Bezpieczeństwo pracy zdalnej
Jak zabezpieczyć dane podczas pracy zdalnej w sektorze publicznym
(02.06.2020)

— Rafał Broda —
Dzisiejszy webinar będzie poświęcony temu jak zabezpieczyć dane podczas pracy zdalnej. Będzie to materiał mocno uświadamiający. Na wstępie chciałbym podkreślić, że firma EXATEL ma bogate doświadczenie na każdym szczeblu administracyjnym, zarówno jeśli chodzi o wstępne projekty, jak również współpracujemy koncepcyjnie z różnymi miastami – choćby projekt Smart Cities. Wygrywamy przetargi centralne dla ministerstw i agencji, gdzie w grę wchodzą zarówno zintegrowane usługi bezpieczeństwa jak i inne usługi wyspecjalizowane. Mamy również podpisanych kilka ciekawych umów ramowych, na co pozwala nam nasza bogata sieć dostępowa. Jesteśmy aktywni w przetargach samorządowych, na co pozwala nam zasięg naszej sieci. Nasza współpraca z sektorem publicznym działa trochę na zasadzie synergii. Czerpiemy wiedzę od organizacji publicznych w sposób taki, że mamy ośrodek badań i rozwoju we współpracy chociażby z Politechniką Warszawską. Reagujemy szybko i równie szybko jesteśmy w stanie odpowiadać na potrzeby Jednostek Samorządu Terytorialnego. Przykład: podejrzewam, że część z Państwa brała udział w webinarach prowadzonych przez Polski Fundusz Rozwoju, gdzie byliśmy jednym ze współorganizatorów. Na dzisiejszym webinarze, jest z nami nasz stały partner technologiczny, firma Fortinet.

— Paweł Wojciechowski —
04:36
Firma Fortinet obchodzi w tym roku dwudziestolecie swojej działalności. Od samego początku bezpieczeństwo było jej głównym priorytetem. Zarówno zeszły rok jak i ostatni kwartał, skończyliśmy z rekordowym wynikiem, co pokazuje duże zaufanie klientów jak i wiarę w nasze rozwiązania. W ciągu tych dwudziestu lat staraliśmy się być największą firmą z zakresu cyberbezpieczeństwa. Większość z Państwa zna nas jako producenta firewalli. Co trzeci firewall na świecie pochodzi od nas, natomiast w ciągu tych lat dorobiliśmy się ponad trzydziestu linii produktowych. Z racji tego, że postawiliśmy na rozwój organiczny wspomagany przez akwizycję, udało się nam stworzyć dla Państwa spójny i zintegrowany system cyberbezpieczeństwa – Fortinet Security Fabric. Jest to jeden system, w którym te trzydzieści linii produktowych jest ze sobą zintegrowanych i dzięki temu są Państwo w stanie z jednej konsoli widzieć pełny obraz swojej infrastruktury i zarządzać bezpieczeństwem jak i ryzykiem.

