28.04.2020 | 08:40

Adam Haertle

Jak prosto i bezpiecznie wpuścić dostawcę lub pracownika do sieci wewnętrznej

Kto, zarządzając firmowym dostępem zdalnym, nigdy nie pomyślał „dlaczego nie można tego zrobić prościej”, niech pierwszy rzuci kamieniem. Reszta może przeczytać artykuł i zapisać się na webinar, gdzie pokażemy, jak problemy zredukować.

Zarządzanie zdalnym dostępem nigdy nie było jednocześnie proste, przyjemne i bezpieczne. Z reguły procesy z nim związane są uciążliwe dla administratorów i użytkowników końcowych, a kontrolowanie, kto, kiedy i do czego ma dostęp, rzadko udaje się w 100%. Na szczęście tak być nie musi. Kilka dni temu poznaliśmy rozwiązanie Alero firmy CyberArk i faktycznie wygląda na to, że jego autorom udało się zredukować najczęściej spotykane problemy do poziomu, na którym przestają być uciążliwe. Czy można zarządzać zdalnym dostępem i wpuszczać do swojej sieci firmowej dostawców i pracowników bez VPN-ów, agentów na stacjach a nawet bez haseł? Okazuje się, że wystarczy dobry pomysł i jego wdrożenie. Opis poniżej, a zaproszenie na webinar tu:

Zaproszenie na webinar
5 maja (wtorek) o godzinie 20 najpierw Adam Haertle opowie o najciekawszych incydentach związanych ze zdalnym dostępem, a potem Marcin Paciorkowski, inżynier CyberArk, pokaże, jak można uprościć problemy leżące u podstaw incydentów. Zapraszamy do rejestracji!

Jak to działa

Rozwiązanie składa się z trzech elementów składowych:

  • komponentów wdrożonych w firmowej sieci lokalnej, a więc tej części rozwiązania (Alero Connector oraz moduły rozwiązania PAS, czyli Privileged Access Security), która będzie interfejsem do systemu zarządzania dostępem oraz będzie odpowiadała za zestawianie docelowej sesji z łączącym się klientem,
  • usługi w modelu Software as a Service obsługiwanej przez CyberArk,
  • urządzeń użytkownika, gdzie dzięki aplikacji mobilnej na smartfonie oraz przeglądarce WWW użytkownik może łączyć się z udostępnionymi mu wewnętrznymi systemami firmowymi.
Uproszczony schemat Alero

Podłączenie nowego użytkownika będzie wyglądało następująco:

  1. Właściciel biznesowy nadaje uprawnienia dostępu (pracownikowi, dostawcy lub innemu podmiotowi) z poziomu konsoli zarządzającej Alero.
  2. Zaproszony użytkownik rejestruje swoje urządzenie mobilne jako mechanizm uwierzytelniający (w oparciu o wbudowane czytniki biometryczne smartfona). Rejestracja realizowana jest w oparciu o numer telefonu i adres e-mail zapraszanego użytkownika.
  3. Użytkownik, chcąc dostać się do konkretnego zasobu, loguje się do usługi SaaS Alero (uwierzytelniając się za pomocą aplikacji mobilnej).
  4. Usługa Alero dokonuje przekierowania sesji użytkownika do wybranego zasobu w sieci wewnętrznej poprzez tunel zestawiony i utrzymywany przez konektor.
  5. Sesja użytkownika realizowana niemal dowolną aplikacją dostępową tunelowana jest w ramach połączenia HTTPS.

Główne zalety tego rozwiązania to:

  • brak konieczności dystrybucji i instalacji agenta VPN na stacjach zewnętrznych dostawców,
  • brak konieczności dystrybucji poświadczeń dostępowych dla zewnętrznych dostawców,
  • brak konieczności tworzenia kont dla zewnętrznych dostawców w systemie zarządzania tożsamościami ,
  • brak konieczności publikowania zasobów wewnętrznych do sieci publicznej,
  • wieloskładnikowe uwierzytelnienie,
  • pełna rozliczalność pracy zdalnych dostawców (system umożliwia rejestrację zdalnych sesji),
  • bezpieczeństwo i izolacja krytycznych zasobów – zdalny dostawca nie ma dostępu sieciowego do chronionych zasobów docelowych.

