MIRŐL LESZ SZÓ A BLOGBAN?
- BYOD HÁZIREND ÉS DILEMMA
- ESZKÖZBIZALOM = ESZKÖZEGÉSZSÉG
- DUO DEVICE HEALTH
Eszközbizalom, eszközegészség, DUO Beyond, DUO Device Health (DHA)
A vállalati tulajdonú eszközök megbízhatóságának meghatározása általában egyszerű feladat. Telepítünk egy mobileszköz-kezelő (MDM) eszközt, majd olyan biztonsági házirendeket alkalmazunk, amelyek lehetővé teszik az IT- és a SecOps-csapatok számára, hogy megvédjék az eszközt, vagy éppen távolról töröljék a hozzáférését egy incidenst követően. A BYOD-házirendet alkalmazó szervezetek számára azonban nagyobb kihívást jelent a biztonság javítása az eszközök megbízhatóságának megteremtésével. Mi van, ha az eszköz egy külsős vállalkozóé, akivel együttműködünk egy projektben? Ráadásul hogyan kezeljük saját alkalmazottaink személyes eszközeit?
A DILEMMA
Ha a hozzáférést igénylő eszköz nem vállalati tulajdonban van, tehát nem menedzselt végpont, esetleg a tulajdonos nem akarja, hogy telepítsük a cég felügyeleti szoftverét az eszközére, akkor alapvetően nem engedjük be a hálózatunkba, nem adunk hozzáférést az alkalmazásokhoz. De ha az adott vállalkozónak/alkalmazottnak hozzáférésre van szüksége a hálózaton található alkalmazásokhoz és adatokhoz, értelemszerűen azt szeretnénk, hogy az eszköz egészséges és megbízható állapotban legyen, mielőtt hozzáférést kapna a hálózatunkhoz. Hogyan lehet áthidalni ezt a problémát?
Legyen az egészség az eszközbizalom alapelve
A vállalati informatikában évekig úgy gondolták, hogy amikor a felhasználó a saját személyazonosságát igazolja, onnantól őt belsősnek, igazolt felhasználónak tekintik, és ez a módszer kielégítő. Bárkiben, aki igazolta magát megbíztak, és hozzáférhetett mindenhez, amit a hálózat kínált. Kevés figyelmet fordítottak azonban a hozzáférési eszközre és annak egészségi állapotára.
Ha a kiberbűnözők rosszindulatú programokat tudtak telepíteni egy végpontra, akkor fennállt annak az esélye, hogy a fertőzött eszköz észrevétlenül haladhatott át, miután a felhasználó személyazonosságát ellenőrizték.
Ez, az úgynevezett „kastély-árok” modell olyan nagy horderejű adatszivárgásokhoz vezetett, amelyek az érintett vállalatoknak milliós anyagi és hírnévi károkat okoztak. Ma, a ZeroTrust világában már tudjuk, hogy a felhasználóba vetett bizalom nem elég. Függetlenül attól, hogy nem felügyelt BYOD-végpontokról vagy cég által kiadott, felügyelt eszközökről van szó, elengedhetetlen, hogy figyelembe vegyük a hálózati alkalmazások eléréséhez használt eszközbe vetett bizalmat. És ennek a bizalomnak a kulcsfontosságú eleme az eszköz állapota.
A Duo Device Health, a megbízható megoldás
Tehát mitől „egészséges” egy készülék? Létezik egy sor ajánlott ellenőrzést, amelyet figyelembe kell venni a hozzáférésbiztonsági szabályzat létrehozásakor. A Duo-felhasználók esetében az ellenőrzések állapotára vonatkozó információkat a hitelesítéskor a végponton futó Duo Device Health alkalmazás (DHA) gyűjti össze.
Az eszköz egészségi állapotának ellenőrzése mellett a DHA adatokat gyűjt az eszköz kezelési állapotáról is. Konkrétan szerepel-e egy támogatott vállalatirányítási rendszerben, mint például a Microsoft Intune-ban vagy a Cisco Meraki Systems Managerben? Ha igen, akkor tudjuk azt is, hogy a vállalat regisztrált eszköze.
Hogyan segíti Device Health a BYOD eszközök kezelését?
