Zadání znělo na první pohled jednoduše, chceme to max. bezpečně …
Hned na začátku bylo jasné, že Alpha Associates (dále jen AA) vnímá oblast bezpečnosti jako zásadní. Ve Švýcarsku podléhá regulím Finma, které jsou poměrně striktní. Jdeme tedy na to, úvodní kick-off meeting za námi, plán připravený, licence zajištěné, zbývá to “jen” nasadit … 🙂
“Představa toho, že si něco jen koupím (HW,SW) a to mě zachrání od všeho zlého, je bohužel mimo.”
Výchozí stav IT
AA měla IT celkem v “cajku”, koneckonců musela. Každoroční audit vyžadoval mít vše minimálně formálně v pořádku.
Veškeré IT systémy si AA provozovala on-premise – Emaily, sdílení souborů, účetnictví, Dynamics CRM apod., Lync servery. V případě výpadků byla problematicky řešená vysoká dostupnost systémů. AA používala vždy technologie Microsoftu a byl to také jeden z požadavků, aby to tak i zůstalo.
Před bezpečnostním projekt již proběhly předchozí projekty, které měli cíl migrovat většinu běžných agend do M365.
LYNC infrastruktura – Migrace do cloud only Microsoft Teams + migrace pobočkové ústředny – direct routing u Swisscom.
FILESHARE – Migrace do Sharepoint Online + OneDrive
IDENTITY – Azure AD – Hybrid AzureAD join + on-premise AD
1. DATA PROTECT – Zálohy anebo To nejdůležitější co máte, jsou data
Začali jsme tedy kontrolou a způsobem záloh dat. Sjednotili jsme zálohovací technologie. Použili jsme řešení od Veeam – Veeam Backup & Replication. Licence si klient pronajímá na základě počtu zálohovaných virtuálů – onpremise/ uživatelů – cloud.
Používáme systém záloh 3-2-1 (blog). Kromě pravidelných denních záloh on-premise prostředí, zálohujeme i data na Microsoft cloudu. Opět produkty od Veeam – Veeam Backup for Microsoft Office 365. Veeam má i verze ZDARMA, které jsou pro mnoho malých firem dostačující. Uživatelé by neměli žádná data ukládat lokálně, ale pro jistotu se lokální data (plocha, dokumentu, atd.) “zálohují” do OneDrive.
2. USER PROTECT – HESLA
Školení, osvěta a pak začnou fungovat i technologie. Jedna věc je “utáhnout opasky”, ale druhá je realita. Neměli jsme v úmyslu cílový stav super-silných hesel, která se mění každé 3 měsíce, ale jsou napsaná v diáři uživatele nebo nalepené pod stolem ….. Uživatelé chápou základní pravidlo: Pro každou služby používám jiné silné heslo, pro uchovávání hesel používám password manager, který chráním multifactorem (SMS, aplikace)
Ve zkratce: Identity on-premise jsou “synchronizovány” s MS Cloudem. U všech systémů (i on-premise), kde to bylo možné se změnilo ověřování na cloudovou identitu. Máme tak ucelený přehled o aktivitě uživatelů – včetně možnosti jako je vyhodnocování sign-in risku.
3. USER & ADMIN PROTECT – PRIVILEGOVANÉ ÚČTY
Tady to bylo jednoduché, uživatelé nemají práva lokálních adminů, do budoucna máme v plánu nasadit PIM – Privileged Identity Management.
4. USER & SOCIAL PROTECT – ochrana před PHISHINGem
Základem bezpečnosti jsou téměř vždy uživatelé. Rozeznat většinu phishingu / útoků není složité, ale bylo třeba školení, které vysvětlilo, jak odhalit phishing včetně příkladů.
Musíte počítat s tím, že se občas někdo uklikne, řešením je zapnutí multifactorového ověřování popř. využití podmíněného přístupu.