Macie uwagi lub pytania? To super, bo będzie okazja je zadać podczas webinaru, a Marcin Paciorkowski z CyberArk zna odpowiedzi (próbowaliśmy go zagiąć, ale się nie dał). Do zobaczenia 5 maja.

Dla pełnej przejrzystości: za przygotowanie i poprowadzenie naszej części webinara oraz zaproszenie was do udziału bierzemy pieniądze. Tak, z tego też się utrzymujemy.

Powrót

Komentarze

  • 2020.04.28 21:18 takisobiektos

    chciałem się zapisać, ale … po co tyle danych osobowych przy rejestracji? Nie wystarczy imię i email? Wiem, webinar nieodpłatny, ale coś mi się zdaje,że oprócz krótkiego wystąpienia Adama, będzie reklama jakieś komercyjnej usługi. A może się mylę? Chyba jednak zrezygnuję. Za dużo danych wymagają przy rejestracji.

    Odpowiedz
    • 2020.04.28 21:28 Wujek Pawel

      To chyba wynika z tekstu, ze zaprezentuja web vpna firmy cyberark. Ja nie jestem zainteresowany bo konfigurowalem cos takiego w poprzedniej firmie i srednio cale rozwiazanie dzialalo.

      Odpowiedz
      • 2020.04.29 09:50 Twój nick

        @Wujek Pawel Dlaczego srednio?

        Odpowiedz
      • 2020.05.01 20:16 Max

        Ciekawe gdzie wdrażałeś, bo rozwiązanie CyberArka jest na światowym rynku dopiero od kilku miesięcy, a w Polsce to praktycznie nowość. Działa świetnie i bezproblemowo. I nie, nie pracuje w CyberArku ani w Clico.

        Odpowiedz
    • 2020.04.29 03:38 Grubb0

      Rzeczywiście sporo danych. Bu. Trzeba bedzie jakąś lewizne zaaplikować :D

      Odpowiedz
    • 2020.04.29 11:54 Rafał

      I nie znalazłem informacji o odbiorcach danych…
      Czyżby Clico Sp. z o.o. nie miała podpisanych umów, np. na hosting?
      Czy naprawdę nikt poza Clico nie otrzyma moich danych, jeśli nie wyrażę zgody na „udostępnienie moich danych Partnerom konferencji celem otrzymania informacji handlowych w zakresie marketingu produktów i usług podmiotów trzecich”?

      Nie przysługuje mi też raczej prawo do sprzeciwu bo podstawą przetwarzania jest zgoda – art. 6 ust. 1 lit a) RODO.
      A prawo do sprzeciwu (art. 21 RODO) przysługuje, gdy dane są przetwarzane na podstawie art. 6 ust. 1 lit. e) lub f).

      Kolejny przykład klauzuli tworzonej „aby była”.

      Odpowiedz
  • 2020.05.04 08:57 Pistolero

    Wycofałem się z rejestracji po zobaczeniu formularza. Rozumiem, że biznes musi mieć leady skoro już wydał szekle na promocję, ale nie tędy droga – powinni przyciągać samym rozwiązaniem a nie telefonami od sprzedawców (bo na to się zanosi jeśli wymaganym polem jest telefon i firma)

    Odpowiedz
  • 2020.05.04 15:21 RAFAŁ

    Chętnie bym skorzystał ale formularz rejestracyjny solidnie mnie od tego odwiódł.
    Pozdrawiam.

    Odpowiedz
  • 2020.05.05 20:19 Tomasz

    „Fajny” formularz rejestracyjny. W dodatku po rejestracji tylko mail z linkiem, który odsyła do ponownej rejestracji. Dziękuję za taki produkt.

    Odpowiedz
  • 2021.06.20 20:39 Cyr4x

    Ja tam jednak wolę sprawdzony IPSec na MikroTiku.

    Odpowiedz

Zostaw odpowiedź do Cyr4x

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Jak prosto i bezpiecznie wpuścić dostawcę lub pracownika do sieci wewnętrznej

Komentarze