Традиционная модель безопасности сети с защищенным периметром и зашифрованными каналами внешнего доступа внутрь периметра трещит по швам. Облачные сервисы и удаленная работа поставили саму концепцию «периметра» под сомнение, а основной способ доступа в периметр — через VPN — за последние годы стал излюбленным вектором атак злоумышленников. Многие «громкие» взломы начались с эксплуатации дефектов в VPN-решениях: CVE-2023-46805, CVE-2024-21887 и CVE-2024-21893 в Ivanti Connect Secure, CVE-2023-4966 в решениях Citrix. Скомпрометировав VPN-сервер, который обязан быть доступен через Интернет, злоумышленники получают привилегированный доступ к внутренней сети предприятия и широкие возможности по скрытному развитию атаки.
Серверные и корпоративные приложения часто настроены таким образом, что доверяют и доступны всем хостам в интрасети, поэтому в них проще находить и эксплуатировать новые уязвимости, извлекать, шифровать или уничтожать важные данные.
VPN-доступ часто предоставляют и подрядчикам организации. Если подрядчик нарушает требования ИБ, а доступ по VPN выдан стандартный, с широкими правами в сети организации, то компрометация подрядчика позволяет атакующим проникнуть в сеть компании и получить доступ к информации, пользуясь аккаунтами и правами подрядчика. При этом их деятельность может остаться незамеченной долгое время.
Радикальное решение этих проблем сетевой безопасности требует нового подхода к ее организации. В рамках этого подхода каждое сетевое соединение детально анализируется, проверяются реквизиты и права доступа у его участников, и доступ запрещается всем, кто явно не указан как имеющий право на работу с конкретным ресурсом. Этот подход применим как к сервисам во внутренней сети, так и к публичным и облачным сервисам. Недавно агентства по киберзащите США, Канады и Новой Зеландии выпустили совместную рекомендацию о том, как перейти на эту модель безопасности. Вот из каких инструментов и подходов она состоит.
Оглавление
Zero Trust
Модель Zero Trust создана для предотвращения несанкционированного доступа к данным и службам благодаря детальному, точному контролю доступа. Каждый запрос на доступ к ресурсу или микросервису отдельно анализируется, и решение принимается на основе ролевой модели доступа и принципа наименьших привилегий. Каждый пользователь, устройство, приложение должны регулярно проходить аутентификацию и авторизацию во время работы — разумеется, технические средства делают эти процессы незаметными для пользователя.
Подробнее о Zero Trust и его воплощении мы писали в отдельном материале.
Secure Service Edge
Secure Service Edge — это набор инструментов, позволяющих обезопасить приложения и данные вне зависимости от местоположения пользователей и используемых ими устройств. SSE помогает воплотить Zero Trust, учесть реалии гибридных облачных инфраструктур, защитить SaaS-приложения и упростить проверку пользователей. Компонентами SSE являются сетевой доступ с нулевым доверием (ZTNA, Zero Trust Network Access), облачный веб-шлюз безопасности (Cloud Secure Web Gateway), брокер облачного доступа (Cloud Access Security Broker) и облачный межсетевой экран (FWaaS, Firewall-as-a-Service).
Zero Trust Network Access
Решение ZTNA обеспечивает безопасный удаленный доступ к данным и сервисам организации на основании строго определенных политик доступа, сформированных с учетом принципов Zero Trust. Даже если злоумышленники скомпрометируют устройство сотрудника, их возможности по развитию атаки будут ограничены. Для работы ZTNA применяется приложение-агент, которое проверяет identity пользователя или сервиса, его права доступа, сопоставляет их с политиками и требуемыми пользователем действиями. Дополнительными факторами, которые могут отслеживаться, являются уровень защищенности клиентского устройства (версии ПО, обновление баз защитных решений), местоположение клиента и так далее. Также агент может применяться в многофакторной аутентификации. Во время пользовательской сессии происходит периодическая реаутентификация. Если пользователь требует доступа к новым ресурсам и приложениям, полный процесс аутентификации и авторизации проходит повторно.
