Когда ваши решения SSO, EDR и MDM плохо работают с VPN

Опубликовано: 30 Марта, 2023
Когда ваши решения SSO, EDR и MDM плохо работают с VPN

МИТЧ: Тарун, давайте рассмотрим этот вопрос по частям, начиная с SSO. Какие трудности или ограничения возникают при использовании единого входа через VPN-подключение?

Тарун: Сегодня большинство предприятий перенесли SSO с традиционной локальной Active Directory на облачные IDP, такие как Azure AD, Okta и OneLogin. Затем эти облачные поставщики идентификационной информации служат порталом для аутентификации сотрудников в других многопользовательских облачных службах, таких как Microsoft Office 365, Google Workspace (он же G Suite), Salesforce и AWS.

Принуждение VPN к аутентификации в облачном IDP (которое по определению доступно в Интернете) имеет много ограничений. Во-первых, вы ухудшаете пользовательский опыт ваших сотрудников. Вместо того, чтобы просто нажать кнопку для доступа к своим облачным ресурсам через Интернет, теперь им нужно запустить VPN и перенаправить трафик в корпоративную сеть, чтобы получить доступ. Это может быть болезненно медленным, и работники в дороге или на мобильных устройствах особенно ненавидят этот процесс.

Во-вторых, вы на самом деле не повышаете безопасность. Мы слышали о бесчисленных случаях, когда сотрудники включали VPN только для аутентификации с помощью Cloud IDP, а затем немедленно отключали VPN до конца дня, чтобы иметь высокопроизводительный доступ в Интернет к своим приложениям. Группа безопасности ставит галочку в поле соответствия, а пользователи делают то, что необходимо, но такая система на самом деле препятствует общей безопасности предприятия.

Наконец, подход VPN требует систем на основе белых списков IP-адресов, которые сложны в эксплуатации и обслуживании. Простое действие по добавлению третьих лиц, таких как подрядчики и поставщики, к вашему облачному IDP теперь требует сложного брандмауэра или выделенных устройств. Предоставление разработчикам возможности выполнять облачные рабочие нагрузки или предоставление программного доступа превращает простой процесс создания учетной записи службы в сложную проблему подключения к сети.

Виртуальные частные сети были разработаны для мира, в котором система единого входа была реализована через локальную службу Active Directory. Виртуальные частные сети сейчас являются анахронизмом в эпоху, когда SSO реализуется с использованием облачных IDP.

МИТЧ: Давайте посмотрим на EDR, который помогает обеспечить безопасность вашей сети. Может ли решение EDR бесперебойно работать вместе с подходом VPN для предоставления удаленным пользователям корпоративного доступа? Или могут возникнуть какие-то проблемы?

Тарун: VPN предназначены для подключения к сети, а не для постоянного применения политик безопасности. Таким образом, как только пользователь аутентифицируется и входит в сеть, работа по обеспечению соблюдения политик VPN, по сути, выполнена.

Когда решение EDR (которое ориентировано на постоянный мониторинг и реагирование на угрозы для конечных точек) обнаруживает вредоносную активность на устройстве пользователя, нет возможности отправить этот сигнал в VPN, чтобы она могла изменить свои политики подключения к сети.

Большинство реализаций EDR обеспечивают «молоток» полного отключения доступа в Интернет на устройстве, но это, как правило, слишком тяжело для большинства сценариев.

Виртуальные частные сети предназначены для обеспечения сетевого подключения, а не для постоянного применения политик безопасности. Таким образом, как только пользователь аутентифицируется и входит в сеть, работа по обеспечению соблюдения политик VPN, по сути, выполнена.

Что вам действительно нужно, так это способ использовать сигналы от EDR для изменения в режиме реального времени привилегий доступа, назначенных пользователю и устройству. То есть, если EDR обнаруживает подозрительную активность, перенаправляет пользователя на портал исправления. Или, если пользователь отключит EDR на устройстве, заблокируйте доступ к ресурсам с высоким риском, но разрешите ему обратиться в службу поддержки за помощью.

Вы не можете создавать эти типы политик с помощью VPN.

МИТЧ: Как насчет интеграции MDM с удаленным доступом через VPN? Существуют ли какие-либо проблемы с безопасностью, удобством использования или управляемостью, связанные с такой настройкой?

Тарун: Развертывание возможностей удаленного доступа с помощью управления устройствами имеет большой смысл, поскольку ИТ-отдел может централизованно управлять и тем, и другим.

Однако когда дело доходит до мобильных устройств и развертывания VPN через MDM, ИТ-специалистам необходимо помнить о нескольких проблемах своих пользователей:

  • Конфиденциальность: многие пользователи (подрядчики, сотрудники, использующие личные устройства и т. д.) не хотят, чтобы их устройства управлялись/контролировались корпоративным MDM.
  • Производительность: многие пользователи не потерпят разряда батареи, вызванной VPN на мобильных устройствах.

С административной точки зрения стратегии MDM+VPN также не хватает гибкости для создания различных политик в зависимости от типа устройства — неуправляемых, незарегистрированных, BYOD и т. д. — и для постоянного применения этих политик.

Таким образом, хотя интеграция MDM и VPN для удаленного доступа может иметь смысл, существует множество сценариев, в которых альтернативные стратегии, скорее всего, будут лучше служить мобильным пользователям предприятия.

