Jeszcze do niedawna wiele firm stosowało technologie pozwalające ludziom na pracę zdalną, by - od czasu do czasu - zapewnić jej możliwość dla części swoich pracowników. COVID-19 zmienił jej zasięg. Obecnie, ze względów bezpieczeństwa ogromna większość osób pracuje zdalnie, z domu, w trybie ciągłym. Część z nich zakładała, że sytuacja ta jest opcją chwilową, jednak dla innej grupy osób stanowi nowy trzon wykonywania swoich obowiązków.
Ta zmiana pozwoliła środowisku biznesowemu na nowo określić możliwość dopuszczenia innych sposobów pracy, niż te znane od lat jej klasyczne formy. Praca mobilna okazała się być równie efektywna i utrzymująca podobny poziom zaangażowania ludzi w obowiązki, jednocześnie umożliwiając o wiele większą elastycznością działania i łączenia różnych sfer życia. Niestety nagłe, masowe wykorzystanie dostępu zdalnego stworzyło również nowe problemy z zakresu bezpieczeństwa, w tym szersze możliwości potencjalnych ataków phishingowych czy "denial-of-service”, a także prób włamań i kradzieży danych. Tym samym podejście „zero-trust” nabrało kluczowego znaczenia dla bezpiecznego zdalnego dostępu do aplikacji i danych firm.
Wiele firm w krótkim czasie musiało rozbudować swoje rozwiązania oferujące zdalny dostąp by go umożliwić na taką skalę. Zastosowały w tym celu technologię wirtualnej sieci prywatnej (VPN), która od dłuższego czasu jest stosowana jako główna metoda uzyskiwania dostępu do firmowych aplikacji i danych spoza siedziby firmy. Jednakże VPN nie jest rozwiązaniem wolnym od wad i nie powinno być wykorzystywane do zapewnienia pracy zdalnej w długoterminowej perspektywie, dla tak szerokiej gamy pracowników.
Ryzykowne rozwiązanie
Większa „powierzchnia” do zabezpieczenia oznacza szersze możliwości potencjalnego ataku. Więcej osób pracujących zdalnie, to częstszy dostęp do firmowych systemów i danych - wielokrotnie z niezabezpieczonych odpowiednio urządzeń osób pracujących zdalnie z domu.
Problemy z bezpieczeństwem VPN związane są również z:
• Zbyt szerokim dostępem: tunel VPN łączący z centrum danych umożliwia zdalny dostęp do całej firmowej sieci, nawet jeśli praca, którą wykonuje dana osoba wymaga jedynie dostępu do niewielu aplikacji. Otwarcie dostępu do całej firmowej sieci nie tylko zwiększa zagrożenie, ale również prawdopodobieństwo ataku, stąd tez istnieje konieczność definiowania na masową skalę tzw. list dostępu.
• Jednorazową kontrolą: sieć VPN sprawdza uwierzytelnienie użytkownika tylko podczas logowania. Haker ze skradzionymi danymi uwierzytelniającymi może uzyskać dostęp do całej firmowej sieci i wszystkich aplikacji. Nie ma dodatkowej kontroli ani monitorowania użytkownika, które pozwalałyby upewnić się, że dana osoba jest faktycznie tą, za którą się podaje podczas trwania sesji.
• Brakiem zróżnicowania w zakresie kontekstu: rozwiązania VPN nie uwzględniają wykrywania zmian w sposobie zdalnego dostępu (takich jak inne zachowanie użytkownika, czy zmiana urządzenia lub sieci dostępowej), by zdefiniować i wyegzekwować odpowiednie polityki dostępu. Jeśli urządzenie zostanie przejęte przez hakera lub skradzione, wszystkie zasoby są narażone na kradzież.
• Ochroną urządzeń końcowych: jeśli urządzenia końcowe nie będą chronione za pośrednictwem odpowiedniego oprogramowania mogą zostać zainfekowane lub przejęte przez wrogie oprogramowanie, co może narazić firmową sieć na kradzież danych lub inne naruszenia.
• Blokowaniem dostępu do urządzeń peryferyjnych: jeśli funkcja blokowania nie jest włączona, użytkownicy - po utworzeniu tunelu VPN - mogą z nich łatwo kopiować i wklejać dane do lokalnego urządzenia np. poprzez schowek lub mapowanie dysków.
VPN jest dobrym rozwiązaniem dla zapewnienia dostępu małym grupom użytkowników, w szczególności z działu IT. Wyzwania pojawiają się wraz z koniecznością dostarczenia komfortowego i skalowalnego rozwiązania na potrzeby większej ilości osób mniej zaznajomionych z technologiami teleinformatycznymi. Istnieje duża zależność w zakresie wydajności, gdy wielu użytkowników jednocześnie łączy się do tego samego rozwiązania sieciowego (powoduje to spadki przepustowości łącza i rywalizację o zasoby sprzętowe zapewniające zdalny dostęp, po infrastrukturę obsługującą firmowe zasoby). Przykładowo, jeśli pięć procent użytkowników pobierze duże pliki przez tunel VPN, będzie to miało negatywny wpływ na komfort pracy pozostałych 95 procent użytkowników.
Alternatywa dla wyzwań złożoności
Rozwiązanie VPN jest ponadto skomplikowane w konfiguracji na stacjach końcowych użytkowników oraz dość czasochłonne w administrowaniu i zarządzaniu. Alternatywą dla niego mogą być rozwiązania cyfrowej przestrzeni pracy. Dzięki nim można zapewnić użytkownikom dostęp do wszystkich wymaganych do pracy aplikacji i informacji (np. firmowych aplikacji internetowych, aplikacji SaaS czy aplikacji wirtualnych i mobilnych), bez ograniczeń w zakresie miejsca czy stosowanego urządzenia końcowego. A także:
• Włączyć dostęp do odpowiedniego zestawu aplikacji za pośrednictwem przeglądarki internetowej, niezależnie od tego, czy aplikacja jest hostowana w centrum danych, czy w chmurze publicznej
• Zapewnić dostęp nie tylko oparty na sieci, ale zarządzany na podstawie informacji kontekstowych, zróżnicowanych pod kątem użytkowników końcowych, ich zachowania oraz urządzeń
• Stale monitorować działania użytkowników końcowych oraz oceniać ich wzorce zachowań, a także sprawdzanie ich tożsamości w trakcie sesji.
Przy wykorzystaniu takich rozwiązań zamiast klasycznego dostępu VPN, można pracować zdalnie, komfortowo, przy znacznie mniejszej przepustowości sieci czy dostosowywać ilość przesyłanych danych, gdy warunki sieciowe ulegną pogorszeniu. To daje działom IT wiedzę o stanie sieci i wpływie na jej wydajność, co pozwala podjąć określone kroki zapobiegawcze.
Firmy korzystające z rozwiązań cyfrowej przestrzeni pracy do obsługi pracy zdalnej, mogą przezwyciężyć problemy związane z bezpieczeństwem i niezawodnością powiązane ze stosowaniem technologii VPN. Dzięki temu są w stanie zapewnić wysoką wydajność połączenia sieciowego i tym samym utrzymać zaangażowanie i efektywność swoich pracowników, jednocześnie zyskując na elastyczności przez możliwość dostosowania rozwiązań IT do aktualnej działalności.
Autor: Sebastian Kisiel, Citrix Systems Poland
