Безопасный удаленный доступ сотрудников с Zero-Trust NAC Portnox CLEAR.
News | 23.03.2020
Автор статьи: Алексей Лозиков, Business Development Manager компании Softprom.
Summary
Portnox CLEAR это дополнительный уровень безопасности при подключении через VPN удаленных пользователей, который обеспечивает:
- мультифакторную аутентификацию – для предотвращения использования похищенных учетных данных VPN;
- аутентификацию устройства доступа;
- проверку и анализ настроек и параметров безопасности удаленных устройств – для предотвращения доступа уязвимых/скомпрометированных устройств в сеть.
Период бесплатного пользования – 3 месяца
Тип решения – облачное + агенты на конечных точках
Поддерживаемые ОС – Windows, Linux, Android, MacOS/iOS
Агенты – доступны бесплатно из маркетов/сайта производителя. Могут быть установлены пользователями самостоятельно.
Дополнительное программное/аппаратное обеспечение – не требуется.
Подробнее здесь Work At Home https://softprom.com/workathome
https://www.portnox.com/blog/zero-trust-cloud-nac-enables-secure-remote-...
Мир меняется, угрозы - тоже
Поздравляю, мы все внезапно оказались в мире, где удаленная работа стала нормой, а во многих случаях, даже обязанностью. По различным оценкам сейчас в мире удаленно работает уже 50% сотрудников.
Учитывая «аврально-принудительный» характер такой трансформации, неудивительно, что большинство предприятий не имели возможности качественно к ней подготовиться, оценить все риски и предпринять адекватные меры для управления ними. Соответственно, большинство оказалось в классической ситуации, когда на первое место вышли вопросы ИТ – обеспечение доступа удаленных сотрудников, а вопросы ИБ – как это сделать действительно безопасно, отошли на второй план. В итоге, традиционные «периметры», и без того размытые облачными решениями и BYOD, оказались разрушенными совсем. Добро пожаловать в ночной кошмар любого системного администратора – сотни, а то и тысячи пользователей, имеющих удаленный доступ к корпоративной сети, с использованием неконтролируемых / собственных устройств.
VPN – это только начало
Традиционно, когда нам нужно дать удаленный доступ, мы это делаем посредством VPN. И это нормально до тех пор, пока мы помним, что VPN не панацея, а не более чем средство аутентификации и организации безопасного канала связи «между Бобом и Алисой».
Проблема №1 – данные для доступа через VPN могут быть похищены и использованы злоумышленником.
Проблема №2 - VPN нам ничего не скажет о состоянии тех устройств, которые мы допускаем в свою сеть, об их настройках и статусе безопасности.
Проблема №3 – мы не можем средствами VPN запретить подключение уязвимых, небезопасных устройств. Пользователь, имея валидные учетные данные, может подключиться со скомпрометированного личного устройства, со всеми вытекающими печальными последствиями.
Решение – zero-trust NAC поверх VPN
Portnox CLEAR – это облачное SaaS решение для мониторинга и управления доступом. Оно анализирует каждое устройство, рассчитывает для него рейтинг безопасности (аналогично кредитному рейтингу) и применяет политики доступа в соответствии с результатами. Portnox CLEAR внедряется совместно с VPN-решениями и поддерживает множество схем аутентификации (Active Directory/ Open LDAP), 2FA и оценку уровня риска клиентского устройства.
Дополнительный фактор аутентификации
Основным недостатком всех существующих средств двухфакторной аутентификации является то, что они не учитывают само устройство, с которого происходит попытка доступа. Portnox CLEAR обеспечивает аутентификацию устройства с использованием собственного агента, AgentP. Это позволяет построить многоуровневую VPN-аутентификацию, при которой проверяются не только «секреты» пользователя, но и само устройство. Таким образом, даже если учетные данные для VPN доступа будут похищены, использовать их на другом устройстве будет невозможно. Portnox поддерживает две модели 2FA.
OTP 2FA
Агент на конечном устройстве, которое прошло процедуру привязки к домену, служит софт-токеном используя HMAC-Based OTP алгоритм. Он генерирует OTP по запросу и, совместно с проверкой учетных данных пользователя, позволяет надежно аутентифицировать как пользователя, так и устройство при удаленном подключении к сети.
AgentP 2FA
В этой модели реализуется механизм обратной связи, который базируется на том, что каждая установка агента уникальна и привязывается к определенному устройству и пользователю. Когда пользователь пытается установить VPN соединение, сервер CLEAR обращается к привязанному к этому пользователю устройству и проводит дополнительную верификацию самого устройства.
Кроме надежной аутентификации на уровне пользователя и устройства, Portnox CLEAR обеспечивает следующие дополнительные преимущества:
- Постоянный мониторинг устройств (ноутбук, ПК, телефоны/планшеты Android/iOS), которые подключаются через VPN к корпоративной сети.
- Мониторинг и анализ множества показателей, относящихся к ИБ, и их изменений (ОС, патчи, статус антивируса, баз, обновлений, DLP-агентов, межсетевого экрана и т.п.).
- Анализ и корреляция множества контекстных показателей и исторических данных.
- Расчет индикаторов риска подключаемых устройств и принятие решений о доступе на их основе.