גישה מרחוק: VPN ומוות המשרד

היקף המשרד מת - יחי הגישה הממוקדת זהות (ברוך הבא לפנופטיקון, מהדורת עובד מרחוק)

כלום לא נכון. הכל מותר. המשרד אופציונלי. עבודה מרחוק קבועה. מודלי אבטחה הבנויים על היקפים פיזיים לא עובדים כשכולם עובדים מהבית (או בתי קפה, או שדות תעופה, או לובי מלון Marriott עם WiFi ציבורי עם אבטחה מקולקלת). FNORD. ראה בבירור: ההיקף הפיזי תמיד היה אשליה. עבודה מרחוק רק הפכה את האשליה לברורה.

חשוב בעצמך, טיפש! הטל ספק בסמכות. תהה למה החברה הקודמת שלך הכריחה אותך להיות במשרד כדי לגשת למערכות שאתה יכול לגשת אליהן באותה קלות (ובצורה מאובטחת יותר) מהבית עם VPN הגון ו-MFA למכשירים. מודל אבטחה מבוסס היקף הוא הליכת קארגו אבטחה - אין לו טעם טכני, זה רק תיאטרון ניהולי להצדיק שכירות משרד וראיית ניהול של עובדים. אפס אמון אומר לא לבטוח ברשת - לבטוח בזהות.

ב-Hack23, מדיניות הגישה מרחוק שלנו מכירה במציאות: כולם עובדים מרחוק, תמיד (גם כשהם "במשרד" - זה רק עוד מקום לעבודה מרחוק עם WiFi מעט יותר טוב). המדיניות שלנו בנויה על ארכיטקטורת אפס אמון (הנח הפרה, אמת הכל, לעולם אל תבטח רק במיקום רשת), MFA חובה (מכשירים, לא SMS - זה לא 2010), AWS Identity Center SSO (ניהול זהות מרוכז), וסקירות הרשאות רבעוניות (כי זחילת הרשאות יותר צפויה מחוק מרפי).

הארה: אבטחה מבוססת היקף מניחה שבתוך הרשת = בטוח. זה שקר. הפרות תמיד מבפנים - או תוקפים שנכנסו, או עובדים שנפרצו, או חשבונות שירות שנשכחו מ-2015 שאיש עדיין לא משתמש בהם. אפס אמון מתייחס לכל הרשת כעוינת. ראה את העולם כאויב שמתגלה בבירור. ברוך הבא ל-Chapel Perilous, שם פרנויה היא אסטרטגיה, לא תסמין.

הגישה שלנו: אנחנו מניחים הפרה (כי זה כבר קרה, רק עדיין לא גילית). אנחנו מאמתים זהות (MFA, תמיד). אנחנו אוכפים גישה בהרשאה מינימלית (הרשאות ברירת מחדל = אפס). אנחנו סוקרים הרשאות רבעונית (זחילת הרשאות אמיתית). אנחנו מיישמים פסקי זמן של סשן בהתבסס על סיווג נתונים (1-24 שעות לפי רגישות). פרטים טכניים מלאים במדיניות בקרת הגישה הציבורית שלנו.

צריך הדרכה מקצועית על אפס אמון? גלה את שירותי Hack23 הנתמכים ביישום אמיתי, לא PowerPoints ייעוץ.

חמש בקרות גישה מרחוק (אפס אמון בלי הבולשיט)

1. 🔐 MFA מכשירים חובה (מכשירים, לא SMS)

מכשירי YubiKey או Titan. אין SMS. אין MFA במייל. רק מכשירים. למה? SMS ניתן ליירוט. מייל ניתן לפריצה. מכשירים עמידים לפישינג. אם איבדת את ה-YubiKey שלך, יש לך גיבוי (מאוחסן בבטחה). אם איבדת את שניהם, יש לנו תהליך שחזור (כולל אימות זהות, לא שיחת טלפון קלה).

MFA מכשירים = חיכוך. חיכוך = אבטחה. משתמשים שמתלוננים על "אי נוחות" הם אותם משתמשים שילחצו על קישורי פישינג כש-MFA קל מדי.

2. 🎫 AWS Identity Center SSO (גישה מרוכזת)

זהות אחת. כניסה אחת. ניהול מאוחד. כל המערכות דרך AWS Identity Center. אין שמות משתמש/סיסמאות נפרדות. אין סיסמאות מאוחסנות מקומית (בסדר, אתה משתמש במנהל סיסמאות, אבל Identity Center מטפל באימות בפועל). השעייה אחת, גישה חסומה לכל דבר. סקירה אחת, תמונה מלאה של הרשאות על פני כל המערכות.

