Přes zeď (bezpečně) k datům

Firmy vynakládají nemalé prostředky na zabezpečení své infrastruktury, ze své interní sítě se snaží vybudovat nedobytnou pevnost. Pokud se jim to podaří, pak je problém se nakonec k datům dostat.

Přes zeď (bezpečně) k datům


(Partnerský příspěvek)

Ochrana síťové infrastruktury. To je samý firewall, VPN, DMZ apod. Firmy vynakládají nemalé prostředky na zabezpečení své infrastruktury, ze své interní sítě se snaží vybudovat nedobytnou pevnost. Pokud se jim to podaří, pak je problém se nakonec k datům dostat. Přístup bývá možný pouze na pracovištích firmy nebo prostřednictvím VPN. Je to samozřejmě pochopitelné, firmy si chrání svoje know-how. Ale nakonec se ukáže, že je potřeba k datům v interní síti pustit externisty. Obvykle se využívá opět VPN.

Takhle bylo možné řešit zabezpečení interní sítě ještě nedávno. Dnes je doba mnohem dynamičtější a požadavky na přístup k datům v interních sítích odkudkoliv a kdykoliv jsou zcela běžné. Nejenom ze strany externích spolupracovníků, ale zejména od managementu firmy, pracujícího již téměř výlučně s mobilními zařízeními. Stejné požadavky mají také obchodníci nebo například často cestující zaměstnanci firmy.

Kdo tedy představuje nebezpečí pro interní infrastrukturu? Je třeba si nejprve určit, jak může být IT infrastruktura vlastně ohrožena, odkud a kým. V podstatě rozeznáváme dvě kategorie nebezpečí, a to vnější a vnitřní. Vnějším nebezpečím, resp. nepřítelem může být prakticky kdokoliv od hackera až po konkurenci. Vnitřním nebezpečím bývá zpravidla někdo z firmy, kdo pracuje v perimetru interní infrastruktury, a má tak přístup k datům. Přitom je to člověk, kterému vlastně důvěřujeme. Ohrožení nemusí tedy přijít pouze zvenčí. Je nutné brát v úvahu i ohrožení zevnitř. I když vystavím sebelepší ochranný val, jeden nepřítel uvnitř ho může snadno „zbourat“.

Samozřejmě že i nadále budou hrát důležitou roli firewally a další podobná zařízení. Mnohem větší důraz bude ale kladen na správu uživatelů, rolí jim přidělených a zejména kontrole jejich přístupu.

Pouze se správně implementovaným Identity Managementem (IDM) mohu mít ucelený přehled o uživatelích přistupujících k systémovým zdrojům. Přidělením oprávnění každému jednotlivému uživateli, tedy zařazením uživatelů podle rolí, pak řídím jejich přístup ke zdrojům. Dosáhnu tím stavu, kdy mám přehled, kdo přistupuje k datům, a jsem schopen hlídat, zda nedochází k neobvyklým stavům. Současně mohu v reálném čase vyhodnocovat systémové logy, a být tak schopen v případě ohrožení okamžitě reagovat. Přitom je jedno, zda se jedná pouze o alarm kvůli pokusu o neoprávněný přístup nebo o nějaký útok.

Jedno z komplexních ucelených řešení představuje např. kombinace NetIQ Identity Manager + Roles Based Module pro zajištění správy uživatelů a jejich rolí s komponentou Access Gateway (AGW) a Sentinel Log Managerem.

Toto řešení v sobě spojuje všechny potřebné prvky pro zajištění správy uživatelských účtů, správy uživatelských rolí, kontrolu jejich přístupu na základě rolí a logování všech událostí. Lze je dokonce využít i pro kontrolu přístupu různých externích pracovníků. Nemusíme pracně „budovat“ pro každého externistu VPN tunel, pohlídáme si ho přes nastavení rolí, tedy přidělená oprávnění. K datům pak uživatel přistupuje až poté, co jej AGW autentizuje a autorizuje. Navíc AGW umožňuje sjednocení způsobu zabezpečení u aplikací například s použitím OTP nebo certifikátu i tam, kde to aplikace samy neumožňují.

Sentinel Log Manager sbírá systémové logy, vyhodnocuje je, hledá korelace mezi událostmi, čímž hlídá neobvyklé stavy. Tím nejjednodušším příkladem neobvyklého stavu může být přihlášení se uživatele v krátkém čase ze dvou různých IP adres.

