Pripremio: Alen Vasić, voditelj Tima za upravljanje mrežnim uslugama OIV-a
Promjene u načinu rada, ubrzana digitalizacija i sve veća mobilnost korisnika doveli su do transformacije IT okruženja, kako u poslovanju općenito, tako i u načinu na koji pristupamo mrežnim resursima. Rad na daljinu više nije iznimka, već svakodnevica, a broj uređaja i lokacija s kojih se pristupa sustavima raste iz dana u dan. U takvom distribuiranom i dinamičnom okruženju, tradicionalni pristupi mrežnoj sigurnosti, temeljeni na povjerenju prema korisnicima unutar „sigurne mreže“, više ne mogu jamčiti dovoljnu razinu zaštite. Potreban je novi model – model u kojem se nikome ne vjeruje unaprijed i gdje se svaki pristup pomno provjerava.
Društveni i tehnološki trendovi stvaraju nove obrasce ponašanja i očekivanja, kako zaposlenika u IT kompanijama tako i korisnika IT usluga. Jedan od društvenih trendova, a koji je prestao biti izuzetak i postao sastavni dio poslovne svakodnevice, je rad na izdvojenom mjestu rada odnosno najčešće iz vlastitog doma. Prednosti fleksibilnih modela rada prepoznate su i u OIV-u.
Uvođenje naprednih IT platformi, kolaboracijskih alata odnosno rastuća upotreba i širenje usluga temeljenih na računarstvu u oblaku (cloud), uz aplikacije realizirane putem infrastrukturnih rješenja u privatnom podatkovnom centru (on-premise) i hibridna rješenja, vode ka distribuiranim i složenim mrežnim okruženjima. Upravljanje pristupima, identitetima i pravilima mrežne sigurnosti u složenim sustavima može biti izazovan zadatak.
OIV je nacionalni pružatelj strateške komunikacijske infrastrukture, a njegove usluge uz odašiljanje obuhvaćaju prijenos i distribuciju video, audio i podatkovnih sadržaja te razvoj inovativnih digitalnih platformi poput OIV Playout MAX, OIV Fire Detect AI i Cronect. U sklopu navedenih platformi OIV korisnicima osigurava udaljeni pristup putem VPN-a (Virtual Private Network) kako bi oni mogli na siguran način konzumirati ugovorene usluge. Neprekidan rad, pouzdanost i dostupnost platformi i usluga OIV-a osiguravamo uz 24/7 tehničku podršku i kontinuirano praćenje kvalitete usluga. Udaljeni pristup u sustave i mreže OIV-a je osnovno sredstvo djelatnicima OIV-a u pripravnosti i vanjskim partnerima prilikom otkrivanja i rješavanja problema.
Moderna korporativna IT okruženja pa tako i ono u OIV-u postavljaju kompleksne zahtjeve na tehnološka rješenja za osiguravanje udaljenog pristupa odnosno povezanosti korisnika i aplikacija, uz jednostavnost upotrebe istih za krajnjeg korisnika bilo da se radi o zaposleniku ili korisniku usluga koje tvrtka pruža. No, učestalost kibernetičkih napada i njihova složenost uz distribuirane i fragmentirane mrežne arhitekture zahtijevaju sve naprednije pristupe sigurnosti.
Tradicionalni sigurnosni perimeter-based modeli i tradicionalne strategije kontrole pristupa inherentno (ili po prirodi) vjeruju korisniku ili uređaju na mreži. Ovo povjerenje se najčešće temelji na dvije opcije - lokacija korisnika u mreži (ako je uređaj ili korisnik unutar korporativne lokalne mreže, odnosno unutar zaštićenih granica mreže) ili jednokratna provjera prilikom povezivanja korisnika.
