Zatímco práce na dálku a hybridní práce byly vždy věcí , v poslední době se staly populárnějšími, což vytvořilo nové výzvy pro zabezpečení sítě.
Některé společnosti zahrnují práci na dálku a/nebo hybridní práci; někteří se snaží trendy omezit nebo zvrátit. Pro některé interní týmy je práce na dálku snadno proveditelná a často preferovaná. V jiných případech může být při více praktickém a společném úsilí důležité být fyzicky na místě.
Jde o to, že neexistuje cesta, která by vedla k univerzálnímu řešení pro zásady vzdálené/hybridní práce, které chrání zabezpečení sítě. Mnoho firem bude muset vzít v úvahu mnoho faktorů a činit různá rozhodnutí pro různé pracovní skupiny a/nebo regionální skupiny.
Není snadné najít situace, kdy by jedna politika měla smysl pro všechny. Je to velmi komplikovaný problém s kompromisy. Firmy však nemohou dovolit, aby složitost příliš komplikovala jejich obecný stav zabezpečení sítě způsobem, který je buď vystavuje rizikům, nebo vnucuje jejich zaměstnancům každodenní pracovní toky těžkopádné nechtěné procesy.
Potřeba nového přístupového paradigmatu
V minulosti existovaly dva běžné způsoby přístupu k podnikovým zdrojům. Buď jste byli fyzicky připojeni k síti v kanceláři, nebo jste se připojili vzdáleně přes VPN.
Složitost toho byla slušným kompromisem. Zatímco vzdálení pracovníci byli nuceni k sekundárnímu procesu (připojení k VPN pro některé nebo všechny pracovní úkoly), pracovníci na místě měli obvykle plynulejší proces přístupu ke zdrojům (a často mnohem rychlejší).
Opět, u práce na dálku a hybridní práce to bylo méně obvyklé, šlo o běžný kompromis. Pokud jste byli na cestách, v hotelu nebo doma a odpovídali jste na důležitý e-mail, když jste se zotavovali z nemoci, přijali jste proces.
Dnes pracoviště vypadá jinak. A pracovníci mají jiná očekávání. Pokud děláte 20%, 50% nebo 100% své práce vzdáleně, poslední věc, kterou chcete, je jiný proces přístupu ke zdrojům v závislosti na tom, zda jste byli v kanceláři nebo dělali vzdálenou práci. Váš přístup by měl být snadný, bezproblémový a konzistentní bez ohledu na to, kde se nacházíte.
Proč musí být přístup všude konzistentní
Na druhé straně rovnice jsou zdroje, ke kterým se přistupuje. Ty se častěji nacházejí mimo fyzickou podnikovou síť, tak proč by se po někom, kdo pracuje na dálku, mělo vyžadovat, aby se připojoval zpět k síti přes VPN, aby se vrátil do cloudové služby?
Pracovník by také neměl potřebovat rozumět složitosti podnikové sítě. Neměli by potřebovat vědět, které zdroje jsou v místní síti a které vzdálené. Zejména v dnešním síťovém prostředí, kde se zdroje často přidávají, odebírají a přesouvají.
Trénovat a udržovat znalosti v celé společnosti o umístění zdrojů a přístupu k nim je příliš mnoho. Všechny zdroje se musí běžnému uživateli jevit jako stejné. Okrajové případy existují, ale vysoce citlivé systémy nebo sítě nejsou pro většinu pracovníků běžné.
Základní principy přístupu pro práci na dálku a hybridní práci
To vede k otázce, jak zabezpečit přístup v podnikové síti bez hranic. Takový, kde se očekává, že někteří (nebo všichni) zaměstnanci budou vykonávat vzdálenou nebo hybridní práci, někdy na neznámých připojeních. A jak jim poskytnout bezpečný přístup ke zdrojům, které lze nasadit na mnoha různých místech a metodách, od on-prem přes privátní cloud až po veřejné SaaS.
