Bezpieczeństwo danych w pracy zdalnej w dużych zespołach pracowniczych
Wybuch pandemii COVID-19 na początku roku 2020 radykalnie zmienił warunki prowadzenia biznesu na całym świecie. Wiele firm musiało przestawić się na pracę on-line w bardzo krótkim czasie. Kiedy znikła możliwość organizacji spotkań face to face czy robienia zakupów w sklepach i galeriach handlowych, życie przeniosło się do Internetu. Wywołało to dramatyczny wzrost transferu danych, który był doskonale widoczny na platformie Akamai Edge obsługującej blisko 30% całego światowego ruchu w Internecie. W szczycie transfer był na poziomie ok. 16 Tb/s. To było tsunami danych – praktycznie w ciągu dwóch tygodni, na przełomie marca i kwietnia ubiegłego roku, kiedy wybuchła pandemia COVID-19, przepłynęło ich tyle, ile w roku poprzedzającym.
BEZPIECZEŃSTWO DANYCH W PRACY ZDALNEJ
Cyberbezpieczeństwo w pracy zdalnej – bezpieczne warunki pracy w domu
Epidemia dotknęła praktycznie wszystkich, choć w różnym stopniu. Firmy, które do tej pory łagodnie przechodziły transformację cyfrową, nagle zostały zmuszone do radykalnego przyśpieszenia działań z powodu konieczności wykonywania pracy zdalnej i obowiązków służbowych na odległość, bez względu na ograniczenia, budżety i plany. W takich okolicznościach u jednego z największych przewoźników kolejowych, którego właścicielem jest Skarb Państwa, Akamai zrealizowało bardzo ciekawy projekt, który miał na celu zadbanie o bezpieczeństwo danych podczas pracy zdalnej – zapewnienie bezpieczeństwa informacji i ochrony danych służbowych. Zadanie było absolutnie niebanalne i niespotykane – należało w jak najkrótszym czasie zapewnić optymalne i bezpieczne warunki do pracy zdalnej całemu zespołowi liczącemu ponad 30 tys. pracowników.
Nie tylko liczba użytkowników była w tej sytuacji wyzwaniem – szukając rozwiązania, trzeba było uwzględnić szalenie złożone i skomplikowane środowisko informatyczne z różnego typu firmowymi laptopami i komputerami stacjonarnymi jak i prywatnym sprzętem pracowników, z różnymi systemami operacyjnymi, także z tymi starszymi z lukami w zakresie zabezpieczeń i ochrony danych. Do tego dochodziło olbrzymie rozproszenie terytorialne. Od Akamai oczekiwano także rozwiązania problemu cyberbezpieczeństwa infrastruktury IT, szczególnie związanego z dostępem do aplikacji, ochroną przed atakami DDos i atakom na warstwę trzecią, czwartą i siódmą. Czasu do organizacji i wykonania projektu było bardzo mało.
Bezpieczeństwo danych, systemów i aplikacji na home office
Do presji czasu dołączył się także silny nacisk, aby zaproponowane rozwiązanie dotyczące bezpieczeństwa danych w pracy zdalnej było na tyle proste, że każdy pracownik bez zaawansowanych możliwości i umiejętności obsługi komputera w krótkim czasie będzie je w stanie opanować. Był to oczywisty wymóg podyktowany koniecznością zachowania ciągłości działania firmy przy pracy zdalnej i optymalnej realizacji procesów biznesowych. Konsekwencją tych wymagań było także zapewnienie wsparcia technicznego tak, aby było ono dostępne stale, na miejscu i było na tyle komunikatywne, aby nawiązać porozumienie z każdym użytkownikiem końcowym.
Jednak najważniejszym, kluczowym warunkiem do spełnienia przez Akamai było zachowanie bezpieczeństwa danych, systemów i aplikacji. Tak już na dodatek, klient oczekiwał przedstawienia referencji zaproponowanego rozwiązania z zakresu zabezpieczeń, najlepiej sprzed kilku miesięcy. Tak nakreślone wymagania doskonale pokazują, dlaczego to zadanie było tak karkołomne.
