Программно-определяемые решения по периметру: почему это будущее безопасности

Недавно наш собственный Twain Taylor здесь, в TechGenix, рассказал о некоторых недавних приобретениях, происходящих в сфере ИТ-безопасности, и о том, почему клиентам важно знать о них. Одним из приобретений, о которых он говорил, было то, как Symantec недавно приобрела Luminate, лидера в области технологий программно-определяемого периметра. Для тех наших читателей, которые незнакомы с программно-определяемыми технологиями периметра и почему многие компании в настоящее время переходят от виртуальных частных сетей (VPN) к SDP как лучшему решению для безопасного удаленного подключения для своих сотрудников, я недавно провел пообщайтесь с Доном Боксли, генеральным директором и соучредителем DH2i, компании, которая производит многоплатформенное программное обеспечение периметра для Windows и Linux, которое позволяет корпоративным приложениям безопасно подключаться и свободно перемещаться между физическими, виртуальными и облачными средами. Поскольку все больше и больше компаний используют возможности облачных вычислений, а их сотрудники все чаще работают из дома или в кафе, традиционный подход с использованием VPN на основе периметра для предоставления аутентифицированным пользователям доступа к удаленным ресурсам корпоративной сети начинает уступать место более новый подход SDP, который использует политики для предоставления пользователям доступа к определенным ресурсам, таким как приложения, а не ко всей внутренней сети.

Риски VPN

Я начал свой разговор с Доном, указав, что, хотя VPN часто рассматриваются как способ защиты анонимности пользователей в Интернете, они также широко используются в корпоративных средах для безопасного удаленного доступа. Когда я спросил Дона о рисках, связанных с использованием подхода VPN, он согласился, что наиболее распространенным способом «безопасного» доступа к сетям на протяжении многих лет является VPN. «Хотя обычно считается, что главным бизнес-преимуществом использования VPN является повышенная безопасность благодаря возможностям сквозного шифрования технологии, — сказал Дон, — дело в том, что VPN не только подвергают конфиденциальные данные повышенным рискам безопасности, но и в сегодняшних облачной среде, они фактически умножают эти риски в геометрической прогрессии».

Я попросил его немного рассказать о характере этих рисков, связанных с использованием VPN в корпоративной среде. «Одним из основных способов, которым VPN угрожают безопасности данных, — сказал Дон, — является то, что предприятиям обычно приходится управлять несколькими типами VPN-соединений для соответствия сетевым технологиям каждой третьей стороны (по сравнению с тем, чтобы поставщики использовали только одну VPN, что может быть смехотворно дорого). Это не только становится болезненной административной головной болью, но и создает гораздо больше возможностей для атак с боковым перемещением, поскольку значительно расширяет открытую и уязвимую область сети, поскольку пользователи получают доступ, так сказать, к «сегменту сети». Мало того, что входящие соединения создают поверхности для атак, но без сегментации на уровне приложений невозможно уменьшить количество поверхностей для атак, что делает сети уязвимыми».

Дон продолжил: «Вы можете спросить себя: «Почему это происходит сейчас?» поскольку VPN были почтенным «решением для перехода» для безопасных подключений к конечным точкам, которые защищают данные от хакеров?» Это именно то, что я собирался спросить у Дона дальше. Он ответил: «Ответ заключается в том, что технология VPN не была разработана и не предназначена для мира мобильных устройств, виртуальных команд и сторонних поставщиков, подключающихся к сети; он был создан с учетом традиционной локальной безопасности. Модель VPN зародилась в другую эпоху — когда господствовала локальная необлачная среда с физическими серверами и виртуальными машинами. В таком мире VPN были уместны. Но сегодня ИТ-отделы гораздо чаще используют настройки гибридного облака, сочетая локальные среды с общедоступными и частными облачными средами. Каждый раз, когда вы используете другой ИТ-сценарий, ваши шансы на раскрытие данных и нарушения безопасности увеличиваются».

