2
« kdy: 01. 03. 2024, 07:38:51 »
Ano. Prostě místo toho, aby každá služba měla jen svoji hromadu dveří, často pochybné kvality (korálkový závěs se zaručenou ochrnou proti zlým duchům, ať se picnu jestli na tom netratím!), jako veškerou ochranu, tak jsou úplně vpředu ještě jedny bezpečnostní dveře, které jde pořádně zabezpečit.
Nevýhoda je, že zatímco v domácím prostředí je celkem v pohodě si prostě udělat VPN a vnitřní síť už pak neřešit a mít tam puštěné různé chytré krabičky, u kterých se akorát změní výchozí heslo, tak u firem je už hromada více či méně důvěryhodných lidí, kteří můžou snadno udělat škodu, ať už chtěně či nechtěně. A zatímco domů si cizího člověka jen tak nepustíš, projít cizí vrátnicí jde snadno. Nalepíš se za někoho jiného, převlečeš se za instalatéra... A do první zásuvky píchneš svoji hackovací krabičku s LTE, připojíš do místní sítě, a děláš si, co chceš.
Takže ve firemním prostředí se postupně víc a víc objevuje koncept zero-trust network, kdy vlastně klasická VPN ztrácí význam, protože před každou službu se staví samostatné trezorové dveře s vlastním hlídáním. Na klientovi běží služba, která hlídá důvěryhodnost zařízení (aktualizace, poloha, nainstalovaný SW...), dělá samostatný tunel pro každou službu, resp. chová se jako proxy... A pak se dá docílit toho, že jeden zaměstnanec s jedním účtem a jedním notebookem a mobilem se v kanceláři připojí do produkční databáze, ale v kavárně už jen k repozitáři s kódem, a z mobilu na letišti si akorát přečte maily. A když už má firma nasazené tohle, tak ta klasická VPN navíc už vlastně moc bezpečnosti nepřidá, a tak se ty služby můžou pustit ven. Čímž odpadnou problémy zaměstnanců na hotelové wifi, co se nedostanou k dokumentaci, protože ta je za VPN, kterou hotel zařezává.