Jeśli przed pojawieniem się koronawirusa klienci raczej nie myśleli o wdrażaniu sieci definiowanych programowo i zarządzaniu nimi poprzez chmurę, to teraz – z uwagi na elastyczność tego rozwiązania – opcja ta wydaje się im znacznie bardziej interesująca. Wcześniej nie musieli też zawracać sobie głowy łatwo skalowalnymi platformami do pracy zdalnej, które obecnie stają się produktem pierwszej potrzeby. Muszą też brać pod uwagę możliwość bezpiecznego rozszerzania swoich sieci o zasoby w chmurze publicznej i starać się znaleźć sposób na zintegrowanie ze środowiskiem sieciowym narzędzi do kontroli dostępu i zarządzania tożsamościami.

Tego typu decyzje stały się kluczowe, gdyż nagły wzrost liczby osób pracujących zdalnie znacząco zwiększył zapotrzebowanie na zasoby infrastruktury sieciowej. Ponieważ wielu użytkowników korzysta z aplikacji głosowych i wideokonferencyjnych, pojawiły się problemy z pojemnością i przepustowością sieci.

– Zmienia się zarówno sposób, jak i skala wykorzystania dostępu zdalnego. Przed pandemią przyzwyczajeni byliśmy do obsługi firm, w których większa część pracowników pracowała w biurze, łącząc się poprzez LAN z zasobami informatycznymi. Dzisiaj, ze względu na izolację, proporcje się odwróciły – mówi Jacek Forysiak, wiceprezes zarządu ds. techniki w Atende.

W efekcie potrzeba odpowiednio więcej równoległych, bezpiecznych kanałów dostępu, a w konsekwencji „grubszej rury” do internetu, czyli łączy o większej przepustowości. Aby zaradzić wyzwaniom związanym z wydajnością, wiele firm podjęło szybkie, doraźne działania naprawcze, które jednak mogą prowadzić do problemów z niezawodnością sieci i bezpieczeństwem. Tymczasem, chcąc stworzyć przemyślaną i skuteczną strategię dostępu zdalnego, dzięki której pracownicy w domu będą wykazywać nie mniejszą produktywność niż w biurze, należy zwrócić uwagę na trzy kluczowe cechy rozwiązań do budowania sieciowej infrastruktury: wydajność, skalowalność i bezpieczeństwo.

W celu zapewnienia pracownikom zdalnego dostępu firmy wybierają jedną z dwóch ścieżek. Pierwsza polega na umożliwieniu urządzeniu użytkownika komunikacji z siecią tak, jakby było ono podłączone do gniazdka sieciowego w biurze. Najczęstszym sposobem uzyskania tego typu bezpośredniego dostępu jest wirtualna sieć prywatna (VPN). Drugie podejście to udostępnianie pulpitów i aplikacji w ramach wirtualnych sesji. W tym wypadku aplikacje są uruchamiane na serwerze w centrum danych przedsiębiorstwa i obsługiwane zdalnie z urządzenia użytkownika końcowego, co umożliwiają rozwiązania VDI i usługi terminalowe. Kolejne technologiczne decyzje i wybory dotyczą kwestii bezpieczeństwa.

Wiele wyzwań dla ochrony sieci

Cyberprzestępcy starają się wykorzystywać masowe przechodzenie użytkowników na pracę zdalną. Koncentrują się między innymi na próbach wyłudzania dostępu do aplikacji, głównie po to, aby w ten sposób wejść w posiadanie firmowych danych. Do tego celu stosują złośliwe domeny, phishing, czy wzmożony przez pewien czas trend wyszukiwania informacji związanych z koronawirusem. Chcąc skutecznie bronić się przed starymi i nowymi cyberzagrożeniami, firmy musiały wdrożyć jeszcze bardziej restrykcyjne reguły polityki bezpieczeństwa i odpowiednie rozwiązania, takie jak VPN, które objęły pracowników biurowych i zdalnych.

W tym kontekście specjaliści zwracają uwagę, jak ważne jest sprawdzone i bezpieczne połączenie z internetem na potrzeby wszystkich pracowników, którzy wykonują swoje obowiązki z domu. Integratorzy powinni przeprowadzić, wraz z klientami, audyt zabezpieczeń, ze szczególnym naciskiem na weryfikację, czy istnieje możliwość zapewnienia pracownikom szyfrowanej łączności z wykorzystaniem wirtualnej prywatnej sieci VPN.

– Warto też zarekomendować klientowi dostarczenie pracownikom licencji stosowanego w firmie oprogramowania ochronnego do zainstalowania na prywatnym sprzęcie – podkreśla Jolanta Malak, Regional Sales Director w polskim oddziale Fortinetu.