— Rafał Broda —
06:00
Zacznijmy naszą sentymentalną podróż. Na tym slajdzie umieściłem kilka nagłówków medialnych, które – co ciekawe – są tylko z ostatniego roku. To co chcemy tu pokazać, to, że cyberprzestępcy nie próżnują. Czas epidemii spotęgował tylko ich działania. Cyberprzestępcy nie wybrzydzają: atakują w weekendy, w dni powszednie, atakują korporacje, małe biura i jednostki publiczne. Jedno jest pewne – jeśli znajdą lukę, to stanowczo ją wykorzystają. Jeśli nie dziś, to jutro. Są takie statystyki pobierane przez każdego szanującego się dostawcę bezpieczeństwa, które mówią o tym, że można żyć w pewnego rodzaju błogostanie, w poczuciu „u nas jest bezpiecznie”, natomiast statystyki są okrutne i pokazują co innego. Jeśli umieścilibyśmy na linii czasu punkt, w którym nastąpiło włamanie do sieci i punkt, w którym ktoś zdał sobie z tego sprawę (tudzież pojawiło się żądanie okupu, jakieś dyski zostały zaszyfrowane), mija okres (odnoszę się tu do statystyk) od trzech do dziewięciu miesięcy. Jest czas, który możemy jako administratorzy poświęcić, aby mitygować zagrożenia, które gdzieś tam w naszej wewnętrznej sieci się pojawiają. 07:34 Przełóżmy jednak rzeczywistość medialnych nagłówków na konkretne przypadki. Współpracujemy z Państwem, sprzedajemy produkty, a Państwo dzielą się z nami wiedzą, dzięki której pozwoliliśmy sobie stworzyć statystykę najczęstszych problemów urzędów w Polsce. Myślę, że każdy z nas, gdyby spojrzał na którykolwiek z tych kafelków, byłby w stanie przytoczyć jakiś przykład zbliżonego incydentu. Za każdym z tych problemów idą w parze konsekwencje potencjalnych zaniechań. Od kilku lat żyjemy w rzeczywistości Rozporządzenia Ochrony Danych Osobowych, które jest bardzo restrykcyjne. W zeszłym roku pojawiła się też pierwsza kara dla urzędu, za niedotrzymanie standardów wynikających z rozporządzenia. Dwa lata temu pojawiła się też ustawa o krajowym systemie cyberbezpieczeństwa, która z punktu widzenia naszych klientów (szczególnie branży energetycznej), bardzo rozkręciła rynek. Ustawa ta bezpośrednio nie dotyka urzędów, natomiast jest to kolejny kamyczek do ogródka, o którym trzeba pamiętać. Statystyka jest również okrutna, jeżeli mówimy o badaniach i kontrolach. Pojawiają się raporty Najwyższej Izby Kontroli i jedno zdanie, z całkiem świeżego raportu, które szczególnie utkwiło mi w pamięci, to, że blisko 70% skontrolowanych urzędów nie radzi sobie z zapewnieniem bezpieczeństwa. Oczywiście musimy balansować budżetem, dostępnością ludzi, jednak problemy są. Jak te problemy się materializują? One materializują się w momencie ataków, które zdarzają się cały czas. W przypadku jednostek samorządowych jest o tyle dobrze (jak pokazują statystyki), że cyberprzestępcy są stali w swoich technikach i narzędziach. Mamy tu dwa najpopularniejsze typy ataków – ataki DDoS i ransomware. Ransomware jest drugim najczęstszym przypadkiem, o którym słyszymy, który zdarza się na naszym krajowym podwórku. Przejdziemy teraz do pewnych konkretnych pomysłów, idei i rozwiązań oraz odpowiedzmy na trudne pytania w możliwie prosty sposób. Będzie to pewnego rodzaju podróż w czasie, z którą zderzyliśmy się trzy miesiące temu, kiedy ogłoszono stan pandemii. Wyobraźmy sobie klasycznego administratora działu IT Security. Mamy urządzenie FortiGate, które do dziś służyło nam jako firewall. Czy z jego pomocą możemy uruchomić bramę VPN?

— Paweł Wojciechowski —
11:35
Tak, mogą Państwo. FortiGate ma wiele funkcjonalności wbudowanych w system operacyjny FortiOS. Jedną z nich jest brama VPN. Jeżeli mają już Państwo firewalla, wybuchła epidemia i zmuszeni są Państwo wysłać pracowników na pracę zdalną, to mogą Państwo bardzo szybko uruchomić bramę VPN na FortiGate i zapewnić pracownikom bezpieczny zdalny dostęp. Co ważne: brama VPN jest częścią FortiOS, w związku z czym jeżeli mają Państwo zakupiony FortiGate, to brama VPN jest zawarta w Państwa opłacie. Nie ma więc dodatkowych licencji na połączenia VPN.

— Rafał Broda —
12:40
Nie wiem czy w ostatnim pytaniu dobrze się zrozumieliśmy. Powiedziałem, że mam firewalla jako administrator, ale ten firewall jest faktycznie firewallem. Być może on jest softwarowy, być może jest już nieskalowalny. Kiedyś próbowaliśmy na nim zestawiać tunele VPN, ale samo ich zestawienie, a co za tym idzie utrzymanie i monitorowanie, było drogą przez mękę. Stawiam zatem pytanie inaczej: nie mam bramy VPN – co możemy zrobić?