SSO מאוחד לא על נוחות - זה על ראות. כשמשתמש עושה משהו רע, אתה צריך לדעת איפה יש לו גישה. אי אפשר לסקור מה שאי אפשר לראות.

3. 🕒 פסקי זמן סשן מבוססי סיווג (1-24 שעות)

נתונים רגישים יותר = פסקי זמן קצרים יותר. מוגבל (24 שעות)? אמת מחדש יומי. סודי (8 שעות)? חצי יום. פנימי (4 שעות)? סשנים קצרים. ציבורי? אין פסק זמן (זה ציבורי בכל מקרה). בנוי על מסגרת סיווג נתונים. אבטחה פרופורציונלית להשפעה.

פסקי זמן סשן הם מס חיכוך מכוון. נתונים רגישים שווים אימות מחדש תכוף. משתמשים מעצבנים = אבטחה שעובדת.

4. 🔍 סקירת הרשאות רבעונית (הזחילה אמיתית)

כל 3 חודשים: סקור את כל ההרשאות. הסר מה שלא נחוץ עוד. זחילת הרשאות לא באג - זה מצב ברירת המחדל. משתמשים מקבלים הרשאות לפרויקטים. פרויקטים מסתיימים. הרשאות נשארות. אחרי שנה, לכולם יש גישה לכל דבר. סקירה רבעונית = ניקוי שיטתי. בעלי משאבים מאשרים מי צריך גישה. כל השאר מוסר.

סקירות הרשאות לא אופציונליות - זה היגיינת אבטחה. דלג על סקירה אחת, והזחילה מצטברת. דלג על ארבע, ויש לך עובד לשעבר עם גישה לפרודקשן.

5. 🌐 אפס אמון: הנח הפרה (תמיד)

אל תבטח ברשת. אל תבטח במיקום. בטח בזהות + מכשיר + הקשר. VPN מהבית = אותו חוסר אמון כמו WiFi בית קפה. שניהם לא מהימנים. שניהם דורשים MFA. שניהם מאמתים כל בקשה. אבטחה מבוססת היקף מתה - אבטחה מבוססת זהות שולטת. מיקום רשת לא רלוונטי. אימות, הרשאה, הרשאה - תמיד.

אפס אמון = פרנויה שיטתית. הנח כל רשת עוינת. הנח כל מכשיר נפרץ. הנח כל משתמש פגיע לפישינג. ואז בנה בקרות שעובדות בכל מקרה.

סיכום: אמץ את שאחרי המשרד (הפנופטיקון מבוזר עכשיו)

המשרד מת. עבודה מרחוק קבועה. אבטחה חייבת להסתגל.

אבטחה מבוססת היקף מניחה שמיקום רשת = אמון. זה מעולם לא היה נכון - זה רק היה נוח. עבודה מרחוק שברה את האשליה. אפס אמון הוא הכרה במציאות: רשתות לא מהימנות. זהויות ניתנות לאימות. מכשירים ניתנים לאישור. הקשר חשוב.

חמש בקרות גישה מרחוק: (1) MFA מכשירים חובה - מכשירים, לא SMS. (2) AWS Identity Center SSO - זהות אחת, כניסה אחת, ניהול מאוחד. (3) פסקי זמן סשן מבוססי סיווג - 1-24 שעות לפי רגישות. (4) סקירות הרשאות רבעוניות - מניעת זחילת הרשאות שיטתית. (5) אפס אמון - הנח הפרה, אמת הכל, לעולם אל תבטח ברשת.

האם אתה פרנואיד מספיק? המדיניות שלנו ציבורית. היישום שלנו מתועד. הסטנדרטים שלנו שקופים. אנחנו אומרים לך בדיוק איך אנחנו מאבטחים גישה מרחוק ולמה. עקוב אחרי המודל. העתק את הבקרות. תהנה לעבוד בארגון שיודע שהמשרד תמיד היה דמיון.

כל הכבוד לאריס! כל הכבוד לדיסקורדיה!
"חשוב בעצמך, טיפש! אם האבטחה שלך תלויה במשתמשים ברשת 'בטוחה', אין לך אבטחה - יש לך דת קרגו."
🍎 23 FNORD 5
— Hagbard Celine, קפטן Leif Erikson

גישה מרחוק: מוות היקף המשרד

🔐 גישה מרחוק: אפס אמון לעידן שאחרי המשרד