Térjünk vissza egy percre külsős partnereink, illetve a BYOD eszközökkel rendelkező munkatársainkhoz. Bár előfordulhat, hogy elzárkóznak a felügyeleti szoftverek telepítésétől, a Device Health alkalmazás egy olyan kisalkalmazás, amely sokkal kevésbé tolakodó és ellenőrző, mint az eszközkezelő alkalmazások. A felhasználók gyorsan és egyszerűen telepíthetik informatikai segítség nélkül.
A telepítést követően a Device Health alkalmazás egyedi eszközazonosítókat gyűjt a hitelesítés során, és összehasonlítja azokat a Duo által tárolt ismert eszközök listájával. Ha ezeket az eszközazonosítókat a rendszer felismeri, az azt jelenti, hogy megbízunk az eszközben. Ez a Duo Beyond Duo Trusted Endpoints funkciójának része, amely védi az érzékeny alkalmazásokat azáltal, hogy csak az ismert eszközök férhetnek hozzá a Duo által védett szolgáltatásokhoz.
És itt válik a DHA érdekessé a nem felügyelt eszközök számára. A szervezetek használhatják a DHA-t, hogy kiterjesszék az eszközbizalmat.
A Device Health alkalmazáson alapuló manuális integrációs funkció lehetővé teszi a rendszergazdák számára a macOS, Windows és Linux végpontok kezelését, amelyek nincsenek bejegyezve egy felügyeleti rendszerbe. Egyszerűen csak hozzáadják a megbízható eszközök listájához külsős partnerek és az alkalmazottak BYOD eszközeit. Ha egy nem felügyelt eszköz felkerül a listára, az ugyanúgy megbízhatónak minősül, mint az eszközkezelőbe regisztrált eszközök.
A funkció az egészségi állapot ellenőrzésén túl további előnyöket is. Az adminisztrátorok beállíthatnak megbízhatóságlejárati dátumot, amely tökéletes rövid távú és szezonális munkavégzés esetén. CSV-fájl segítségével egyénileg vagy csoportosan adhatnak hozzá eszközöket. Az információk szerkeszthetők, kiegészítő leírások adhatók hozzá, és az eszközök teljesen eltávolíthatók a Duo Admin panelen keresztül. Végső soron a rendszergazdák a Device Health alkalmazást használhatják megoldásként a BYOD biztonsági szabályzatokba való beillesztésére.
Valóban meg lehet bízni a nem felügyelt eszközökben?
Az eszköz megbízhatóság megállapítása bonyolult, soktényezős megközelítés igényel. Tudjuk, hogy az alkalmazottak és bizonyos esetekben külsős partnerek is eszközeikkel hozzá kell férniük a hálózati erőforrásokhoz. Azt is tudjuk, hogy milyen fontos minden eszköz egészségi állapotát megállapítani a hozzáférés megadása előtt. De szükséges-e az eszközön telepített MDM, hogy megbízhatónak minősüljön?
Nem is olyan régen még igent mondtunk volna. De most a Duo megbízható végpontokhoz való manuális integrációs funkciójával van egy alternatíva. Bármely nem felügyelt eszközt megbízhatónak nyilváníthatsz, ha felveszed a szervezete megbízható eszközök testreszabott listájára.
Ez természetesen nem fogja megoldani azt a problémát, ha valaki egy 3-4 éves, frissítettlen telefonnal, vagy régóta nem támogatott laptoppal próbál belépni. Az eszköz egészsége ugyanis a frissítésektől is függ, nem csak a biztonsági beállításoktól. Ennek okán fontos megjegyezni, hogy olyan eszközök a DHA-val sem lesznek képesek belépni a hálózatunkra, amik nem felelnek meg a biztonsági előírásoknak.
ÖSSZEFOGLALÁS
A DUO Device Health alkalmazása természetesen csak egy része a DUO teljes alkalmazásnak, ezért a megoldás sok más szolgáltatást tud nyújtani a végponti eszközök posture ellenőrzésén kívül is. Hogy mennyire lehet ez hasznos, mindenki döntse le maga. Az alkalmazás 30 napig díjmentesen tesztelhető saját környezetben.