Ochrana interní sítě a zdrojů, tedy dat, dnes začíná u uživatelů. Na ty je potřeba pamatovat a počítat s dostupností zdrojů odkudkoliv a kdykoliv při zajištění odpovídající úrovně zabezpečení. Informační systémy mají sloužit uživatelům a ne naopak.

Nasazením identity managementu, správou rolí a kontrolou přístupu uživatelů lze dosáhnout stavu, kdy je eliminováno vnitřní nebezpečí. O činnosti každého jednotlivého uživatele je veden systémový záznam, uživatel tak již není anonymní. Jakmile udělá nějaký nestandardní krok, může být on-line prostřednictvím Sentinelu informován například service desk, který například okamžitě zablokuje danému uživateli přístup.

Málokdo si uvědomuje, že také administrátoři jsou uživatelé. Schválně – kolik jich u vás přistupuje do interní sítě vzdáleným přístupem? Tedy přes VPN. Nejspíš všichni. Troufám si tvrdit, že všichni přitom běžně používají jedno root heslo. V takovém případě se pak velmi těžko zjišťuje, který administrátor způsobil pád serveru či dokonce smazání obsahu databáze.

Jak jsem uvedl, administrátoři jsou rovněž uživatelé a je potřeba je rozlišit. Každý uživatel přece odpovídá sám za sebe. Proto jim samozřejmě věnujeme pozornost při řešení správy uživatelů. Využíváme k tomu produkt Privileged User Manager od NetIQ. Každému administrátorovi je přidělen jeho vlastní účet pro root přístup k serverům. Jsme tak schopni spravovat skutečně všechny uživatele a efektivně řídit jejich přístup k interní síti.

A co udělat s externími uživateli? Setkal jsem se poměrně nedávno s případem, kdy externistům byly pro zajištění přístupu do interní sítě vytvářeny VPN tunely. Bylo to náročné a zdlouhavé. Naproti tomu řešení s použitím Access Gateway přináší možnost „opřít“ se kromě vlastního identitního prostoru, ve kterém jsou zpravidla uživatelé dané organizace, také o další zdroj identit.

V rámci českého e-governmentu máme hned dva důvěryhodné zdroje identit. Prvním je Jednotný identitní prostor (JIP) Czech POINT, kde je přes 100 000 uživatelů z řad úředníků orgánů veřejné moci. Tím druhým je Jednotný identitní prostor Informačního systému datových schránek (ISDS), ve kterém je přes 900 000 uživatelů včetně zástupců právnických osob, živnostníků a občanů.

Pro přístup externích pracovníků do interní sítě organizace pak lze využít tyto důvěryhodné zdroje identit. Access Gateway provede při přihlašování takového uživatele ověření u zdroje identit a až poté uživatele pustí do systému. Tak jak si firma hlídá své interní uživatele, stejně postupuje správce důvěryhodného zdroje identit. Využití důvěryhodného zdroje identit zatím u nás není obvyklé. Častěji se setkáme s využitím identit ze sociálních sítí. Je to paradoxní, protože pod sociální identitou se může ukrývat kdokoliv, není možnost skutečnou identitu ověřit. Kdežto u JIP Czech POINT nebo ISDS jsou identity ověřovány vůči Registru obyvatel.

V souvislosti s rozvojem e-gov. systémů, ale i celkovou globalizací je více než pravděpodobné, že i firmy nakonec přijmou uživatele s důvěryhodnou identitou, například z JIP Czech POINT a ISDS, případně eID, kde občan použije k autentizaci svůj občanský průkaz a bezpečnostní ochranný kód (BOK).

Je tedy nezbytné počítat již v etapě návrhu řešení ochrany síťové infrastruktury také s uživateli a s jejich přístupem. Aby se uživatel i s tabletem dostal k datům v interní síti odkudkoliv a kdykoliv. Ochranná zeď interní infrastruktury bude bezpečná jedině tehdy, bude-li možné jednoznačně autentizovat a autorizovat přistupující uživatele.

Martin Řehořek, výkonný ředitel NEWPS.CZ

 

Úvodní foto: © Sean Gladwell - Fotolia.com










Komentáře