V plánu máme využít možností Phishing attack simulátoru – jednoduše tak zjistíme, jestli to vaši uživatelé pochopili (Bohužel je třeba licencí M365 E5, ale lze použít např. https://getgophish.com/.
5. USER & PROTECT – mám pod kontrolou identity
Vypadá to jako banalita – tohle měl zákazník vyřešené. Uživatelé používají soukromé účty pro ukládání dat (Dropbox, OneDrive, atd.). Takže zakažte používání soukromých účtů pro firemní data !!! Když Vám uživatel odejde , tak mu zůstanou i firemní data … To nemluvím o situaci, když obyčejně zapomenete heslo a vy nemáte žádný způsob, jak ho resetovat …
6. DEVICE PROTECT – mám pod kontrolou zařízení svých uživatelů
Začíná trochu přituhovat. Tady už také jednoduché nebylo. Rozhodli jsme pro Intune – nově Microsoft Endpoint Manager. Pro PC s Win10 používáme automatický enrollment do Intune. Část politik zatím řídíme stále z Active Directory, ale postupně přicházíme na chuť cloudu. Důvod je jednoduchý – uživatelé nám pracují z domova a cloudový management funguje i bez VPN – prostě všude, kde jsou připojeni k internetu.
Pro mobilní zařízení jsem se zatím rozhodli pro podmíněný přístup s tzv. Application protection policies. Sice nemůžeme na dálku smazat celé zařízení, ale jsme schopni vynutit šifrování na úrovni aplikací, to samé platí i o bezpečnosti přístupu k aplikaci – můžeme vynutit heslo nebo biometrické ověření (otisk prstu, faceID). V neposlední řadě můžeme data spravovaných aplikací smazat.
7. DEVICE PROTECT – neaktuální verze operačních systémů, programů
Nic se nemá přehánět, ale provoz stanic s Windows XP a dlouhodobě neaktualizovaných serverů je problém. Nastavili jsme pravidla pro klientské a serverové operační systémy. Aktualizace stanic řídíme pře Intune, u on-premise serverů máme nastavená pravidla pro typy aktualizací a servisní okna, kdy může dojít k restartu serverů.
U aplikací je to na Windows platformě trochu slabší. Není centrální repositář pro aktualizaci programů. Můžete to dělat ručně třeba přes Intune, Group policy apod. ale pořád to bude příprava aktualizačních balíčků. Lokálně už nějaký čas používáme Chocolatey. Máme v plánu začít používat tuto technologii i v cloudu.
8. ADMIN PROTECT – mám pod kontrolou svoje ajťáky 🙂
Nedá se nic dělat. I tady je třeba mít pořádek. Není nic horšího než Váš admin se kterým se nepohodnete …
- Zákazník má “záložní” přístup do všech systémů – např. uložený v trezoru v zapečetěné obálce
- Všude, kde je to možné, jsou zapnuty audit logy
- Admin mají práva na základě least privilege modelu – né každý musí být domain a global admin
Uvažujeme o zavedení Privileged Identity Management. Tj. Admin práva budou pouze dočasná a budou podléhat schválení.
9. NETWORK PROTECT – zákazník má on-premise prostředí, takže tady to také chvilku trvalo
- Na ochranu perimetru jsme nasadili Next gen firewall Fortigate firewall – je spojený s datovým centrem IPSEC tunelem, provádíme aplikační inspekci
- Pro monitoring sítě, evidence SW&HW jsme zvolili Axence Nvision – do 10 agentů je možné ho použít ZDARMA.
- Wi-fi v kancelářích jede na ARUBA apečkách s virtuálním kontrolerem. Guest síť je izolovaná. Interní ověřování máme v plánu změnit na WPA3 nebo RADIUS.
- Provedli jsme segmentaci sítě. Interní tok dat monitorujeme Flowmonem.
#podnikani #kyberbezpecnost #phishing #prevence #hackeri #data #zalohy #hesla #M365E5 #M365 #Veeam #Intune #Fortinet #Aruba #nVision