Wyzwania w zakresie kontroli danych dotyczą zarówno tradycyjnych modeli dostępu, jak też nowych, objętych konsumeryzacją, które działają w środowiskach urządzeń mobilnych, Internetu Rzeczy (IoT) czy chmury. Restrykcyjnie kontrolowany model bezpieczeństwa dla przedsiębiorstw, który ogranicza się do pełnej kontroli posiadanych przez nie urządzeń końcowych stał się nieaktualny ze względu na szybkość z jaką nowe kierunki są adaptowane w biznesie.
W konsekwencji nasilające się wprowadzanie do firmowego ekosystemu informatycznego urządzeń tworzonych z myślą o domowych użytkownikach, czyli inaczej zwana konsumeryzacja informatyki, zaburzyła celowość stosowania długotrwałych firmowych polityk bezpieczeństwa a wraz z nimi powiązanych technologii i tzw. najlepszych praktyk.
- Wykorzystywane do tej pory modele dostępu wymagają połączenia zabezpieczonych punktów końcowych, sieci, centrów danych i wszystkich technologii pozwalających na spójną pracę w celu zapewnienia zakładanego poziomu zaufania. Podłączanie ‘niezaufanych’ urządzeń do niewłaściwej sieci lub przenoszenie aplikacji do chmury może naruszyć bezpieczeństwo. Innymi słowy wszystko powinno działać w modelu zbliżonym do perfekcji, gdyż inaczej istnieje ryzyko obniżenia poziomu ochrony.
Jak uwierzytelniać
Dopełnieniem tego podejścia jest firmowy model uwierzytelniania, głównie skoncentrowany wokół procesu logowania. Z perspektywy użytkownika wygląda to następująco. Z chwilą gdy dostarczymy wymagane poświadczenia, takie jak identyfikator, hasło, token, ew. zabezpieczenia biometryczne, certyfikaty, inteligentne karty itp. dostęp zostaje nam przyznany. A kiedy już go otrzymamy jest on stały. Aplikacje, dostęp do systemu plików, przywileje, zarówno nadane jak i współdzielone, są dostępne z niewielką lub też bez dalszej kontroli poza tą, która miała miejsce tylko przy logowaniu. Jeżeli nie mamy wdrożonych dodatkowych rozwiązań np. takich jak DLP, otrzymujemy możliwość działania na danych, (np. kopiowania, drukowania, zapisywania, usuwania czy wynoszenia ich poza organizację) i nie jest to objęte żadnymi dodatkowymi obostrzeniami, uzależnionymi od poszczególnych scenariuszy działań.
Podobnie, tradycyjny model firmowej kontroli danych opiera się na kombinacji fizycznej kontroli i szyfrowania. Jednak z chwilą, gdy dane trafiają na urządzenie końcowe, możliwość ich monitorowania jest ograniczona. Ponieważ dane muszą być odszyfrowane, by mogły być w pełni wykorzystywane, samo założenie ich szyfrowania, jako głównego elementu bezpieczeństwa nie jest w pełni wystarczające. Ponadto utrata fizycznej kontroli nad urządzeniem końcowym może łatwo doprowadzić do utraty danych, na przykład gdy laptop, tablet lub smartfon zostanie zgubiony lub skradziony.
W poszukiwaniu lepszego…
Poleganie na tradycyjnych technikach, które nie są już wystarczające do rozwiązania dzisiejszych problemów spowodowało znajome konsekwencje: coraz częstsze raporty o kradzieży danych, ich eksfiltrację, coraz więcej naruszeń bezpieczeństwa i ich wpływ na działalność firmy i jej politykę prywatności. Stąd też poszukiwanie lepszego modelu, który połączy reagowanie na dzisiejsze zagrożenia oraz szybko zmieniające się realia biznesowe w odpowiednią strategię bezpieczeństwa i jednocześnie przygotowuje organizacje do dalszej konsumeryzacji IT.
- Chodzi o taki model kontroli i dostępu do danych, który będzie odzwierciedlał sposób, w jaki ludzie pracują, jak uzyskują dostęp do informacji i jak te powinny być chronione w szerokim zakresie różnorodnych sytuacji – zauważa Wolfgang Mayer, generalny manager Citrix na Europę Wschodnią.
