Otázka dôvery

V prvej časti svojho dvojdielneho blogu Thorsten Kurpjuhn, manažér spoločnosti Zyxel pre rozvoj európskeho trhu s bezpečnostnými produktami, vysvetľuje, prečo je s ohľadom na rozmach vzdialenej práce dôležité mať dokonalý prehľad o tom, kto sa z vonku prihlasuje do vašej siete.


Pustili by ste si domov cudzieho človeka? Samozrejme nie, pokiaľ by sa nejednalo o niekoho z úradu, policajta, technika energetickej spoločnosti a pod. A aj od týchto osôb by ste určite chceli vidieť doklad totožnosti alebo služobný preukaz.


Rovnako tak by ste nikoho cudzieho nemali vpustiť ani do svojej firemnej siete. Vždy je vo vašom vlastnom záujme najskôr zistiť, o koho sa jedná, a či daný človek má oprávnený dôvod pristupovať k vašim aplikáciám a dátam a využívať vaše zdroje.


V oboch prípadoch sa bavíme o dôvere. Pokiaľ daného človeka poznáte alebo sa evidentne jedná o úradnú osobu, zrejme ho/ju bez obáv pustíte do vnútra. Pokiaľ ale neviete alebo sa nemôžete uistiť, o koho sa jedná a aké má úmysly, zrejme nebudete nič riskovať a dvere nebudete otvárať.


Ako to fungovalo predtým…


V dobách, kedy všetci ešte pracovali priamo v kancelárii a k sieti sa pripojovali prostredníctvom ethernetového káblu alebo internej WiFi, bola správa užívateľov siete a jej monitoring jednoduchší. Vtedy ste si mohli byť celkom istí, že do siete sa nedostane nikto s nekalými alebo priamo kriminálnymi úmyslami, pretože títo nevítaní hostia by museli získať fyzický prístup do budovy alebo sa aspoň pohybovať v dosahu firemnej WiFi. Taká osoba by naviac musela k realizácii svojho plánu využiť počítač niektorého zo zamestnancov alebo vniknúť do firemnej bezdrôtovej siete, čo by pri správnom zabezpečení nemalo byť jednoduché. A pokiaľ by sa jej už podarilo prekonať všetky tieto prekážky, musela by zostať v blízkosti siete alebo prístupového bodu, aby sa mohla po sieti nenápadne pohybovať.


… a ako sa veci majú dnes


Dnešné siete avšak siahajú ďaleko za múrmi pracovísk. S veľkou pravdepodobnosťou sa v budúcnosti bude minimálne polovica užívateľov k sietam pripojovať vzdialene, a to z domu, zo vzdialeného pracoviska alebo na cestách.


Tento vývoj predstavuje pre overenie identity užívateľov zásadnú komplikáciu, pretože s koncom fyzických bariér vzdialenému užívateľovi k prístupu do siete stačí byť online a vedieť, ako sa prihlásiť. Správu siete naviac sťažuje fakt, že užívateľom môže byť ktokoľvek.


Ďalší problém potom spočíva v tom, že neviete, či zariadenie použité k prihláseniu do siete je riadne zabezpečené. Dôverovať danému užívateľovi a byť schopný overiť jeho identitu nestačí, pretože stále nemáte istotu, či je jeho zariadenie dostatočne chránené, napr. antivírusovým programom a zapnutým firewallom.


Najskôr overiť, až potom otvoriť


Stručne povedané, vždy je nutné posúdiť, do akej miery môžete dôverovať niekomu, kto sa pokúša vstúpiť do vašej siete. Je to to isté, ako keď si niekoho pozvete domov. Buď ho musíte poznať, alebo musíte cez všetky pochybnosti overiť, že je skutočne tým, za koho sa vydáva. Až potom mu otvoríte dvere a pustíte ho cez prah svojho domu.


Zatiaľčo svojej rodine, priateľom, susedom, úradným osobám alebo napríklad technikom energetických spoločností zrejme môžete dôverovať na 100%, keď pri vašich dverách zazvoní úplne cudzí človek, je na mieste k nemu pristupovať s úplnou nedôverou.


Nulová dôvera


Keď už sa pred vašimi dvermi objaví cudzí človek, na rozdiel od vzdialeného užívateľa, ktorý sa pokúša o vstup do vašej siete, ho aspoň vidíte. Vzdialeným užívateľom môže byť ktokoľvek, a aj keď je skutočne tým, za koho sa vydáva, hrozí, že nechtiac ponechá otvorené zadné vrátka, cez ktoré do siete vniknú tiež ľudia s nečestnými úmyslami.


A práve túto dilemu máme na mysli, keď používame slová „nulová dôvera“. Princíp nulovej dôvery vychádza z toho, že každý, kto sa snaží prihlásiť do vašej siete, je úplne cudzou osobou. A než ho pustíte dovnútra, musíte urobiť všetko, čo je vo vašich silách, aby ste sa uistili, že má skutočne dobré úmysly a oprávnený dôvod ku vstupu do vašej siete.


V druhej časti blogu sa dočítate, ako k dodržovaniu princípu nulovej dôvery prispieva najnovšia verzia firmwaru pre produktovú sériu USG FLEX od spoločnosti Zyxel.