Freigeben über


Nepřeceňujte firewall a síť, identita je váš nový perimetr

Klasická bezpečnost byla o zdi mezi zlem a dobrem. Firewally, oddělené sítě, chytré síťové krabičky. Klíčem k zabezpečení „na vstupu“ byl drát, způsob připojení. V dnešním světě mobility a cloudu se ale stává novým perimetrem identita. Velmi často se ocitám v diskusích na téma, že PaaS služby mají veřejné endpointy, a proto to prý není bezpečné. Azure nabízí možnosti jak přístupy síťově svázat a rád se o nich pobavím. Neměli bychom ale o dost víc energie věnovat raději novému perimetru, tedy identitě?

Obvyklý postup útoku už často není o hackování firewallu

Když si čtu jak dnes probíhá útok nejčastěji, je to jiné, než dříve. Většina případů nezačíná dírou na firewallu, prolomením serverů nebo zranitelností webové aplikace, ale útočník se orientuje na uživatele a jeho identitu. Používá phishing, podvodné emaily, atraktivní stránky s malware či podvodné volání (klasický telefonát – ahoj Tome, tady IT; tvůj účet byl napaden a potřebujeme si ověřit údaje, abychom předešli jeho zneužití … stačí nám tvoje heslo, posíláme link na formulář 🙂  ).

Cílem útočníka v takovém případě není firewall, ale identita. Potřebuje se dostat k identitě uživatele. S tou následně pokračuje dál, například ji využije k sofistikovanějším phishing útokům (už jsou „zevnitř“ firmy), scanuje aplikace, zkoumá na jaké další systémy se lze s účtem dostat a postupně se prokousává dál až k serverovým systémům a datům.

Identita vs. síť jako perimetr

Síťový přístup k perimetru se dá docela dobře realizovat v situaci, kdy uživatelé mají desktop v kanceláři a tím to končí. S tím ale už dnes nevystačíte. Uživatel má notebook a z hlediska produktivity požaduje i připojení v jídelně. Hmm, tak přidáte dobře zabezpečenou WiFi, že. Ale on chce i z domova. Fajn, tak asi nějakou VPN. Pak se ale přijde na to, že pro řízení HR bude skvělé pořídit nějakou SaaS aplikaci. Ta není uvnitř vašeho perimetru a možnost dotáhnout si vlastní VPN k SaaS providerovi většinou není. V takovém SaaS modelu dříve či později bude firma uvažovat o HR, účetnictví, emailech i modernější komunikaci, správě a sdílení dokumentů a jejich bezpečnosti, CRM, ERP, o marketingu. Ve svých firemních aplikacích bude dříve či později firma využívat i veřejný cloud a přestože IaaS dává velký smysl, postupně bude přicházet na to, že s využitím PaaS dokáže být daleko rychlejší a čas investovat raději do toho, co ji odlišuje od konkurence. Místo stavění a správy databázových serverů, kontejnerových clusterů, Hadoopů a Sparků, se pustí do řešení aplikací a dat a podvozek si vezme jako službu. PaaS služby jsou ale typicky postavené tak, že běží na public endpointech. Obvykle máte možnosti je nějak síťově svázat a dostat za váš síťový perimetr, typicky to má nějaká omezení ve funčknosti nebo vede k vyšší cenně (někdy můžete mít celou službu pro sebe ve svém VNETu, ale pak nevyužijete výnosů z rozsahu, tzn. je to o dost dražší).

Udržet síťový perimetr v éře mobility a cloudu a je čím dál složitější. Odpovědí je soustředit se na identitu.

Váš uživatel může být kdekoli – ve firmě, v kavárně, doma nebo v taxíku. Aplikace, které mu jako firma nabízíte, mohou být také kdekoli – ve vašem datovém centru, v privátní prostředí Azure, v platformní službě nebo u SaaS poskytovatele. Vaši zákazníci jsou asi také kdekoli – uvnitř partnerské firmy připojené k vám zabezpečeným způsobem, v jídelně, doma. Co tohle všechno spojuje je právě identita. To je brána k aplikacím. To je váš nový perimetr.

Identita není jen přihlášení

Jednotná identita

První co budeme chtít je jednotná identita. Pokud má váš uživatel deset hesel do různých aplikací, najdete v jeho peněžence deset lístečků se zapsanými hesly (což není moc bezpečné, že). Jednotnost identity ale není jen ve vztahu vašich zaměstnanců s aplikacemi, které využívají. Totéž platí pro identity vašich obchodních parnerů. Pokud jim „uděláte účet“, najdete ho opět u nich v peněžence. Svatý grál je jednotná identita spravovaná mou domovskou organizací, která je použitelná pro přístup k partnerským řešením.

Pokud jsou obě organizace v cloudu, použijte Azure Active Directory B2B (a pro koncové zákazníky B2C). Nasaďte Cloud App Discovery pro nalezení aplikací, které jsou vhodným kandidátem na sjednocení přístupů. Pokračovat ve čtení