Mariusz Sawczuk [MS]: Cały świat nieustannie się zmienia. Zachodzą zmiany w organizacjach, pojawiają się nowe technologie, aplikacje migrują do chmury obliczeniowej, zmienia się przy tym ich architektura, przenoszone są do środowisk kontenerowych, coraz częściej wykorzystywane są mikroserwisy - to wszystko wpływa na to, jak ewoluuje sposób dostępu do aplikacji. Dlatego zapewnienie bezproblemowego i bezpiecznego dostępu do aplikacji w zmieniającym się świecie to nieustające wzywanie.

Tradycyjny czy klasyczny dostęp do aplikacji oraz firmowych zasobów realizowany był z wykorzystaniem SSL lub IPSec VPN. To znane od lat, sprawdzone technologie, które zapewniają przyzwoity poziom bezpieczeństwa. Nie są jednak zupełnie dostosowane do obecnych realiów.

MS: Przede wszystkim powoduje trudności w integracji z aplikacjami, które ‘mogą być wszędzie’, tzn. mogą znajdować się w lokalnym data center, w chmurze publicznej albo być oferowane jako SaaS. Niedostosowanie oznacza także kłopoty z zapewnieniem wspólnego poziomu bezpieczeństwa. Mam na myśli kwestie realizacji identycznych metod autentykacji dla wszystkich, w tym również użytkowników mobilnych a także brak wsparcia dla nowoczesnych metod autentykacyjnych, takich jak OAuth, SAML czy autentykację w oparciu o wspólną, centralną bazę użytkowników. Kolejny problem to skalowalność i wydajność. Utrzymywanie dużej liczby klasycznych tuneli, które ogółem konsumują znaczną ilość pasma nie jest optymalne a przy tym generuje znaczne koszty. Utrudniony jest również monitoring i proces rozwiązywania problemów użytkowników, którzy próbują dostać się do aplikacji. Wreszcie znaczny poziom skomplikowania rozwiązania stanowi wzywanie dla administratorów a także w kontekście jego przyszłego rozwoju.

MS: W tradycyjnym podejściu dostęp do aplikacji zabezpiecza się przy pomocy technologii VPN tylko dla użytkowników zewnętrznych. Tych wewnętrznych traktujemy jako zaufanych. W dzisiejszym świecie, w dobie pandemii COVID-19, kiedy większość pracowników wykonuje swoje obowiązki z domu, w wielu organizacjach ciężko określić kto jest użytkownikiem wewnętrznym a kto zewnętrznym. Dodatkowo aplikacje i zasoby mogą znajdować się na zewnątrz firmy – mogą to być aplikacje SaaS albo aplikacje w chmurze publicznej, jak również być zlokalizowane wewnątrz organizacji - aplikacje w lokalnym centrum danych czy działające w prywatnej chmurze.

MS: Nowy, alternatywny sposób organizacji dostępu do aplikacji i zasobów to podejście określane jako Zero Trust. W tym miejscu warto podkreślić, że to nie jest zupełnie nowa koncepcja. Architektura Zero Trust oraz powiązane z nią technologie nie mają rewolucyjnego charakteru. To ewolucyjne podejście czerpiące obficie z modelu tradycyjnego i jedynie uzupełniające go o brakujące wcześniej elementy.

MS: W przypadku F5 Zero Trust opiera się na trzech filarach: Never Trust, czyli nie ufaj nikomu, Always Verify – zawsze sprawdzaj oraz Continuously Monitor – nieustannie monitoruj. Przez ‘Nie ufaj nikomu’ rozumiemy zapewnienie możliwości autentykacji i kontroli dostępu dla wszystkich użytkowników – zarówno zewnętrznych jak i wewnętrznych. Poza tradycyjnymi bazami lokalnymi, autentykacja realizowana jest również w oparciu o centralną bazę tożsamości znajdującą się w chmurze, tzw. IDaaS, czyli Identity as a Service. Do tego kontrola i autentykacja są prowadzone za każdym razem, gdy użytkownik wysyła żądanie do aplikacji, czyli per żądanie, a nie per sesja jak to ma miejsce w tradycyjnym modelu. Zapewniamy także możliwość włączenia autentykacji o podwyższonym poziomie, tzw. StepUp Authentitcaion, np. w chwili gdy użytkownik próbuje się dostać do krytycznego zasobu oraz możliwość stosowania dobrze znanych, ale niestety rzadko stosowanych mechanizmów takich jak: SSO, czyli Single Sign On i MFA, czyli Multi Factor Authentication.

‘Zawsze sprawdzaj’ to przede wszystkim weryfikacja stanu urządzenia, z którego łączy się użytkownik per żądanie, a nie tylko per sesja przed udzieleniem dostępu. W zależności od krytyczności, wrażliwości aplikacji można nawet zażądać ponownego zalogowania się użytkowników. Weryfikacja oznacza również możliwość integracji z rozwiązaniami firm trzecich, np. z rozwiązaniami Risk engine, za pomocą HTTP Connectora.

Na koniec zostaje ‘nieustanne monitorowanie’. Chodzi o to, żeby ciągle prowadzić monitoring urządzeń użytkowników pod kątem zabezpieczeń a także lokalizacji użytkowników - przed przyznaniem im dostępu a także w trakcie całej sesji. Trzeba także monitorować używane zabezpieczenia dostępu przed udzieleniem dostępu, per żądanie i podczas sesji.

MS: Myślę, że ważny jest wybór konkretnego rozwiązania i dostawcy. Rozsądnie jest postawić na technologie takie jak nasza, które mogą działać w dwóch modelach: umożliwiają uruchomienie klasycznego dostępu do aplikacji w oparciu o SSL VPN, jak również, równolegle uruchomić Zero Trust. Dzięki temu można wdrażać podejście Zero Trust stopniowo, początkowo tylko dla wybranych aplikacji lub segmentów sieci, zachowując jednocześnie dla pozostałych użytkowników tradycyjny sposób dostępu. Taka stopniowa migracja umożliwia wdrożenie Zero Trust w sposób ewolucyjny. W bezpieczeństwie rewolucje raczej nie są dobrym rozwiązaniem.