Så blir VPN en del av er Zero Trust-modell

VPN – Virtuella privata nätverk

Virtuella privata nätverk (VPN) är en effektiv säkerhetsåtgärd vid distansarbete, men en VPN-tunnel behöver anpassning för att bli en del av er Zero Trust-modell.

Virtuella privata nätverk: VPN-tunnel i en Zero Trust-modellVirtuella privata nätverk är en vanlig metod som ger anställda och betrodda partners säker tillgång till  företagets lokala nätverk. Trafiken skyddas från insyn av krypterade punkt-till-punkt-anslutningar, så kallade ”tunnlar”. En VPN-tunnel kan bara sättas upp av personer med VPN-inloggning.

Är all fjärråtkomst därmed så säker som den kan bli? Tja, inte om du vill att din IT-infrastruktur ska följa en Zero Trust-modell.

Zero Trust-modell kräver mer än VPN

Filosofin bakom Zero Trust är att inga personer eller system ska få access baserat på implicit tillit. Det betyder att all tillgång till data och system måste ges explicit och baseras på en detaljerad policy som uppdateras löpande.

Ladda ned kostnadsfritt whitepaper: MFA multifaktorautentiseringI förlängningen innebär det att alla autentiserade användare som når företagets nätverk via en VPN-tunnel inte får likvärdig access längre in i IT-infrastrukturen. En vanlig kontorsarbetare, en anställd på ekonomiavdelningen och någon som arbetar inom IT-drift varken behöver eller ska ha tillgång till samma data och system – oavsett om företaget implementerat Zero Trust-principerna eller inte.

En traditionell VPN-lösning säkrar en central del av kommunikationen mellan användare och system, men är inte tillräckligt för att realisera Zero Trust-modell i nätverket. För det krävs fler åtgärder.

Många företag använder fortfarande VPN-anslutning med användarnamn och lösenord. Här är virtuella privata nätverk med  multifaktorautentisering (MFA) en basal åtgärd som hindrar access till hela det interna nätverket om lösenord och användarnamn kommer på villovägar. Det här är en klok säkerhetsåtgärd, men MFA-lösningen har fler viktiga roller i Zero Trust-arkitekturen.

Säker segmentering i en Zero Trust-modell

Virtuella privata nätverk fungerar egentligen som ett traditionellt «gränsförsvar».  Modern IT-säkerhetsteknik har för länge sedan fastslagit att det inte ger den precision som dagens användning kräver.

Lösningen stavas segmenterade VPN-lösningar som ger användaraccess på olika nivåer. Det är antingen i form av en brandvägg, en del i VPN-servern eller genom att brandväggen fungerar som en VPN-server. Enheten måste kunna differentiera trafik på flera nivåer, utifrån användaridentitet och autentisering, applikationer och protokoll. Därmed nås den granulariteten som Zero Trust kräver.

Infrastrukturen blir både mycket säkrare och mer exakt med en sådan topologi, samtidigt som VPN-servern isoleras från det interna nätverket. Det är i sig själv en bra säkerhetsåtgärd, eftersom VPN-servern är exponerade för internet och därmed en möjlig sårbarhet.

Extra säkerhet

De flesta företag har system som är särskilt känsliga. Om de äventyras blir konsekvenserna stora. Oftast handlar det om ekonomisystem som hanterar pengar och betalningar, eller IT-avdelningens system. För de här systemen rekommenderas ytterligare säkerhetsåtgärder såsom segmenterad fjärråtkomst.

En utbredd lösning är en att systemen bara kan nås från en låst dator. För att använda den måste distansarbetaren använda VDI (Virtual Desktop Infrastructure) eller liknande, samt separat inloggning. Lösningen säkrar att det inte går att nå de kritiska systemen direkt från VPN-servern. Det ökar säkerhetsnivån avsevärt och eliminerar oavsiktlig åtkomst till de viktigaste systemen.

Om du använder en modern MFA-lösning för den här extra inloggningen kan du kontrollera att inloggning bara är möjlig från godkända datorer som är konfigurerade enligt företagets IT-säkerhetspolicy. Samtidigt blir Single Sign-On (SSO) möjlig, som betyder att den extra säkerhetsnivån inte gör användarupplevelsen så komplicerad och krånglig att användarna börjar leta efter vägar runt säkerhetsåtgärderna.

VPN för professionella

Operativsystemen på de flesta enheter, oavsett om det är en mobiltelefon, surfplatta, eller bärbar dator, har en inbyggd VPN-klient. Dessa har dock bara den mycket grundläggande funktionalitet, vanligtvis bara i form av en krypterad VPN-tunnel med ett fast användar-ID och lösenord.

För mer omfattande funktionalitet, som också passar bättre i en Zero Trust-arkitektur, är svaret en mer professionell lösning såsom Cisco AnyConnect.

Den är tillgänglig för alla de mest använda operativsystemen och erbjuder såväl fler och bättre krypteringstekniker för själva tunneln som ett antal övervaknings- och administrationsfunktioner som hjälper IT-avdelningen att implementera Zero Trust-arkitekturen.

Här är möjligheten att övervaka och tillämpa regler för slutpunktskonfiguration kanske allra viktigast. Med hjälp av en administrationstunnel, som också är uppkopplad när användaren inte är ansluten till servern, kan du ställa in automatiska säkerhetskontroller, såsom patchnivå och antivirusversioner.

Det är också möjligt att upptäcka skadlig programvara och onormalt beteende, innan enheten ens har försökt ansluta till företagets nätverk. I ett Zero Trust-sammanhang kommer det diskvalificera enheten från att ansluta till företagets IT-resurser, tills enheten har undersökts och installationen har reparerats.

Vi har konstaterat att klassisk VPN i sig inte är en Zero Trust-teknik. Men i kombination med andra tekniker och med genomtänkt trafikhantering i IT-infrastrukturen kan VPN hjälpa till att nå den exakta och explicita åtkomst som behövs för att kalla systemet ”Zero Trust-arkitektur”.

Vill du veta mer?

Kontakta oss

 

Kontakta oss!
Svar inom 24h