Jak nejlépe zabezpečit okraj sítě

Narušení pracovních a provozních prostředí způsobené pandemií covidu-19 zvýraznilo a v některých případech zkomplikovalo bezpečnostní otázky ohledně edge computingu.

Edge computing je model, kde jsou výpočetní prostředky a úložné kapacity namísto centralizovaného datového centra rozptýlené blíže místům, kde data vznikají – například zařízením internetu věcí (IoT) – a aplikacím a uživatelům, kteří data využívají.

Ve své loňské výzkumné studii společnost Gartner popsala edge computing jako trend, který nabývá na síle mezi podniky, jež chtějí využít výhody IoT a transformativních nativně cloudových aplikací příští generace. Tvrdí, že manažeři infrastruktury a provozu IT  v příštích několika letech začlení edge computing do svých cloudových strategií. Konkurenční Forrester Research předpovídá, že podniky s vysoce distribuovanými aktivitami budou v souvislosti s potřebami edge computingu stále větší měrou poptávat malá lokální datová centra a cloudové služby.

Zavádění edge computingu s sebou přineslo i některé bezpečnostní problémy. Například značný nárůst počtu zařízení na periferii sítě výrazně rozšířil prostor pro útok a dal útočníkům možnost skrze tyto systémy proniknout do širších podnikových sítí. Řada serverů a úložišť, které podniky využívají v rámci edge computingu, sama o sobě představuje lákavé cíle kvůli datům, jež se na nich nacházejí, a kvůli obvykle slabšímu zabezpečení, než jaké mají centralizovaná datová a kolokační centra.

Další potíž vzniká tím, že poskytovatelé připojení, výrobci zařízení, systémoví integrátoři a další zúčastněné subjekty začali poskytovat nebo integrovat vlastní edge computingová řešení pro své zákazníky a partnery. To přináší nejasnosti ohledně vlastnictví a odpovědnosti za bezpečnost heterogenního prostředí.

Z hlediska bezpečnosti edge computingu lze pozorovat čtyři trendy, které budou mít významný dopad.

Urychlení přechodu na SASE

Posun směrem k distribuovanějšímu výpočetnímu modelu založenému na využití periferie sítě vyvolal zvýšený zájem o koncept SASE, tedy služeb pro bezpečný přístup do sítě. Tento návrh spojuje síťové bezpečnostní funkce, jako jsou bezpečné internetové brány nebo zprostředkovatelé bezpečného přístupu do cloudu, s funkcemi WAN. Výzkum společnosti Versa Networks z letošního roku ukázal prudký nárůst zájmu o SASE, kdy 34 % respondentů uvedlo, že tento koncept již zavádějí a 30 % to plánuje.

Hlavními důvody jsou problémy uživatelů s připojením k podnikovým sítím na dálku, výpadky spojení a nedostatečný výkon při užívání aplikací náročných na rychlost a kapacitu přenosu dat, jako jsou videokonference. Jako další bylo uváděno uplatňování bezpečnostních pravidel a detekce nových hrozeb.

Pište pro CIO Business World

Máte dobré nápady, máte co říct? Chcete se podělit o své znalosti se čtenáři CIO BW?

Je tu ideální příležitost. V redakci neustále hledáme externí autory, kteří rozšíří náš záběr. Nabízíme možnost publikací zajímavých článků nejen na webu, ale také v našem tištěném magazínu. Pokud máte zájem, ozvěte se šéfredaktorovi na e-mail: radan.dolejs@iinfo.cz

„Myšlenka SASE je založená na tom, že přechod uživatelů, aplikací a dat do cloudu a na periferii sítě vyžaduje, aby se tamtéž přesunulo i zabezpečení a WAN konektivita kvůli latenci a výkonu. SASE spojuje softwarově definovanou síť WAN se souborem řešení, která chrání části sítě zapojené do edge computingu,“ vysvětluje Ernest Sampera, spoluzakladatel společnosti vXchnge, která poskytuje služby kolokačních center.

