Najczęściej dyskutowanym obecnie rozwiązaniem do kontroli dostępu są systemy MDM. Branża zaczyna mówić również o mechanizmach „adaptacyjnej kontroli dostępu”. Warto zwrócić też uwagę na fakt, że z rynku nie zniknęły systemy NAC, które – mimo, że mniej popularne – nadal są rozwijane przez wielu producentów.

Jednym z głównych wyzwań dla IT jest obecnie pogodzenie kwestii bezpieczeństwa i wygody. Departamenty informatyczne z jednej strony muszą stosować się do coraz ostrzejszych regulacji, wymagających od firm pełnej ochrony poufnych informacji, śledzenia i kontroli ich wykorzystania i zapobiegania nieautoryzowanemu dostępowi. Z drugiej pracownicy, partnerzy biznesowi i klienci oczekują większej wygody w korzystaniu z systemów IT i mobilnego dostępu do nich. Aby sprostać tym dwóm wyzwaniom, firmy muszą wdrażać coraz to bardziej zaawansowane mechanizmy kontroli dostępu.

Mobile Device Management

Jednym z najpopularniejszych obecnie rozwiązań są systemy Mobile Device Management. Głównym elementem MDM jest centralny serwer, który pozwala na zarządzanie regułami, urządzeniami i użytkownikami zgodnie z korporacyjną strategią dla pracy mobilnej. Jego możliwości pozwalają na kontrolowanie dostępu do firmowych zasobów z urządzeń mobilnych. System MDM może być zintegrowany z innymi systemami np. serwerem poczty elektronicznej, centrum certyfikatów czy oprogramowaniem antywirusowym. Częstym rozwiązaniem jest pośredniczenie systemu MDM w dostępie do korporacyjnej poczty. Służy on jako proxy, które daje dostęp tylko zaufanym urządzeniom, a pozostałe blokuje. Administrator może definiować własne reguły dostępu, np. dopuszczać tylko urządzenie zarządzane przez MDM, ale dodatkowo spełniające jeszcze inne warunki, np. takie, których system operacyjny nie jest zrootowany.

Kolejny ważny element układanki to integracja z centrum certyfikacji. Jest to istotne, jeśli dostęp do firmowych zasobów jest przyznawany na bazie certyfikatów. Pozwala bowiem na automatyzację obsługi składania wniosków o nowe certyfikaty, ich dystrybucji i odnawiania. Mechanizmy te mogą być wbudowane w MDM. Można korzystać zarówno z lokalnego Centrum Autoryzacji lub z hostingu zapewniającego wymagane kryteria bezpieczeństwa. Certyfikaty mogą, przykładowo, służyć do zestawienia dedykowanych tuneli SSL VPN dla poszczególnych aplikacji. Cały ruch do urządzenia mobilnego można przepuszczać przez prywatny APN do hostowanej zapory sieciowej. Administrator ma wtedy możliwość wyboru kategorii blokowanych stron, których lista jest automatycznie aktualizowana przez dostawcę usługi. Takie podejście zapobiega też przedostawaniu się szkodliwego oprogramowania.

Mobile Application Management

Inne spojrzenie na problem zarządzania urządzeniami mobilnymi to MAM (Mobile Application Management), czyli zarządzanie nie urządzeniem, ale konkretnymi aplikacjami w tym urządzeniu. Z reguły systemy MDM oferują jedną i drugą funkcjonalność. Wybrane aplikacje są uruchamiane w bezpiecznych kontenerach (tzw. sandbox), a inne aplikacje nie otrzymują dostępu do zasobów w nich przetwarzanych.

Kontener można rozszerzyć na kilka chronionych aplikacji. Przykładowo, firma może użyć MAM w celu bezpiecznego dostarczania poczty elektronicznej, kalendarza, czy aplikacji raportujących. Jeśli użytkownik będzie chciał zrobić zdjęcie telefonem bądź uruchomić grę, nie zostanie poproszony o hasło. Dopiero po kliknięciu ikony poczty pojawi się monit z żądaniem wpisania hasła. Aplikacja zostanie uruchomiona dopiero po poprawnej weryfikacji.

Adaptive Access Control

Producenci będą też rozwijać mechanizmy adaptacyjnej kontroli dostępu (Adaptive Access Control). Jest to sposób kontroli dostępu, który dostosowuje działanie do bieżącego kontekstu, aby zapewnić optymalny balans pomiędzy poziomem zaufania a ryzykiem w momencie uzyskiwania dostępu do zasobów. Świadomość kontekstu oznacza, że decyzje dotyczące dostępu są podejmowane na podstawie aktualnych warunków.

Z kolei dynamiczne ograniczanie ryzyka to zezwalanie na dostęp, gdy jest to bezpieczne, lub blokowanie, jeśli ocena sytuacji wykaże zbyt wysoki poziom zagrożenia. Wykorzystanie tych mechanizmów umożliwia wdrożenie dostępu z dowolnych urządzeń i z dowolnego miejsca do korporacyjnych zasobów na podstawie różnych profili oceny ryzyka.

Network Access Control

W I dekadzie XXI w. produkty NAC (Network Access Control) były powszechnie oferowane, a o klienta w tej grupie produktów walczyli Microsoft, Cisco i Trusted Computing Group. W praktyce jednak systemy te okazały się trudne do wdrażania i zawierały wiele błędów. Z czasem zostały wyparte rozwiązania, takie jak MDM, IPS czy Next-Generation Firewall. Jednakże produkty NAC nie zniknęły z rynku i nadal są rozwijane.

Dzisiaj są już dużo lepiej skonstruowane, łatwiejsze do instalacji i zarządzania. Większość obecnych produktów działa w architekturze bezagentowej. Wykorzystują kombinację różnych mechanizmów testowania urządzeń końcowych: NMAP, Windows Management Instrumentation (WMI), uwierzytelnianie RADIUS czy zdalny dostęp do plików dziennika za pośrednictwem SSH i SNMP. Mimo to nadal stanowią wyzwanie dla użytkowników, szczególnie w dużych, złożonych sieciach. Aby NAC działał, musi obejmować szeroką gamę urządzeń końcowych, serwerów i przełączników.

Tego typu rozwiązanie do kontroli dostępu może służyć do zapobiegania atakom poprzez wykrywanie problemów na określonych urządzeniach. Następnie umożliwia wymuszenie korporacyjnych reguł, np. zablokowanie dostępu, jeśli wykryje problemy. Ułatwia też prowadzenie spójnej polityki tworzenia reguły oraz ocenę ogólne stanu bezpieczeństwa środowiska IT. NAC potrafią skanować punkty końcowe i określać ich zgodność z firmowymi zasadami. Powinny też dostarczać administratorom raporty o wykrytych problemach.

Podziel się na:
  • Facebook
  • Google Bookmarks
  • LinkedIn