Bezpieczne połączenia zdalne (PAM) bez tuneli VPN
Bezpieczne połączenia zdalne (PAM) bez tuneli VPN
BeyondTrust Privileged Remote Access
W dzisiejszym świecie, gdzie outsourcing IT i zarządzanie aplikacjami oraz systemami serwerowymi przez firmy zewnętrzne jest normą, bezpieczeństwo połączeń zdalnych stało się kluczowym wyzwaniem. Tradycyjne metody, takie jak tworzenie i utrzymanie tuneli VPN, nie tylko są dodatkowym kosztem, ale również rodzą pytania dotyczące monitorowania działań zewnętrznych dostawców na krytycznych zasobach organizacji.
Podatność tradycyjnych tuneli VPN
Z pewnością, bezpieczeństwo połączeń zdalnych bez konieczności stosowania tuneli VPN jest kluczowym aspektem, który warto rozwinąć. Tunel VPN, choć powszechnie stosowany do zabezpieczania połączeń zdalnych, nie jest wolny od podatności, które mogą stanowić poważne zagrożenie dla bezpieczeństwa danych i systemów. Podatności w systemach VPN zostały niedawno wykryte, co zostało szeroko opisywane w mediach – CVE-2024-3400* lub CVE-2022-42475** (więcej informacji na ten temat w linkach źródłowych). Umożliwiły zdalne wykonanie kodu bez uwierzytelniania, pozwoliły na wstrzykiwanie kodu przez nieuwierzytelnionego użytkownika, co mogło skutkować zdobyciem przez niego uprawnień roota i kompromitacją całego środowiska.
Bezpieczna alternatywa: BeyondTrust Privileged Remote Access (system PAM)
System PAM (Privileged Access Management) marki BeyondTrust pod nazwą Privileged Remote Access eliminuje potrzebę tworzenia i utrzymywania tuneli VPN przy połączeniach zdalnych, co znacząco zwiększa bezpieczeństwo. Dzięki temu, że całość komponentów systemu znajduje się wewnątrz własnej infrastruktury użytkownika, zapewnia też pełną kontrolę nad nagraniami sesji oraz kontrolę nad przepływem komunikacji sieciowej. Użytkownicy systemu łączą się bezpośrednio z appliancem Privileged Remote Acces, gdzie stosowane są dla ich kont polityki kontroli dostępu. Komunikacja między komponentami systemu jest szyfrowana TLS i oparta o jeden port 443, co minimalizuje płaszczyznę ataku i tym samym zmniejsza ryzyko ich wystąpienia.
W świetle ostatnich znanych podatności w systemach VPN, takich jak CVE-2024-3400 i CVE-2022-42475 (więcej informacji w linkach źródłowych), system BeyondTrust Privileged Remote Acces oferuje znacznie bezpieczniejszą alternatywę. Zapewnia on nie tylko bezpieczny dostęp zdalny bez konieczności stosowania tuneli VPN, ale także granularną kontrolę dostępu, możliwość nagrywania sesji oraz szczegółowy audyt, co jest kluczowe dla ochrony krytycznych zasobów organizacji.
Podstawowe zalety systemu BeyondTrust Privileged Remote Access:
- Bezpieczeństwo i kontrola
System Privileged Remote Acces kładzie duży nacisk na bezpieczeństwo, wykorzystując gotowy i zabezpieczony appliance producenta, który można szybko i łatwo wdrożyć do strefy ograniczonego zaufania (DMZ). Komunikacja między komponentami systemu jest szyfrowana przy użyciu TLS i ograniczona do jednego portu 443, co minimalizuje ryzyko ataków. - Granularna kontrola dostępu
Konta kontraktorów są tworzone lokalnie lub synchronizowane z Active Directory, a polityki kontroli dostępu są stosowane bezpośrednio na appliance Privileged Remote Acces. Daje to możliwość szczegółowego konfigurowania uprawnień dostępowych, zarówno na poziomie pojedynczych kont, jak i grup użytkowników. - Rejestracja i audyt sesji
Privileged Remote Acces oferuje możliwość nagrywania sesji oraz ich szczegółowego audytu, włącznie z wyszukiwaniem po ciągach znaków, co umożliwia szybką weryfikację działań firm zewnętrznych. W przypadku naruszenia zasad bezpieczeństwa, istnieje możliwość wymuszonego przejęcia sesji od kontraktora. - Współpraca w czasie rzeczywistym
Jedną z unikalnych cech systemu Privileged Remote Acces jest możliwość współpracy między użytkownikami w sesji zdalnej. Narzędzie to umożliwia aktywną współpracę z kontraktorem w trakcie sesji graficznej, współdzielenie pulpitu, a także utrzymanie komunikacji za pomocą wbudowanego czatu. - Prostota implementacji
BeyondTrust Privileged Remote Acces wyróżnia się prostotą implementacji i administrowania, co czyni go atrakcyjnym rozwiązaniem dla działów IT poszukujących równowagi między bezpieczeństwem a funkcjonalnością.
Podsumowując, system BeyondTrust Privileged Remote Acces oferuje kompleksowe rozwiązanie, które nie tylko zwiększa bezpieczeństwo dostępu zdalnego, ale również ułatwia zarządzanie i współpracę, bez konieczności polegania na tunelach VPN. Jest to krok naprzód w zabezpieczaniu krytycznych zasobów organizacji w erze cyfrowej.
Poznaj rozwiązanie z artykułu
Privileged Remote Access
Zabezpiecz i monitoruj zdalny dostęp z kontrolą i rejestracją sesji uprzywilejowanych… >>>
Źródła:
*O. Klimczuk, Krytyczna podatność w GlobalProtect VPN. Polskie uczelnie zagrożone, Cyberdefence24.pl, 13.12.2022
** Krytyczna podatność w Fortinet FortiOS SSL-VPN, Cert.pl, 12.04.2024
Autor:
Tomasz Smug
Deputy Director, EMS Partner