Image Image Image Image Image Image Image Image Image Image

it-manager | 25/09/2017

Scroll to top

Top

Brak wypowiedzi

Konsumeryzacja IT a bezpieczeństwo

Konsumeryzacja IT a bezpieczeństwo

20 października 2016 

Kontrolowanie coraz większej ilości danych i zarazem zapewnienie odpowiedniego bezpieczeństwa, prywatności i zgodności z przepisami jest jak niekończące się poszukiwanie doskonałości. Problem polega na tym, że osiągnięcie celu, jakim jest perfekcjonizm w tym zakresie ma ukryte konsekwencje i limity i jest właściwie niemożliwy.

Wyzwania w zakresie bezpieczeństwa

Dzisiejsze wyzwania w zakresie kontroli danych dotyczą zarówno tradycyjnych modeli dostępu, jak też nowych, objętych konsumeryzacją, które działają w środowiskach urządzeń  mobilnych, Internetu Rzeczy (IoT) czy chmury. Restrykcyjnie kontrolowany model bezpieczeństwa dla przedsiębiorstw, który ogranicza się do pełnej kontroli posiadanych przez nie urządzeń końcowych stał się nieaktualny ze względu na szybkość z jaką nowe kierunki są adaptowane w biznesie.

W konsekwencji nasilające się wprowadzanie do firmowego ekosystemu informatycznego urządzeń tworzonych z myślą o domowych użytkownikach, czyli inaczej zwana  konsumeryzacja informatyki, zaburzyła celowość stosowania długotrwałych firmowych polityk bezpieczeństwa a wraz z nimi powiązanych technologii i tzw. najlepszych praktyk.

Wykorzystywane do tej pory modele dostępu wymagają połączenia zabezpieczonych punktów końcowych, sieci, centrów danych i wszystkich technologii pozwalających na spójną pracę w celu zapewnienia zakładanego poziomu zaufania. Podłączanie ‘niezaufanych’ urządzeń do niewłaściwej sieci lub przenoszenie aplikacji do chmury może naruszyć bezpieczeństwo. Innymi słowy wszystko powinno działać w modelu zbliżonym do perfekcji, gdyż inaczej istnieje ryzyko obniżenia poziomu ochrony.

Dopełnieniem tego podejścia jest firmowy model uwierzytelniania, głównie skoncentrowany wokół procesu logowania. Z perspektywy użytkownika wygląda to następująco. Z chwilą gdy dostarczymy wymagane poświadczenia, takie jak identyfikator, hasło, token, ew. zabezpieczenia biometryczne, certyfikaty, inteligentne karty itp. dostęp zostaje nam przyznany. A kiedy już go otrzymamy jest on stały. Aplikacje, dostęp do systemu plików, przywileje, zarówno nadane jak i współdzielone, są dostępne z niewielką lub też bez dalszej kontroli poza tą, która miała miejsce tylko przy logowaniu. Jeżeli nie mamy wdrożonych dodatkowych rozwiązań np. takich jak DLP, otrzymujemy możliwość działania na danych, (np. kopiowania, drukowania, zapisywania, usuwania czy wynoszenia ich poza organizację) i nie jest to objęte żadnymi dodatkowymi obostrzeniami, uzależnionymi od poszczególnych scenariuszy działań.

Podobnie, tradycyjny model firmowej kontroli danych opiera się na kombinacji fizycznej kontroli i szyfrowania. Jednak z chwilą, gdy dane trafiają na urządzenie końcowe, możliwość ich monitorowania jest ograniczona. Ponieważ dane muszą być odszyfrowane, by mogły być w pełni wykorzystywane, samo założenie ich szyfrowania, jako głównego elementu bezpieczeństwa nie jest w pełni wystarczające. Ponadto utrata fizycznej kontroli nad urządzeniem końcowym może łatwo doprowadzić do utraty danych, na przykład gdy laptop, tablet lub smartfon zostanie zgubiony lub skradziony.

