Как мобильным пользователям получить безопасный доступ к локальным и облачным приложениям

Несколько лет назад вопрос эффективного и гибкого доступа к ресурсам и приложениям не был таким сложным, как сегодня. Приложения и другие ресурсы обычно находились в одном месте, например, в головном офисе компании. Пользователи редко выносили свои устройства за пределы офиса, если вообще выносили. Удаленный доступ можно было получить только через офисные компьютеры с соответствующей конфигурацией и защитой. Такое подключение могли обеспечить решения, использующие VPN-туннели.

Однако мы живем в другом мире. Значительно изменились не только ресурсы и приложения, но и пользователи, которым нужен доступ к ним. Ресурсы и приложения, необходимые пользователю для работы сегодня, редко находятся в одном месте. Технологии развертывают в центрах обработки данных и частных и публичных облаках. Многообразие моделей предоставления технологий — SaaS, PaaS, IaaS — еще больше усложняют проблему. Если представить развертывание графически, зачастую можно обнаружить, что на схеме оказывается много отдельных островков ЦОДов и частей облачной инфраструктуры, которые не всегда соединены.

Что выбирают пользователи?

Взглянем с точки зрения пользователя, которому нужен доступ к ресурсам и приложениям. Еще до пандемии COVID-19 поведение пользователей значительно изменилось. Сегодня многие из них мобильны, поэтому им нужен доступ с нескольких устройств — по меньшей мере, с компьютера и смартфона. Все большее распространение получат тренд на использование личных устройств для работы (BYOD). К ресурсам нужен быстрый доступ, они должны быть понятны для пользователя, а также постоянно находиться под рукой, иначе продуктивность сотрудника заметно снизится. В новой реальности, когда работать можно из дома, кафе или офиса, устройство для работы более уязвимо с точки зрения сохранности данных. И до коронавируса руководства многих компаний поставили перед ИТ-департаментами задачу обеспечить пользователей необходимым уровнем продуктивности и мобильности, а также гибкими форматами работы вместо того, чтобы запрещать и ограничивать доступ, как это было в прошлом. Из-за пандемии организация рабочих мест начала меняться еще быстрее.

Учитывая перечисленные изменения как в самих ресурсах и приложениях, так и в требованиях заказчика или самого пользователя к эффективному доступу к разнообразным приложениям, удовлетворить эти требования стало нелегко. Однако также следует помнить, что безопасность касается не только предоставления доступа к приложениям и ресурсам, но и подробных данных и отчетов о действиях пользователей, строгой аутентификации, тестирования систем пользователями и других механизмов, соответствующих лучшим практикам в этой сфере.

Концепция SDP: в чем особенность

В 2013 году была разработана концепция программно-определяемого периметра (SDP), который иногда также называют «черным облаком».

Его функция состоит в скрытии всех ценных ресурсов за устройствами доступа (принимающий хост SDP) и использовании SDP-контроллера, который управляет жизненным циклом клиента — от его регистрации в сети до получения доступа к скрытым ресурсам. Канал данных работает отдельно от канала управления.

Для наглядности сравним эту модель с традиционным VPN-решением. В нем есть только два элемента: VPN-шлюз и VPN-клиент. Для правильного подключения клиенту нужно знать, какой шлюз ведет к какому ресурсу. В архитектуре SDP присутствуют три компонента: клиент, шлюз доступа и контроллер. Третий компонент управляет всем процессом: когда от клиента поступает запрос доступа к приложению, контроллер перенаправляет клиента к нужному шлюзу, где и происходит соединение. Сам шлюз при этом является «ограждающим элементом», и все ресурсы, к которым он ведет, доступны только тем пользователям, которые авторизованы контроллером. Такая схема работы лежит в основе «черного облака». Описанная концепция идеально вписывается в популярную модель Zero Trust, в которой, если говорить кратко, доступ к ресурсам получают только проверенные пользователи и устройства.

При этом о данной концепции недостаточно осведомлены. Согласно опросу CSA «Состояние программно-определяемого периметра» («State of Software-Defined Perimeter»), только 24% респондентов утверждают, что они очень хорошо знакомы или имеют достаточно глубокие знания о SDP. Большинство респондентов менее осведомлены: 29% «немного» знакомы с SDP, 35% слышали о ней и 11% ничего о ней не знают.

Большинство организаций признают необходимость изменения своего подхода к архитектуре нулевого доверия — 70% респондентов отметили, что у них есть потребность изменить свой подход к управлению доступом пользователей путем лучшей защиты аутентификации и авторизации пользователей.

Будущее за облачными технологиями — это надежный и гибкий формат доступа к приложениям и ресурсам для современного общества. Многофакторная аутентификация, шифрование данных и использование непрерывного мониторинга состояния сети — все это обеспечивает безопасный доступ к локальным и облачным приложениям, но появляется все больше разработок, которые требуют особого внимания. Концепция «черного облака» отлично подходит для наиболее безопасного доступа к облачным приложениям. Стоит повышать осведомленность организаций о таких разработках, так как хакеры находятся в постоянном поиске новых уязвимостей в облачном пространстве.