Trendy vzdáleného přístupu

Poskytovat vzdáleným uživatelům a obchodním partnerům pohodlný přístup do podnikových zdrojů při zachování absolutní bezpečnosti informací a infrastruktury je dnes obrovskou výzvou. Dočasná pracovní místa – jako již uvedené internetové kiosky v hotelích nebo na letišti, WiFi hotspoty či neudržované domácí počítače – přináší pracovní informace do míst s mnohem vyšším rizikem.

Jelikož podniková zařízení jsou spravována a kontrolována IT oddělením, je zajištěno, že mají nejnovější softwarové záplaty a aktuální bezpečnostní software (antivirus, firewall, …). Ostatní zařízení mimo rámec kontroly podniků mohou používat neaktuální, funkčně omezený nebo zcela žádný bezpečnostní software. Proto musí řešení vzdáleného přístupu počítat jak s kontrolovanými, tak i nekontrolovanými zařízeními.

V minulosti přistupovali vzdálení uživatelé k informacím pomocí klienta virtuální privátní sítě (VPN), který měli nainstalovaný na svém podnikovém notebooku. Počítače i přenášené informace byly zabezpečeny osobním firewallem a programem pro dodržování bezpečnostních politik, který byl často součástí VPN klienta. Dnes se stále častěji používá SSL VPN bez klienta, jelikož poskytuje mnoho výhod, jako například možnost přístupu k informacím prostřednictvím standardního webového prohlížeče. Takovéto spojení má ale svá rizika, jelikož administrátoři nemají přehled o softwarové výbavě daného zařízení, které jej může nechat zranitelné.

Populární metody pro vzdálený přístup

Řešení pro vzdálený přístup musí uživateli umožnit snadné a jednoduché připojení k datům a aplikacím a minimalizovat zbytečnou administrativní zátěž pracovníků IT. V současnosti se pro vytvoření bezpečného vzdáleného přístupu přes VPN využívají dvě základní technologie – IPSec a SSL. Při výběru technologie k nasazení musí organizace zvážit kombinaci požadavků konečného uživatele a bezpečnostních priorit. Například:

• Vzdálený přístup přes IPSec VPN bude vhodný pro uživatele, kteří potřebují přístup k informacím z udržovaného a spravovaného zařízení, jako jsou podniková PC či notebooky. IPSec VPN poskytuje spojení jako LAN s podporou pro široké spektrum aplikací.
• Vzdálený přístup prostřednictvím SSL VPN je zase vhodnější pro uživatele, kteří vzdáleně přistupují k informacím pouze dočasně na obchodní cestě nebo z domácího PC. SSL VPN poskytuje přístup k většině běžných obchodních aplikací v uživatelsky přátelském prostředí a je vhodná i pro přístup do extranetu.

Proto, aby bylo možné uspokojit většinu požadavků, mělo by řešení bezpečného vzdáleného přístupu zahrnovat jak IPSec, tak i SSL VPN. Nasazení jednotné brány namísto dvou je navíc mnohem snazší pro správu, uspoří náklady a poskytuje nižší TCO.

Management vzdáleného přístupu

Řízení a správa se při výběru řešení vzdáleného přístupu mohou stát kritickým bodem. Proto by se měly vzít v úvahu následující oblasti:

