LEHETNEK A BYOD-K BIZTONSÁGOSAK?

Bővítsd ki a BYOD biztonsági szabályzatot, és kezeld a nem felügyelt eszközöket a Duo Device Trust segítségével!
MIRŐL LESZ SZÓ A BLOGBAN?

Eszközbizalom, eszközegészség, DUO Beyond, DUO Device Health (DHA)

A vállalati tulajdonú eszközök megbízhatóságának meghatározása általában egyszerű feladat. Telepítünk egy mobileszköz-kezelő (MDM) eszközt, majd olyan biztonsági házirendeket alkalmazunk, amelyek lehetővé teszik az IT- és a SecOps-csapatok számára, hogy megvédjék az eszközt, vagy éppen távolról töröljék a hozzáférését egy incidenst követően. A BYOD-házirendet alkalmazó szervezetek számára azonban nagyobb kihívást jelent a biztonság javítása az eszközök megbízhatóságának megteremtésével. Mi van, ha az eszköz egy külsős vállalkozóé, akivel együttműködünk egy projektben? Ráadásul hogyan kezeljük saját alkalmazottaink személyes eszközeit?

A DILEMMA

Ha a hozzáférést igénylő eszköz nem vállalati tulajdonban van, tehát nem menedzselt végpont, esetleg a tulajdonos nem akarja, hogy telepítsük a cég felügyeleti szoftverét az eszközére, akkor alapvetően nem engedjük be a hálózatunkba, nem adunk hozzáférést az alkalmazásokhoz. De ha az adott vállalkozónak/alkalmazottnak hozzáférésre van szüksége a hálózaton található alkalmazásokhoz és adatokhoz, értelemszerűen azt szeretnénk, hogy az eszköz egészséges és megbízható állapotban legyen, mielőtt hozzáférést kapna a hálózatunkhoz. Hogyan lehet áthidalni ezt a problémát?

Legyen az egészség az eszközbizalom alapelve

A vállalati informatikában évekig úgy gondolták, hogy amikor a felhasználó a saját személyazonosságát igazolja, onnantól őt belsősnek, igazolt felhasználónak tekintik, és ez a módszer kielégítő. Bárkiben, aki igazolta magát megbíztak, és hozzáférhetett mindenhez, amit a hálózat kínált. Kevés figyelmet fordítottak azonban a hozzáférési eszközre és annak egészségi állapotára.

 

Ha a kiberbűnözők rosszindulatú programokat tudtak telepíteni egy végpontra, akkor fennállt annak az esélye, hogy a fertőzött eszköz észrevétlenül haladhatott át, miután a felhasználó személyazonosságát ellenőrizték.

 

Ez, az úgynevezett „kastély-árok” modell olyan nagy horderejű adatszivárgásokhoz vezetett, amelyek az érintett vállalatoknak milliós anyagi és hírnévi károkat okoztak. Ma, a ZeroTrust világában már tudjuk, hogy a felhasználóba vetett bizalom nem elég. Függetlenül attól, hogy nem felügyelt BYOD-végpontokról vagy cég által kiadott, felügyelt eszközökről van szó, elengedhetetlen, hogy figyelembe vegyük a hálózati alkalmazások eléréséhez használt eszközbe vetett bizalmat. És ennek a bizalomnak a kulcsfontosságú eleme az eszköz állapota.

A Duo Device Health, a megbízható megoldás

DUO Device Health - Check

Tehát mitől „egészséges” egy készülék? Létezik egy sor ajánlott ellenőrzést, amelyet figyelembe kell venni a hozzáférésbiztonsági szabályzat létrehozásakor. A Duo-felhasználók esetében az ellenőrzések állapotára vonatkozó információkat a hitelesítéskor a végponton futó Duo Device Health alkalmazás (DHA) gyűjti össze.

Az eszköz egészségi állapotának ellenőrzése mellett a DHA adatokat gyűjt az eszköz kezelési állapotáról is. Konkrétan szerepel-e egy támogatott vállalatirányítási rendszerben, mint például a Microsoft Intune-ban vagy a Cisco Meraki Systems Managerben? Ha igen, akkor tudjuk azt is, hogy a vállalat regisztrált eszköze.

Hogyan segíti Device Health a BYOD eszközök kezelését?

Térjünk vissza egy percre külsős partnereink, illetve a BYOD eszközökkel rendelkező munkatársainkhoz. Bár előfordulhat, hogy elzárkóznak a felügyeleti szoftverek telepítésétől, a Device Health alkalmazás egy olyan kisalkalmazás, amely sokkal kevésbé tolakodó és ellenőrző, mint az eszközkezelő alkalmazások. A felhasználók gyorsan és egyszerűen telepíthetik informatikai segítség nélkül.

