fbpx

Podkast 22T24 Cybersecurity Mesh (Gartner)

Więcej miejsc do posłuchania:

Spotify

WERSJA TEKSTOWA

Cześć. Witam Cię w dzisiejszym odcinku mojego podkastu. Temat to automatyzacja w bezpieczeństwie sieciowym. Jeśli chodzi o naszą codzienność to w przypadku, gdy prowadzisz jakąś pracę administracyjną to pewnie wiesz, że pracy jest coraz więcej, czasu jest coraz mniej a oczekiwania rosną. W zasadzie jedyną możliwością poradzenia sobie z tym problemem jest zastanawianie się i przekładanie wszystkich scenariuszów, które możemy do pewnego scenariusza automatyzacji.

Tutaj są takie dwa modele, które ja widzę głównie. W małych środowiskach, gdzie jest pojedynczy administrator, który najczęściej nie ma większego budżetu, ale ma trochę umiejętności programistycznych, to pisze sobie jakieś skrypty. Większość nowoczesnych rozwiązań dziś udostępnia API w związku z tym można sobie tą automatyzację przeprowadzić.

Drugi typowy scenariusz to większe firmy, trochę bogatsze i posiadające możliwość zakupu produktów, które umożliwiają automatyzację. Ja widziałem w ostatnim czasie co najmniej dwa takie produkty. Generalnie idea jest taka, że masz interfejs taki czy inny, masz pewne konektory – możesz sobie skorzystać z gotowych wtyczek, które są już napisane pod konkretne produkty. Jeśli nie ma tam danej wtyczki to możesz sobie taką wtyczkę często stworzyć i dzięki temu możesz sobie pewne dane pobierać. Bardzo powszechny przykład, jeden z brzegu, to koordynacja informacji pomiędzy sesjami na Firewallu a pomiędzy sesjami np w rozwiązaniu NAC-owym, czy w dostępie VPN-owym.

Jeżeli byśmy chcieli również realizować takie scenariusze jak SSO, czyli Single Sign On w oparciu np o dostęp VPN-owy to tutaj też wymiana informacji o sesjach może być przydatna dla wewnętrznych systemów albo trzeba by skorzystać z zewnętrznego systemu SSO, do którego będą się odwoływać wszystkie nasze komponenty związane z uwierzytelnianiem. Tak czy owak to jest taki przykład widzę, który jest ostatnio bardzo popularny. Słusznie. Żeby automatyzować i odciążyć użytkownika końcowego od konieczności logowania się do każdego systemu pojedynczo. Zwłaszcza, że możemy tą całą procedurę zautomatyzować. Pod kontem administratora również wiele rzeczy można zautomatyzować. Przykład, który ostatnio realizowałem to jest możliwość zautomatyzowania procesu instalacji klienta VPN-owego na stacji końcowej. Czyli założenie mamy takie, że mamy stację zarządzaną centralnie, np przez domenę i chcemy zainstalować razem z już zastosowaną konfiguracją naszego klienta VPN-owego. Czyli nasz pracownik bez udziału administratora tej stacji końcowej może sobie sam zorganizować dostęp VPN-owy. Jeśli oczywiście jest w odpowiedniej grupie domenowej i ma do tego uprawnienia. Zakładamy, że dziś tak jest. Większość użytkowników pracujących w danej firmie ma możliwość łączenia się VPN-owego.

Co można wtedy zrobić? Możemy to zintegrować z systemem helpdesk-owym. Mamy portal, gdzie użytkownik może sobie wejść, kliknąć – poproszę zainstaluj mi VPN-a lub poproszę o dostęp VPN-owy. Pod spodem narzędzia automatyzacji, ma już wskazane jaki plik instalacyjny powinien być wykorzystany, jaki plik konfiguracyjny powinien być wykorzystany. Automatycznie przez narzędzia domenowe instaluje tego klienta, tą aplikację z odpowiednim parametrem na stacji końcowej i jedyne co musi użytkownik zrobić po takim wniosku to jak mu się zainstaluje ten VPN, pokaże mu się okienko – podaj swój login i hasło – jeżeli chcemy ten dostęp VPN-owy realizować w oparciu o login i hasło. To jednorazowe podanie poświadczeń umożliwia zestawienie VPN-a i korzystanie już tego użytkownika z sieci zdalnej.

Oczywiście to jest jeden z przykładów. Inne przykłady integracji to jest integracja m.in. pomiędzy rozwiązaniami bezpieczeństwa dostępu do sieci, czyli VPN albo NAC w powiązaniu np z systemem MDM-owym. W systemie MDM-owym mamy dużo informacji na temat stacji końcowej, czyli jaki to jest system, jakie ma zabezpieczenia, czy ma jakieś aplikacje, które chcemy, żeby tam były. Czy ma jakieś inne parametry, które nas interesują. Możemy te atrybuty użyć do przypisania odpowiedniego profilu w dostępie VPN-owym lub w dostępie NAC-owym. Dzięki temu możemy rozróżniać użytkowników, którzy spełniają naszą politykę, od tych, którzy nie spełniają, brakuje im jakiegoś komponentu, np aktualizacji i muszą sobie tą aktualizację najpierw dostosować. Zaktualizować to urządzenie i wtedy dopiero będziemy mogli podłączyć ich w system ogólny, taki pełnego profilu dla danego typu użytkownika czy urządzenia.