Pełne bezpieczeństwo pracy zdalnej z Business Continuity Assistance
Akamai zaproponowało jako zabezpieczenie program Business Continuity Assistance zawierający darmowe wdrożenie dowolnych produktów Akamai klasy Enterprise z pełnym wsparciem technicznym, doradztwem i serwisem. Tego typu programy miały już kilkadziesiąt wdrożeń na całym świecie, niektóre z nich zostały uruchomione w ciągu zaledwie kilku godzin, umożliwiając nieprzerwaną i niczym niezakłóconą pracę zespołom pracowników. Z tej klasy rozwiązań korzysta także jeden z większych dostawców gazu w Europie, ale też amerykański producent aut elektrycznych, który także nieźle sobie radzi w przemyśle kosmicznym. Na polskim rynku z Business Continuity Assistance skorzystały trzy instytucje publiczne. W sumie oznaczało to, że firma dysponowała kompetentnym zespołem konsultantów o najwyższych kwalifikacjach, a rozwiązania programowe zapewniały optymalny poziom bezpieczeństwa i wydajności podczas wykonywania przez pracowników obowiązków służbowych na home office.
Realizując projekt dla przewoźnika kolejowego z 30 tys. pracowników zdalnych, zastosowano podejście Zero Trust, w którym dostęp do danych i dane użytkownika są centralną, najbardziej chronioną częścią całego systemu. W istocie rozwiązanie problemu sprowadzało się do udzielenia odpowiedzi na pytanie, jak przenieść ogromną liczbę użytkowników ze środowiska w pełni kontrolowanego, z rozwiniętą konfiguracją polityki bezpieczeństwa, ze środowiska zaufanego do świata heterogenicznego i rozproszonego, gdzie każdy pracownik podczas pracy zdalnej może się łączyć z innej sieci, z innego miejsca?
Co prawda klient dysponował bardzo zaawansowanym rozwiązaniem bazującym na dostępie przez VPN, ale jego wykorzystanie wymagało ogromnych zasobów i dużego nakładu pracy, aby wszystkim użytkownikom bezpiecznie udostępnić odpowiednie dane i firmową sieć. Gdyby chcieć zapewnić ten sam poziom user experience, komfort i wygodę pracy, jak w biurze, przy zachowaniu skalowalności, byłoby to rozwiązanie bardzo czasochłonne, a czasu na realizację praktycznie nie było.
Ciągłość działania infrastruktury IT z Akamai
Akamai zaproponowało sposób, który rzeczywiście pozwolił użytkownikom uniezależnić się od biura na rzecz wykonywania pracy zdalnej, a od strony technicznej był on pozbawiony wad dostępu wyłącznie przez VPN. Cała konstrukcja oparta została na trzech solidnych filarach.
Pierwszy z nich to platforma Akamai Edge zbudowana z ponad 330 tys. rozproszonych równomiernie po całym świecie serwerów. W Polsce jest ich ponad tysiąc w jedenastu lokalizacjach i dwudziestu centrach danych. Zapewnia ona zdalny i bezpieczny dostęp do aplikacji dla wszystkich użytkowników. Dzięki swojej wydajności jest to środowisko w pełni skalowalne i wydajne.
Drugi filar to systemy Akamai, których zadaniem było zapewnienie bezpieczeństwa aplikacji dostępnych na zewnątrz, a do których użytkownicy nie musieli mieć zdalnego dostępu. Trzeci filar kompletnego rozwiązania dotyczył zabezpieczenia urządzeń użytkowników przed atakami typu malware, pishing, czy zagrożeniami ransomware.
Rozwiązania dla zabezpieczenia danych podczas pracy zdalnej
Całe wdrożenie musiało zostać zrealizowane w sposób jak najmniej inwazyjny, bez radykalnych zmian tak w centrum danych, jak i w infrastrukturze IT klienta. Ten wymóg udało się zrealizować za pośrednictwem zdalnego dostępu w warstwie aplikacyjnej. Nie wymagało to zmian ani w sieciowej polityce bezpieczeństwa, ani w konfiguracji firewalla, bo akceptowane były jedynie połączenia wychodzące z serwerów Akamai. To one zostały punktem styku pomiędzy siecią wewnętrzną a użytkownikami z ich przeglądarkami internetowymi i aplikacjami klienckimi dającymi dostęp do systemów biznesowych. Sposób autoryzacji i autentykacji użytkowników był taki, że mogli oni nadal korzystać z usług takich, jak Active Directory, a to za sprawą systemów Akamai Identity Provider oraz Multifactor Authentication. Wystarczyło kilka kliknięć, aby skonfigurować szkielet rozwiązania, sprawdzić jego działanie, zademonstrować decydentom, a potem wykonać on-boarding dla wszystkich użytkowników.