Jednokratnu provjeru prilikom povezivanja korisnika ostvarujemo postupkom višefaktorske autentifikacije (MFA) pri čemu se korisnik najčešće autentificira unošenjem korisničkog imena, lozinke i jednokratnog koda ili tokena. Nakon uspješne autentifikacije korisnik se smatra pouzdanim za cijelo trajanje sesije. Ovakvi modeli se u načelu oslanjaju na vatrozide, privatne virtualne mreže (VPN) i demilitarizirane zone (DMZ).
Pilot projekt uvođenja Zero-Trust Network Access-a
S obzirom na sve složenije sigurnosno okruženje potrebno je držati korak s novim tehnologijama pa tako kontinuirano istražujemo i testiramo alternative i nove tehnologije. Tim za upravljanje mrežnim uslugama je tako pokrenuo pilot projekt primjene Zero-Trust Network Access (ZTNA) tehnologije. Pilot projekt je obuhvatio testiranja pristupa na OIV Fire Detect AI sustav kako za korisnike usluge tako i za OIV zaposlenike, a koji operativno upravljaju sustavom. Pilot projekt je za osnovni cilj imao potvrditi prednosti ZTNA tehnologije u usporedbi s tradicionalnim rješenjima, a to su povećanje razine sigurnosti uz istovremeno povećanje zadovoljstva korisnika usluge (npr. iz perspektive krajnjeg korisnika jednostavnijeg pristupa sustavu).
Nakon uspješno provedenog pilot projekta i testiranja započela je implantacija ove tehnologije u produkcijskim OIV sustavima.
Ključni principi ZTNA tehnologije
ZTNA je fleksibilan i robustan sigurnosni okvir, odnosno jedno od rješenja za gore navedene izazove. Temeljno načelo na kojem se zasniva zero trust je „nikad ne vjeruj, uvijek provjeri“ (never trust, allways verify). Ovaj model prebacuje fokus s osiguranja perimetra na osiguranje pojedinih resursa, a svaki korisnik i uređaj se kontinuirano autentificira, autorizira i nadzire prije nego što mu se odobri pristup kritičnim resursima.
ZTNA dinamički procjenjuje svaki zahtjev za pristupom definiranom resursu, uzimajući u obzir identitet korisnika kao i provjeru čimbenika poput usklađenosti sa sigurnosnim politikama, lokacije uređaja te otkrivenih ranjivosti ili zlonamjernog koda. Pristup se odobrava samo kada korisnik i uređaj zadovoljavaju unaprijed definirane sigurnosne kriterije. Na ovaj način ZTNA smanjuje rizik od sigurnosnih prijetnji, gdje zlonamjerni ili kompromitirani korisnici unutar mreže mogu dobiti neovlašteni pristup, kao i od ranjivosti u opskrbnom lancu, a gdje vanjski partneri mogu nenamjerno unijeti sigurnosne prijetnje u naše sustave.
Osnovni koncepti ZTNA tehnologije
- Pristup s najmanjim privilegijama (least privilege access) - korisnicima, uređajima i aplikacijama se odobrava pristup samo onim resursima koji su im nužno potrebni, odnosno dodijeljena su im minimalna prava pristupa.
- Kontinuirana autentifikacija (continous authentification) - sustav kontinuirano provodi provjeru identiteta, sigurnosti uređaja (usklađenosti sa sigurnosnim standardima), lokacije, ponašanja i provjeru drugih faktora u stvarnom vremenu.
- Mikrosegmentacija (microsegmentation) – temelji se na identitetu i kontekstu, a smanjuje ili u potpunosti uklanja lateralno kretanje unutar iste sigurnosne zone.
- Kontrola pristupa temeljem politika (policy-based access control) pristup se kontrolira putem politika (tko može pristupiti čemu, kada, odakle i kako).
- Dinamička primjena i ažuriranje politika (dynamic policy enforcement and updates) - pravila se automatski prilagođavaju na temelju trenutnog konteksta, ukoliko uređaj više nije u skladu sa sigurnosnim standardima, pristup se može odmah opozvati ili ograničiti.