Virtuelle private nettverk er et effektivt sikkerhetstiltak for fjernarbeid, men teknologien trenger tilpasninger for å bli en del av en Zero Trust-arkitektur.
Tradisjonelle virtuelle private nettverk, VPN, er i bedriftssammenheng en felles inngangsport for bedriftens fjernarbeidere. De ansatte og bedriftens betrodde partnere kommer inn i virksomhetens lokalnett fra internettet, via en felles kommunikasjonsserver – VPN-konsentratoren. Ved hjelp av krypterte punkt-til-punkt-forbindelser, ofte omtalt som «tunneler», er trafikken beskyttet mot innsyn, og det er kun de som har gyldig innlogging på VPN-konsentratoren som kan sette opp tunneler.
Dermed er sikkerheten ivaretatt på aller høyeste nivå, og all fjerntilgang er så sikker som den kan bli? Vel, ikke om du ønsker å følge IT-sikkerhetsstrategien Zero Trust i IT-infrastrukturen din.
Zero Trust krever mer enn VPN
Grunnideen bak Zero Trust er at ingen personer eller systemer skal få tilganger basert på implisitt tillit. Det medfører at enhver tilgang til data og systemer må gis eksplisitt, basert på en detaljert politikk som håndheves med så høy justerbarhet som praktisk mulig.
Det betyr at selv om alle brukere som kommer inn i bedriftens nettverk (via VPN-konsentratoren) er autentisert og bruker en sikker kommunikasjonskanal, så skal de ikke nødvendigvis ha like tilganger videre inn i IT-infrastrukturen. Det er opplagt at en vanlig kontorbruker, en medarbeider i økonomiavdelingen og en som jobber i IT-drift verken trenger eller bør ha tilgang til samme data og systemer – uavhengig om virksomheten har implementert Zero Trust-prinsippene.
I forlengelsen av denne tankerekken er det tydelig at en tradisjonell VPN-løsning, selv om den sikrer en viktig del av kommunikasjonskjeden mellom bruker og system, ikke alene er tilstrekkelig for å realisere en Zero Trust-arkitektur i nettverket. Flere tiltak er nødvendig.
Mange virksomheter bruker fremdeles brukernavn og passord på VPN-oppkoblingene sine. Et grunnleggende tiltak for å hindre at hele det interne nettverket er tilgjengelig om slik legitimasjon kommer på avveie, er å innføre multifaktorautentisering (MFA) på VPN-løsningen. Dette er et godt sikkerhetstiltak i seg selv, i tillegg til at en MFA-løsning også har andre viktige roller å spille i en Zero Trust-arkitektur.
Sikker segmentering
En VPN-løsning som er koblet opp slik at innsiden av den gir adgang til hele eller store deler av det interne nettverket, fungerer egentlig som et tradisjonelt «grenseforsvar». Moderne IT-sikkerhetstenking har for lenge siden fastslått at dette ikke gir presisjonen som dagens bruksmønstre krever.
Løsningen er å segmentere VPN-løsningen på en slik måte at trafikken på innsiden kun flyter til systemene som den aktuelle brukeren skal ha tilgang til. Dette løses enten med en brannmur eller en ruter på innsiden av VPN-konsentratoren eller ved at brannmuren selv også er en VPN-konsentrator. Denne enheten bør være i stand til å skille trafikken på så mange nivåer som mulig, både med tanke på brukeridentitet og autentisering, applikasjon og protokollene som er i bruk. På denne måten oppnår du den granulariteten som Zero Trust krever.
Samtidig som at tilgangene innover i infrastrukturen blir adskillig sikrere og mer presise med en slik topologi, så har du også oppnådd å isolere VPN-konsentratoren fra det interne nettverket. Dette er også et godt sikkerhetstiltak i seg selv, ettersom VPN-konsentratoren er eksponert mot internett, og dermed representerer en mulig sårbarhet.
Ekstra sikkerhet
De fleste virksomheter har systemer som er særlig følsomme, hvor det får store konsekvenser hvis disse blir kompromittert. De vanligste er økonomisystemene som håndterer penger og betalinger, i tillegg til driftsverktøyene til IT-avdelingen. For slike systemer er det anbefalt å innføre ekstra sikkerhetstiltak dersom virksomheten har definert at fjerntilgang til disse systemene skal være tillatt.
En utbredt løsning her er å sette opp en såkalt «jumpstation» i lokalnettet. Dette er en nedlåst datamaskin som er den eneste maskinen som har lov til å aksessere ressursen. For å bruke denne maskinen må fjernbrukeren bruke VDI eller lignende fjernstyring, samt en separat innlogging, før den endelige destinasjonen er tilgjengelig. En slik løsning sørger for at det ikke finnes noen direkte veier fra VPN-konsentratoren til den kritiske ressursen. Dette høyner sikkerhetsnivået kraftig, og eliminerer utilsiktete tilganger til de viktigste systemene.
Om du bruker en moderne MFA-løsning for denne ekstra innloggingen, så kan du i samme slengen kontrollere at aksessen kun skjer fra godkjente maskiner, og at de kjører en konfigurasjon som er i henhold til virksomhetens IT-sikkerhetspolitikk. Samtidig vil det være mulig å ta i bruk Single Sign-On (SSO), som gjør at det ekstra sikkerhetsnivået ikke fører til at brukeropplevelsen blir så komplisert og omstendelig at brukerne begynner å lete etter veier rundt sikkerhetstiltakene.
VPN for profesjonelle
Operativsystemene til de aller fleste klientmaskiner, både mobiler, nettbrett, tablet-PCer og laptoper, har en innebygd VPN-klient. Disse har imidlertid bare den helt grunnleggende funksjonaliteten tilgjengelig, vanligvis bare oppsett av en kryptert tunnel med fast bruker-ID og passord.
For å få mer omfattende funksjonalitet, som også passer bedre i en Zero Trust-arkitektur, vil svaret være en mer profesjonell løsning, som Cisco AnyConnect.
Denne agenten finnes tilgjengelig for alle de mest brukte operativsystemene, og tilbyr i tillegg til flere og bedre krypteringsteknikker for selve tunnelen, også en rekke overvåkings- og administrasjonsfunksjoner som hjelper IT-avdelingen til å implementere Zero Trust-arkitektur.
I den sammenhengen er kanskje muligheten til å overvåke og håndheve reglene for konfigurasjonen til endepunktet det viktigste. Ved hjelp av en administrasjonstunnel, som også er oppkoblet når brukeren ikke er tilkoblet sine servere, kan du sette opp automatisert kontroll av sikkerhetsoppsett, som patchnivå og versjoner på antivirus på klienten.
Det er også mulig å oppdage skadevare og unormal oppførsel på klienten, før den i det hele tatt har forsøkt å koble seg til virksomhetens nettverk. I en Zero Trust-sammenheng vil slikt diskvalifisere enheten fra å koble seg til bedriftens IT-ressurser, inntil enheten er undersøkt og oppsettet er reparert.
Vi har sett at klassisk VPN i seg selv ikke er en Zero Trust-teknologi. Men i kombinasjon med andre teknologier, og med en gjennomtenkt topologi og trafikkhåndtering i IT-infrastrukturen, så vil VPN bidra til å oppnå den presise og eksplisitte tilgangen som skal til for å kalle systemet for en «Zero Trust-arkitektur».
Vil du vite mer?