Rosnąca złożoność środowisk IT oraz stale ewoluujące zagrożenia to główne czynniki decydujące o tym, że dbałość o bezpieczeństwo musi być dla działów IT procesem o najwyższym priorytecie, wymagającym ciągłego doskonalenia wiedzy, procedur oraz narzędzi. W miarę rozwoju systemów informatycznych i wdrożeń obejmujących kolejne obszary działalności organizacji, czynnikiem krytycznym staje się kontrola dostępu do poszczególnych zasobów sieciowych. Obecnie jednak zagadnienie to wykracza daleko poza klasyczne zarządzanie kontami użytkowników w systemach czy konfigurację firewalla.

Zarządzający infrastrukturą IT muszą zadbać o właściwe dostępy i uprawnienia, uwzględniając wiele czynników zewnętrznych, a prawdziwym wyzwaniem staje się wdrożenie takiej polityki bezpieczeństwa, aby z jednej strony odpowiednio chronić środowisko informatyczne biznesu, a z drugiej – nie utrudniać pracy uprawnionym użytkownikom systemów. Czy jest to możliwe?

Wymagania biznesu

Biznes oczekuje od IT przede wszystkim wsparcia – pomocy w osiągnięciu założonych celów. Zwykle też biznes nie akceptuje rozwiązań IT, które – nawet mimo posiadania pożądanych funkcjonalności – negatywnie wpływają na jego rozwój bądź generują zbyt duże koszty wdrożenia i utrzymania. Takie zależności determinują pośrednio lub bezpośrednio również kwestie bezpieczeństwa.

Większość organizacji wraz ze swoim rozwojem rozbudowuje eksploatowane zasoby informatyczne. Niezależnie od branży, standardem jest już co najmniej kilka-kilkanaście systemów centralnych, wspomagających firmę w obszarach zarządzania, kadr, finansów, administracji i in. Konsekwencją tego faktu są wielowymiarowe wymagania:

  • każdy z systemów przedsiębiorstwa powinien mieć własne reguły dostępu (poczta e-mail, webowy intranet, systemy ERP, HR, CRM, serwery plików, bazy danych, system obiegu dokumentów itp.);
  • poszczególne grupy pracowników (działy, zespoły, pojedynczy użytkownicy) powinni mieć określone i identyfikowalne w każdym momencie uprawnienia;
  • konieczne jest także zapewnienie dostępu podwykonawcom, konsultantom zewnętrznym, pracownikom firm trzecich;
  • w czasie rzeczywistym musi być możliwość określenia, kto i w jaki sposób ma dostęp do określonych systemów;
  • dopuszczone są zróżnicowane technologie połączeń zarówno lokalnych (z sieci wewnętrznej), jak i zdalnych (z oddziałów, z sieci partnerów biznesowych, z Internetu);
  • akceptowalne jest użycie firmowych komputerów stacjonarnych, laptopów, tabletów, ale także własnych urządzeń użytkowników (ang. BYOD, Bring Your Own Device).

Michał Strzyżewski, Lider Zespołu Utrzymania Infrastruktury, All for One Poland

Nowe możliwości ochrony IT
Wdrożenie systemu UAC powinno być poprzedzone audytem bezpieczeństwa sieci komputerowej. Należy pamiętać, że rozwiązanie to nie zastępuje poprawnej architektury sieci ani dedykowanych urządzeń sieciowych takich jak firewalle, koncentratory VPN, sondy IPS, a stanowi zaawansowane uzupełnienie i wnosi nowe możliwości do istniejących mechanizmów ochrony zasobów IT. Rozbudowana funkcjonalność Infranet Controllera pozwala elastycznie dostosować sposób kontroli dostępu do indywidualnych potrzeb i specyfiki poszczególnych organizacji, dając osobom zarządzającym IT zaawansowane narzędzie nadzoru i raportowania.
Michał Strzyżewski, Lider Zespołu Utrzymania Infrastruktury, All for One Poland

Wyzwania dla IT

Realizacja tak zdefiniowanych i tak złożonych wymagań biznesu, przy zachowaniu bezpieczeństwa systemów, stanowi dla działu IT duże wyzwanie – często tym większe, im bardziej obwarowane formalnymi wymaganiami w postaci wewnętrznych polityk bezpieczeństwa, wdrożonego Systemu Zarządzania Bezpieczeństwem Informacji zgodnego z ISO 27001 czy procedur SOX. Weryfikacja sposobu przełożenia wymagań biznesu na techniczne realia IT jest też oczkiem w głowie chyba wszystkich audytorów, ponieważ zagadnienie szeroko rozumianych uprawnień użytkowników systemów informatycznych stanowi obszar do nieustannych usprawnień i optymalizacji.

