Jag vill dela några tankar om varför jag tycker att det är så viktigt att alltid skydda sina användare mot internet, med samma skydd, oavsett varifrån användaren ansluter och oavsett vilka resurser och tjänster de avser att använda.
Om ni idag använder VPN för era mobila användare och tvingar all internettrafik att passera er centrala brandvägg, oavsett var de ansluter ifrån, och avser att fortsätta att använda den modellen så kan ni spara lite tid och sluta läsa.
Finns det behov av eller har ni redan en annan modell för hur era VPN användare ansluter till Internet, fortsätt gärna läsa…
Jag börjar med att gå tillbaka i tiden reflektera över hur vi byggde internetsäkerhet innan SaaS och PaaS-nyttjandet blev så avgörande som idag. Alla Internetanvändare skyddades av en central brandvägg och VPN-användarnas applikationer fanns i ett datacenter med central visibilitet och kontroll från brandvägg, VPN och i applikationer.
I exemplet ovan måste användaren , om den sitter remote, ansluta via VPN för att läsa sin mail, använda sina dokument och använda Internet.
Denna modellen har fungerat bra, men introduktionen av SaaS och PaaS tjänster som ersätter applikationer som tidigare fanns i datacentret förändrar behovet för VPN användare.
Detta har skapat ett behov, som förändrat hur användarna ansluter till internet:
- Access till SaaS tjänster med korta svarstider – tillåter inte att gå via VPN
- VPN lösningen är inte skalbar i samma nivå som remote-arbete ökar – överbelastad vid högt nyttjande
- VPN access till PaaS , utan att gå via datacenter
Dessa behoven är direkt avgörande för att användarna ska kunna göra sitt arbete. Det är inte ovanligt att verksamheter därför har valt att införa en ny modell där användarna enbart använder VPN för att nå de applikationerna som finns kvar i datacenter och tillåter att användarna i övriga fall ansluter direkt till Internet.
Vad innebär det ur ett säkerhetsperspektiv?
Katastrof är inte ett för starkt ord, den centrala brandväggen är helt bortkopplad och ersatt med ett mycket enklare skyddslager. Frågan jag brukar ställa ”är er plan att även ersätta er centrala brandvägg med en enklare lösning med sämre skydd?”
I sin enklaste form innebär nedan en jämförelse utifrån en grundläggande säkerhetsnivå :
Full VPN | VPN för enbart Datacenter trafik (Split tunnel) | |
Brandvägg | NGFW
|
Operativsystemets brandvägg
|
Loggning | Full loggning | Oftast inte |
Ett enkelt exempel på risk man utsätter sig för: användaren som sitter hemma klickar i , god tro, på en länk som dessvärre innebär att en spionprogramvara installeras på datorn (på kontoret hade troligen den centrala brandväggen blockat detta via URL-filter eller i sandbox).
Användaren ansluter senare via VPN för att nå applikationer i datacenter och vägen in för spionprogramvaran är öppen.
Måste man välja?
Nej. De senaste åren har det byggts nya tjänster som erbjuder både brandvägg och VPN i cloud, som löser de drivande behoven utan att behöva utsätta verksamheten för ökad risk.
Med en cloudbaserad säkerhetslösning, kan man uppnå både en bra säkerhetsnivå samt få tillgång till de SaaS applikationer man behöver och med den säkerhetskvalitet som behövs, oavsett vart användaren befinner sig.
De nya lösningarna är väldigt dynamiska och skalbara, efter behovet, och inga ”quick fix” behöver tas till. Speciellt värdefullt vid en sådan situation som vi nu i dessa tider upplever där remote-användandet ökat enormt.
De ger även synlighet i data, appar, användare och risker, samtidigt som det möjliggör bra flexibilitet och prestanda. Att kunna styra åtkomst, skydda data och säkra applikationer när organisationer flyttar till molnet är avgörande för en bibehållen säkerhetsnivå i vår mobila värld.
Skrivet av: Marcus Bengtsson, CTO, Orange Cyberdefense