— Paweł Wojciechowski —
13:13
Na to pytanie jest również prosta odpowiedź. Mogą mieć Państwo Fortigate’a, ale ma on na przykład praktycznie całą pojemność wykorzystaną i nie ma tam miejsca na uruchomienie dodatkowych usług, albo mogą mieć Państwo inne rozwiązanie, na którym nie mogą Państwo uruchomić bramy VPN. Odpowiedź brzmi: trzeba tę bramę postawić i w naszym przypadku jest to po prostu FortiGate. Mogą Państwo mieć tego FortiGate’a w postaci urządzenia albo maszyny wirtualnej. Kupują Państwo urządzenie, podłączają do istniejącej infrastruktury, uruchamiają na niej bramę VPN i działają nie zmieniając tamtej infrastruktury. Drugi sposób: mogą Państwo wziąć tego FortiGate’a w postaci maszyny wirtualnej i uruchomić bramę VPN u siebie w chmurze prywatnej albo w chmurze publicznej. Byli tacy klienci, którzy ze względu na to, że ta sytuacja nas zastała bardzo szybko i trzeba było równie szybko działać, to ta chmura publiczna była o tyle dobrym rozwiązaniem, że kupują Państwo licencję, uruchamiają bramę VPN w chmurze, łączą tunele IPsec do istniejącej infrastruktury Forti Firewalla i mają Państwo działającą bramę VPN, do której zdalni pracownicy mogą się podłączać. To co jest fajne u nas, to że mamy dosyć szeroką gamę urządzeń, jak również maszyn wirtualnych, w związku z czym mogą Państwo dobrać sobie urządzenie do wielkości bramy VPN, którą Państwo potrzebują, czyli do ilości pracowników, których wysyłają Państwo do pracy zdalnej. Mamy gotowe pakiety produktowe, natomiast mogą sobie Państwo również wybierać poszczególne funkcjonalności. Jeżeli chcą mieć Państwo tylko bramę VPN, to wystarczy zerowy pakiet FortiGate razem z utrzymaniem, a jeżeli chcą mieć Państwo bramę VPN i bezpieczeństwo, to pakiet Unified Threat Protection i mają Państwo klasycznego UTMa. To co jeszcze chciałem powiedzieć, odpowiadając na pytanie Rafała – tak, trzeba dokupić produkt, ale mają Państwo możliwość dopasowania tego produktu do swoich potrzeb, zarówno jeżeli chodzi o sprzęt, miejsce postawienia, jak i licencje, które chcą Państwo wykorzystać.

— Rafał Broda —
16:17
Można powiedzieć, że sytuacja na brzegu sieci urzędu jest opanowana. Mamy koncentrator, natomiast jak pokazuje nam doświadczenie, aspektem, z którym brutalnie zderzyliśmy się na samym początku pandemii, było po pierwsze budowanie świadomości, a po drugie brak sprzętu mobilnego dla naszych pracowników. O ile z desktopami sobie radzimy i każdy pracownik takowy posiada, o tyle pracownicy nie byli w stanie tych desktopów zabrać do domów i pracować. Czy jest jakaś szansa, że mogę podłączyć pracowników bez firmowego sprzętu komputerowego? Jak zrobić to szybko z wykorzystaniem ich komputerów domowych?

— Paweł Wojciechowski —
17:16
Jak mieli Państwo bramę VPN na FortiGate, to teraz muszą Państwo podłączyć użytkownika, który pracuje zdalnie. Do tego służy FortiClient VPN w wersji darmowej. FortiClient VPN zapewnia stworzenie tunelu VPN zarówno po SSL-u jak i IPSec-u do bramy VPN-owej stojącej na FortiGate. Mogą więc Państwo wysłać pracowników do domu, oni pobiorą sobie oprogramowanie z Internetu, zainstalują je i w bardzo prosty sposób podłączą się zdalnie i będę mieli uruchomiony bezpieczny tunel. A po stronie serwera mają Państwo bramę VPN postawioną na FortiGate. Więc brama FortiGate i FortiClient w wersji darmowej, który ma tylko i wyłącznie połączenie VPN, dadzą Państwu możliwość bezpiecznej pracy zdalnej.

