznych jak i szybkie nadrobienie braków w środkach zdalnego dostępu jak i elementach kontroli bezpieczeństwa z nimi związanych. Oferujemy rozwiązania referencyjne bazujące na sprawdzonych partnerach technologicznych takich jak F5 Networks, Fortinet oraz PulseSecure.

Nasi partnerzy technologiczni są dostawcami produktów o różnych stopniach skomplikowania, co pozwala na dostosowanie ich zależnie od potrzeb i sytuacji.

Dzisiejsze organizacje narażone są na poważne i stale wzrastające ryzyko związane z bezpieczeństwem informacji. Temat ten rozumiany jest bardzo szeroko, ponieważ zawiera w sobie elementy takie jak ochrona usług, kontrola dostępu uprzywilejowanego, zabezpieczenie środowisk wirtualnych, monitoring przepływów sieci, zagadnienia związane z SSO czy zabezpieczenie aplikacji typu „legacy”.

W kontekście wspomnianego na wstępie koronawirusa, kluczowym zagadnieniem jest zapewnienie użytkownikom możliwości pracy zdalnej, czyli zdalnego dostępu do zasobów IT przedsiębiorstwa. Dostęp ten musi być przyznawany zgodnie z uprawnieniami poszczególnych użytkowników oraz kontekstem, w jakim znajduje się dany użytkownik. W dobie coraz większej ilości urządzeń mobilnych i dostępowych, ergonomia użytkowania jest równie istotna. Nie bez znaczenia jest również integracja z zewnętrznymi źródłami danych o użytkownikach i ich urządzeniach.

Poniżej prezentujemy pełną architekturę ochrony przedsiębiorstwa w ujęciu firmy Infradata. W naszej ocenie architektura ta zapewnia zunifikowane podejście do bezpieczeństwa w sieciach typu Enterprise, ale w niniejszym artykule skupimy się na elementach związanych z dostępem zdalnym (VPN):

  • Single Sign On (SSO
  • Uwierzytelnienie wieloskładnikowe (Multi Factor Authentication/MFA)
  • Integracja z serwerami AAA oraz MDM

            · Authentication, Authorization, Accounting (AAA) np. Active Directory

            · Mobile Device Manager (MDM)

  • Federacja uwierzytelnienia (Cloud Services – SAML/Federacja AD )

Architektura ochrony Enterprise firmy Infradata

Dostęp zdalny VPN

Dostęp zdalny do zasobów wewnątrz firmy jest jedną z kluczowych usług świadczonych dla użytkowników. Obecnie dużo lepiej sprawdzają się mechanizmy oparte o SSL/TLS niż używane dawniej IPsec, ponieważ zwykle wykorzystują one HTTPS, czyli port 443 protokołu TCP, który w większości sieci jest otwarty.

Wewnętrzne zasoby IT, do których zdalny użytkownik ma mieć dostęp mogą być różne począwszy od aplikacji www, dysków sieciowych czy usług VDI. Daje to administratorom szerokie możliwości implementacji dostępu. Popularnym rozwiązaniem jest tunel sieciowy, który udostępnia wirtualny interfejs sieciowy i kieruje ruch na podstawie docelowego adresu IP. Jednak w przypadku chęci udostępnienia tylko aplikacji typu WWW łatwiejszym i szczelniejszym pod względem bezpieczeństwa może być użycie dostępu typu „portal access”. Użytkownik otrzymuje wygodny w użyciu dashboard, w którym prezentowane są mu wszystkie zasoby, do których ma dostęp. Jest on dostępny tak na urządzenia mobilne jak i klasyczne PC.

 

Przykładowy dashboard zdalnego dostępu typu „portal access”

Przykładowy dashboard zdalnego dostępu typu „portal access” na bazie rozwiązania firmy F5 Networks APM

Bardzo ważne jest na przykład, że powyższy dashboard generowany jest dynamicznie na podstawie uprawnień użytkownika oraz kontekstu. Uprawnienia mogą opierać się np. na uczestnictwie w grupach Active Directory, wtedy użytkownik otrzyma zasoby, które są sumą jego dostępów, możliwe są również inne kombinacje. Istotny jest także kontekst, w jakim użytkownik się znajduje. Inne zasoby będziemy przydzielali, jeżeli dostęp następuje z niezaufanego komputera, wtedy najrozsądniej było by ograniczyć uprawnienia do np. tylko poczty. Z drugiej strony, jeżeli użytkownik loguje się z urządzenia mobilnego, które zarządzane jest przez firmowy Mobile Device Manager, to po sprawdzeniu poziomu bezpieczeństwa możemy dać mu pełen dostęp. Integracja z MDM może odbywać się poprzez interfejs RESTful/SOAP API, co pozwala urządzeniu świadczącemu usługi VPN na pozyskanie informacji o łączącym się urządzeniu w tzw. sposób out-of-band i podjęcie odpowiedniej decyzji. Przykładowo użytkownik może być zmuszony do zaktualizowania swojej bazy antywirusów, jeżeli stwierdzimy taką konieczność. Daje to bardzo dużo możliwości budowania scenariuszy dostępu do usług.