W poszukiwaniu lepszego…

Poleganie na tradycyjnych technikach, które nie są już wystarczające do rozwiązania dzisiejszych problemów spowodowało znajome konsekwencje: coraz częstsze raporty o  kradzieży danych, ich eksfiltrację, coraz więcej naruszeń bezpieczeństwa i ich wpływ na działalność firmy i jej politykę prywatności. Stąd też poszukiwanie lepszego modelu, który połączy reagowanie na dzisiejsze zagrożenia oraz szybko zmieniające się realia biznesowe w odpowiednią strategię bezpieczeństwa i jednocześnie przygotowuje organizacje do dalszej konsumeryzacji IT. „Chodzi o taki model kontroli i dostępu do danych, który będzie odzwierciedlał sposób, w jaki ludzie pracują, jak uzyskują dostęp do informacji  i jak te powinny być chronione w szerokim zakresie różnorodnych sytuacji.” – zauważa Wolfgang Mayer, generalny manager Citrix na Europę Wschodnią.

Kontrola i ochrona danych poza organizacją wymaga zmiany podejścia, które zakłada wykorzystanie takich rozwiązań jak wirtualizacja, konteneryzacja czy zabezpieczenie sieci wraz z kontekstowym modelem dostępu, który jest głęboko ukierunkowany na reagowanie na określone scenariusze działań. Przedstawiciel Citrix omawia poszczególne z nich:

Wirtualizacja – przechowuje poufne, firmowe dane w centrach danych, z dala od urządzeń końcowych pozbawionych spójnego zarządzania i ochrony. Urządzenia osobiste nadal pozostają pod kontrolą ich właścicieli. Zarówno ich użytkownicy, ale przede wszystkim firma nie musi martwić się o ich bezpieczeństwo, gdyż dane, nigdy nie opuszczają centrum danych i nie trafiają fizycznie na urządzenia końcowe. Wirtualizacja jest ulubioną technologią zapewniającą właściwą zgodność z przepisami.

  • Konteneryzacja– by udostępnić istotne z punktu widzenia firmy dane do wykorzystania na urządzeniach mobilnych warto wdrożyć technologię konteneryzacji. W tym wypadku bezpieczeństwo przechowywanych informacji oraz aplikacji jest wzbogacone o środki bezpieczeństwa, wynikające z zastosowania ‘kontenera’, który ‘opakowuje aplikacje” i ich dane, jednocześnie izolując je od urządzenia mobilnego. Dane są szyfrowane i kontrolowane na poziomie ‘aplikacja-aplikacja’. W przypadku ew. naruszenia bezpieczeństwa urządzenia można je zdalnie usunąć stosując mechanizmy zaszyte w rozwiązaniu oferującym konteneryzację. 
  • Bezpieczne rozwiązania sieciowe – pozwalają zaprojektować sieć dostosowaną do określonych scenariuszy działań użytkowników, aplikacji oraz sposobów dostępu do środowiska. Dają kontrolę nad siecią i jej obrzeżami za pomocą dedykowanych dla aplikacji tuneli VPN (micro-VPN), szyfrowania całego ruchu sieciowego, wprowadzenia silnego mechanizmu uwierzytelniania w stosunku do wewnętrznych jak i zewnętrznych aplikacji oraz mechanizmu pojedynczego logowania (single sign on – SSO) dla wszystkich aplikacji, nawet dla tych, które do tej pory nie wykorzystywały firmowych poświadczeń.
  • Dostęp oparty na kontekście– dzisiejsze środowiska pracy są narażone na bardzo wiele zagrożeń, które w dużej mierze oparte są na analizie kontekstowej. To powoduje, że dostęp i kontrola danych muszą być wydajniejsze i skuteczniejsze w zakresie bezpieczeństwa.