Zlepšení přehledu o potenciálních hrozbách

„Přechod na práci z domova a na hybridní pracovní prostředí v první řadě znamenal, že se pracovníci snažili připojit k podnikovým systémům z různých zařízení. Ukázalo se , jak se připojují – například přes VPN – i to, jaké se jim dostává podpory při práci na dálku. Výrazně také vzrostla aktivita útočníků cílících na starší VPN zařízení a jiné technologie užívané ke vzdálenému přístupu,“ říká Fernando Montenegro, vedoucí analytik pro oblast informační bezpečnosti ve výzkumné společnosti 451 Research.

„Rozvoj edge computingu znamená, že přístupové technologie nyní slouží ke specifickým účelům v různých částech podniku. Zabezpečení je proto nutné sladit s konkrétními potřebami, jinak mohou vznikat bezpečnostní rizika,“ upozorňuje Montenegro.

Chris Morales, ředitel informační bezpečnosti v IT poradenské společnosti Netenrich, tvrdí, že jedním z důsledků přechodu na rozptýlenější pracovní prostředí je přehnaný důraz na zabezpečení koncových bodů oproti jiným aspektům edge computingu. Jako příklad uvádí výdaje na prevenci hrozeb na uživatelských zařízeních, ačkoli například k útokům namířeným proti prostředí Office 365 dochází podstatně častěji. „Obecně se setkáváme s tím, že výdaje na bezpečnost se prioritně zaměřují na detekci hrozeb, ale velmi málo na celkový přehled o bezpečnostním prostoru a kvalifikaci rizik,“ říká Morales.

Apeluje proto na podniky, které se snaží zabezpečit periferní prostředí, aby se zabývaly celým bezpečnostním prostorem, nikoli pouze koncovými body, a zavedly management rizik s využitím technologií jako modelování hrozeb nebo emulace útočníků.

Identifikace rizik zařízení

Rizika plynoucí z rozmanitosti zařízení na periferii sítě zesílila, říká Ernest Sampera ze společnosti vXchnge. Otázky bezpečnosti při práci na dálku se točí především okolo připojování do podnikových sítí z umístění bez dostatečného zajištění. Podniky se pokusily tato rizika omezit zavedením technologií jako VPN nebo vícefaktorové ověřování, což však vedlo k nárůstu množství útoků proti těmto nástrojům.

„Další trend, který zesílil v souvislosti s pandemií, se týká fyzické bezpečnosti periferní infrastruktury nasazené buď v lokálních datových centrech v kancelářských budovách, nebo detašovaných vlastních datových centrech s chabým fyzickým zabezpečením a dohledem,“ poznamenává Sampera.

Systémy umístěné v takových prostředích jsou náchylné na fyzickou manipulaci, krádež nebo infikování škodlivým softwarem za účelem odcizení dat, zvýšení oprávnění, odposlechu a dalších nekalých aktivit.

Tento typ hrozeb vyžaduje, aby podniky věnovaly vyšší pozornost katalogizaci zařízení podle typu, operačního systému, bezpečnostních funkcí, stáří a dalších charakteristik. Cílem je vyhodnotit potenciální zranitelnosti zařízení, odhalit existující rizika a omezit přístup v případě napadení.

Podle bezpečnostních expertů jsou důležité také prvky jako zabezpečení typu Root of Trust na úrovni hardwaru, upozornění na neoprávněnou manipulaci a odolnost proti ní, šifrování a kryptografická kontrola identity.

Větší důraz na bezpečnost dodavatelského řetězce

Fenomén edge computingu přitáhl zvýšenou pozornost k hrozbám v dodavatelském řetězci – a to nejen kvůli narušení dodávek během pandemie. Vzhledem k tomu, že podniky větší měrou využívají výpočetní a úložné systémy mimo svoji přímou kontrolu, vystupují do popředí otázky ohledně bezpečnosti zařízení a jejich součástí.

„Aktualizace a modernizace edge zařízení je pracnější a nákladnější než u běžných počítačů. Má proto smysl snažit se lépe pochopit, jaká bezpečnostní rizika se pojí k jejich součástem,“ říká Fernando Montenegro.

K tomu se přidává skutečnost, že se faktickým standardem u edge computingových technologií stal open source software. Je tedy nanejvýš důležité sledovat původ kódu, kód kontrolovat, vyhledávat zranitelnosti a automatizovaně aplikovat opravy a aktualizace.

Článek vyšel v magazínu CIO Business World č. 1/22.