Single Sign On (SSO)

Konieczność manualnego logowania się do wielu systemów jest dla użytkowników uciążliwa i niejako naturalnie prowokuje do używania tego samego hasła w różnych systemach, co jest jednym z najczęstszych błędów popełnianych przez użytkowników. Z tego powodu częścią proponowanego rozwiązania jest implementacja mechanizmów Single Sign On. Dzięki tym możliwościom bez znaczenia jest w jaki sposób realizowany jest dostęp do aplikacji, może to być NTML, HTTP Basic, formy HTTP, Kerberos, forma oparta o ciastka czy opisany dalej SAML. Z punktu widzenia użytkownika wymagane jest tylko jednorazowe uwierzytelnienie, a już samo rozwiązanie zadba o to, aby zmienić jego formę na tę wymaganą przez konkretną aplikację.

Uwierzytelnienie wieloskładnikowe (MFA)

Opisane wcześniej mechanizmy SSO budzą często obawy związane z bezpieczeństwem. W przypadku przejęcia tożsamości użytkownika, atakujący uzyskuje dostęp do szerokiej bazy aplikacji/usług. W celu wyważenia poziomu bezpieczeństwa i łatwości obsługi, zalecane jest wdrożenie uwierzytelnienia wieloskładnikowego MFA. Jak sama nazwa mówi podczas logowania musimy potwierdzić swoją tożsamość innym składnikiem niż tylko hasło. Może to być sprzętowy bądź softwarowy token. Istotne jest, aby wybrane rozwiązanie wspierało wielu dostawców sprzętowych tokenów. Rozwiązania te zapewniają najwyższy poziom ochrony. W celu ograniczenia kosztów możliwe jest zintegrowanie się z bezpłatnymi rozwiązaniami takimi jak Google Authenticator. Najmniej polecanym obecnie rozwiązaniem jest stosowanie SMS jako drugiego składnika uwierzytelnienia ze względu na możliwość ataku SIM swap, gdzie posiadacz duplikatu karty SIM będzie również dostawał SMS z kodami potwierdzającymi naszą tożsamość i będzie w stanie je wykorzystać.

SAML/Federacja Active Directory

Coraz więcej usług świadczonych jest w modelu chmury publicznej, dlatego ważna jest możliwość integracji z nią. Najczęściej firmy używają podejścia hybrydowego, czyli utrzymują część swojej infrastruktury, ale posiadają cześć usług u dostawcy chmury. Mogą być to usługi zarządzane samodzielnie lub świadczone przez firmy trzecie jak np. Microsoft Office 365.

Security Assertion Markup Language (SAML)

Pozwala na przekazanie tożsamości użytkownika wraz z jego uprawnieniami pomiędzy stronami bez konieczności tworzenia połączenia między nimi. Przeglądarka użytkownika występuje w roli brokera zapytań i odpowiedzi HTTP. Ważne jest, że rozwiązanie jest w stanie działać w roli dostawcy usług (Service Provider – SP) lub dostawcy tożsamości (Identity Provider – IdP). W trybie SP będziemy w stanie udostępnić nasze usługi np. w oparciu o tożsamość z Facebook lub Google. W trybie IdP będziemy mogli zalogować się przykładowo do chmury Amazon AWS z pomocą tożsamości, która znajduje się w lokalnym serwerze Active Directory.

Podobnie wykorzystać można mechanizmy federacji uwierzytelnienia, dzięki czemu nasze urządzenie może działać jako Active Directory Federation Proxy (ADFS), zapewniając nam usługę SSO do aplikacji świadczonych w modelu Software as a Service (SaaS).

Wymagania stawiane przez zespołami bezpieczeństwa związane z zapewnieniem bezpiecznego dostępu są wielopoziomowe i mogą być wymagać implementacji zaawansowanych architektur. Dlatego ważne jest, aby posiadać rozwiązanie, które jest na tyle elastyczne, by sprostać tak postawionym zadaniom.

Jeśli chcesz dowiedzieć się więcej o tym, co możemy zrobić dla Twojej organizacji, skontaktuj się z naszymi doświadczonymi inżynierami i certyfikowanymi ekspertami.

Skontaktuj się z nami już dziś

 

 Zadzwoń lub zostaw wiadomość. Nasz zespół z przyjemnością odpowie na Twoje pytania.

 

Mirosław Szymczak, Piotr Bratkowski, Krystian Baniak - 10 marca 2020

Blog eksperta

Chcesz dowiedzieć się więcej na ten temat lub masz konkretne pytania? Nie zastanawiaj się i skontaktuj się z nami! Porozmawiaj z ekspertem ds. rozwiązań lub architektem. Zadzwoń do nas lub zostaw wiadomość. Nasz zespół jest gotowy odpowiedzieć na Twoje pytania.

Mirosław Szymczak
Expert, Infradata

Blog eksperta

Chcesz dowiedzieć się więcej na ten temat lub masz konkretne pytania? Nie zastanawiaj się i skontaktuj się z nami! Porozmawiaj z ekspertem ds. rozwiązań lub architektem. Zadzwoń do nas lub zostaw wiadomość. Nasz zespół jest gotowy odpowiedzieć na Twoje pytania.

Piotr Bratkowski
Security Expert, Infradata

Kontakt handlowy

Chcesz dowiedzieć się więcej na ten temat lub masz konkretne pytania? Zadzwoń do nas lub zostaw wiadomość. 

Udostępnij tę stronę:

Ta witryna korzysta z plików cookie. Kontynuuj¹c przegl¹danie tej witryny, wyra¿asz zgodê na stosowanie przez nas plików cookie. Kliknij tutaj, aby dowiedzieæ siê wiêcej