Як зробити віддалений доступ захищеним. Альтернативи VPN

Поговоримо про таку тему, як захист віддаленого доступу. Розглянемо варіанти.
І відразу позначимо, що VPN це не найкращий варіант.

Photo by Elf-Moondance on Pixabay

Підписуйтесь на нас у Facebook, Telegram, Twitter чи Instagram, щоб бути у тренді!

VPN – віртуальні приватні мережі дали базу для захисту віддалених членів команд, коли більшість із них працювали в офісах у традиційному розумінні.
Зміщення до повновіддаленої роботи, яке стало глобальним через пандемію, значно вплинуло на ситуацію в цьому питанні. З періоду 2020 року для величезної кількості людей стало звичайною справою віддалено працювати на постійній основі. І якщо походи в офіс і відбуваються, то рідко й у разі особливої ​​потреби.
Застосування віртуальних приватних мереж у таких масштабах було непередбачуваною обставиною. І для фахівців ІТ стало справжнім головним болем. Оскільки рішення використовувалися найзагальніші – і пристроям і підключенням окремим користувачам – надавалися без належного протоколу безпеки.

Зважаючи на те, що віддалена робота вже стала нормою і в майбутньому це зміниться з дуже малою ймовірністю, бізнесу потрібно оцінити ризики VPN та розглянути альтернативи для забезпечення надійних підключень для своїх співробітників, партнерів, суміжних виконавців та клієнтів.

Екскурс

VPN розширює мережу компанії. І якщо ця мережа небезпечна, ймовірність атаки через вразливість зростає, тому що де є сліпі зони у захисті, там і буде витік. Це неприпустимі ризики, які потрібно виключити. Віртуальні приватні мережі шифрують трафік даних від однієї точки до другої. І це вимагає окремого стека, повністю автономного, що перевіряє трафік і, зрозуміло, безпечного. Така норма складна, у зв’язку з тим, що корпоративні ресурси бізнесу часто розташовуються у хмарі, до якої дозволено доступ для багатьох віддалених співробітників.

Окремо варто зауважити, що такі мережі не дають гарантії, що доступ не отримуватимуть треті особи.
Левова частка VPN за замовчуванням шифрує трафік нехитрим способом і майже ніколи не вимагає автентифікації. Якщо робоча машина людини буде скомпрометована у віддаленому режимі, в офісі або де завгодно – велика ймовірність, що зловмисники матимуть доступ до мереж корпорації за допомогою VPN з урахування довіреного співробітника. Ці вразливості відомі та спеціально використовуються для проникнення. Якщо комп’ютер несправний або заражений шкідливим програмним забезпеченням, наприклад, ботнетом, бeкдором або трояном – то невідомий повністю замінює собою користувача й отримує доступ до всього, що довірено, громадянину, який нічого не підозрює.

Відносна безпека за таких сценаріїв може бути досягнута при своєчасних оновленнях. І навіть якщо ваші пристрої пропатчені та у вас найпросунутіший VPN – цього не завжди достатньо. Про ризики та наслідки знають багато хто, хто зіткнувся хоч раз з атакою не в пізнавальній статті, а в реальному житті.
Також VPN має низку недоліків. І це швидкість підключення, продуктивність процесів, затримки, аварійні відключення. І це надмірно ускладнює робочі процеси, тому що багато бізнесменів застосовують корпоративні віртуальні приватні мережі.

Цілком достатньо, щоб розглянути альтернативи.

Альтернативи

Доступ Zero Trust, який ми розглядали нещодавно у нашому блозі. Цей варіант можна використовувати разом з VPN, як його невід’ємне доповнення.
Щоб прийняти контрзаходи, у разі потреби.

Оскільки метод попереднього пункту є лише частиною рішення, необхідно доповнити комплекс заходів Secure access service edge – SASE. Це хмарна модель захисту і вона є мережею, яка включає як компоненти безпеки в архітектурі, так і набір інструментів для уніфікації. Тут є підвищена прозорість процесів та гнучкість, яка так потрібна в ІТ.

SDP – Session Description Protocol. Мережевий протокол прикладного рівня. Це розширена версія доступу зеро траст, яка є межею мережі, заснована на ПЗ, а не на залозі, у звичайному розумінні. Це відмінна заміна VPN, яка забезпечує багаторівневу автентифікацію та сегментує мережі. І як вишенька на торті – створення профілів співробітників з набором доступів під конкретні завдання разово або на період. Це знижує ризики завдання шкоди й не заважає продуктивності, якщо тривога помилкова.

SD-WAN – software-defined wide area network. Програмно-визначувана глобальна мережа здійснює блокування доступів при підозрілій поведінці чи порушенні протоколу. Тут упор зроблено на ПЗ та централізоване управління, яке на іншому якісному рівні розподіляє трафік. А саме: традиційні маршрутизатори замінюються віртуальними, які управляються програмами та дають накладання мережі на широкосмугові канали MPLS – multiprotocol label switching.

UEM – Unified endpoint management. Уніфіковане керування кінцевими точками. Це інструмент, за допомогою якого забезпечується робота у віддаленому режимі, у якому агент оцінює повноваження, як надати доступом до певного ресурсу. Це рішення може бути інтегроване в ZTNA, що так уподобався багатьом. Так-так, це знову система зеро траст.

VDI чи DaaS – віртуалізація робочих місць. Усі потужності обчислень виходять із хмари чи сервера, тому нічого в цій системі кінцевого користувача не є локальним. Це хороший варіант і тут потрібно плюсувати інші продукти з автентифікації як додаток. Безперечним плюсом тут є те, що дані в жодному разі не можуть бути скопійовані на локального клієнта.

IAM – Was ist Identity Access Management. Перевірка правильності входу до системи. І це не тільки про звичну автентифікацію та ідентифікацію. Це керування ідентифікацією. І полягає в тому, що сам сеанс, його активність та надані привілеї прив’язані адресно до певного користувача. З цього стає очевидним, що адміністратори системи впевнені на всі сто, що доступ користувача та авторизація справжні.

Це системи контролю з більшою обережністю.

Зміна, обфускація – obfuscare паролів, моніторинг дій – все це знижує ризики несанкціонованого доступу до привілейованих облікових даних та мереж.

У нас же ви отримаєте надійний захищений хостинг, класний домен і SSL-сертифікат