— Rafał Broda —
18:25
Łączność została już zapewniona, ciągłość działania również. Minęło jednak kilka dni, pierwsze emocje opadły, ale zanim rozpiszemy przetargi na nowy, bezpieczny, mobilny sprzęt dla naszych pracowników, do akcji wkraczają osoby odpowiedzialne za bezpieczeństwo informacji i mówią: „pracownicy dostali dostęp, od 8 do 16 są w stanie faktycznie wykonywać swoje obowiązki, ale po godzinie 16 do późnych godzin wieczornych, komputer jest jednak używany do celów prywatnych”. Wiemy, jak ludzie traktują ogólnie kwestie bezpieczeństwa. Jak można więc zaadresować kwestię bezpieczeństwa przenikających się tu dwóch światów na jednym urządzeniu, czyli świata mojej firmy jak i świata prywatnego pracowników. Co z bezpieczeństwem komputerów pracowników zdalnych?

— Paweł Wojciechowski —
19:48
Gdy komputery jadą z pracownikami do ich domów, to bezpieczeństwo sprzętu staje się jeszcze bardziej priorytetowe niż jak te komputery były wewnątrz firmy. Wewnątrz firmy są różnego rodzaju zapory i zabezpieczenia, które stwarzają dodatkowe warstwy bezpieczeństwa. Gdy jesteśmy w domu, to tamtych zabezpieczeń może już nie być i zabezpieczanie końcówki jest bardzo ważnym aspektem, który trzeba zapewnić. Do tego w naszej ofercie służy FortiClient w wersji pełnej (płatnej). Gdy zakupią Państwo jego licencję, to on po stronie serwerowej ma centralną konsolę zarządzania, która nazywa się FortiClient EMS i wtedy z tego jednego, centralnego punktu, mogą Państwo zarządzać FortiClientami zainstalowanymi na komputerach zdalnych pracowników. Gdy mają Państwo tych komputerów bardzo dużo, to takie centralne zarządzanie jest bardzo dużą wartością dodaną. Jeżeli więc zainwestują Państwo w bezpieczeństwo komputerów za pomocą pełnej wersji FortiClienta z centralnym zarządzaniem, to da on Państwu kilka różnych funkcjonalności. Pełna wersja produktu ma kilka ciekawych funkcjonalności, m.in. Fabric Agent, który daje trzy rzeczy. Po pierwsze daje telemetrię, tj. informację o końcówce przekazywaną do centralnego punktu konsoli, dzięki czemu na konsoli (a w szczególności FortiView na FortiGate), są Państwo w stanie zobaczyć pełen obraz zarządzanej infrastruktury. Po drugie daje Państwu skaner aplikacji, czyli mają Państwo pełną listę aplikacji, które znajdują się na końcówkach użytkowników, a co za tym idzie skaner podatności, który pokaże Państwu luki istniejące w aplikacjach używanych przez pracowników. Dzięki informacjom o podatnościach, można spiąć to z politykami bezpieczeństwa na firewallu. Jak to zrobić? Można to zrobić tak, że polityka firewallowa będzie dynamicznie ściągała informacje o końcówkach przez konsolę EMS i zawierała informacje, że jeżeli komputer będzie miał krytyczną podatność, to go nie wpuści do sieci korporacyjnej. Dzięki temu uzyskujemy dużo większe bezpieczeństwo, nawet jeżeli pracownicy pracują zdalnie. To co jeszcze daje FortiClient w wersji pełnej, to zaawansowane techniki ochrony przed złośliwym oprogramowaniem, łącznie z filtrowaniem (Web Filteringiem) które jest dostępne na końcówce. Pełna wersja FortiClienta dostępna jest również na wielu systemach operacyjnych. Na systemach Windows i Mac OS jest większość funkcjonalności, którą oferujemy, ale wspieramy również Androida i iOS, nie mówiąc już o Linuxie. Bezpieczeństwo końcówki jest bardzo ważne i warto zwrócić na ten element baczną uwagę.