Każde żądanie dostępu do danych można oprzeć na odpowiedziach na 5 pytań: kto, co, kiedy, gdzie i dlaczego (z angielskiego określaną zasadą 5W). Wtedy staje się on dostosowany do sposobu korzystania z danych i ich wrażliwości. W połączeniu z wirtualizacją i konteneryzacją dostęp na bazie kontekstu jest rozszerzony i obejmuje aplikacje oraz dane, kontrolę indywidualnej komunikacji na poziomie aplikacja-aplikacja oraz kontrolę wszelkich czynności, jakie są możliwe na danych m.in. takich jak kasowanie/ wklejanie/ zapisywanie czy przesyłanie przez email z uwzględnieniem miejsca, z którego te czynności są wykonywane. W konsekwencji dostęp użytkownika do jego zasobów nie jest oparty już tylko na uprawnieniach powiązanych z loginem, ale może zależeć np. od miejsca, w którym użytkownik się znajduje, czy pory w jakiej próbuje uzyskać dostęp do środowiska.

Lepszy standard pracy użytkownika

Dostęp  kontekstowy, jako że opiera się na analizie potrzeb użytkownika, może również pozytywnie wpłynąć na standard pracy. „To pozwala uprościć sam proces np. gdy wiemy, że pracownik znajduje się w bezpiecznej sieci firmowej i dostaje się do środowiska korzystając ze służbowego urządzenia, jednocześnie określając silne polityki bezpieczeństwa wtedy, gdy mają one służyć ochronie wrażliwych danych np. gdy połączenie do zasobów następuje spoza firmowej sieci.” – nadmienia Wolfgang Mayer.

Kluczowe wymagania zakładające skuteczną ochronę danych w realiach zwiększającej się konsumeryzacji IT dotyczą:

  1. Odpowiedniej architektury IT, która będzie wspierać zarówno firmowe jak i klienckie urządzenia, aplikacje, sieci oraz usługi. Kolejny kierunek, jakim jest Internet Rzeczy jedynie zwiększy poziom zaawansowania konsumeryzacji.
  2. Wykorzystanie trendu konsumeryzacji poprzez wdrażanie programów Bring Your Own (BYO) i nieograniczania się jedynie do BYOD. Urządzenia to tylko jeden z aspektów związanych z technologią i usługami, stosowanymi przez użytkowników końcowych.
  3. Wyjścia poza dążenie do perfekcji i przyjęcie do wiadomości istnienia odstępstw i kompromisów, które obecnie stanowią wyzwanie dla kontroli IT. Takie podejście zakłada stosowanie dostępu kontekstowego w ramach wszystkich modeli własności urządzeń, różnych lokalizacji i charakterystyk urządzeń końcowych oraz w odniesieniu do innych elementów, danych dla określonej sytuacji ryzyka.
  4. Projektowania strategii bezpieczeństwa wokół scenariuszy dostępu, a nie wokół rodzajów technologii. Kwestie zgodności z przepisami i regulacjami, które są definiowane przez technologie często stawiają bezpieczeństwu zbyt niską poprzeczkę i tym samym powodują, że trudno jest je utrzymać w realnych scenariuszach działania organizacji i tym samym zabezpieczyć biznes.
  5. Unikania przesyłania danych na urządzenie końcowe chyba, że nie jest to absolutnie konieczne. Należy przechowywać dane w centrum danych, kiedy tylko jest to możliwe. W chwili jednak, gdy trzeba je przygotować do zastosowań mobilnych należy absolutnie zadbać o to, aby były one dodatkowo chronione przez zastosowanie konteneryzacji.
  6. Unikania pokładania zaufania do punktów końcowych, sieci i użytkowników na podstawie firmowych modeli zarządzania. Warto zweryfikować elementy zaufania w odniesieniu do określonych sytuacji. Odpowiednie polityki powinny jasno wynikać z odpowiedzi na takie pytania jak „Czy to zdarzenie można uznać za bezpieczne/ zaufane?” wraz z jednoczesnym przyznaniem lub odmową dostępu do danych na bazie kontekstu. Należy przyjąć generalną zasadę, że polityki bezpieczeństwa powinny być wypracowane, a nie odgórnie nałożone.

Wypowiedz się

Wszelkie prawa zastrzeżone