Kolejna potrzeba dotyczy ochrony poczty elektronicznej, zwłaszcza że w związku z pandemią przestępcy wykorzystują poczucie zagrożenia i podszywając się pod rządowe organizacje zdrowotne, placówki pozarządowe czy dostawców sprzętu medycznego, rozsyłają spam zawierający niebezpieczne wiadomości. Większość ataków na przedsiębiorstwa rozpoczyna się obecnie właśnie za pośrednictwem poczty, dlatego resellerzy i integratorzy powinni proponować pewne i sprawdzone narzędzia do jej zabezpieczenia.

tabelka-txt-sieci
Źródło: badanie Hays Poland, lipiec 2020

Niezbędna staje się też skuteczna kontrola procedur zdalnego dostępu do zasobów firmy. Najlepszym rozwiązaniem wydaje się uwierzytelnianie wieloskładnikowe, w tym użycie tokenów (sprzętowych lub programowych) do generowania jednorazowych kodów do autoryzacji. Warto stosować systemy jednokrotnego logowania (Single-Sign On) i  stale weryfikować, czy z siecią łączą się tylko uprawnione do tego urządzenia.

Brak zaufania to dobre rozwiązanie

Ponieważ przy pracy zdalnej większość terminali staje się dla administratorów bezpieczeństwa niedostępna fizycznie, muszą oni korzystać z alternatywnych narzędzi. Godne polecenia są systemy EDR (Endpoint Detection and Response) do kontroli urządzeń końcowych, które dają możliwość zdalnej analizy występujących w nich zdarzeń, wykrywania ataków i usuwania ich skutków oraz analizy śledczej w przypadku wystąpienia incydentów. Ważna jest też kontrola dostępu do zasobów serwerowych.

– W sieciach lokalnych użytkownicy i zasoby podlegały zwykle rozdzieleniu, na przykład z wykorzystaniem VLAN-ów i systemów NAC. Konieczność udostępnienia zasobów zdalnie z użyciem VPN, mogła, zwłaszcza w warunkach presji czasowej, spowodować spłaszczenie sieci – mówi Piotr Borkowski, Senior System Engineer w Veracompie. 

W takiej sytuacji występuje ryzyko wystąpienia ataków na wiele innych systemów. Warto zatem powtórnie przeprowadzić audyt zasad dostępu do serwerów na poziomie sieci z wykorzystaniem narzędzi do wizualizacji i kontroli ruchu, z wykorzystaniem mikrosegmentacji, narzędzi do raportowania z istniejących systemów bezpieczeństwa (np. firewalli) czy danych typu flow (metadanych charakteryzujących szczegóły połączenia sieciowego).

– Dlatego VPN w dzisiejszych warunkach powinien odpowiadać wymaganiom modelu „zero trust” – dodaje Piotr Borkowski.

Wspomniana strategia „zero trust” ma na celu zabezpieczenie wszelkiego dostępu do aplikacji, urządzeń użytkownika i lokalizacji poprzez minimalizację uprawnień użytkowników oraz przydzielanie wyłącznie tych, które są niezbędne do wykonywania zadań.

– W celu ochrony firmy przed cyberatakami warto zaimplementować rozwiązania dostępowe oraz wieloetapowe uwierzytelnianie w chmurze. Umożliwi to potwierdzenie tożsamości użytkowników oraz określenie poziomu bezpieczeństwa urządzeń, z których korzystają, zanim otrzymają one dostęp do aplikacji – mówi Grzegorz Dobrowolski, dyrektor ds. sprzedaży rozwiązań Data Center & Virtualization w Cisco.

Zdaniem integratora

Jacek Forysiak, wiceprezes zarządu ds. techniki, Atende  

Stan pandemii, oprócz zmian w sposobie pracy, zwiększył uwrażliwienie firm na aspekty bezpieczeństwa. Rośnie świadomość, że wyniesienie firmowego notebooka poza bezpieczne biuro zapewniające ochronę sieci LAN i podłączenie go do domowego internetu otwiera szeroko furtkę na cyberzagrożenia. Dlatego wielu klientów widzi obecnie potrzebę wdrożenia wielopoziomowych zabezpieczeń MFA. Zwłaszcza, że praca z domu, nawet na firmowym sprzęcie – co zresztą powinno stanowić regułę – powoduje mentalne rozmycie granicy pomiędzy obowiązkami zawodowymi a życiem prywatnym. Według badania Cisco aż 85 proc. użytkowników pracujących z domu przyznaje się do „sporadycznych wycieczek” na różne strony internetowe. Wielu szefów IT dostrzega to zagrożenie i prosi o wdrożenie systemu chroniącego firmę i jej pracowników przed płynącymi w ten sposób zagrożeniami. Odpowiedzią na te potrzeby mogą być systemy typu Secure Internet Gateway (SIG), ale – oprócz fizycznych i proceduralnych zabezpieczeń zasobów informatycznych – najistotniejszy pozostaje stan świadomości użytkowników. Nawet najlepszy system bezpieczeństwa jest bezradny wobec ludzkiej naiwności i beztroski.