МИТЧ: Я понимаю, что у Banyan есть подход к обеспечению безопасного удаленного доступа, который позволяет избежать подобных проблем и хорошо интегрируется с решениями SSO, EDR и MDM. Пожалуйста, объясните, как это работает с технической точки зрения, поскольку большинство наших читателей — ИТ-специалисты.

Тарун: На приведенной ниже диаграмме показаны технические процессы, обеспечивающие современную модель безопасности «Нулевого доверия».

Banyan интегрируется с вашей SSO/MFA через SAML, а UEM/MDM и EDR через API-хуки. Каждый раз, когда пользователь пытается получить доступ к ресурсу, Banyan вычисляет показатель доверия на основе доверия пользователя и устройства, состояния безопасности устройства и чувствительности ресурсов. Затем этот Banyan TrustScore активирует механизм политик для обеспечения непрерывной авторизации, согласовывая риск запроса с конфиденциальностью ресурса, отменяя доступ в середине сеанса, если это оправдано.

Компания Banyan создала надежное, простое и масштабируемое решение Zero Trust Network Access (ZTNA), которое обеспечивает быструю и простую настройку сегментации пользователей и приложений, предоставляя пользователям и разработчикам безпарольный доступ одним щелчком мыши к сложной инфраструктуре и приложениям из любого места — не требуя сетецентричных решений, таких как VPN. Наше управление доступом на основе доверия предлагает детальный контроль, а наш Enterprise Edge обеспечивает наиболее гибкое развертывание в отрасли.

МИТЧ: Как реализовать ваше решение для типичного предприятия?

Тарун: В Banyan у нас есть адаптационная структура, которая обеспечивает гарантии на протяжении всего пути и помогает получить уровень безопасности с минимальным воздействием на пользователей, что в конечном итоге помогает заручиться поддержкой сотрудников вашей организации. Начало работы с Banyan и, в конечном счете, отслеживание пути к нулевому доверию сводится к четырем шагам:

  1. Идентификация приложения Proof of Concept (PoC)
  2. Понимание ваших устройств и их соответствующих уровней доверия
  3. Применение политики доступа
  4. Обеспечение дополнительных услуг

Начнем с определения приложения PoC. Поскольку Banyan может быть вставлен прозрачно, без необходимости вносить изменения в сеть или нарушать существующие рабочие процессы доступа ваших конечных пользователей, вы можете немедленно получить представление о пользователях, которые получают доступ к этому приложению PoC.

Следующий шаг — лучше понять, какие устройства используются для доступа к приложению PoC. Banyan предлагает несколько способов беспрепятственной регистрации устройств. Zero Touch Deployment позволяет полностью автоматическую установку и регистрацию через приложение Banyan. Пользователь также может зарегистрировать свое устройство вручную, выполнив всего несколько шагов. По мере регистрации устройств мы начинаем получать представление о платформах устройств и их уровнях доверия.

Теперь мы готовы к третьему шагу. Политика доступа Banyan для приложения PoC до сих пор работала в режиме «Обучения», и теперь мы каталогизировали большую часть пользователей и устройств, получающих доступ к приложению, и точно знаем, какие пользователи будут затронуты, когда политика перейдет в режим «Принудительное применение».. Знание этого влияния имеет решающее значение для успешного развертывания любого продукта с нулевым доверием. Как только мы будем уверены в том, какое влияние это окажет, мы можем применить нашу первую политику нулевого доверия.

Имея за плечами эту первоначальную реализацию, организации теперь могут приступить к защите дополнительного размещенного веб-сайта, SaaS и доступа к инфраструктуре с помощью Banyan.

МИТЧ: Чем решение Banyan с нулевым доверием отличается от других решений на рынке? Эта фраза «нулевое доверие» часто используется в последнее время — что она означает именно в контексте собственного решения Banyan?

Тарун: Большинство решений с нулевым доверием на рынке — это просто VPN с ребрендингом — та же базовая технология с новым всплеском маркетинга. По своей сути VPN делают то, для чего они предназначены — соединяют две сети. Они часто снижают производительность и предоставляют слишком широкий доступ без необходимых средств контроля безопасности, чтобы постоянно обеспечивать доступ с минимальными привилегиями и доверие к устройствам.

Banyan был разработан с нуля для «Нулевого доверия», обеспечивая контроль доступа на основе доверия на уровне предприятия для всех сред (облака и центра обработки данных), где пользователи подключаются к своему приложению одним щелчком мыши, политика безопасности постоянно авторизуется, а принудительное применение может быть развернуты за считанные минуты через сеть Enterprise Edge.

Большинство решений с нулевым доверием на рынке — это просто VPN с ребрендингом — та же базовая технология с новым маркетинговым ходом. По своей сути VPN делают то, для чего они предназначены — соединяют две сети. Они часто снижают производительность и предоставляют слишком широкий доступ без необходимых средств контроля безопасности, чтобы постоянно обеспечивать доступ с минимальными привилегиями и доверие к устройствам.

МИТЧ: Пожалуйста, добавьте любые последние слова, которые вы хотели бы сказать по теме.

Тарун: «Нулевое доверие» может быть довольно противоречивым термином в ИТ-сообществе. Есть много шумихи и нереалистичных ожиданий. Но если вы немного очистите луковицу, вы также увидите, что основы безопасности сильны, и есть новый набор решений, таких как Banyan, которые могут значительно улучшить состояние безопасности для вашего предприятия, а также предоставить превосходный пользовательский интерфейс.. Мы предлагаем вам изучить их.

МИТЧ: Большое спасибо за ваши мысли по этому поводу.

Тарун: Добро пожаловать.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023