Всегда проверяйте, никогда доверяйте
Введение
Без сети Интернет сейчас тяжело представить нашу жизнь, и, несмотря на то, что существует угроза перехвата личных данных или кибератаки, частные пользователи продолжают её использовать, так как риск для нас не настолько высок, чтобы о нем переживать. Однако в крупных компаниях так отмахнуться не получится: на кону может стоять конфиденциальная информация корпорации и ее сотрудников, конкурентоспособность, секретные планы компании и прочее. При этом зачастую разные отделы или филиалы могут быть расположены далеко друг от друга, или компания сотрудничает с другой, не связанной с ней одной сетью, что ставит вопрос: как безопасно передавать информацию? Публичной сети интернет доверять нельзя, а позволить себе создание собственной сети или выделенного канала связи может далеко не каждая корпорация. Решением этой проблемы стало формирование защищенной сети VPN, работающей поверх публичной.
Virtual Private Network
VPN расшифровывается как Virtual Private Network — виртуальная частная сеть, защищающая ваши данные, но работающая на основе публичной небезопасной сети. Механизм ее действия достаточно прост, лаконичен, а главное эффективен и заключается в трех основных принципах.
Шифрование
Туннелирование
Аутентификация
Давайте остановимся чуть подробнее на каждом пункте:
Перед отправкой сначала проверяются адреса отправителя и получателя и в случае, если, например, адрес получателя не найден в настройках VPN клиента, также проверяется целостность полученного пакета и далее он вместе со всей служебной информацией шифруется с помощью различных способов, но отдельно стоит выделить алгоритмы SSL и IPSec, отличающиеся друг от друга в цене, легкости применения и уровню доверия узлам, к которым вы подключаетесь.
Туннелирование - это создание связи между двумя точками сети посредством инкапсуляции (вкладывания пакетов информации один в другой). Пакет более высокого уровня вместе со служебной информацией в зашифрованном виде, помещается в пакет того же уровня или даже более низкого, скрывая от принимающего узла данные об отправителе и получателе и прочую информацию. Новый адрес отправителя - это адрес соответствующего VPN-агента, а новый адрес получателя - адрес другого VPN-агента, подключенного к настоящему адресату. Пакет пересылается по открытой сети, при этом риск перехвата уже не страшен, ведь получившийся пакет не раскрывает ни направления пересылки, ни важной содержащейся информации.
Получить или отправить пакеты по VPN могут лишь авторизованные пользователи, которым предоставлены соответствующие права, поэтому ваше сообщение получить может только тот, кому оно предназначалось.
После получения VPN-клиентом адресата пакета происходит зеркально обратный процесс:
После идентификации VPN-клиента отправителя (он, например, может не входить в число разрешенных и тогда пакет будет отброшен), выбираются соответствующие настройкам ключи и алгоритмы расшифровки, а далее пакет пересылается действительному получателю по локальной сети.
Никогда не доверяйте, всегда проверяйте
Это основная предпосылка сети Zero Trust (или сеть с нулевым доверием), разработанной Джоном Киндервагом в 2010 году. Zero Trust может стать важной частью многоуровневой кибербезопасности для компании, требующей строгой идентификации для доступа к сети. Не стоит доверять какому-либо соединению, даже происходящему внутри компании, не проверив преждевременно его надежность и безопасность.
Модель Zero Trust основывается на нескольких базовых принципах:
Аутентификация и проверка прав доступа при каждом запросе на получение данных от пользователя. Каждая попытка входа в систему должна расцениваться как атака, вне зависимости от локации, до тех пор, пока не подтверждено обратное.
Ограничение прав доступа каждого сотрудника до необходимого для его работы минимума. При такой политике злоумышленники никогда не получат доступ к всему объему данных, даже если их атака успешна.
Аналитика безопасности данных поможет в выявлении угроз в вашей сети путем нахождения отклонений в запросах к доступам, вызовах файлов или отправлениях сообщений со стороны аккаунтов сотрудников.
Существует мнение в технологической индустрии, что Zero Trust и VPN являются взаимоисключающими технологиями, но это далеко от истины.
Взглянем на различные аспекты в реализации и применении этих технологий, а также требования, к ним предъявляемые:
Zero Trust | OpenVPN Access Server |
Обеспечивает сегментацию сети (разделяет сеть на более мелкие отдельные подсети для обеспечения безопасности) | Сегментация достигается за счет использования ACL (список, который определяет, кто имеет соответствующий доступ) |
Предотвращает “Lateral Movement”, атаки посредством физического перемещения по сети | Позволяет администраторам сети вычислять, имеется ли у пользователей доступ к приватным подсетям, предотвращая “Lateral Movement” |
Реализует контроль доступа самостоятельно | Правила контроля доступа позволяют администраторам назначать для каждого пользователя или группы IP адреса, к которым у них есть доступ |
Предотвращает атаки | Предоставляет защиту от кибератак, исходящих из-за предела устройств, подключенных к сети, вне зависимости от расположения |
Как мы видим, правильно настроенный VPN реализует архитектуру технологии Zero Trust, защищая тем самым сеть как от внешних, так и от внутренних атак.
Совместное применение OpenVPN + Zero Trust
Вопреки тому, что мы часто видим в новостях, атаки далеко не всегда исходят от киберпреступников. Многие из них начинаются изнутри, поэтому для организаций крайне необходимо придерживаться принципов Zero Trust. Один из лучших способов обеспечить этот тип защиты - это настроить VPN для обеспечения контроля доступа.
Применяя определенные настройки к пользователям сервера, можно задать кто может войти в систему и к каким сетевым службам у них есть доступ. Настраивая сервер доступа таким образом, вы приближаетесь к реализации принципа: «никогда не доверяй, всегда проверяй».
Отличный пример использования VPN для Zero Trust - от компании HVAC, которая управляет тремя большими независимыми подразделениями в США. Они предоставляют клиентам единое интегрированное решение для оборудования HVAC, обеспечивая автоматизацию зданий и балансировку независимых систем.
Крайне важно, чтобы у компании была возможность проверить каждого человека, имеющего доступ к сети. Руководители должны гарантировать, что члены команды имеют безопасный доступ к важным ресурсам, в то же время предотвращая доступ посторонних лиц к конфиденциальным данным.
HVAC установили интеграцию между VPN и своей службой каталогов Active Directory, и теперь их сервер настроен так, что члены компании имеют доступ только к тем ресурсам и каталогам, которые им необходимы для выполнения своей работы.
Такой подход очень сильно отразился на функционале корпорации, упростив работу сотрудникам, с одной стороны позволив им легко получать доступ к информации, необходимой им для обслуживания своих клиентов, с другой предоставив компании способы гарантировать, что только авторизованные пользователи с соответствующими правами могут добраться до необходимых ресурсов.
Zero trust подразумевает безусловную идентификацию личности, без ориентации на границы сети: то есть необходимо аутентифицировать всех, независимо от того, находятся ли они в офисе через корпоративную сеть или вне его. Один из способов этого достичь - потребовать, чтобы все использовали VPN для доступа к конфиденциальным ресурсам - независимо от того, подключаются они из офиса или работают удаленно.
Таким образом, используя технологию VPN и все возможности, которые она предлагает, мы можем построить безопасную сеть, которая будет удовлетворять всем принципам сети Zero Trust.