Kontrola i ochrona danych poza organizacją wymaga zmiany podejścia, które zakłada wykorzystanie takich rozwiązań jak wirtualizacja, konteneryzacja czy zabezpieczenie sieci wraz z kontekstowym modelem dostępu, który jest głęboko ukierunkowany na reagowanie na określone scenariusze działań.
Wg firmy Citrix są to:
- Wirtualizacja – przechowuje poufne, firmowe dane w centrach danych, z dala od urządzeń końcowych pozbawionych spójnego zarządzania i ochrony. Urządzenia osobiste nadal pozostają pod kontrolą ich właścicieli. Zarówno ich użytkownicy, ale przede wszystkim firma nie musi martwić się o ich bezpieczeństwo, gdyż dane, nigdy nie opuszczają centrum danych i nie trafiają fizycznie na urządzenia końcowe. Wirtualizacja jest ulubioną technologią zapewniającą właściwą zgodność z przepisami.
- Konteneryzacja– by udostępnić istotne z punktu widzenia firmy dane do wykorzystania na urządzeniach mobilnych warto wdrożyć technologię konteneryzacji. W tym wypadku bezpieczeństwo przechowywanych informacji oraz aplikacji jest wzbogacone o środki bezpieczeństwa, wynikające z zastosowania ‘kontenera’, który ‘opakowuje aplikacje” i ich dane, jednocześnie izolując je od urządzenia mobilnego. Dane są szyfrowane i kontrolowane na poziomie ‘aplikacja-aplikacja’. W przypadku ew. naruszenia bezpieczeństwa urządzenia można je zdalnie usunąć stosując mechanizmy zaszyte w rozwiązaniu oferującym konteneryzację.
- Bezpieczne rozwiązania sieciowe – pozwalają zaprojektować sieć dostosowaną do określonych scenariuszy działań użytkowników, aplikacji oraz sposobów dostępu do środowiska. Dają kontrolę nad siecią i jej obrzeżami za pomocą dedykowanych dla aplikacji tuneli VPN (micro-VPN), szyfrowania całego ruchu sieciowego, wprowadzenia silnego mechanizmu uwierzytelniania w stosunku do wewnętrznych jak i zewnętrznych aplikacji oraz mechanizmu pojedynczego logowania (single sign on – SSO) dla wszystkich aplikacji, nawet dla tych, które do tej pory nie wykorzystywały firmowych poświadczeń.
- Dostęp oparty na kontekście– dzisiejsze środowiska pracy są narażone na bardzo wiele zagrożeń, które w dużej mierze oparte są na analizie kontekstowej. To powoduje, że dostęp i kontrola danych muszą być wydajniejsze i skuteczniejsze w zakresie bezpieczeństwa.
Każde żądanie dostępu do danych można oprzeć na odpowiedziach na 5 pytań: kto, co, kiedy, gdzie i dlaczego (z angielskiego określaną zasadą 5W). Wtedy staje się on dostosowany do sposobu korzystania z danych i ich wrażliwości. W połączeniu z wirtualizacją i konteneryzacją dostęp na bazie kontekstu jest rozszerzony i obejmuje aplikacje oraz dane, kontrolę indywidualnej komunikacji na poziomie aplikacja-aplikacja oraz kontrolę wszelkich czynności, jakie są możliwe na danych m.in. takich jak kasowanie/ wklejanie/ zapisywanie czy przesyłanie przez email z uwzględnieniem miejsca, z którego te czynności są wykonywane. W konsekwencji dostęp użytkownika do jego zasobów nie jest oparty już tylko na uprawnieniach powiązanych z loginem, ale może zależeć np. od miejsca, w którym użytkownik się znajduje, czy pory w jakiej próbuje uzyskać dostęp do środowiska.
– To pozwala uprościć sam proces np. gdy wiemy, że pracownik znajduje się w bezpiecznej sieci firmowej i dostaje się do środowiska korzystając ze służbowego urządzenia, jednocześnie określając silne polityki bezpieczeństwa wtedy, gdy mają one służyć ochronie wrażliwych danych np. gdy połączenie do zasobów następuje spoza firmowej sieci – nadmienia Wolfgang Mayer.