Zero trust edge – budoucnost bezpečné práce na dálku

Současný nový normál dává vyniknout výhodám vzdálené práce a asi v současnosti nenajdeme firmu, která by o nějaké formě kombinované (hybridní) formě svého fungování neuvažovala. Současně hledáme metody, jak vzdálený přístup k práci zabezpečit. Ty tradiční v mnoha ohledech zaostávají a někdy kontrolu nad sítí na úkor bezpečnosti spíš zhoršují.

Tady přichází myšlenka Zero Trust Edge, zkráceně ZTE. Koncept, sice velmi čerstvý, ale vytvořený syntézou dvou dlouhodobých trendů: bezpečnostní zero trust politiky a edge computingu. Kdo těmto dvěma pojmům alespoň částečně rozumí, asi chápe, v čem tkví také myšlenka ZTE.

Omezený přístup i na okraji

Takzvanou zero trust politiku používá řada organizací. Jde v prvé řadě o to bezpečnostní incidenty s každým připojením očekávat, anticipovat problémy. Od každého uživatele, který se přihlásí k síti, je vyžadována plná vícefaktorová autentizace a je mu umožněný přístup jen k tomu, co k práci skutečně potřebuje. Šifrování operací a neustálý dohled nad sítí je standardem. Často tato politika také zamezuje využívání jakéhokoliv vlastního zařízení. Připojovat se uživatel může jen autentizovaným firemním počítačem, jakémukoliv jinému je přístup odmítnut.

To vše v současnosti souvisí s připojováním se k mateřské firemní síti. Zero Trust Edge ale tyto principy přenáší na okraj sítě. V základu jde stále o to samé, ale vzhledem k tomu, že takzvaný edge má u každé sítě specifické parametry, nástroje pro zero trust ochranu v něm jsou o to složitější. Nabízí se tedy otázka, proč tímto způsobem ochranu zesložiťovat? Protože se výpočetní nároky odkloní z centra sítě a ulehčí se datovému provozu.

VPN je dočasné a neflexibilní řešení

V současnosti se opakuje, že bezpečné připojení pro vzdálené pracovníky představuje VPN. Jenže kromě obtížné správy přístupových bodů a faktu, že podle průzkumů nemá vysoké procento firem svá VPN optimálně nastavená, je udržování připojení touto cestou výpočetně náročné. Při každém jednotlivém VPN připojení se vytvoří dedikovaný zabezpečený most mezi sítí a koncovým zařízením, a to významně zatěžuje infrastrukturu. Pokud na dálku pracuje polovina firmy, síť je pod náporem.

Problémem jsou také malé možnosti škálování. To opět souvisí s tím, že veškerý síťový provoz leží na bedrech páteřní infrastruktury. Pokud současnou kybernetickou bezpečnost definuje jedna výrazná vlastnost, je to její schopnost adaptace. A tudíž dává smysl, že ochrana by měla fungovat především v těch místech, kde je nejsnazší ji podle potřeby přizpůsobit dle toho, jak významný je datový provoz. Takovým místem je okraj sítě.

VPN poskytuje uživatelům plný přístup k síti a poměrně široké pravomoce. Mohou pracovat s daty, přepisovat je, sdílet i mazat. V případě incidentu je ale třeba škody minimalizovat. To v případě ztráty dat nebo útoku znamená co nejvíce omezit dosah negativních změn. Pokud je útočník připojený „jen“ k okraji sítě, je dosah škod menší, a kontrola naopak efektivnější. Navíc, zero trust model problémy předpokládá a jeho přesunem na edge firmy svá bezpečností řešení dostanou tak blízko k připojeným zařízením a aplikacím, jak je jen možné. Okraj sítě a jeho bezpečnost jde se zero trust ruku v ruce. Teprve tady může striktní bezpečnostní politika naplno rozvinout svůj potenciál.

A potenciál to není zanedbatelný. Spolu s už zmíněnou úlevou nároků na firemní infrastrukturu souvisí efektivnější fungování připojení k okraji sítě. Nižší odezva, rychlejší práce s daty, přístup k lokálním souborům, to všechno přispívá k lepší uživatelské zkušenosti, a tedy produktivnější práci. Ke škálovatelnosti ochrany se zase kromě snížení rizik a dosahů škod v případě útoků váže také úspora prostředků, ZTE model počítá s vysokou mírou automatizace kybernetické bezpečnosti.

Nová myšlenka, dlouhodobý rozvoj

Přes to všechno je ale potřeba připomenout, že Zero Trust Edge je v současnosti rodící se model a některé jeho aspekty jsou stále součástí technických studií a vědeckých článků. Před rokem 2019 s podobnou myšlenkou pracovali experti pouze v abstrakcích a pro tuto technologii definující článek pochází teprve z ledna tohoto roku. Právě proto není ZTE model v současnosti dostupný pro každého, třebaže už existují řešení, která ho podporují.

Technologie ZTE je v současnosti vnímána jako jakási nástavba v rozvoji edge. Jestli se stane jeho integrální součástí, to ukáže až čas. Některé technologie, které jsou k jeho rozšíření zapotřebí, už firmy mají k dispozici, třeba soukromý cloud. Jiné ještě tak populární nejsou. Podmínkou fungování zero trust edge modelu je například ochrana pracující zcela na bázi cloudu, většina firem však má své antiviry, firewally a další nástroje on-premise. V tomto ohledu nás čeká ještě dlouhá cesta.