Blog

Kako da zaposlenima omogućite rad od kuće a da pri tom zadržite nivo kontrole nad internim resursima kao da su na poslu?

Trenutna situacija u zemljama regiona i preporuke vezane za sprečavanje korona virusa kao jedan od glavnih saveta navode rad od kuće. Koliko smo ispratili po društvenim mrežama mnogo kompanija se odlučilo za ovakvo preventivno delovanje, jer na kraju krajeva poslovica kaže “Bolje sprečiti nego lečiti”. U skladu sa ovim, pozabavićemo se rešenjem koje omogućava ovakav pristup na sasvim bezbedan način. Dakle, bezbednost zaposlenih je motiv, a konačan cilj je bezbednost i samog IT sistema. Prava pristupa,privilegije i ispunjavanje bezbednosnih polisa nisu nikakva novost niti nam je to fokus u ovom tekstu. Ono što nas konkretno zanima je da li je naš IT sistem spreman za ovo naglo migriranje na udaljene radnike i da li smo svesni svih potencijalnih problema koji su sastavni deo ovog modela rada?

Većina kompanija ima rešenje koje omogućava udaljeni pristup i prema slobodnoj proceni zasniva se na VPN klijentu i NGFW rešenju (mada, verovatno ima i dosta konvencionalnih firewall-a). Da odmah razjasnimo da ovaj tekst nema nameru da umanji upotrebnu vrednost ovih rešenja, već samo da vam predoči fleksibilnost jednog proizvoda iz našeg portfolija, koje je možda i po malo nepravedno u senci drugih rešenja na tržištu.

Dosta uvoda, da pređemo na stvar. Reč je o rešenju kompanije F5, a verovali ili ne nije load balancer. Danas vam predstavljamo Access Policy Manager ili skraćeno APM. Glavni slogan koji F5 vezuje za ovaj proizvod je “SECURITY STARTS WITH TRUSTED ACCESS”. Ovo zaista i ima smisla, jer kad malo bolje pogledate novonastale okolnosti nas primoravaju da više pažnje usmerimo na udaljeni pristup.

Limiti tradicionalnog udaljenog pristupa

Svi firewall-i imaju manje više neko ograničenje. Bilo da je broj konkurentnih konekcija, VPN licenci, protok itd itd. Prilikom odabira FW-a, niko nije mogao da pretpostavi da će se desiti ovo što se dešava. Broj planiranih remote sesija je projektovan za neke manje obime i to obično za spoljne saradnike, zaposlene u IT sektoru i po negde menadžere. Multipliciranje ovakvih korisnika sasvim sigurno nije očekivano, pogotovo u  situaciji kada ~60% zaposlenih prelazi na remote. Hipotetički, ako kompanija ima 50 zaposlenih, njih 30 prelazi da radi remote, a do tog momenta imali ste između 3 i 10 remote konekcija, ovo znači direktno uvećanje VPN konekcija od više od 300%.  Prilično stresno za hardware, zar ne? Podjednako stresno za administratore.

 Rasipanje resursa

Da li je zaista neophodno da svi koriste VPN? Imate 2 puta ispred sebe. Izložiti aplikaciju/e javno, pa rasteretiti firewall, ili ostati dosledan i pustiti firewall da se guši pod novim okolnostima? Ukoliko se odlučite za javnu objavu aplikacija, rizikujete da sama aplikacija postane meta napada.  Ukoliko ostanete pri stavu “samo VPN”,  konstantno enkriptujući/dekriptujući saobraćaj koji prolazi dodatno opterećujete resurse FW-a, pored svih postojećih inspekcija koje se inače dešavaju.

Definisanje prava pristupa

Da li zaista želite da provedete narednih X sati migrirajući korisnike u nove grupe i sređujući prava pristupa? Ili možda dozvoliti kroz nekoliko polisa opšti  pristup grupama resursa? Teška odluka.

Komplementarnost end-pointa

Ukoliko ste svim zaposlenima podelili lap-topove ovaj deo možete slobodno preskočiti. Ukoliko imate deo zaposlenih sa BYOD end point-ima, nastavite sa čitanjem. Dobar deo neIT zaposlenih jednostavno svoj kućni računar doživljava kao “entertainment system”. Jednostavno nema nikakvih polisa/politike koja bi mogla da garantuje komplementarnost sa vašim bezbednosnim pravilima. Da li im verovati? Da li ih dodatno proveravati?  Kako?

F5 APM kao spasilac

Već pomenuto rešenje donosi odgovore na sva prethodno navedena pitanja. U formi hardware-a ili VM-a, funkcionalnost ostaje ista. Granularnost definisanja access polisa je zaista impresivna (za nekog ko je poput mene veći deo života proveo u firewall okruženju).

Nego, da taksativno nabrojimo  funkcionalnosti, kako ovo ne bi bilo prenaporno za čitanje:

  • Edge Client ( Windows,Mac,Linux) SSL VPN ( split/full tunnel)
  • Webtop – Clientless VPN portal/Http Tunneling ( nema crypto operacija na hardware-u kao u VPN varijanti)
  • Limitiranje prava pristupa prema klijentskom OS
  • Podržani su svi AAA direktorijumi ( bez servisnog/mašinskog naloga), kao i interna baza usera
  • Kompatibilnost sa Citrix NetScaler
  • Client Side checks ( da li je OS update-ovan, da li radi AV software, Firewall, Cache control,file info, proccess info, registry info….)
  • Server side checks ( Geolocation, Client-type,ClientOS,IP Reputation,Date/Time…)
  • Embedded RDP browser client
  • SSO ( radi čak i za RDP i Forme)
  • Skripting putem iRule-ova kojima možete uticati na skoro sve atribute remote sesije
  • SAML
  • Podrška za integraciju sa skoro svim MFA vendorima, a mi preporučujemo Entrust (odnos cene i funkcionalnosti je neprikosnoven na tržištu)

I sada najbolji deo, SSL VPN modul  možete probati bez ikakvih obaveza tokom ovog problema sa Corona virusom. Kompanija F5 daje zvaničnu podršku radu od kuće, a vi se za svoj demo možete registrovati ovde .

Treba Vam ponuda ili pomoć pri izradi rešenja? Tražite partnera za implementaciju?

Kontaktirajte nas!