Ostatnie trzy miesiące to okres przejścia przez większość firm na pracę zdalną. Choć wiele przedsiębiorstw powoli wraca do normalności to warto przygotować się na taką ewentualność w przyszłości.
Podstawą w zabezpieczaniu każdego przedsiębiorstwa powinna być technologia VPN (Virtual Private Network), czyli zestaw mechanizmów, które pozwalają w sposób bezpieczny przesyłać informacje za pośrednictwem sieci publicznej Internet. Powinny spełniać w tym zakresie dwa podstawowe wymagania dla transmisji danych: poufność, dzięki której nikt nie może zrozumieć naszej komunikacji, ponieważ jest zaszyfrowana oraz integralność – obie strony mają pewność, że transmitowane informacje nie zostały zmienione. Implementacje połączeń VPN są najczęściej realizowane z wykorzystaniem protokołów: IPSec oraz SSL.
Budowane są w ten sposób dwa podstawowe typy połączeń: site-to-site, w którym tunel VPN łączy ze sobą dwie lub więcej lokalizacji (najczęściej centralę oraz oddziały firmy) oraz client-to-site, umożliwiające pracownikom mobilnym komunikację z zasobami w sieci firmowej.
Ostatnie trzy miesiące to okres, w którym – w związku z izolacją i przejściem przedsiębiorstw na pracę zdalną – prowadziliśmy szereg konsultacji. Podczas nich klienci pytali, jak dobrze realizować szyfrowane połączenia. Większość kontaktujących się firm miała wdrożone rozwiązania do pracy zdalnej, ale dotychczas nie były one szeroko wykorzystywane, a ich użytkownicy nie doświadczali znaczących problemów – głównie dlatego, że korzystali z nich sporadycznie. Obecnie sytuacja się zmieniła. Ilość pracowników zdalnych zwiększyła się kilkukrotnie – to oczywiście znacząco wpłynęło na obciążenie koncentratorów VPN w centralach firm. Wskutek masowego korzystania z Internetu w domach pogorszyły się parametry transmisyjne w sieciach lokalnych, powodując większe opóźnienia czy utratę pakietów – tłumaczy Grzegorz Szmigiel, dyrektor techniczny w firmie Veracomp.
Istotne jest więc zweryfikowanie potrzeb przedsiębiorstwa w zakresie szyfrowanej komunikacji. Podejmując taką decyzję, warto wziąć pod uwagę kilka elementów, które będą pomocne przy wyborze technologii, dopasowanej do naszych potrzeb.
Co warto wziąć pod uwagę?
Pierwsza zasadnicza kwestia to wydajność koncentratora VPN. Należy tutaj zwrócić szczególną uwagę na przepustowość, czyli ilość danych, które jest on w stanie zaszyfrować w ciągu sekundy oraz ilość nowych połączeń, które może zrealizować w ciągu sekundy (tzw. setup rate). Nie bez znaczenia jest również całkowita ilość połączeń, które koncentrator może terminować. Biorąc pod uwagę, że połączenia VPN są najczęściej realizowane z wykorzystaniem zintegrowanych systemów bezpieczeństwa (NGFW/UTM) warto zweryfikować ich wydajność w sytuacji, kiedy w tym samym czasie szyfrują dane oraz analizują komunikację z wykorzystaniem innych funkcji (IPS, kontrola aplikacji, antywirus, web filtering, DLP, itd.). Dodatkowo należy rozważyć systemy, które sprzętowo realizują proces szyfrowania, ponieważ wtedy ich parametry wydajnościowe będą bardzo wysokie i niezależne od innych, realizowanych funkcji bezpieczeństwa.
Drugim bardzo istotnym aspektem w połączeniach site-to-site jest możliwość zapewnienia redundancji połączeń szyfrowanych, podziału obciążenia między dostępnymi tunelami i lokalizacjami oraz elastycznych mechanizmów podejmowania decyzji: jaki ruch, dla jakich aplikacji, z jakimi parametrami SLA, którą drogą powinien być dystrybuowany w oparciu o technologię Secure SD-WAN. Dodatkowo w wielu implementacjach wymagane jest, by rozwiązania umożliwiały rozgłaszanie protokołów dynamicznego routingu w obrębie terminowanych tuneli.
Bezpieczeństwo z punktu widzenia użytkowników i administratorów
Oczekiwania i potrzeby użytkowników mobilnych oraz administratorów w zakresie stosowania szyfrowanych połączeń różnią się. Z pewnością wśród wymagań pierwszej grupy mogą znaleźć się:
- Prosty proces dostępu do aplikacji, z których korzystamy w pracy oraz łatwość zestawienia połączenia.
- Automatyzacja procesu uwierzytelnienia, dzięki czemu unikniemy wielokrotnego, uciążliwego wpisywania haseł.
- Stabilność połączenia, która zmniejszy ryzyko utraty wyników niezapisanej pracy.
- Dodatkowo cały proces musi być dla użytkownika intuicyjny i bezpieczny.
Z punktu widzenia administratora te oczekiwania są również bardzo ważne. Należy jednak dodać do nich jeszcze dwie zasadnicze kwestie:
- Jak prosto i sprawnie przeprowadzić proces wdrożenia w grupie rozproszonych użytkowników?
