Máme hybridní prostředí s místními a MS 365 zdroji. Před COVIDEM většina uživatelů přistupovala k MS/Office 365 z kanceláře na firemní síti. Teď většina přistupuje přímo k MS 365 z domácích sítí (pomocí MS MFA) a pouze ti, kteří potřebují přístup k místním zdrojům, používají VPN. Moje otázka je - můžeme splnit požadavky na úroveň 3 CMMC ohledně vzdáleného přístupu, například sledování přístupových bodů, pomocí kombinace nebo budeme muset všechno směrovat přes naši firemní síť pomocí VPN?
Myslím, že ne—je to směšná požadavek. 800-171 odkazuje na 800-46 jako vodítko pro telepráci. Svět “RP” může říct “Ale to není v průvodci hodnocením”—ale to je problém průvodce hodnocením. Politika, 800-171 specificky odkazuje na 800-46 jako řešení těchto potřeb.
Například O365 by měl mít povolený FIPS validovaný TLS pro připojení ke svým zdrojům. Váš zařízení by mělo být nakonfigurováno pro TLS (FIPS validováno). Pro CUI je potřeba pouze jedna vrstva šifrování na ochranu dat při přenosu. Takže TLS na TLS splňuje požadavky.
Pokud byste se například připojovali ke sdílenému síťovému disku, potřebovali byste VPN pro bezpečné spojení se zdroji.
FIPS validované směrovače a FIPS validované VPN pro obecný přístup ke zdrojům zabezpečeným TLS jsou přeplácané, aby splnily požadavky.
Krátká odpověď - Pokud by to byl test, odpověď by byla ne. Mám pocit, že nejste ML-1, pokud máte přístup k datům přes internet.
Delší odpověď:
Přístup k CUI datům neprobíhá přes známou kontrolní cestu (AC). Je přímo na internetu a to je velký problém. Někdo by byl propuštěn a společnost by měla velké potíže. To by nebylo v rozsahu SSP. Pamatujte, že rozsah je všechno. To zdůrazňují ve školení a věnují tomuto tématu čas. Chcete udržet svůj cloud s CUI čistý. Každé zařízení musí být identifikováno. Prvním krokem je zakázat přístup k zařízení obsahujícímu CUI zvenčí. Přístup je možný pouze přes síťové cloudové prostředí společnosti (náčrt sítě). Dalším krokem je izolovat ho od ostatních zařízení. Jinak je v rozsahu domácí router a všechno mezi tím (internet od Boba nebo Alice). Všechno logováno? VPN všechny tyto body vyřadí z rozsahu, protože je ověřené, šifrované, logované a v rámci bezpečnostního plánu. To znamená, že máme záznam o vašem VPN, kdo jste, kdy jste se přihlásili, odhlásili, všechny tyto kontroly jsou splněny.
Co zařízení, které přistupuje k datům? Je toto bezpečné, nebo ho vlastní třeba Mr. Badguy? Co běží na tom zařízení? Řízení změn? Je aktualizované s patchemi? Zpráva o varování? To je problém v obou případech. Mělo by to být pouze pracovní zařízení, je?
O split tunelování - když se připojujete k VPN, je when je kontrola, zda je split tunelování vypnuté. Pokud se nepřipojujete přes VPN - kdo ví? Možná je zapnuté, možná ne. Pokud nemůžete ukázat, že je vypnuté, je to zjištění.
Alternativou VPN pro vzdálené pracovníky je vzdálený desktopový software, který umožňuje uživatelům připojit se ke svému pracovnímu počítači z rozptýleného místa a přistupovat k souborům a aplikacím, jako by byli fyzicky v kanceláři.
Další alternativou práce z domu je cloudová platforma pro sdílení souborů a spolupráci, která umožňuje vzdáleným pracovníkům přístup a práci na sdílených dokumentech a souborech odkudkoli s internetovým připojením.
Existují dvě praktiky CMMC ML3, které zakazují split tunneling u VPN, SC.3.184 a PE.3.136. Příslušná požadavek NIST 800-171 zakazující split-tunneling je sekce 3.13.7, kde stojí, že split tunneling “umožňuje neoprávněná externí připojení, čímž činí systém náchylnější k útokům a odcizení organizačních informací. Tento požadavek je implementován na vzdálených zařízeních”. To není nové pro CMMC, je to existující požadavek NIST 800-171.
Co činí split tunneling obecně užitečným, je to, že ne veškerý data putují přes zabezpečený VPN tunel, což umožňuje rychlejší přenos dat a (potenciálně) nižší náklady, ale samozřejmě s určitým rizikem i při správném nastavení. Pokud musí veškerý provoz procházet přes MS Azure nebo váš VPN servis, náklady na spojení mohou výrazně vzrůst. Není pochyb o tom, že je to bezpečnější, ale není to levné.
OK, ale nemluvím o split tunnelingu s VPN. Jasně, pokud bychom všechno nuceně přes VPN firmy, to by byl problém. Ale pokud uživatelé přejdou přímo na MS365 bez použití VPN, split tunneling by nemusel být problém, protože by se nedotýkal firemní sítě.
Omlouvám se, že jsem přímo neadresoval vaši otázku. Moje počáteční odpověď je relevantní pouze pokud používáte VPN řešení. Také se snažíme toto řešení najít pro naše zaměstnance v zahraničí, kteří nemohou použít fyzický RSA token nebo mobilní zařízení pro MFA.
Nedávno jsme se rozhodli použít produkt od společnosti Zscaler, jejich “Zscaler Internet Access (ZIA)” produkt. Nabízejí také VPN-like, zabezpečené připojení per-aplikace, ale nepředpokládám, že ho plánujeme používat. Nechci zde propagovat žádný produkt, ale něco jako produkty Zscaler by mohlo být vhodné zvážit.
ZIA a ZPA (další produkt, na který odkazujete) jsou řešení SASE, relativně nový termín a kategorie bezpečnostních řešení, kterou vymyslela Gartner, věřím. Zscaler dělá velmi dobrý (ale ne dokonalý) produkt, stejně jako Palo Alto Prisma a dokonce novější Fortinet v7.0. Obecně řešení SASE jsou vynikající volbou a podíl na trhu poroste, zvláště protože některé jsou akreditované v FedRAMP, například ZPA. Ti, kteří jsou FedRAMP, pokrývají požadavky FIPS a další.
Jedna věc, na kterou si dát pozor, je, že SASE řešení není záměrně VPN, což je většinou v pořádku, ale existují určitá použití, která nemusí fungovat. Protože laptop nebo mobilní zařízení používá síť, ale není připojeno k síti, je to jednosměrné spojení, což znamená, že nemá dostupnou IP adresu uvnitř sítě. To může být problém například pokud máte helpdesk, který se běžně vzdáleně připojuje ke laptopům (které jsou doma) pro řešení problémů.