Угрозы компрометации учетных записей и снижение производительности подталкивают организации к внедрению новых моделей безопасности сети. Александр Макмиллен, вице-президент поставщика сервисной платформы безопасности OPAQ, предлагает на портале eWeek рассмотреть в качестве альтернативы VPN пять элементов защиты.
Многие годы предприятия в качестве средства безопасности выбирали комбинацию из виртуальной частной сети (VPN) и брандмауэров. Однако эпоха охраны периметра подходит к концу, что обуславливается рядом факторов. Это, во-первых, растущая изощренность атак. Хакеры изобретают все новые и новые способы, чтобы закрепиться в корпоративных сетях, к примеру, эксплуатируют привычки пользователей при просмотре страниц. Оказавшись внутри периметра, злоумышленники могут по выбору или воровать, или компрометировать активы. Другой фактор — это отказ от развертывания приложений онпремис и размещение их в облаке.
Во многих случаях трафик от удаленных сотрудников проходит через VPN в корпоративный ЦОД или его филиал, где он впоследствии перенаправляется по другому VPN-соединению и через менее защищенные интернет-каналы в ИТ-службы в облаке. Обратный трафик приводит к задержкам и дополнительным затратам и увеличивает вероятность возникновения сбоев в сети. В качестве альтернативы VPN предприятиям рекомендуется рассмотреть следующие пять элементов защиты.
1. Безопасность распределенной сети
Первый шаг для создания модели безопасности, которая бы послужила альтернативой VPN, — отказ от централизованных межсетевых экранов и связанной с ними переадресации трафика в единое расположение (в этой точке трафик проходит проверку и обеспечивается его защита). Новый подход предполагает подключение отдельных рабочих станций и мобильных устройств к брандмауэру, который располагается в облачной службе. Подключения пользователей должны поддерживаться в режиме постоянной активности, не требуя какого-либо взаимодействия с их стороны.
Выбор такой сетевой архитектуры подразумевает наличие облачного провайдера с надежной сетью, уровень производительности которой позволял бы пользователям сохранять комфорт вне зависимости от места пребывания. В то же время она должна предоставлять ИТ-менеджерам доступ к тем же журналам, панелям мониторинга и элементам управления безопасностью, с которыми они привыкли работать в традиционном брандмауэре.
2. Прокси-серверы для доступа к приложениям
Для новой архитектуры безопасности требуются сложные прокси-сервера. Они должны быть правильно спроектированными и обеспечивать корпоративным пользователям легкий и беспрепятственный доступ к внутренним приложениям через веб-браузеры. В итоге все, что останется сотрудникам — просто ввести URL-адрес без необходимости первоначальной настройки VPN-клиента. Помимо прочего прокси защищают приложения от интернет-угроз, предоставляя ИТ-отделам полную прозрачность и контроль над тем, кто, когда, откуда и какие услуги применяет с учетом корпоративных политик, идентификаторов устройств и пользователей и конфигурации устройств. Такая архитектура позволяет ИТ-отделу предоставлять надежные услуги, но при этом сохраняет за ним возможность централизованного управления приложениями.
Для обеспечения бесшовной работы прокси-серверам требуется HTTPS-шлюз, который защищает приложения при проверке подлинности пользователей. В идеале этот шлюз автоматически предоставляет каждой рабочей станции и мобильному устройству криптографические клиентские сертификаты на основе уникального идентификатора устройства и его пользователя.
3. Аутентификация пользователя и устройства
Чтобы облачный хостинг приложений функционировал бесперебойно и безопасно, предоставляя (или запрещая) пользователям доступ к приложениям, к архитектуре сетевой безопасности нужно применять инструменты многофакторной аутентификации. Между тем, ИТ-администраторам следует контролировать работу конечных девайсов, включая информацию о состоянии системы и конфигурации. Видимость гаждетов, их состояния и поведения пригодится для того, чтобы определить уровень безопасности сети, а также для управления политиками доступа к приложениям. Администраторам также следует позаботиться о том, чтобы не допустить подключения к приложениям неконтролируемых компьютеров и устройств Интернета вещей.
4. Принцип Zero Trust
Скорее всего корпоративные сети никогда не исчезнут, равно как и угрозы, с которыми они сталкиваются. По этой причине крайне важно лишить домены двустороннего транзитивного доверия во внутренней сети — это позволит предотвратить распространение угроз. Реализация принципа Zero Trust («нулевое доверие») при взаимодействии пользователей и хостов требует динамической сегментации сетей и принудительного применения политик брандмауэра для каждой конечной точки в режиме реального времени. В идеале политики должны быть ориентированы на пользователя и устройства, а также на традиционные IP-адреса, порты и протоколы. Сегментация сети с нулевым доверием позволяет ИТ-администраторам давать пользователям из разных команд доступ к разным ресурсам в одной локальной сети. Сегментация значительно повышает скорость и точность работы сотрудников службы безопасности при реагировании на потенциальную угрозу.
5. Непрерывные мониторинг и отчетность
Сегодня функциональные возможности программ, которые отвечают за обеспечение безопасности корпоративных сетей, как правило, в значительной степени ориентированы на соблюдение требований совместимости. В то же время эти программы становятся все более распределенными, из-за чего ИТ-отделам сложнее следить за безопасностью и принимать соответствующие меры. Архитектура безопасности пост-VPN может значительно облегчить, если не полностью устранить такие проблемы путем непрерывного сбора данных об элементах управления безопасностью, используемых на каждом сетевом брандмауэре и оконечном устройстве.
Кроме того, эта информация может использоваться для демонстрации соответствия нормативным требованиям и фреймворкам безопасности, таким как NIST, PCI, HIPAA, CIS и т. д. Несмотря на широкое распространение и эффективность, традиционные брандмауэры и VPN не поспевают за развитием архитектуры корпоративных сетей, шаблонов доступа пользователей и гибридных локальных/облачных ресурсов. Распределенный подход становится привлекательной альтернативой корпоративным брандмауэрам. Он позволяет предприятиям перенести многие элементы управления безопасностью, в том числе политики, сетевые элементы традиционных брандмауэров и VPN в облако.