- W jaki sposób zabezpieczyć aplikacje, do których pracownicy zdalni będą mieli dostęp?
Wybór technologii może być podyktowany podstawowym czynnikiem, dotyczącym programów i aplikacji, wykorzystywanych przez użytkowników w codziennej pracy. Jakie są możliwości w tym zakresie?
Korzystając tylko z aplikacji, które działają w oparciu o przeglądarkę www możliwości jest wiele, ale najprostszą będzie udostępnienie zasobów z wykorzystaniem SSL VPN w trybie portalu. Użytkownik loguje się poprzez standardową przeglądarkę do strony wskazanej przez administratora, a następnie widzi ikony poszczególnych systemów, do których powinien mieć dostęp. Przy logowaniu do aplikacji nie jest ponownie pytany o login i hasło. Największe zalety tej metody to szybka implementacja oraz możliwość wykorzystania standardowej przeglądarki do nawiązania połączenia. Ograniczeniem jest natomiast niewielka ilość aplikacji, które tą metodą można tunelować w szyfrowanym połączeniu – tłumaczy Grzegorz Szmigiel.
Druga możliwość to używanie różnych aplikacji, niekoniecznie bazujących na przeglądarce. W tym scenariuszu na stacji użytkownika musi być zainstalowany klient VPN. Tym sposobem można realizować zarówno połączenia typu IPSec, jak i SSL VPN, gdzie SSL VPN lepiej sprawdzi się w połączeniach o niższej jakości (np. gdzie mamy do czynienia ze stratami pakietów), w których protokół TCP zadba o retransmisję utraconych pakietów, poprawiając tym samym stabilność szyfrowanego połączenia. Administrator może zdecydować, czy chce całą komunikację ze stacji użytkownika przesyłać za pośrednictwem koncentratora VPN, czy przez tunel ma przechodzić tylko komunikacja do serwerów firmowych, a cała reszta ruchu do sieci Internet ma wychodzić lokalnie (split tunneling).
W przypadku tego typu realizacji zaleca się zastosowanie centralnego systemu zarządzania dla klientów VPN, co ułatwi implementację, dystrybucję programów instalacyjnych, a następnie ich utrzymanie.
Podstawową zaletą tej metody jest możliwość tunelowania dowolnej aplikacji w obrębie szyfrowanego kanału oraz łatwe definiowanie zasobów, do których komunikacja ma być kierowana w tunel. Z kolei utrudnieniem może być dystrybucja pakietów instalacyjnych aplikacji klienckiej, ale w tym wypadku, podczas konsultacji podpowiadamy jak zrobić to szybko i sprawnie – wyjaśnia Grzegorz Szmigiel.
Inne możliwości
Można do tego zadania podejść jeszcze w inny sposób. Zastosowanie platformy WAF (Web Application Firewall) umożliwia dostęp do aplikacji www w sposób podobny do tego, jak uzyskujemy dostęp do strony bankowej (komunikacja szyfrowana protokołem SSL). Korzystając z przeglądarki, logujemy się jednokrotnie, nasza komunikacja jest optymalizowana, kompresowana i bezpiecznie dostarczana do aplikacji. W tym scenariuszu dużą wartością jest system WAF, który rozumie działanie aplikacji i jest ją w stanie precyzyjnie zabezpieczać. Mechanizmy ochronne mogą być dopasowane do potrzeb konkretnej aplikacji. Dużym ułatwieniem w tym zakresie są mechanizmy uczenia maszynowego/autolearningu, które szybko i precyzyjnie pomagają w przygotowaniu optymalnej polityki. Samo rozwiązanie dostarcza przy tym wiele dodatkowych funkcji ochronnych, poniżej niektóre z nich:
- Zabezpieczanie przed atakami na aplikacje specyfikowanymi przez OWASP,
- Blokowanie robotów,
- Ochrona przed atakami DoS na aplikacje,
- Ochrona przed niebezpiecznymi załącznikami – poprzez kontrolę antywirusową oraz analizę heurystyczną z wykorzystaniem technologii sandbox,
- Ochrona przed wyciekiem informacji poufnej,
- Ochrona przed podmianą strony.
We wszystkich powyższych scenariuszach administrator musi zadbać o mechanizmy uwierzytelnienia oraz precyzyjną kontrolą komunikacji do sieci firmowej ze stacji użytkowników zdalnych.
Bramy VPN/WAF mogą być zintegrowane z różnymi bazami informacji o użytkownikach – najczęściej: LDAP (AD), Radius, ale równie dobrze można w tym zakresie zastosować protokół SAML. W każdym scenariuszu powinny być wykorzystywane mechanizmy jednorazowego logowania, po to, by użytkownik nie musiał wielokrotnie podawać tego samego hasła kiedy uzyskuje dostęp do kolejnych aplikacji oraz elementy wieloskładnikowego uwierzytelniania – oprócz loginu i hasła (które mogą być zapisane, podglądnięte, przekazane), system wymaga podania jednorazowego kodu (sms, QR kod, kod cyfrowy), który pojawia się w danej chwili na telefonie określonego użytkownika systemu – dodaje Grzegorz Szmigiel.
Możliwości jest wiele. Ważne, by wybrać najlepszą, dostosowaną do danych potrzeb i charakteru pracy zdalnej technologię, która będzie bezpieczna i prosta w codziennym użytkowaniu.