Cloud Secure Web Gateway
Облачный SWG защищает пользователей и устройства от веб-угроз и помогает соблюдать сетевые политики. Среди его функций фильтрация подключений по URL и контенту веб-соединений, контроль доступа к веб-сервисам, анализ зашифрованных соединений TLS/SSL. Также SWG участвует в аутентификации пользователей и обеспечивает аналитику по использованию веб-приложений.
Cloud Access Security Broker
Решения CASB помогают соблюдать политики доступа к облачным SaaS-приложениям, находясь между этими приложениями и их пользователями, а также управлять данными, передаваемыми между различными облачными сервисами. Это позволяет обнаруживать угрозы, ориентированные на облачные сервисы, попытки несанкционированного доступа к данным в облаке, а также подчинять управление различными SaaS-приложениями единой политике безопасности.
Firewall-as-a-Service
Облачный межсетевой экран (FWaaS) выполняет функции традиционного файрвола, но анализ и фильтрация трафика происходят в облаке, а не на отдельном устройстве в офисе организации. Помимо удобств, связанных с масштабируемостью, FWaaS упрощает защиту распределенной инфраструктуры, состоящей из облачных и собственных ЦОД, офисов и филиалов.
Secure Access Service Edge
Наиболее эффективная интеграция управления сетью и управления безопасностью возможна, если внедрить в компании решение SASE. Оно объединяет программно-определяемые сети (SD-WAN) со всеми функциями Secure Service Edge. Компания получает одновременно несколько преимуществ, связанных не только с безопасностью, но и экономической эффективностью:
снижение стоимости организации распределенной сети, можно комбинировать различные каналы связи для повышения скорости и надежности;
централизованное управление сетью, высокая степень видимости и широкие возможности анализа;
снижение издержек на администрирование благодаря автоматической конфигурации и реакции на сбои;
все функции SSE — SWG, CASB, ZTNA, NGFW — могут быть интегрированы в решение, обеспечивая защитникам полную видимость серверов, сервисов, пользователей, портов и протоколов и автоматическое применение политик безопасности при разворачивании новых сервисов или сегментов сети;
сложность администрирования и применения политик значительно снижается благодаря централизованному интерфейсу управления.
В архитектуре SASE весь трафик организации может маршрутизироваться динамически и автоматически, с учетом требований к скорости, надежности и безопасности. Интеграция требований ИБ глубоко в архитектуру сети обеспечивает детальный контроль над всеми событиями в ней — трафик классифицируется и проверяется на нескольких уровнях, включая уровень приложений. Это позволяет автоматически управлять доступом, как предписывает Zero Trust, с детальностью до функции приложения и прав пользователя в его текущем контексте.
Применение одной платформы значительно повышает эффективность мониторинга, резко ускоряет и повышает эффективность реагирования на инциденты. Также SASE упрощает обновления и управление сетевыми устройствами в целом, что тоже благотворно влияет на безопасность.
Нюансы перехода
Применение описанных решений поможет организации сменить традиционный подход «периметр за файрволом плюс VPN» на более безопасную, лучше масштабируемую и экономически эффективную модель, учитывающую облачные решения и мобильность сотрудников. Однако ИБ-агентства, рекомендующие этот набор решений, предостерегают, что в каждом случае необходим детальный анализ требований и текущего состояния дел в компании, анализ рисков, а также поэтапный план перехода. При переходе с VPN на решения, основанные на SSE/SASE, необходимо учесть важные технические и организационные моменты:
строго ограничить доступ к управляющему уровню (control plane) сети;
выделить и изолировать интерфейс управления решением и сетью;
обновить VPN-решение и детально проанализировать его телеметрию, чтобы исключить возможность уже произошедшей компрометации;
протестировать процесс аутентификации пользователей и изучить возможность его упрощения, например аутентифицировать их заранее;
использовать многофакторную аутентификацию;
внедрить контроль версий конфигурации управления и активно отслеживать ее изменения.
Блог Касперского