Vzdálený přístup – trendy a rizika

5.11.2019| Autor: Digitální pevnost

Ve firmách se mění styl práce a čím dál víc z nich řeší okamžitou dostupnost dokumentů, aplikací, systémů nebo služeb. Vzdálený přístup však komplikuje fakt, že některé služby fungují v cloudu. Jak se popasovat se zabezpečením, když si nechcete zabetonovat firemní prostředí na perimetru?

Vzdálený přístup – trendy a rizika

Počítejte s tím, že uživatelé preferují komfort před zabezpečením a volí co nejpohodlnější způsob vzdáleného přístupu. Nejdůležitějším požadavkem tedy bývá snadné používání. V praxi to znamená, že firmy hledají řešení, které:

  • nevyužívá klienta,
  • funguje kdekoli,
  • je přístupné i ze specifických zařízení,
  • je jednoduché na vysvětlení
  • a je jednotné pro všechny firemní zdroje (cloudové i on-premise).

Osvícené IT by však přesto nemělo rezignovat alespoň na základní bezpečnostní pravidla jako:

  • bezpečné ověřování identity,
  • spolehlivý šifrovaný kanál,
  • důvěra v připojované zařízení nebo řešení, které zaručí bezpečný přístup i z neznámých zařízení a prostředí,
  • omezení výjimek,
  • automatizace při změnách oprávnění (ideálně z Active Directory nebo IdM).

Takže co s tím? Existuje hned několik opatření, která vám zajistí vyšší úroveň zabezpečení. Tady je 7 tipů.

  1. Rozdělte cloudové služby podle rizika a určete nutnou úroveň ochrany. V ideálním případě vyjděte z celofiremní analýzy rizik nebo si postup nechte schválit na odpovídající úrovni vedení.
  2. Umožněte přístup k co nejvíce firemním zdrojům s pomocí jednotného řešení.
  3. Pro nejcitlivější přístupy (obvykle administrátor) využijte dodatečnou úroveň ochrany jako jump server, session recording, PIM/PAM. Tímto mezičlánkem efektivněji vynutíte pravidla a umožníte logovat aktivity.
  4. Nepublikujte interní služby samostatně, ale na zabezpečeném kanálu jako VPN nebo mobilní kontejnerové aplikace.
  5. Zvažte použití adaptivních systémů, které vyhodnocují rizikovost uživatele na základě změn jeho chování či střídání zařízení.
  6. Nepovažujte cloudové služby za bezpečné. Zaměřují se primárně na dostupnost a funkcionalitu. Proto je nutné donastavit jejich zabezpečení, případně využít CASB vrstvy.
  7. Kalkulujte s tím, že nejčastějším zdrojem infekce jsou dokumenty. Hlídejte proto jejich oběh odpovídajícím zero-day řešením, a to i v cloudu. Pokud k nim bude uživatel přistupovat vzdáleně, nemusí procházet přes chráněný firemní perimetr.

Dejte si však pozor na technické překážky, které mohou vyplynout při volby špatné technologie. Tady je pár příkladů:

  • Mobilní telefon sám o sobě nezaručí multifaktorovou autentizaci.
  • U starších stanic může nastat problém s kompatibilitou HTML5.
  • Obvykle podporované mobilní platformy jsou pouze iOS a Android. Zejména iOS má řadu technologických omezení, která brání v implementaci bezpečnostních mechanismů.
  • U běžných uživatelů je dnes preferovaný tzv. bezagentský přístup, se kterým odpadá nutnost správy a distribuce „tlustých klientů”.
  • U IPSEC klientů musíte zajistit distribuční mechanismus certifikátů a CRL.

Cloudové služby často umožňují ochranu před brute force útokem a vyhodnocení rizika podle změny geolokace. Obě funkcionality však mohou zabránit využití služby také oprávněnému uživateli – zejména pokud se geolokace vyhodnocuje pouze pomocí IP adresy zařízení.

Pokud není cloudová aplikace provázána Single Sign On funkcionalitou, zvažte její autentizační mechanismus. U slabších forem autentizace loginem a heslem nepoužívejte stejnou identitu jako u vnitrofiremních systémů. Uživatelé totiž často využívají omezený počet hesel, a pokud dojde k jejich prolomení, je velmi snadné vyzkoušet je na otevřené službě.

Spoluautoři článku:

Maroš Barabas, Lukáš Solil
Tomáš Jurák
Petr Česal
Tomáš Baier
Martin Fruhauf

Chcete i nadále zůstat v obraze?

Zadejte e-mail a zůstaňme v kontaktu.

Přihlásit se k odběru

Přihlášením k odběru souhlasíte se zpracování osobních údajů.