I když existuje mnoho různých technologií, které budou muset spolupracovat (příliš mnoho na to, aby byly plně pokryty v tomto příspěvku), aby zajistily zabezpečení sítě, je třeba pochopit základní principy jejich fungování:
Zaměstnanec nerozhoduje o připojení.
Zařízení musí provést tato rozhodnutí za pracovníka. Když uživatel přistupuje ke zdroji na adrese www.company.com/resource, tento provoz musí být správně směrován, aniž by uživatel musel chápat, kde se zdroj nachází.
Aby byla zachována konektivita k podnikovým zdrojům, musí být zařízení a uživatel vždy známí, hodnoceni a důvěryhodní.
Řešení potřebuje ověřit mnoho různých proměnných, aby znalo kontext připojení. A tyto proměnné se mohou často nebo náhle měnit. Je na správci, aby nasadil řešení, které dokáže tyto proměnné vyhodnotit čistě, rychle a po celou dobu životnosti připojení.
Ostatní konektivita by neměla být rušena.
I když je důležité ověřit, že zařízení zůstává bez kompromisů, zejména při přístupu ke zdrojům, které společnost nevlastní ani nespravuje. Řešením tohoto problému nemůže být blokování nepracovních připojení.
Pracovní postup pro koncového uživatele by se nikdy neměl měnit.
Protože se umístění uživatele změní nebo hostovaný zdroj přesune umístění, koncový uživatel by pro přístup ke zdrojům nemusel provádět změny ve svém pracovním postupu.
Aktualizace zásad přístupu ke zdrojům musí být nasazeny okamžitě, prováděny na pozadí a nenutit uživatele, aby změny znal nebo jim porozuměl.
Administrátor by měl být schopen vyvolat, odstranit a přesunout zdroje podle potřeby. Pokud jsou prostředky přesunuty, mělo by být snadné provádět aktualizace zásad o přístupu k nim.
Měl by existovat portál, který by uživateli ukázal, k čemu má přístup.
Administrátor musí udržovat portál, aby každému uživateli ukázal přesný seznam zdrojů, ke kterým má přístup. Tento portál by měl být konzistentní a jednoduchý. Ale nemělo by to být vyžadováno pro přístup ke zdrojům. Jakmile uživatel ví, co potřebuje, měl by mít přímý přístup ke svým potřebným zdrojům.
Řešení zabezpečení sítě
Zásad, které jsme právě uvedli, lze dosáhnout různými způsoby. Nejběžnější řešení jsou ZTNA (zero trust Network Access), SASE (Secure Access Service Edge) nebo SSE (Security Service Edge). Všechny obsahují různé metody nasazení, různé složitosti a různé sady funkcí.
Řešení zabezpečení sítě často zahrnuje několik různých typů řešení, která spolupracují. Nakonec se zabývají stejnými principy v podstatě stejnými způsoby:
- Spravují síť na zařízení, aby nasměrovali přístup ke zdrojům ke správné bráně, proxy nebo síti.
- Spravují datovou komunikaci bezpečným způsobem.
- Spravují zařízení, aby zajistili, že nebudou přítomny, staženy nebo spuštěny viry, spyware a phishingové útoky.
- Ověřují vlastníka zařízení a ověřují uživatele na zařízení.
- Spravují backendovou komunikaci s podnikovými prostředky, aby umožnili hybridní nasazení a hybridní přístup.
Neexistuje jednoznačná odpověď, zvláště s příchodem nových výzev, jako je internet věcí. Je tu prostě příliš mnoho složitostí, které je třeba zvážit. Pokud však tyto základní principy nesplníte, přístup k síti bude v tomto věku vzdálené práce a hybridní práce jen riskantnější a obtížnější na údržbu a používání. Neváhejte nás kontaktovat pro získání aktuálních informací k vaší hybridní práci.
Zdroj: Ivanti
