Обеспечение безопасного и быстрого удаленного доступа является одной из главных задач организаций в современной бизнес-среде. Мир изменился, и теперь сотрудники предпочитают, а в некоторых случаях и обязаны работать вне офиса. Хотя это может положительно сказаться на производительности труда и моральном состоянии сотрудников, такая реальность значительно усложнила представление о сетевой безопасности.
Видеоконференции, мгновенный обмен сообщениями и данными позволяют людям сотрудничать в режиме реального времени, преодолевая расстояния и часовые пояса. Устройства сотрудников подключены к многочисленным жизненно важным облачным приложениям, которые сегодня составляют большинство сетей организаций.
Такая гибкость позволяет предприятиям быстро создавать ИТ-инфраструктуру, необходимую для достижения успеха, и это стало настолько выгодным, что более 84% организаций сейчас размещают в облаке как минимум одну важную функцию. Из них 58% используют модель гибридного облака, которая предусматривает использование нескольких облачных сред наряду с локальными ресурсами. Это в значительной степени способствовало развитию современной эпохи цифрового прогресса, когда сотрудники могут работать из любого удобного для них места так же эффективно, как если бы они находились в офисе.
Однако, когда потребность в удаленном доступе возрастает, сети могут испытывать нагрузку и подвергаться риску утечки данных, если они не защищены должным образом.
Данный чеклист подготовлен ООО "НТЦ ЕВРААС" и будет полезен для организаций, которые давно практикуют или только пришли к удаленной работе.
Чеклист
Согласно исследованию, проведенному консалтинговой компанией BCG и альянсом рекрутинговых сервисов The Network при участии HeadHunter, до 60% работников намерены и после пандемии полностью или частично работать удаленно.
ИТ-команды должны быть готовы к наплыву удаленных работников, запрашивающих доступ к более широкому спектру ресурсов, с помощью множества устройств и через потенциально небезопасные соединения Wi-Fi. Соответственно, необходимо учесть несколько моментов:
1. От периметра к пользователю
Сложно применить подход к безопасности, ориентированный на периметр, к сети, которая постоянно меняет форму. Организации, предоставляющие полный доступ к сети всем, у кого есть учетные данные, по умолчанию рискуют своими данными. Поскольку такая модель доступа не учитывает пробелы в системе безопасности, возникающие при многочисленных удаленных подключениях. Подход Zero Trust (нулевое доверие) - уменьшает поверхность атаки, а аутентификация происходит сначала на основе идентификатора пользователя, его устройства, а затем и других контекстных атрибутов.
2. VPN и NaaS
VPN-сервисы являются важной частью безопасной работы в сети. Wireguard и туннелирование IPsec облегчают IT-командам отслеживание перемещения людей по сети и информирование об их активности. NaaS (Network as a Service) является развитием этой идеи и включает в себя дополнительные функции, такие как более точная сегментация пользователей, Secure Web Gateway и другие. NaaS - модель облачных услуг, при которой клиенты арендуют сетевые услуги у поставщика облачных услуг вместо создания собственной сетевой инфраструктуры. Она может заменить виртуальные частные сети (VPN), многопротокольные соединения или другие устаревшие сетевые конфигурации. Она также может заменить локальное сетевое оборудование, например, межсетевой экран.
3. Облачные среды
Учитывая практически повсеместное распространение гибридных облачных сетей, решения безопасности должны быть облачными и легко интегрироваться в любые SaaS или облачные ресурсы, которые организация использует на ежедневной основе. Такой подход относится и к локальным ресурсам. Это облегчит нагрузку на ИТ-специалистов, которые в противном случае должны вручную настраивать множество систем для совместной работы.
4. Безопасность Wi-Fi сетей
Одним из самых больших пробелов в системе безопасности является публичный Wi-Fi, или просто незащищенный Wi-Fi. Многие сотрудники будут работать из дома, коворкингов или мест, где подключение к Интернету менее безопасно, чем в офисе, поэтому подход к безопасности Wi-Fi, применяемый организациями, должен учитывать эту очевидную угрозу и действовать соответствующим образом. Например, использовать сервисы, который предлагают автоматическую защиту используемых Wi-Fi соединений.
5. Географически разнесенные данные
Сосредоточения решений по обеспечению безопасности в одном месте будет недостаточно для крупных организаций с большим количеством удаленных сотрудников. Поэтому очень важно найти поставщика услуг с несколькими центрами обработки данных по всему миру, так как в этом случае сотрудники смогут подключаться к наиболее близко расположенному серверу для получения необходимых им ресурсов, что снижает задержки и повышает производительность всей организации.
6. Двухфакторная аутентификация
Требование к сотрудникам проходить аутентификацию более одного раза – минимальная мера защиты. Это очень простая система, и, по крайней мере, она должна включать Google Authenticator или SMS аутентификацию.
7. Защита личных устройств (BYOD)
Сотрудники используют широкий набор смартфонов, планшетов и ноутбуков для подключения к корпоративной сети. Для обеспечения безопасности всех устройств необходимо использовать современные решения сетевой безопасности. Лучшим решением станет ПО, динамично учитывающее пользователей и выбранные ими устройства на индивидуальной основе, охватывая все конечные точки с одинаковой эффективностью и оперативностью.
8. Эффективный онбординг
Правильные модели сетевой безопасности позволяют ИТ-командам без проблем подключать новых пользователей к системе, назначать им профиль или сегмент, предоставляющий доступ в соответствии с их ролью, и конкретные правила подключения их устройств. Если ИТ-команде предоставлена такая возможность, она с большей вероятностью сможет эффективно реагировать, когда потребность в удаленном доступе возрастет.
9. Технология единого входа
Такие удобные для пользователя функции, как единый вход (SSO), почти как цифровое удостоверение личности, являются ключом к модели безопасности, ориентированной на пользователя. Они особенно эффективны в сочетании с функциями сегментации пользователей и должны быть приоритетными для компаний, которые уделяют большое внимание производительности, сокращению расходов на службу поддержки и упрощению процесса входа в систему.
10. Безагентный удаленный рабочий стол
Протокол удаленного рабочего стола (RDP), обеспечивающий доступ к данным в облаке через браузер особенно полезен для распределенных рабочих групп. Простота и безагентность RDP делает его одним из самых сильных и легких компонентов безопасной сети, но при этом сохраняющим доступность для удаленных сотрудников.