Ochrona urządzeń końcowych użytkowników została zrealizowana na bazie rekursywnego serwera DNS Akamai. Zamiast tego, który jest w organizacji, platforma Edge przejęła obowiązki filtrowania, kategoryzacji i sprawdzania ruchu kierowanego do klienta. Dzięki olbrzymiej bazie danych o charakterze ruchu w jednej trzeciej całego internetu Akamai zbudowało własne narzędzia, wpierane algorytmami uczenia maszynowego i sztucznej inteligencji, do sprawdzania, które strony są podejrzane, które niebezpieczne, do kategoryzowania adresów URL oraz do inspekcji payloadu. Pozwala to na pełne zabezpieczenie przed jakimikolwiek zagrożeniami na dowolnych urządzeniach końcowych użytkowników. Słowem, wszystko przechodzi przez maszyny Akamai, a one decydują i filtrują, co może zostać skierowane do sieci klienta.
Ochrona aplikacji webowych przed atakami
W ostatniej fazie wdrożenia uruchomiono ochronę aplikacji webowych wystawionych na zewnątrz, a do których nie trzeba się logować przez infrastrukturę. Systemy Akamai chronią przed atakami na samą aplikację, na interfejsy API oraz na samo Data Center. Integracja rozwiązań polegała na zamianie serwerów DNS i przekierowaniu całego ruchu na maszyny Akamai, gdzie inteligentne algorytmy i polityka bezpieczeństwa z dużą wydajnością chroniła wskazane aplikacje.
Akamai w ciągu kilku dni było w stanie przygotować tak dużą organizację do wykonywania pracy zdalnej, przy zachowaniu wydajności i zapewnieniu najwyższego poziomu bezpieczeństwa podczas home office i ochrony danych oraz użytkowników. Gdzie zatem tkwi tajemnica?
Zabezpieczenia techniczne i skuteczna ochrona danych
Odpowiedź jest jak zwykle prosta: to ludzie wyposażeni w odpowiednie narzędzia. Akamai udało się zbudować zespół bardzo kompetentnych inżynierów i programistów, z dużym doświadczeniem, ale i zapałem do odkrywania nowego. To dzięki nim udaje się prowadzić projekty o takim wysokim stopniu złożoności i skali, jak u naszego przewoźnika kolejowego. Wspomniane narzędzie to silnik Security zbudowany w całości przez Akamai, będący chyba najcenniejszym aktywem firmy. Cały ruch przechodzący przez ich serwery i to, co się z tym ruchem dzieje, zasila danymi silnik Security, a z niego czerpią informacje pozostałe aplikacje Akamai.
Przy realizacji projektu w Polsce zapewniającego bezpieczeństwo danych podczas pracy zdalnej doskonale spisał się lokalny oddział firmy z siedzibą w Krakowie, gdzie działa także jedno z pięciu na świecie Security Operation Center (SOC). Cały zespół inżynierów, deweloperów, działy R&D, menedżerowie projektów liczy łącznie ponad 700 osób. To oni właśnie zapewniali stałe wsparcie techniczne. Warto także pamiętać, że Akamai dostarcza kompletne i kompleksowe rozwiązania bezpieczeństwa end-to-end, od warstwy infrastruktury, przez DNS aż do warstwy aplikacyjnej. Dostępne są także systemy poprawiające wydajność serwisów webowych, wszystko w całości lub we fragmentach dostosowanych do konkretnych potrzeb klienta. Jakość tych rozwiązań dla cyberbezpieczeństwo danych, systemów i aplikacji, ich znaczenie i rolę we współczesnym biznesie podkreślają niezależne raporty Forrester Research, czy Gartner Group dotyczące takich rozwiązań, jak Web Application Fierwall, ekosystemów Zero Trust, czy też rozwiązań do zarządzania ruchem botów lub ochrony przed atakami DDos.