• Konfigurace a údržba – většina společností má formální bezpečnostní politiku, která vychází z jejich celkové strategie bezpečnosti a rizik. Dobré řešení pro vzdálený přístup umožní snadnou realizaci této politiky. Zároveň infrastruktura, která zcentralizuje konfiguraci a údržbu systému, zvýší konzistenci, informační přehled a zároveň minimalizuje úsilí při nasazení a údržbě.
• Prosazování bezpečnostních politik – organizace mohou zajistit důslednější řízení a prosazování těchto politik, pokud jsou jednotné a centrálně řízené. Politiky tak mohou být uplatňovány, aktualizovány a monitorovány mnohem efektivněji.
• Reporting a audit – doporučovanou bezpečnostní praktikou je provádění auditu výkonu systému a událostí. To poskytuje informace potřebné k plánování kapacity a výkonu systému. Dobré řešení pro vzdálený přístup ukládá data o událostech centrálně a je schopno nabídnout pohled na aktuální stav systému v reálném čase.
• Analýza bezpečnosti – útoky jsou čím dál složitější a zahrnují kombinované hrozby. Řešení pro vzdálený přístup by mělo být schopné předávat informace o bezpečnostních hrozbách všem ostatním bezpečnostním produktům a řešením a rychle tak identifikovat potenciální útoky. Například schopnost vysledovat pokusy o přihlášení jednoho uživatele z různých míst může znamenat potenciální zneužití přihlašovacích údajů.

Aspekty zabezpečení koncových zařízení

Vzdálený přístup by měl nabídnout i řešení pro zabezpečení koncových zařízení. Tím bude zajištěno, že přístup je poskytován pouze vyhovujícím zařízením. Vhodná bezpečnostní strategie tak bude brát v úvahu následující aspekty:

Prosazování bezpečnostní politiky

Brána pro vzdálený přístup by měla být schopna skenovat koncové zařízení ještě před poskytnutím přístupu a nastavit bezpečnostní politiku v závislosti na výsledcích této kontroly. To umožňuje sladit přístupová práva s úrovní důvěryhodnosti koncového zařízení. Řešení by rovněž mělo mít možnost ověřit, zda je přítomen bezpečnostní software jako antivirus a firewall a zda jsou odpovídající služby spuštěny. Existují dva způsoby, jak zajistit prosazování těchto zásad:

• IPSec VPN klient může poskytnout zabezpečení koncových bodů jako součást instalace VPN a obsahovat osobní firewall nebo ověřit přítomnost jiného softwaru,
• SSL VPN (bez klienta) obvykle umožňují zabezpečení koncových bodů pomocí ActiveX prvku nebo Java aplikace, které na hostitelském počítači provedou kontrolu a detekci spywaru.

Zabezpečení hostitelského počítače

Toto se týká hlavně SSL VPN, která vyžaduje zvláštní ochranná opatření. Řešení by z neudržovaných zařízení mělo být schopno hned po ukončení vzdáleného přístupu zajistit odstranění veškerých používaných dat.

Aktualizace zabezpečení v reálném čase

Zajišťuje, že u koncových zařízení je kontrolována odolnost proti nejnovějším bezpečnostním hrozbám, aktuálnost záplat operačního systému a stav ostatních bezpečnostních programů (pokud jsou přítomny).

Flexibilní možnosti nasazení

Efektivita a náklady TCO mohou být dosaženy prostřednictvím zvážení různých možností nasazení. Například společnosti s omezenými zdroji IT mohou dát přednost předpřipraveným hardwarovým řešením za účelem minimalizace instalace a náročnosti údržby, zatímco společnosti, které si přejí standardní hardware, mohou preferovat instalaci softwaru na server, který je následně využit jako bezpečnostní přístupová brána.

Závěr

Poskytování pohodlného a bezpečného vzdáleného přístupu rostoucí skupině různorodých pracovníků se jednoznačně stalo naléhavou výzvou pro dnešní společnosti. Dilema vytvořené rozporem mezi novými obchodními požadavky a bezpečnostními požadavky výrazně zvýšilo poptávku po bezpečnostních bránách pro vzdálený přístup. Ty by měly zajistit jednotné, flexibilní, škálovatelné a snadno spravovatelné prostředí. Producenti bezpečnostních bran pro vzdálený přístup tak mají zelenou. Při výběru řešení by podniky měly vybrat dodavatele, který nejen poskytuje brány pro vzdálený přístup, ale také disponuje dlouholetými zkušenostmi ve vývoji a v poskytování bezpečnostních řešení pro celou škálu podnikových bezpečnostních potřeb.