— Rafał Broda —
25:04
Rzeczywiście wygląda na to, że mamy do czynienia z bezpiecznym systemem, ale to nie koniec. Mamy już łączność, koncentrator faktycznie jest, końcówki są zabezpieczone, ale tzw. trzy grosze mają do powiedzenia jeszcze osoby odpowiedzialne za procesy. I mówią one tak: „słuchajcie, jak wiecie pracownik pracownikowi nie jest równy, mamy różne poziomy uprawnień i one powinny się w jakiś sposób przekładać na mechanizmy zabezpieczeń”. Bardzo często spotykamy się z tym, że hierarchia służbowa powinna być odzwierciedlona w jakichś bezpiecznych formach zdalnego dostępu. Jak obsłużyć takie zapotrzebowanie? Jak można wejść na jeszcze wyższy poziom bezpieczeństwa?

— Paweł Wojciechowski —
26:01
Jeżeli mamy już bezpieczne połączenie i zabezpieczoną końcówkę, to kolejnym aspektem na który powinniśmy położyć nacisk, jest dwuskładnikowe uwierzytelnianie, które chroni nas przed utratą tożsamości, czyli gdy ktoś ukradnie ID użytkownika i hasło. Mając dwuskładnikowe uwierzytelnianie, jesteśmy chronieni przed taką kradzieżą. To co jest potrzebne po stronie użytkownika, to FortiToken, a po stronie serwera FortiAuthenticator, który w tym szczególnym przypadku będzie odpowiedzialny za zarządzanie tokenami w kontekście Fortigate’ów, które znajdują się w Państwa infrastrukturze. Jeżeli chodzi o FortiToken, to mamy go w różnych wersjach, zarówno w postaci sprzętowej (USB, breloczek albo karta), jak i w postaci aplikacji do ściągnięcia i zainstalowania na urządzeniach mobilnych. Aplikacja jest z resztą preferowana przez większość naszych klientów, ponieważ z jednej strony mamy łatwość użycia, z drugiej zaś logistycznie łatwo ją ściągnąć w czasach gdzie logistyka na świecie jest utrudniona. Kolejną rzeczą, którą warto wiedzieć o FortiTokenie, to że są to licencje wieczyste, więc gdy raz Państwo zainwestują w FortiTokena, to będą go Państwo mieli zawsze. Po stronie serwerowej jest FortiAuthenticator, który jest niezbędny do tego by obsługiwać FortiTokeny i robić proces autentykacji, autoryzacji i wspierać w tym FortiGate’y czyli też bramę VPN, połączony jest z Active Directory. FortiAuthenticator może później pełnić różne inne funkcje, np. może być serwerem certyfikatów, zapewnić wewnętrznie Single Sign On, jak również pomóc Państwu stworzyć portal dla gości, którzy przychodzą do Państwa biura. Produkt może być również identity providerem dla Office 365. Jak zmigrują Państwo pocztę do chmury i będą Państwo używali poczty w pakiecie Office 365, to dzięki temu, że FortiAuthenticator obsługuje protokół SAML 2.0, jest on w stanie zarządzać tożsamością i dostępem dla Office 365 od Was z biura. Inwestycja w FortiAuthenticator w kontekście dwuskładnikowego uwierzytelniania, może się więc długoterminowo zwrócić, poprzez implementację innych funkcjonalności, które są dostępne w ramach tego rozwiązania. — Rafał Broda — 29:37 Wydaje się, że zbudowaliśmy całkiem ciekawy system. Zapewniliśmy łączność, spełniliśmy wymogi bezpieczeństwa informacji, rozdzieliliśmy hierarchię, zobaczmy więc co powstało z tych komponentów.

