QR CodeRozwiązanie kwestii bezpieczeństwa szybkich sieci Dr Anton Grashion

Powszechność dostępu do sieci towarzyszy pracownikom także w drodze, czy gdy pracują z domu, zaś goście, partnerzy czy zaufani współpracownicy zachodzący do biur firmy, także często muszą się połączyć ze swoimi zasobami sieciowymi za pośrednictwem sieci gospodarzy. Właśnie po to przecież wymyślono Internet – ma to być uniwersalne i proste w obsłudze narzędzie komunikacyjne. Ale co z zagrożeniami, które stwarza dla przedsiębiorstwa? Bo narzędzie, które miało być podstawowym „wspomagaczem” działalności firm, może się okazać ich największym zagrożeniem. Odpowiedzią dla użytkowników szybkich sieci jest skuteczna kontrola dostępu.

Kontrola dostępu – wymagania i komplikacje

Większość z nas spotyka się z różnymi postaciami kontroli dostępu w codziennym życiu – ludzie muszą się wylegitymować i spełniać warunki korzystania z różnych obiektów i usług, poczynając od klubów nocnych, bibliotek, a nawet wesołych miasteczek, kończąc na salach odpraw na lotniskach, pokojach chorych w szpitalach, a obecnie – sieciach zakładowych. Ale sieci zakładowe to szczególnie trudny przypadek – muszą obsługiwać wiele różnych platform operacyjnych, w tym coraz większą liczbę coraz bardziej zróżnicowanych urządzeń ruchomych. Użytkownicy muszą mieć do nich dostęp z różnych miejsc i sieci, poczynając od publicznych otwartych „hotspotów” radiowych do ściśle nadzorowanych sieci SSL VPN (Secure Socket Layer Virtual Private Network). W centrali firmy goście mogą musieć się zalogować do lokalnej sieci zakładowej (LAN) by przez nią uzyskać dostęp do swoich kont poczty elektronicznej lub Internetu. Różne mogą być też protokoły dostępowe. Podczas jednodniowej podróży pracownik może się łączyć przez sieci zaufane, średnio zaufane i otwarte, o kontroli dostępu takiej jak pojedynczy login przez Internet, VPN SSL, czy lokalne urządzenia kontroli dostępu. Ale wróciwszy do biura połączy się z siecią przedsiębiorstwa nie mając pojęcia, że przełączając się między różnymi sieciami i punktami dostępu, „załapał” paskudnego wirusa, robaka, program szpiegujący czy innego niszczyciela, którego wprowadza do sieci firmy i jej aplikacji.

Zagrożenia związane z kontrolą dostępu

Mechanizmy kontroli dostępu muszą spełniać szereg wymagań w środowisku ustawicznie narastającego zagrożenia bezpieczeństwa i możliwych jego rodzajów i kierunków, z którego nadchodzi. Dotyczy to także niezidentyfikowanych obiektów sieciowych: prawie trzy czwarte przedsiębiorstw już zapewnia dostęp do swoich sieci osobom nie będącym ich pracownikami; w niedalekiej przyszłości prawie wszystkie tak postąpią. A każde urządzenie może być nośnikiem wirusa, robaka czy innego złośliwego oprogramowania, które może poważnie zagrozić firmie, jej sieci i aplikacjom lub wręcz ją rozłożyć na łopatki. Niezabezpieczone „odnogi” stwarzają dodatkowe zagrożenie. Ochrona sieci wymaga terminowego i konsekwentnego łatania lub blokowania słabych punktów, co może stać się koszmarem przy coraz większej populacji urządzeń ruchomych i obcych, mających prawo dostępu do sieci. Można to rozwiązać zautomatyzowanym zarządzaniem „łatami”, oraz politykami bezpieczeństwa dotyczącymi kwestii zarządzania konkretnymi „łatkami”. Otwarte i niezabezpieczone sieci są podatne na ataki złośliwego oprogramowania, a pomimo, że w ciągu ostatnich kilku lat ataki ze strony robaków i wirusów się zdecydowanie zmniejszyły, naukowcy wciąż się obawiają pojawienia szybkich i niszczących „super robaków” następnej generacji. Niezabezpieczone urządzenie użytkownika podłączane do niechronionej i nieświadomej zagrożenia sieci korporacyjnej może stać się pierwotną przyczyną paraliżu sieci i działania firmy. Ale nawet zaufani użytkownicy korzystający ze „zdrowych” i zarządzanych urządzeń mogą próbować szperać po sieci w poszukiwaniu jej słabych punktów, choć przekraczają w ten sposób swoje prawa dostępu i upoważnienia wynikające z zajmowanych stanowisk.