  

Programowalność i wysoka dostępność

Niewątpliwie w czasach pandemii rośnie znaczenie sieci „software-defined”, w tym SD-WAN. W ciągu ostatniej dekady chmura publiczna, rozwiązania SaaS i IaaS oraz mobilność podważyły sens tradycyjnego modelu, w którym sieć ma precyzyjnie wytyczone granice. Wcześniej sieci przedsiębiorstw bazowały na koncepcji dostępu chronionego przez firewalle i inne rozwiązania brzegowe. Obecnie, gdy firmowe zasoby są coraz bardziej rozproszone w wielu chmurach i zdalnych centrach danych, rozwiązaniem stają się rozległe sieci definiowane programowo.

To nowe podejście do tworzenia środowiska sieciowego zakłada wykorzystanie rozmaitych połączeń w celu stworzenia prywatnej firmowej sieci, składającej się z zasobów w chmurze, centrów danych i oddziałów, w której wszystkie elementy zachowują się jak jeden elastyczny system. Staje się to możliwe dzięki ciągłemu zwiększaniu przepustowości łączy WAN, które obecnie zapewniają transfer danych na duże odległości z prędkością zbliżoną do sieci LAN. Przewiduje się, że w kolejnych latach SD-WAN będzie zastępować tradycyjne architektury sieciowe bazujące na sprzęcie.

Gdy przedsiębiorstwa stają się coraz bardziej zależne od internetu, muszą też lepiej zadbać o ciągłość działania, zabezpieczając się przed awariami i przestojami. W rezultacie od działów IT wymaga się, by zapewniały wysoką dostępność aplikacji o znaczeniu krytycznym, takich jak narzędzia ERP, systemy ujednoliconej komunikacji i współpracy (UCC) oraz infrastruktura wirtualnych pulpitów (VDI).

W rezultacie jeszcze ważniejsza staje się kwestia wysokiej dostępności (High Availability), czyli zdolności systemu lub jego elementu do nieprzerwanej pracy przez jak najdłuższy czas. Polega to na stworzeniu architektury, która – wykorzystując redundancję i odporność na awarie – umożliwia zachowanie ciągłości działania i szybkie odzyskiwanie pełnej funkcjonalności po przestoju. Wdrażanie takiego środowiska powinno się zacząć od zidentyfikowania i wyeliminowania pojedynczych punktów awarii w infrastrukturze, które mogą spowodować przerwę w świadczeniu usług. Zapobiec temu może użycie nadmiarowych komponentów zapewniających odporność na awarie w przypadku, gdy jedno z urządzeń sieciowych przestanie prawidłowo działać.

Zdaniem specjalisty

Jolanta Malak, Regional Sales Director, Fortinet  

Ochronę przed phishingiem oraz ransomware’em zapewnią dodatkowe zabezpieczenia bramy poczty elektronicznej. Bardzo ważne jest także prowadzenie działań edukacyjnych dotyczących zarówno bezpieczeństwa IT, jak też stosowanych przez cyberprzestępców sztuczek socjotechnicznych wykorzystywanych w atakach phishingowych. W roli nauczycieli bardzo dobrze sprawdzają się firmy partnerskie – mają szerokie praktyczne doświadczenie, a jako zewnętrzny podmiot skuteczniej przyciągają zainteresowanie uczestników. Dobrym pomysłem jest też przeprowadzenie oddzielnych szkoleń dla zarządu i współpraca z nim przy wprowadzeniu procedur ułatwiających zespołowi codzienną pracę oraz postępowanie w sytuacjach zagrożenia.

  
Piotr Borkowski, Senior System Engineer, Veracomp  

W ostatnim czasie przeżyliśmy gwałtowną zmianę, związaną z przejściem na zdalny model pracy. Wymusiła ona interwencyjne zakupy lub modernizację istniejących rozwiązań VPN, tak aby sprostać wyzwaniom wynikającym z dużo większej liczby użytkowników, konieczności zwiększenia wydajności sieci oraz zapewnienia dostępu do wszystkich niezbędnych zasobów. Po kilku miesiącach funkcjonowania w tym modelu warto przyjrzeć się kluczowym aspektom bezpieczeństwa pracy zdalnej, zwracając szczególną uwagę na wieloskładnikowe uwierzytelnianie, kontrolę stacji końcowych oraz dostęp do zasobów serwerowych. Korzyścią ze stworzenia właściwego środowiska pracy zdalnej może być – niejako przy okazji – większe bezpieczeństwo stacji końcowych i posiadanych zasobów informacji.