Nierzadko dochodzi do sprzeczności pomiędzy elastycznością wymaganą przez biznes a koniecznością zapewnienia właściwej ochrony krytycznych systemów przez IT. W takich sytuacjach znalezienie rozwiązania może – w najlepszym przypadku – oznaczać znaczny nakład pracy na wdrożenie i utrzymanie nowych, niestandardowych rozwiązań, a w najgorszym – może wymagać rewizji (złagodzenia) stosowanych zasad bezpieczeństwa i świadomego odstąpienia od stosowania dobrych praktyk w tym zakresie.

Problem staje się tym trudniejszy, im bardziej złożone jest środowisko. Różne grupy użytkowników, różne wersje sprzętowe i programowe stacji klienckich, różne technologie dostępu powodują, że trudno zapewnić jednolitą formę uwierzytelnienia ogółu użytkowników i uzyskać pewność, że tak naprawdę mamy kontrolę nad ruchem sieciowym kierowanym do ważnych systemów.

Świadomość potrzeb biznesu – zarówno obecnych, jak i tych, które potencjalnie mogą się pojawić w przyszłości – to zatem dla IT podstawa do zaplanowania i wdrożenia polityk bezpieczeństwa oraz rozwiązań technicznych i organizacyjnych służących przedsiębiorstwu i jednocześnie niewprowadzających niepotrzebnych ograniczeń. Dynamiczny rozwój biznesu musi więc mieć przełożenie na standardy i funkcjonalności stosowanych rozwiązań i narzędzi IT.

Rozwiązania dla organizacji

Łącznikiem między biznesem a środowiskiem IT jest platforma Unified Access Control (UAC) firmy Juniper Networks. System ten zapewnia kompleksowe i skalowalne rozwiązanie kontroli dostępu do zasobów sieciowych nawet dla najbardziej złożonych i zróżnicowanych środowisk. Istotą jego działania jest realizacja dostępów na poziomie sieciowym w oparciu o role użytkowników, czyli w sposób zasadniczo odmienny od klasycznych rozwiązań znanych z firewalli. Kluczowa jest przy tym możliwość silnego uwierzytelnienia użytkownika i dokładnej weryfikacji urządzenia, z którego realizowane jest połączenie.

Wyższa jakość IT

BCC (aktualnie All for One Poland), autoryzowany partner Juniper Networks, realizuje kompleksowe wdrożenia systemu UAC. Zapewniając wsparcie zarówno konsultantów technicznych, jak i konsultantów bezpieczeństwa informacji, pomagamy klientom osiągnąć wyższą jakość IT – dostosowaną do współczesnych realiów i oczekiwań biznesu. Począwszy od zdefiniowania standardów bezpieczeństwa i opracowania stosownych dokumentów, przez ekspercką ocenę stanu faktycznego i rekomendacje zmian w obszarze sieci, aż po wdrożenie rozwiązań zapewniających poprawę i utrzymanie skutecznych mechanizmów kontroli dostępu.

Architektura UAC

Centralnym elementem platformy UAC jest Infranet Controller (IC) – appliance sieciowy, stanowiący punkt konfiguracji uprawnień oraz realizujący weryfikację użytkowników.

IC integrowany jest z jednym bądź wieloma punktami Infranet Enforcer (IE), którymi mogą być firewalle, sondy IDP oraz switche i bezprzewodowe punkty dostępowe. Urządzenia IE realizują funkcje sieciowe narzucone przez kontroler dla zapewnienia dostępów wynikających indywidualnych uprawnień każdego z użytkowników systemu.

Ostatnim składnikiem systemu jest klient (stacja użytkownika), wyposażony w automatycznie instalowanego i konfigurowanego agenta lub też działający w trybie bezagentowym.

Z punktu widzenia wdrożenia należy podkreślić, że w wielu przypadkach możliwe jest dodanie do istniejącej infrastruktury sieciowej funkcjonalności samego tylko kontrolera, aby uzyskać pełną funkcjonalność systemu UAC.

Ważną cechą całego rozwiązania jest możliwość pracy w architekturze wysokiej dostępności (klaster HA) oraz skalowalność – rozszerzanie pojemności systemu w trakcie jego eksploatacji, gdyż jedynym licencjonowanym elementem jest liczba równocześnie podłączonych użytkowników (od 25 wzwyż).

Role użytkowników

Koncepcja UAC, bazująca na wykorzystaniu ról, przenosi kwestie filtrowania ruchu sieciowego na nowy, wirtualny poziom. Administratorzy sieci i bezpieczeństwa mogą w znacznej części odrzucić model konfiguracji oparty o adresy IP. Dzięki wykorzystaniu IC przestaje mieć znaczenie miejsce, z którego łączy się użytkownik, oraz jego adres IP. Zamiast tego administrator operuje konkretnymi użytkownikami (nazwiskami) , z których każdy może otrzymać zarówno indywidualne, jak i grupowe role definiujące jego uprawnienia. Takie rozwiązanie zapewnia, że intruz nie ma już możliwości przejęcia cudzego adresu IP w celu nieuprawnionego uzyskania dostępu do chronionych systemów dostępnych dla innych osób.

