Pandemie ještě zdaleka nekončí, ale mnoho společností dává najevo, že se možná už nikdy nevrátí k povinnosti zaměstnanců chodit na fyzické firemní pracoviště každý den. Práce odkudkoliv, která obvykle bývala výsadou jen prodejních týmů nebo přespolních pracovníků, by se mohla stát dominantní variantou pro mnoho dalších lidí.
Než se to však stane, musí společnosti položit bezpečnější základy pro vzdálenou spolupráci. Nástroje, které podporovaly příležitostný přístup pro pracovníky na cestách, se musí rozšířit a vylepšit, aby dokázaly přenášet data veškerých pracovních toků firem.
První prioritou je zajistit zabezpečení všech přenosů. Pro podporu vzdálených pracovníků jsou k dispozici následující základní bezpečnostní nástroje a technologie.
- 1. Certifikáty TLS
Když se zaměstnanci přihlašují vzdáleně, měli by používat šifrované připojení. Zajistěte, aby měly weby aktualizované certifikáty TLS a používaly protokol HTTPS pro veškerou komunikaci.
Instalace certifikátů umožňujících šifrované webové připojení už nemůže být snadnější díky úsilí projektů, jako je třeba „Let’s Encrypt“.
Certifikáty nabízející propracovanější záruky, jsou k dispozici od dalších certifikačních autorit jako DigiCert, GeoTrust a Comodo. Bude je prodávat mnoho cloudových providerů i poskytovatelů pronájmů.
- 2. Zero trust
Pokud používáte virtuální privátní síť (VPN), musíte být schopni důvěřovat koncovému bodu. Předplatné domácích VPN není řešením. Mezi dobře zavedené dodavatele technologií pro privátní sítě patří např. firmy Barracuda, Perimeter 81 a WindScribe. Všechny nabízejí tradiční řešení sítí VPN.
Na těchto nástrojích je ale už vidět, že jsou zastaralé, a sítě VPN nejsou nejlepším modelem pro svět, ve kterém neexistuje jasné vymezení, kde pracoviště začíná a kde končí.
Některé organizace proto zavádějí model zero trust, který předpokládá, že se všichni zaměstnanci přihlašují z nebezpečných míst, řekněme z kavárny, ve které může být místní síť Wi-Fi kompromitovaná skupinou hackerů. Všechny pakety tedy procházejí nepřátelským územím.
Tento opatrný postoj se musí týkat nejen bitů procházejících sítí. Mnoho aplikací pro firemní prostředí se totiž navrhuje s předpokladem, že budou fungovat v zabezpečené síti, protože nějaký firewall či jiné nástroje pro řízení přístupu odfiltrují nebezpečné pakety.
Toto staré paradigma silného perimetru vývojářům umožňovalo ignorovat aspekty zabezpečení.
Přechod na architekturu zero trust vyžaduje změnu přístupů. Todd Thiemann, viceprezident marketingu ve společnosti Hyas zaměřené na Threat Intelligence, prohlašuje, že „Perimetr je kompletně mrtvá metodika. Pokud se spoléháte na zabezpečení prostřednictvím brány, nesledujete veškerý provoz protékající dovnitř a ven v koncových bodech na pracovištích v domácnostech.“
Vývojáři musí důkladně prostudovat kód, aby našli místa, kde staré předpoklady neplatí. Například – reaguje webová aplikace na jakýkoliv požadavek pro danou adresu URL? Předpokládá, že budou správnou adresu URL pro stahování souborů znát jen důvěryhodní lidé? Mají všechny osoby s účtem v počítači oprávnění správce?
To všechno jsou běžná zjednodušení, která mohou být v pořádku v důvěryhodné síti, ale jsou katastrofou v otevřeném prostoru.
Architekti budou muset přezkoumat svůj kód s ohledem na plánované přijetí paradigmatu zero trust. Některý kód lze opravit přidáním kontrol pro řádnou autentizaci, ale jiný může vyžadovat významné přepracování návrhu. Jedním z přímočarých řešení je zabezpečení dat, když se nepoužívají.
„Máme velký provoz na platformě Azure a veškerá data v úložišti máme šifrovaná,“ popisuje Thiemann. „Nejsou to přitom osobní ztotožnitelné údaje nebo citlivá data zákazníků. Děláme to z jiného důvodu – šifrování dat při přenosech a v úložišti je prostě nejlepší metodou.“
Platforma Azure, stejně jako všechny významné cloudy, nabízejí různé možnosti zabezpečení dat. Oracle, stejně jako další dodavatelé databází, distribuuje sadu SDK s kódem pro jazyky Python a Java pro zjednodušení procesu. Žádný útočník nemůže využít přístup k souborovému systému či síti, protože data jsou uzamčená.
- 3. SASE (Secure Access Service Edge)
Dalším způsobem, jak přepracovat existující aplikace pro publikum na otevřeném internetu, je přidání speciálního vrátného (gatekeeper), kde budou muset uživatelé a jejich požadavky na data prokázat svou skutečnou identitu a právo přístupu.
Jedním z rostoucích architektonických modelů tohoto chytrého celopodnikového filtru je proces, který někteří dodavatelé nazývají jako SASE (Secure Access Service Edge).
Tento vrátný je mnohem chytřejší než základní firewall. Dokáže používat stavové filtrování přezkoumáním dat uvnitř požadavků a na základě takových údajů dělat inteligentní rozhodnutí.
