Telepraca stała się normą, w związku z czym konieczne okazało się wpisanie przez działy IT na listę priorytetów kwestii dotyczących bezpieczeństwa zdalnego dostępu. W tym kontekście naprawdę poważnym wyzwaniem jest uzyskanie pewności, że dany użytkownik jest rzeczywiście tym, za kogo się podaje. Tym bardziej, że pracownicy często wykonują służbowe zadania przy użyciu swoich osobistych urządzeń. A tam działają aplikacje, które same z siebie mogą sprowadzić na firmę takie czy inne zagrożenie.

Ulubiony przez hakerów sposób na niezauważone przeniknięcie do firmowej infrastruktury IT odbywa się dzięki kradzieży danych uwierzytelniających, zwłaszcza z konta uprzywilejowanego. Aby temu zapobiec, przedsiębiorcy (czy instytucje) powinni stosować rozwiązania typu Identity and Access Management (IAM), które zapewniają dodatkową warstwę ochrony poprzez dodanie uwierzytelniania wieloskładnikowego w przypadku, gdy – dajmy na to – hasło do VPN-a jest zagrożone. Niemniej należy zwrócić uwagę na fakt, że systemy IAM identyfikują tylko poszczególnych użytkowników i nie umożliwiają szczegółowego administrowania uprawnieniami przypisanymi do poszczególnych zasobów w sieci. Do tego celu należy skorzystać z rozwiązań PAM.

Sam VPN nie wystarczy

Narzędzie WALLIX Bastion gwarantuje bezpieczny zdalny dostęp dla uprzywilejowanych użytkowników. Dodatkowo moduł Access Manager stanowi bardzo dobrą alternatywę lub dodatek do tradycyjnych narzędzi VPN, przy czym jest od nich prostszy i tańszy w konfiguracji oraz zapewnia możliwość bardziej szczegółowego nadzoru nad działaniami osób uprzywilejowanych. Rejestruje też te działania w celach audytowych. W przypadku incydentu dostarcza dane do szczegółowego prześledzenia kto, co i kiedy zrobił, aby możliwe było podjęcie jak najszybszego działania. Ważne jest jednak to, że z firmowej sieci nie należy usuwać mechanizmu VPN, jeśli jest już wdrożony. Funkcja Access Manager jest zalecana jako dodatek do VPN-a, zaś jej stosowanie jest wręcz koniecznością, jeśli w firmie nie korzysta się z tego rozwiązania.

WALLIX Bastion wyposażono także w menedżera haseł, który pozwala uniknąć ryzyka dzielenia się danymi do logowania pomiędzy pracownikami zdalnymi (w badaniach do tego typu praktyk przyznaje się ok. 50 proc. ankietowanych). Menedżer haseł generuje je w sposób automatyczny, z uwzględnieniem ustalonego stopnia złożoności i gwarantuje też ich zmianę w określonych odstępach czasu.

Główne przewagi PAM nad sieciami VPN  

 

  • Pełna kontrola nad zaawansowanymi użytkownikami.
  • Wykrywanie w czasie rzeczywistym zagrożeń i podejrzanej aktywności w ramach sesji.
  • Możliwość centralnego przyznawania poświadczeń dostępu i modyfikowania ich przez zespoły IT.
  • Zapobieganie niewłaściwemu wykorzystaniu oprogramowania i sprzętu poprzez ograniczanie uprawnień i rotację kluczy SSH.
  • Wykrywanie podatności poprzez analizę kontekstu i identyfikację wzorców.
  

Dostęp z ograniczonym zaufaniem

Rozwiązanie typu PAM można połączyć z narzędziami EPM (Endpoint Privilege Management) do ochrony urządzeń końcowych pracowników zdalnych. Bazują one na koncepcji modelu bezpieczeństwa „zero trust” przez co zakładają, że potencjalnie każdy system może być infiltrowany. Wdrażają wewnętrzne zabezpieczenia, aby zapewnić, że system nie może zostać uszkodzony przez infiltrację spoza sieci korporacyjnej.

Taką zasadę najmniejszego uprzywilejowania zastosowano w rozwiązaniu WALLIX BestSafe. Dzięki temu każdy użytkownik, aplikacja i proces mają dostęp tylko do tych informacji i zasobów, które są niezbędne do wykonania konkretnej operacji. Ograniczenie to nie ma jednak żadnego wpływu na biznesową działalność pracowników. Mogą oni normalnie wykonywać swoje obowiązki, uruchamiać wymagające uprawnień aplikacje korporacyjne, a nawet instalować oprogramowanie z firmowej witryny, pod warunkiem, że nie jest ono zablokowane dla danego użytkownika przez dział IT. Nowość stanowi jedynie to, że do wszystkich tych operacji nie muszą mieć uprawnień administratora.

Dodatkowe informacje: Paweł Rybczyk, Territory Manager CEE/CIS, WALLIX, prybczyk@wallix.com