To jest podsumowanie na przykładach koncepcji Gartnera, która ostatnio pokazuje, że cała branża, jeśli chodzi o aspekt bezpieczeństwa- również, idzie w stronę odchodzenia od wysp, czyli nie tylko Firewall, nie tylko VPN, nie tylko NAC, nie tylko Security Web Gateway, ale powiązanie informacji pomiędzy tymi urządzeniami to jest właśnie podwyższenie bezpieczeństwa. Jednocześnie monitorowanie najważniejszych zdarzeń, jeśli mamy taki zespół SOC-owy lub osobę przynajmniej dedykowaną do zagadnień bezpieczeństwa. W tą stronę nasza branża idzie, podwyższanie bezpieczeństwa będzie bazowało na korelacji informacji pomiędzy dużymi komponentami i tego się nie da zrobić ręcznie. Nie ma możliwości, że usiądzie sobie administrator, pomijając nawet kwestie czasowe, ale nie ma takiej możliwości, żeby człowiek mógł sobie usiąść i analizować dane z Firewalla, analizować dane z VPN-a, analizować dane z NAC-a, z Web Gateway-a i na tej podstawie coś zrobić. Tak to nie ma możliwości zadziałać, musi tam być automatyzacja i musi być integracja.

Oczywiście dzisiaj już pewne zalążki widać w różnych produktach, można np zobaczyć w niektórych produktach NAC-owych gotową integracje z niektórymi systemami MDMowymi. Jakby taką wbudowaną wtyczkę w dany system. Ale to jest początek i to jest mało. Trudno sobie wyobrazić, żeby każdy producent robił wtyczkę do każdego innego producenta, który może się potencjalnie pojawić. Tak się nie zadzieje. Natomiast raczej będzie to szło od strony jaki my chcemy scenariusz jako administrator zrealizować i jakimi narzędziami możemy to zrobić. Chcemy te elementy w naszej firmie zautomatyzować to bierzemy sobie taki produkt np jakiś automation i tam odpowiednie wtyczki konfigurujemy tak, żeby nam wymiana informacji pomiędzy poszczególnymi interfejsami API dobrze funkcjonowała i w efekcie, żebyśmy mieli tą automatyzację końcową.

Oczywiście dwa słowa na temat tych chmurowych produktów. Nie są one konieczne. Można wykorzystać automatyzację i robi się to dzisiaj już w całkiem sporej skali dla produktów takich on-premise – klasycznych. Natomiast chmurowe produkty mają tą zaletę, że są w większym stopniu zautomatyzowane czy przygotowane pod tą automatyzację. W produktach chmurowych to API jest bardzo podstawowym elementem, w produktach on-premise jest z tym różnie, jest coraz lepiej, ale są różne możliwości w zależności od różnych producentów. To trochę komplikuje sytuacje, bo jak mamy Firewalla Fortineta to jest trochę inaczej niż jak mamy Firewalla Checkpointa. Jeszcze trochę inaczej jak mamy Firewalla Palo-Alto. Każdy z tych produktów troszeczkę inaczej udostępnia przez API pewne funkcjonalności, inaczej też podchodzi do pewnych działań. Natomiast w rozwiązaniach chmurowych jest to z założenia lepiej projektowane pod kontem współpracy z innymi chmurowymi rozwiązaniami. Tych rozwiązań chmurowych będzie troszeczkę mniej. Będzie łatwiej zaplanować też tą integrację, w związku z tym to jest pewna zaleta, ale w naszej części świata nadal widać jest taki mix, czyli mamy często taki dystans do tego, żeby instalować pewne komponenty z chmury w związku z tym, dla tych którzy chcą pozostać on-premise, to najczęściej dotyczy większych organizacji, mamy możliwość stosowania tych automatyzacji lokalnie. Dla tych którzy są mniejsi, korzystają z chmury – automatyzację na poziomie chmury, poszczególnych rozwiązań są dostarczane, są gotowe albo można sobie je dostosować do swoich potrzeb.

Na dzisiaj to tyle, dziękuje Ci za uwagę i do usłyszenia już za tydzień.

Autor: Darek Koralewski

Od początku swojej kariery, czyli od 2004 roku, zajmuję się sieciami komputerowymi ze szczególnym uwzględnieniem ich bezpieczeństwa oraz sieciami programowalnymi. Mam na swoim koncie całą listę certyfikatów różnych producentów, dwa najważniejsze to te poświadczające najwyższy poziom wiedzy eksperckiej z zakresu rozwiązań Aruba ClearPass ACCX#901 oraz z projektowania sieci opartych o rozwiązania Aruba ACDX#1255. Więcej informacji możesz znaleźć na moich portalach społecznościowych.