Tato nová vrstva se může přidat na ochranu libovolných webových služeb, včetně mnoha takových, které mohou být hostované vně firmy v cloudu. Počítače uživatelů komunikují jen s vrátným SASE a ostatní služby odpovídají jen na požadavky, které tento vrátný zkontroloval.
Nástroje od firem jako Citrix, Palo Alto Networks a McAfee sledují uživatele v průběhu času a rozhodují o přístupu ke všem službám, přestože se nenacházejí ve stejném místě či ve stejném cloudu.
- 4. Cloudové aplikace a úložiště
Vzdálené počítače zaměstnanců se nemohou stát regulérním místem ukládání citlivých dokumentů a dat. Zaměstnanci by neměli k práci s citlivými informacemi používat nešifrované externí disky ani jiný hardware a ponechávat data na místech, kde by se k nim mohli dostat zloději. Ransomware je i nadále vážnou hrozbou – může zničit vzdálená data.
Poskytovatelé služeb vzdáleného úložiště jako např. Dropbox nabízejí možnosti šifrování pro další zabezpečení dat při ukládání. Vývojáři by měli pravidelně ukládat kód do repozitářů jako GitHub, GitLab či Bitbucket. Datoví analytici by zase měli používat řešení jako Saturn Cloud, Matrix DS či Collaboratory.
Mnoho společností se posouvá k webovým verzím populárních kancelářských nástrojů, jako jsou Google Workspace (dříve G Suite) či Microsoft Teams. Jsou flexibilní a jejich zavedení pro velké týmy je relativně snadné, ačkoli podrobnosti zabezpečení stále nejsou zcela pochopeny.
Zatímco významné společnosti zaměstnávají velké bezpečnostní týmy, model dodávání kódu do prohlížečů se stále vyvíjí. Například Google zažil trapný únik soukromých dokumentů.
Vývojáři stále plně nerozumí složitosti zabezpečení kódu běžícího v prohlížeči, kdy může dojít k injektáži kódu prostřednictvím rozšíření či konzoly. Tyto nástroje, jako všechny ostatní, by měly být sledovány na výskyt zranitelností a potenciálních problémů.
- 5. Vícefaktorová autentizace
Jednou z prvních výzev bude identifikace uživatelů. Staromódní hesla sice mohou pro důvěryhodné pracoviště stačit, ale přidání další bezpečnostní vrstvy je lepší.
Nejjednodušším řešením je vyžadovat druhou úroveň autentizace, jako například přes mobilní telefony zaměstnanců. Někteří poskytovatelé služeb jako Twilio, Vonage, Plivo a Telnyx nabízejí rozhraní API pro širokou řadu komunikačních prostředků včetně zasílání zpráv SMS.
Sofistikovanější řešení používají aplikace spuštěné lokálně v mobilním zařízení, které mohou generovat jednorázová hesla na základě času. Nástroje jako např. Google Authenticator, FreeOTP a LinOTP si uloží sdílené tajemství při prvním použití a následně ho používají ke generování nového hesla podle času, při kterém se uživatel chce přihlásit.
Vzestup malwaru na mobilních telefonech zvýšil zájem o specializované hardwarové tokeny schopné používat šifrování a autentizační algoritmy uvnitř speciálního hardwaru.
Řešení typu RSA SecurID, Yubikey nebo Onlykey nejsou zranitelné prostřednictvím útoků schopných proniknout do operačních systémů desktopových a mobilních zařízení. Nabízejí tak zvýšenou bezpečnost za cenu používání dalšího fyzického předmětu.
- 6. Správa identit a přístupu
Nástroje pro vícefaktorové ověřování (MFA, multi factor authentication) musí úzce spolupracovat s podnikovými aplikacemi, což je výzva pro interní vývojáře, kteří tomu budou muset přizpůsobit místní kódovou základnu.
Některé týmy začínají využívat služby správy identit a přístupu (často nazývané „identita jako služba“ nebo „autentizace jako služba“), které jsou navržené pro snadnou integraci s libovolnou kódovou základnou.
Software od společností jako Auth0 či Okta používá pro správu identit a přístupu nejlepší algoritmy a umožňuje interním vývojářům firmy soustředit se na firemní logiku.
Například Auth0 nabízí sadu příkladů pro rychlý začátek, která umožňuje vývojáři zkopírovat pár řádek kódu a zabezpečit tím vše v aplikaci. Kód od společnosti Auth0 přidá přihlašovací dialog a následně servery Auth0 zkontrolují heslo a vynutí libovolná silnější pravidla – například povinnou dvoufaktorovou autentizaci.
Pokud potřebujete spustit mobilní aplikaci nebo odeslat SMS, servery Auth0 to zajistí. Když je vše v pořádku, dojde k předání kontroly zpět vaší aplikaci.
Okta nabízí podobnou sadu služeb a používá pojem „stroj pro identitu (identity engine)“ pro testování subjektu vyžadujícího přístup. Používá sadu nástrojů pro správu a autentizaci ve flexibilním procesu, který zjednodušuje vytváření účtů a udělování správného přístupu jejich vlastníkům.
Tyto kroky lze nakonfigurovat a mohou obsahovat řadu možností jako např. sledování konkrétního notebooku či telefonu uživatele, aby se rozšířila kontrola nad rámec samotného hesla.
Tyto společnosti také zjednodušují práci se všemi účty pomocí informačních a řídicích panelů pro sledování uživatelů, přidávání nových účtů a nastavování přístupových rolí. Vývojář může pomocí předem testovaného kódu přidat důmyslnou vrstvu, která se stará o identitu a autentizaci.