SafeConnect SDP és OPSWAT MetaAccess
Rossz biztonsági beállításokkal vagy nem frissített antivírus szoftverrel rendelkező végpont veszélynek teszi ki az egész hálózatot. Amennyiben egy ilyen sebezhető eszköz hozzáfér olyan alkalmazásokhoz és erőforrásokhoz, amelyekre alapvetően nem lenne szüksége, az további kockázatot jelent a vállalat számára. Ezekre az esetekre kínál megoldást a SafeConnect SDP és az OPSWAT MetaAccess.
SafeConnect SDP
A Safeconnect SDP eredetileg az Impulse terméke, de mivel 2019 végén az OPSWAT felvásárolta az Impulse-t, így hivatalosan már hozzá tartozik maga az SDP is. A SafeConnect SDP „Zero-trust” megközelítésének köszönhetően elrejthetjük az Internetről és a belső hálózatról egyaránt a vállalati alkalmazásokat és eléréseket mindaddig, amíg a felhasználó nem azonosítja magát. Ez szemben áll a ma megszokott „csatlakozás, majd hitelesítés” sorrendjével, hiszen a Zero-trustnál pont, hogy előbb hitelesítenie kell a felhasználónak magát a rendszerben, és csak ezután csatlakozhat az erőforrásokhoz. Extra a folyamatban, hogy a hitelesítést követően a felhasználó nem érhet el minden belső erőforrást, csak azt, amihez külön jogosultsággal rendelkezik, így a hálózaton könnyedén kialakítható, hogy a felhasználók egyáltalán ne férhessenek hozzá olyan alkalmazásokhoz és erőforrásokhoz, amikhez semmi közük.
A SafeConnect SDP három komponensből áll, ezek a Client, a Controller és a Gateway.
SDP Client
A Client Windows, MacOS, iOS és Android operációs rendszerrel rendelkező eszközökre érhető el. Mivel a felhasználó ezen kliensen keresztül éri el a számára engedélyezett alkalmazásokat, ezért ezt a felhasználó eszközeire telepíteni kell. A kliensen bejelentkezést követően megjelenítésre kerül, hogy pontosan mely alkalmazásokhoz és erőforrásokhoz van hozzáférése az adott felhasználónak.
SDP Controller
A SafeConnect Controller segítségével kerül azonosításra a Client. Ha megtörtént az azonosítás, és már tudja a Controller, hogy milyen alkalmazásokhoz van hozzáférése az adott Clientnek, akkor kiépít egy kölcsönös TLS VPN kapcsolatot a Client és a Gateway között, ezzel biztosítva az alkalmazásokhoz történő hozzáférést. Fontos tehát, hogy az eléréshez nem szükséges belső hálózaton lennünk, bármilyen hálózatból elérhetjük a belső alkalmazásokat és erőforrásokat, mert hitelesítés után a Controller létrehozza az eléréshez szükséges VPN kapcsolatot a felhasználó számára.
Maga a Controller a szolgáltató által, tehát az OPSWAT/Impulse által menedzselt felhőben található, a hozzá tartozó felület a regisztrációkor megadott címen lesz elérhető a böngészőből. A Controller a VPN kapcsolat kiépítésén kívül azért nagyon fontos komponens a rendszerben, mert az ő felületén történik meg a felhasználók, alkalmazások és szabályok kezelése.
SDP Gateway
A Gateway biztosítja a hozzáférést az alkalmazásokhoz a felhasználók számára. Létezik felhőben található Gateway, ez Amazon AWS-ben kerül megvalósításra és a szolgáltató adja a Controllerhez hasonlóan, de van on-premise megoldás is rá a belső alkalmazások védelmére, ehhez egy VMware-be feltelepíthető ova fájlt biztosítanak.
Hogyan működik az SDP?
A SafeConnect SDP működését, telepítését röviden bemutató videót itt láthatjátok:
OPSWAT MetaAccess
Az OPSWAT MetaAccess segítségével megszabhatunk bizonyos feltételeket, amelyeknek szeretnénk, ha az alkalmazásokhoz és erőforrásokhoz hozzáférő eszközök megfelelnének. Ilyen feltétel lehet például, hogy a vírusírtóból a legfrissebb verzió fusson az eszközön, vagy legyen megfelelően titkosítva az eszköz. A MetaAccess a végpontok ellenőrzésével biztosítja, hogy minden olyan eszköz, amely hozzáfér a védett alkalmazásainkhoz megfeleljen a biztonsági szabályzatunknak.
Ehhez a MetaAccess egy böngészőből elérhető felületet nyújt, ahol a szabályok definiálása mellett lehetőséget ad arra is, hogy áttekintsük a felügyelt eszközök állapotát, például azt, hogy hány eszköz felel meg a biztonsági szabályainknak és hány kockázatos eszköz van a felügyeltek között. Amennyiben egy konkrét eszközről több információt szeretnénk kapni, úgy a MetaAccess ezt is lehetővé teszi: megtekinthető az eszköz IP címe, hogy milyen antivírus szoftver van telepítve az eszközön, hogy mennyi szabad tárhely van az eszközön, és még sok egyéb információ is. A MetaAccess használatával a hozzáférés szabályozás mellett igencsak széleskörű eszközfelügyeletet valósíthatunk meg.
Ahhoz, hogy egy eszközt megfelelően ellenőrizni tudjunk, szükséges a MetaAccess-hez tartozó OPSWAT Client telepítése magára az eszközre. Ez a Client elvégzi a szükséges vizsgálatokat, és tájékoztatja a MetaAccess-t a vizsgálat eredményéről. Amennyiben egy eszköz nem felel meg a biztonsági szabályoknak, abban az esetben nem férhet hozzá a MetaAccess által védett alkalmazáshoz, és az úgynevezett „remediation page”-re kerül ami a következőképp néz ki:
Ezen az oldalon a felhasználó tájékoztatást kap arról, hogy milyen eszközzel kapcsolatos probléma miatt nem férhet hozzá az alkalmazáshoz, és megnyitva az egyes problémákat arról is információt biztosít a rendszer, hogy ezek hogyan javíthatóak ki a leggyorsabban.
SDP és MetaAccess használata együtt
A két megoldás együttes használatával meglehetősen könnyűvé válik az alkalmazásokhoz és erőforrásokhoz történő hozzáférés szabályozása. Amennyiben szeretnénk az SDP-t használni egyéb VPN megoldások helyett, lehetőség van arra, hogy ezt is levédjük a MetaAccess segítségével. Ezzel elérhető, hogy amennyiben nem felel meg az eszköz a MetaAccess-ben meghatározott feltételeknek, a felhasználó ne tudjon csatlakozni a belső alkalmazásokhoz és erőforrásokhoz az SDP Client-en keresztül.
Jelenleg ezt csak abban az esetben lehet megvalósítani, ha az SDP Client-be Identity Provideren keresztül történik a bejelentkezés, mivel a MetaAccess csak IdP-n keresztül regisztrált alkalmazásokat képes védeni. Ez elsőre talán kissé bonyolult, ám aggodalomra semmi ok! A gyártó 2020 végére ígérte a két termék integrálását, így remélhetőleg elkerülhető lesz az IdP-n keresztül történő összekapcsolás és egy, még ennél is jobb, az összes igényt lefedő rendszert kaphatunk!
A filter:max Virtuális Security konferenciáján kiemelt helyet kapott az OPSWAT Software Defined Perimeter (SDP) előadás. Itt tudjátok visszanézni. Ha még többet olvasnátok a gyártóról, látogassátok meg ezt az oldalt, vagy kérjetek demót az alábbi gombra kattintva.