И становится еще хуже. «Это открывает еще одну банку червей, когда кто-то продолжает верить в миф о безопасности VPN», — сказал Дон. «В настоящее время организациям из различных отраслей/рынков гораздо сложнее предоставить деловым партнерам и другим сторонним организациям безопасный доступ к внутренним данным и инфраструктуре в условиях современной цифровой экономики. Предприятия не могут недооценивать эту проблему и просто использовать то, что работало в прошлом, поскольку предоставление доступа любой третьей стороне представляет собой огромную угрозу безопасности, которая может привести к ряду технических и бизнес-угроз, которые не использовались в те дни, когда единственной заботой была локальная безопасность».

Программно-определяемый периметр против VPN

Затем я спросил Дона, чем модель программно-определяемого периметра отличается от подхода VPN и как программно-определяемый периметр позволяет обойти проблемы безопасности VPN? «В основном, тремя способами, — сказал он. «Во-первых, это обеспечивает большую безопасность, предоставляя возможность подключения к нескольким облакам, сайтам и доменам для распределенных приложений и клиентов; во-вторых, он предоставляет пользователям доступ на уровне приложений, а не на уровне сети; и, в-третьих, это уменьшает количество боковых атак, создавая среду, которую я люблю описывать как «безопасную по умолчанию», что достигается предоставлением удаленным пользователям доступа только к определенным службам. Программное обеспечение позволяет по мере необходимости переносить рабочие нагрузки из облака в облако, что позволяет избежать угрозы привязки к поставщику облачных услуг. Программно-определяемое решение периметра также устраняет хаос, позволяя устанавливать его на любом хосте без перенастройки сети или проблем с оборудованием. Короче говоря, инновационное сетевое программное обеспечение, такое как программно-определяемый периметр, может помочь организациям справиться с современными проблемами безопасности, включая гибридные и мультиоблачные развертывания, уменьшая поверхность атаки, а также уязвимость их ключевых данных».

Я указал вместе с Доном, что пользователи, живущие в странах с репрессивными правительствами, часто используют VPN, чтобы скрыть свою деятельность в Интернете от властей и общаться с людьми за пределами своей страны. Тогда я спросил его, следует ли аналогичным образом использовать программно-определяемое программное обеспечение периметра в таких ситуациях или SDP работают только тогда, когда они развернуты в пределах доверенных границ страны или группы стран. Дон просто ответил: «Да. Безопасный доступ на основе политик и сегментация сети создают непосредственные сетевые соединения между пользователем и ресурсами, к которым он обращается. Все остальное совершенно невидимо и неотслеживаемо, даже сама система. Это не только применяет к сети принцип наименьших привилегий, но также уменьшает поверхность атаки, скрывая сетевые ресурсы от неавторизованных наблюдателей и потенциальных пользователей. Чтобы обеспечить полную конфиденциальность, безопасность данных и классификацию, — сказал Дон, — программно-определяемые периметры обеспечивают защиту клиентов и конечных точек, управление идентификацией и доступом, безопасность на уровне ОС и приложений — и все это при шифровании трафика с помощью взаимного шифрования TLS и DTLS».

Чтобы завершить нашу дискуссию, я спросил Дона, может ли он свести воедино все по этому вопросу в нескольких кратких словах. «Старая управленческая пословица, гласящая: «то, что привело вас сюда, не приведет вас туда», в равной степени верна и для ИТ, — сказал он. «Как традиционное решение для защиты периметра, виртуальные частные сети работали в старом мире физических серверов и виртуальных машин, но у них нет того, что нужно для защиты данных в современной гетерогенной, гибридной, многооблачной среде. Пришло время избавиться от мифа о безопасности VPN и принять новые реалии сегодняшнего дня с прогрессивным решением для обеспечения безопасности, которое специально разработано для использования в облаке и современных реалиях цифровой трансформации».