Otázka důvěry

V první části svého dvoudílného blogu Thorsten Kurpjuhn, manažer společnosti Zyxel pro rozvoj evropského trhu s bezpečnostními produkty, vysvětluje, proč je s ohledem na rozmach vzdálené práce důležité mít dokonalý přehled o tom, kdo se zvnějšku přihlašuje do vaší sítě.

Pustili byste si domů cizího člověka? Samozřejmě ne, pokud by se nejednalo o někoho z úřadu, policistu, technika energetické společnosti apod. A i od těchto osob byste určitě chtěli vidět doklad totožnosti nebo služební průkaz.

Stejně tak byste nikoho cizího neměli vpustit ani do své firemní sítě. Vždy je ve vašem vlastním zájmu nejprve zjistit, o koho jde, a jestli daný člověk má oprávněný důvod přistupovat k vašim aplikacím a datům a využívat vaše zdroje.

V obou případech se bavíme o důvěře. Pokud daného člověka znáte nebo se evidentně jedná o úřední osobu, zřejmě ho/ji bez obav pustíte dovnitř. Pokud ale nevíte nebo se nemůžete ujistit, o koho jde a jaké má úmysly, zřejmě nebudete nic riskovat a dveře nebudete otvírat.

Jak to fungovalo dříve…

V dobách, kdy všichni ještě pracovali přímo v kanceláři a k síti se připojovali přes ethernetový kabel nebo interní WiFi, byla správa uživatelů sítě a jejich monitoring jednodušší. Tehdy jste si mohli být celkem jisti, že do sítě se nedostane nikdo s nekalými nebo přímo kriminálními úmysly, protože tito nevítání hosté by museli získat fyzický přístup do budovy nebo se alespoň pohybovat v dosahu firemní WiFi. Taková osoba by navíc musela k realizaci svého plánu využít počítač některého ze zaměstnanců nebo vniknout do firemní bezdrátové sítě, což by při správném zabezpečení nemělo být jednoduché. A pokud by se jí už podařilo překonat všechny tyto překážky, musela by setrvat  v blízkosti sítě nebo přístupového bodu, aby se mohla po síti nenápadně pohybovat.

… a jak se věci mají dnes

Dnešní sítě nicméně sahají daleko za zdi pracovišť. S velkou pravděpodobností se v budoucnu bude minimálně polovina uživatelů k sítím připojovat vzdáleně, a to z domova, ze vzdáleného pracoviště nebo na cestách.

Tento vývoj představuje pro ověření identity uživatelů zásadní komplikaci, protože s koncem fyzických bariér vzdálenému uživateli k přístupu do sítě stačí být online a vědět, jak se přihlásit. Správu sítě navíc ztěžuje fakt, že uživatelem může být kdokoli.

Další problém pak spočívá v tom, že nevíte, jestli zařízení použité k přihlášení do sítě je řádně zabezpečeno. Důvěřovat danému uživateli a být schopen ověřit jeho identitu nestačí, protože stále nemáte jistotu, jestli je jeho zařízení dostatečně chráněno, např. antivirovým programem a zapnutým firewallem.

Nejprve ověřit, až poté otevřít

Stručně řečeno, vždy je nutné posoudit, do jaké míry můžete důvěřovat někomu, kdo se pokouší vstoupit do vaší sítě. Je to totéž, jako když si někoho pozvete domů. Buď ho musíte znát, nebo musíte nade vši pochybnost ověřit, že je skutečně tím, za koho se vydává. Až poté mu otevřete dveře a pustíte ho přes práh svého domu.

Zatímco své rodině, přátelům, sousedům, úředním osobám nebo třeba technikům energetických společností zřejmě můžete důvěřovat na 100%, když u vašich dveří zazvoní úplně cizí člověk, je na místě k němu přistupovat s naprostou nedůvěrou.

Nulová důvěra

Když už se před vašimi dveřmi objeví cizí člověk, na rozdíl od vzdáleného uživatele, který se pokouší o vstup do vaší sítě, ho alespoň vidíte. Vzdáleným uživatelem může být kdokoli, a i když je skutečně tím, za koho se vydává, hrozí, že nechtěně ponechá otevřená zadní vrátka, skrz která do sítě vniknou také lidé s nečestnými úmysly.

A právě toto dilema máme na mysli, když používáme slova „nulová důvěra“. Princip nulové důvěry vychází z toho, že každý, kdo se snaží přihlásit do vaší sítě, je úplně cizí osobou. A než ho pustíte dovnitř, musíte udělat vše, co je ve vašich silách, abyste se ujistili, že má skutečně dobré úmysly a oprávněný důvod ke vstupu do vaší sítě.

V druhé části blogu se dočtete, jak k dodržování principu nulové důvěry přispívá nejnovější verze firmwaru pro produktovou řadu USG FLEX od společnosti Zyxel.