VPN skomírá – ať žije zero trust

Tradiční řešení VPN (Virtual Private Network) se začíná postupně nahrazovat chytřejším a bezpečnějším přístupem k zabezpečení sítě, který přistupuje ke každému se stejnou nedůvěrou – zero trust.

VPN skomírá – ať žije zero trust


Obecně uznávané řešení VPN, které po celá desetiletí poskytovalo vzdáleným pracovníkům zabezpečený šifrovaný tunel do podnikové sítě, čelí nižšímu zájmu s tím, jak podniky migrují na agilnější bezpečnostní rámec nazývaný zero trust (nulová důvěra), který se lépe hodí pro dnešní svět digitálního fungování firem.

Sítě VPN jsou součástí bezpečnostní strategie založené na perimetru sítě, kde jsou důvěryhodní zaměstnanci uvnitř a ti nedůvěryhodní venku.

Tento model však už nefunguje v moderním firemním prostředí, kde mobilní zaměstnanci přistupují k síti z různých míst uvnitř i zvenku a kde firemní aktiva už neleží za zdmi podnikového datového centra, ale jsou v multicloudových prostředích.

Gartner předpovídá, že do roku 2023 přestane 60 % podniků využívat většinu svých sítí VPN ve prospěch přístupu k síti s konceptem zero trust, který může mít podobu brány nebo zprostředkovatele, jenž autentizuje zařízení i uživatele dříve, než dovolí přístup na základě rolí a se zohledněním kontextu.

Přístup k zabezpečení využívající perimetr sítě má celou řadu nedostatků. Vůbec neřeší útoky zevnitř. Nehodí se také pro smluvní partnery, třetí strany a partnery z dodavatelského řetězce.

Pokud útočník někomu ukradne přihlašovací údaje pro VPN, může tak získat přístup do sítě a zcela volně se v ní pohybovat. Sítě VPN navíc během času začaly být složité a obtížně zvladatelné.

„Se sítěmi VPN je spojeno mnoho těžkostí,“ říká Matt Sullivan, bezpečnostní architekt společnosti Workiva zaměřené na podnikový software. „Jsou nepraktické, zastaralé, vyžadují velký rozsah správy a jsou i poněkud nebezpečné.“ 

Na ještě základnější úrovni lze říci, že každý pozorovatel stavu současného podnikového zabezpečení chápe, že cokoli nyní děláme, prostě nefunguje.

„Bezpečnostní model založený na perimetru selhal,“ tvrdí Chase Cunningham, analytik společnosti Forrester. „Nikoli však z nedostatku úsilí nebo nedostatku investic, ale jen proto, že je postavený jako domeček z karet. Pokud selže jedna věc, vše ostatní se stává obětí. Myslí si to každý, s kým mluvím.“

Ve Forresteru tehdejší analytik Jon Kindervag, nyní pracující ve společnosti Palo Alto Networks, vyvinul framework zero trust už v roce 2009.

Myšlenka je přitom jednoduchá: nedůvěřovat nikomu. Ověřovat každého. Vynucovat přísné zásady řízení přístupu a správy identit, které omezují přístup zaměstnanců jen na prostředky, které jsou potřebné k jejich práci a k ničemu dalšímu.

Garrett Bekker, hlavní analytik společnosti 451 Group, dodává, že zero trust není produkt ani technologie – je to jiný způsob pojetí zabezpečení.

„Lidé stále nerozumějí tomu, co to znamená. Zákazníci jsou zmatení a dodavatelé se neshodnou, co vlastně zero trust znamená. Jsem ale přesvědčen, že má potenciál radikálně změnit způsob zajišťování zabezpečení.“

 

Zavádění zero trust

Navzdory faktu, že zde rámec zero trust existuje už více než deset let a získal trochu zájmu, jeho popularita začala růst v podnicích teprve až v posledním roce. Podle nedávného průzkumu společnosti 451 Group se ale zatím vydalo na cestu ke konceptu zero trust jen asi 13 % podniků. Jedním z klíčových důvodů je, že v této oblasti zaostávají dodavatelé.

Ukázkový případ úspěchu konceptu zero trust se datuje do roku 2014, kdy Google oznámil svou iniciativu BeyondCorp. Google do své podoby implementace zero trust investoval velké množství času a peněz, ale podniky toho nedokázaly využít, protože prostě nejsou Google.

Zero trust však nyní získává větší pozornost. „Technologie konečně dohnala vizi,“ prohlašuje Cunningham. „Před pěti až sedmi lety jsme neměli schopnosti, které by tyto typy přístupů umožnily. Začínáme vidět, že už je to možné.“

V současné době dodavatelé směřují ke konceptu zero trust všemi možnými způsoby. Například nejnovější zpráva Forrester...

Článek pokračuje v nejnovějším tištěném Security Worldu. Ten i starší čísla si můžete objednat na adrese našeho vydavatelství.

Úvodní foto: © Tommi - Fotolia.com



Vyšlo v SecurityWorld 1/2020








Komentáře