Role zapewniają granulację uprawnień (przykładowo jedna rola może gwarantować dostęp do jednego systemu lub grupy podobnych systemów) i umożliwiają sumowanie. Mechanizm ten pozwala na wygodne i elastyczne kreowanie kompleksowych zasad dostępu przy minimalnym nakładzie administracyjnym. Jednocześnie daje możliwość określenia, jakie faktyczne uprawnienia posiada w danym momencie każdy z użytkowników.

Źródłem informacji o kontach użytkowników dla Infranet Controllera mogą być rozmaite rodzaje repozytoriów (MS AD, LDAP, Radius, SQL Server, infrastruktura klucza publicznego, tokeny RSA i in.). Przy zapewnieniu odpowiednich funkcjonalności na poziomie aplikacji i systemów możliwe jest całkowite scentralizowanie zarządzania użytkownikami i ich rolami, a poprzez wdrożenie mechanizmów Single Sign-On zbudowanie szczelnego systemu zabezpieczeń, bez negatywnego wpływu na komfort i wydajność pracy użytkowników.

Filip Kiernicki, Koordynator ds. Bezpieczeństwa Systemów, All for One Poland

Uprawnienia bardziej szczelne
UAC tworzy dodatkową warstwę ochronną dla zasobów informatycznych, plasującą się między dostępem do fizycznego medium a dostępem do zasobów końcowych. Stanowi istotne uzupełnienie mechanizmów bezpieczeństwa, umożliwiając filtrowanie ruchu sieciowego przez powiązane zapory sieciowe, wykorzystując dodatkowe kryterium – uwierzytelnionego użytkownika. Nowoczesne standardy bezpieczeństwa systemów IT, w tym norma ISO/IEC 27001:2007, narzucają konieczność zapewnienia użytkownikom dostępów tylko do tych systemów i usług, do których posiadają uprawnienia. UAC jest odpowiedzią na to zapotrzebowanie.
Filip Kiernicki, Koordynator ds. Bezpieczeństwa Systemów, All for One Poland

Bezpieczeństwo stacji klienta

Oczywiste jest, że sama kontrola dostępu i ograniczenie ruchu sieciowego jedynie do uprawnionych użytkowników nie wyczerpują kwestii bezpieczeństwa. Zagrożeniem pozostają trojany, backdoory, aplikacje spyware itp., które działając na stacji zaufanego użytkownika, mogą – bez jego wiedzy – uzyskać dostęp do poufnych danych, wykorzystując jego uprawnienia.

Rozwiązaniem jest integralny mechanizm Infranet Controllera – Host Checker. Jest to podsystem platformy UAC, którego zadaniem jest weryfikacja stacji klienckich na zgodność z predefiniowanymi regułami bezpieczeństwa. Administrator otrzymuje do dyspozycji zestaw gotowych polityk, które może w dowolny sposób modyfikować oraz tworzyć autorskie rozwiązania. Z punktu widzenia bezpieczeństwa stacja może być kontrolowana m.in. pod kątem zgodności z dopuszczoną do użytkowania w organizacji listą systemów operacyjnych i poziomu ich aktualizacji, bieżącej wersji sygnatur antywirusowych, działania firewalla, certyfikatów i innych parametrów warstwy aplikacyjnej. Spośród możliwości udostępnianych przez Host Checker administrator może budować indywidualne profile bezpieczeństwa stacji roboczych, których spełnienie warunkuje nadanie użytkownikom określonych ról.

Wygoda dla użytkowników

Z punktu widzenia użytkowników wdrożenie systemu UAC sprowadza się do jednorazowego uwierzytelnienia w captive portalu, po którym następuje automatyczna instalacja i konfiguracja agenta Junos Pulse, odpowiedzialnego za komunikację stacji roboczej z Infranet Controllerem. Nie są wymagane jakiekolwiek inne działania angażujące użytkownika – ani na etapie wdrożenia, ani późniejszej eksploatacji systemu.

Łatwość zarządzania dla IT

Dobrze zaprojektowany i wdrożony system UAC w znacznym stopniu podnosi bezpieczeństwo środowiska informatycznego organizacji, a jednocześnie ułatwia administratorom konfigurację i nadzór nad kontrolą dostępu do zasobów sieciowych. Wszelkie zmiany wykonywane są centralnie na poziomie Infranet Controllera, a dostępne informacje zwrotne pozwalają administratorom na weryfikację stanu faktycznego stacji roboczych.

Dobre relacje biznesu i IT

Platforma Juniper Networks UAC stanowi zaawansowane wsparcie dobrych relacji na styku biznes – IT. Umożliwia wdrożenie skutecznej ochrony zasobów sieciowych każdej organizacji, w coraz bardziej otwartym środowisku pracy, w którym standardowe rozwiązania nie są wystarczające do jednoznacznego potwierdzenia tożsamości użytkowników sieci i weryfikacji bezpieczeństwa urządzenia klienckiego. Poufność i integralność danych jest krytyczna niezależnie od wielkości organizacji – UAC wspiera ten obszar na poziomie sieciowym.