Czas na zmiany: od ograniczonej i reakcyjnej kontroli dostępu do sieci do kontroli powszechnej i proaktywnej.

Duże przedsiębiorstwa i organizacje często podchodzą do bezpieczeństwa reakcyjnie – filtry antyspamowe stawiają dopiero, gdy sieć się już zatyka od spamu, oprogramowanie antyspyware, gdy maszyny użytkowników już ledwo pracują, itd. W ten sposób być może odraczają wydatki, ale długofalowo takie podejście może być droższe, bo naraża organizację, jej sieć i aplikacje na wyższy poziom zagrożeń i ryzyka. Działania reakcyjne nie sprawdzają się w wypadku kontroli dostępu, dlatego że w tym wypadku nie występuje jednoznaczna korelacja między problemem a rozwiązaniem, nie pojawia się jakieś konkretne działanie niepożądane wymagające reakcji. Organizacje muszą bardziej proaktywnie podchodzić do stosowanych mechanizmów kontroli dostępu do sieci i aplikacji. Ochrona dostępu do sieci i aplikacji powinna uwzględniać tożsamość użytkownika, typ urządzenia, punkt w sieci, z którym się łączy, porę dnia i inne aspekty. Proaktywne, powszechne, ale zachowawcze podejście może zapewnić bezpieczeństwo sieci w drodze konfiguracji wymuszającej kontrolę dostępu, ochronę i przestrzeganie polityk biznesowych firmy w oparciu o kombinacje:

· Tożsamości i ról użytkowników — Proaktywne, powszechne, a równocześnie zachowawcze podejście do udostępniania sieci może obejmować· podejmowanie decyzji o umożliwieniu dostępu w funkcji roli użytkownika i wymagań biznesowych. Na przykład – pomimo że zarówno dyrektor finansowy firmy, jak i audytor zewnętrzny muszą mieć

· dostęp do systemów finansowych firmy, proaktywne i powszechne zabezpieczenia sieci dadzą dyrektorowi pełny dostęp, zaś dostęp audytora zewnętrznego ograniczą do konkretnych podsieci, adresów IP portów i protokołów.

· Polityk biznesowych i ochrony — Podstawą bezpieczeństwa sieci uniwersalnych są polityki określające dopuszczalne miejsca dostępu, zarządzające i priorytetyzujące zagrożenia oraz wymuszające przestrzeganie polityk. Podstawą sukcesu jest tu opracowanie polityk przystających do wymagań organizacyjnych – proste zamknięcie drzwi na głucho, fizycznie lub elektroniczne i oczekiwanie, że w ten sposób zapewnia się kontrolę dostępu do sieci, już nie jest rozwiązaniem realistycznym i wykonalnym.

· Alternatyw egzekwowania polityk — Egzekwowanie polityk musi też być· dostosowywane do użytkowników, polityk i rozwiązań sieciowych. Nawet uprawnieni użytkownicy mogą uzyskiwać

· inne prawa dostępu do sieci lub aplikacji zależnie od tego, skąd w budynku czy na terenie campusu usiłują się łączyć
· czyli gdy usiłują się łączyć

· nie spoza własnego biurka  

Firmy poddawane są ustawicznym naciskom o przyśpieszanie wdrażania aplikacji umożliwiających świadczenie usług, co im pozwala na wyróżnianie się spośród innych i ciągły rozwój działalności. Nowatorskie przedsiębiorstwa, które sieć postrzegają jako krytyczny czynnik swojego sukcesu, mogą stosować skuteczną kontrolę dostępu jako główną broń chroniącą ich szybkie infrastruktury sieciowe. Dzięki temu mogą sieci traktować jako ułatwienie, a nie „zło konieczne” hamujące produktywność czy stwarzające więcej zagrożeń, niż przynoszą korzyści.