A telepítést követően a Device Health alkalmazás egyedi eszközazonosítókat gyűjt a hitelesítés során, és összehasonlítja azokat a Duo által tárolt ismert eszközök listájával. Ha ezeket az eszközazonosítókat a rendszer felismeri, az azt jelenti, hogy megbízunk az eszközben. Ez a Duo Beyond Duo Trusted Endpoints funkciójának része, amely védi az érzékeny alkalmazásokat azáltal, hogy csak az ismert eszközök férhetnek hozzá a Duo által védett szolgáltatásokhoz.

És itt válik a DHA érdekessé a nem felügyelt eszközök számára. A szervezetek használhatják a DHA-t, hogy kiterjesszék az eszközbizalmat.

DUO Device Health - Add_Trusted_Devices_Window

A Device Health alkalmazáson alapuló manuális integrációs funkció lehetővé teszi a rendszergazdák számára a macOS, Windows és Linux végpontok kezelését, amelyek nincsenek bejegyezve egy felügyeleti rendszerbe. Egyszerűen csak hozzáadják a megbízható eszközök listájához külsős partnerek és az alkalmazottak BYOD eszközeit. Ha egy nem felügyelt eszköz felkerül a listára, az ugyanúgy megbízhatónak minősül, mint az eszközkezelőbe regisztrált eszközök.

A funkció az egészségi állapot ellenőrzésén túl további előnyöket is. Az adminisztrátorok beállíthatnak megbízhatóságlejárati dátumot, amely tökéletes rövid távú és szezonális munkavégzés esetén. CSV-fájl segítségével egyénileg vagy csoportosan adhatnak hozzá eszközöket. Az információk szerkeszthetők, kiegészítő leírások adhatók hozzá, és az eszközök teljesen eltávolíthatók a Duo Admin panelen keresztül. Végső soron a rendszergazdák a Device Health alkalmazást használhatják megoldásként a BYOD biztonsági szabályzatokba való beillesztésére.

Valóban meg lehet bízni a nem felügyelt eszközökben?

Az eszköz megbízhatóság megállapítása bonyolult, soktényezős megközelítés igényel. Tudjuk, hogy az alkalmazottak és bizonyos esetekben külsős partnerek is eszközeikkel hozzá kell férniük a hálózati erőforrásokhoz. Azt is tudjuk, hogy milyen fontos minden eszköz egészségi állapotát megállapítani a hozzáférés megadása előtt. De szükséges-e az eszközön telepített MDM, hogy megbízhatónak minősüljön?

Nem is olyan régen még igent mondtunk volna. De most a Duo megbízható végpontokhoz való manuális integrációs funkciójával van egy alternatíva. Bármely nem felügyelt eszközt megbízhatónak nyilváníthatsz, ha felveszed a szervezete megbízható eszközök testreszabott listájára.

Ez természetesen nem fogja megoldani azt a problémát, ha valaki egy 3-4 éves, frissítettlen telefonnal, vagy régóta nem támogatott laptoppal próbál belépni. Az eszköz egészsége ugyanis a frissítésektől is függ, nem csak a biztonsági beállításoktól. Ennek okán fontos megjegyezni, hogy olyan eszközök a DHA-val sem lesznek képesek belépni a hálózatunkra, amik nem felelnek meg a biztonsági előírásoknak.

ÖSSZEFOGLALÁS

A DUO Device Health alkalmazása természetesen csak egy része a DUO teljes alkalmazásnak, ezért a megoldás sok más szolgáltatást tud nyújtani a végponti eszközök posture ellenőrzésén kívül is. Hogy mennyire lehet ez hasznos, mindenki döntse le maga. Az alkalmazás 30 napig díjmentesen tesztelhető saját környezetben.

KÉRJ SZAKMAI KONZULTÁCIÓT SZAKÉRTŐINKTŐL!

Szaktanácsadással segítjük infrastruktúrafejlesztési döntéseidet. Informatikus mérnökeink évtizedes tapasztalattal várják elképzeléseidet. Garantáljuk, hogy csak és kizárólag megbízható, élvonalbeli technológiákat javasolunk. Megoldásunkkal Te is költséghatékonyan üzemeltetheted informatikai infrastruktúrád.

OLVASS TOVÁBB!

SZAKMAI BLOGUNK

SYSWIND - STRUCCPOLITIKA
Kiberbiztonság

A STRUCCPOLITIKA TÉGED IS MEGVÉD?

A 2024 kibervédelmi kampányunkban megpróbáltunk elérni 1000 hazai céget, és többek között felajánlani nekik díjmentes adathalászati szimulációt. Meglepő eredményre jutottunk.

ELOLVASOM »