— Paweł Wojciechowski —
29:54
Powstał całkiem ciekawy obraz. Reasumując opowiadaną przez nas historię: zaczęliśmy od zbudowania bramy VPN-owej i to jest FortiGate po stronie Centrum Przetwarzania Danych, który może być postawiony u Państwa, ale równie dobrze może zostać postawiony w chmurze prywatnej lub publicznej. Aby zapewnić zdalną łączność, mówiliśmy później o FortiClient w wersji darmowej, który ma tylko i wyłącznie możliwość utworzenia tunelu VPN, dzięki czemu są Państwo w stanie wysyłając ludzi do domu, bardzo szybko uruchomić bezpieczną, zdalną pracę. Będąc w domu, ważne jest bezpieczeństwo komputera, w związku z czym FortiClient w wersji pełnej z centralną konsolą zarządzania FortiClient EMS, zintegrowaną z FortiGate, jest tym rozwiązaniem, które zapewni bezpieczeństwo zarówno komputerów jak i urządzeń mobilnych. Następnie, żeby wzmocnić bezpieczeństwo i ubezpieczyć się przed kradzieżą tożsamości, warto zainwestować w dwuskładnikowe uwierzytelnianie do którego potrzebny jest FortiToken po stronie użytkownika (rekomendujemy FortiToken w postaci aplikacji) i FortiAuthenticator po stronie Centrum Przetwarzania Danych, który będzie łącznikiem z Active Directory i będzie zarządzał tokenami i procesem zarządzania tożsamością i autoryzacją. To co pojawia się również na tym obrazku, to rozwiązania FortiSIEM, FortiAnalyzer i FortiManager i to jest część zarządcza rozwiązania, które udało nam się tutaj stworzyć. Jak mają Państwo większą infrastrukturę, bardziej rozległą i wielooddziałową, to wówczas warto się zastanowić i pójść w kierunku centralnego miejsca do zarządzania tymi urządzeniami, ale również zarządzania incydentami bezpieczeństwa. Do tego służą FortiAnalyzer i FortiManager. Fortinet, jak Państwo widzą, ma bardzo wiele rozwiązań. Fortinet Security Fabric jest zintegrowanym systemem cyberbezpieczeństwa i mamy rozwiązania, które adresują praktycznie każde jedno wyzwanie, jeżeli chodzi o bezpieczeństwo w Państwa firmie. To o czym dzisiaj mówimy i zostało przedstawione, to zaledwie wycinek tego systemu, ponieważ jest wiele innych rozwiązań o których opowiemy na kolejnych webinarach.

— Rafał Broda —
33:00
Jak EXATEL może mnie ochronić w tym modelu, o którym dzisiaj rozmawiamy? Zapewne dużo mówią Państwu nazwy systemów, tych szyn komunikacyjnych, które tu się pojawiają i w każdej z nich EXATEL albo jest wiodącym dostawcą, albo ma bezpośredni dostęp do tych zasobów. Poniżej nazw systemów, widzimy portfolio odbiorców naszych usług i to usług wszelakich, zarówno telekomunikacyjnych jak i cyberbezpieczeństwa. Nasza firma przez lata przebywania w strukturach Ministerstwa Obrony Narodowej, wypracowała też pewnego rodzaju kulturę bezpieczeństwa, która skutkuje tym, że hasło „EXATEL – Najbezpieczniejsza polska sieć” jest jak najbardziej prawdziwe. Doświadczenia z tych projektów i systemów, zostały przekute na pewnego rodzaju konkrety. Konkrety, które komunikujemy zarówno rynkowi publicznemu jak i komercyjnemu. Do obsługi bezpieczeństwa mamy dedykowane zespoły, a w nich osoby posiadające odpowiednie doświadczenie poparte certyfikatami. Pochodną działania w MON jest też to, że posiadamy certyfikację o firmowych standardach wojskowych. Konkludując dzisiejszy webinar, chciałbym szczególnie wspomnieć o jednym produkcie – jest nim usługa zarządzanego firewalla oferowana przez EXATEL, stworzona od początku przez nas. Rozwiązanie te chroni zarówno brzeg naszej sieci jak też może być koncentratorem VPNowym, tudzież klasycznym UTMem i w naszej opinii dobrze skonfigurowany, jest w stanie faktycznie zmitygować ataki ransomwarowe. Sama usługa firewalla jest do umiejscowienia zarówno w modelu w Państwa lokalizacji, Data Center EXATEL, jak też w postaci wirtualnej maszyny na Państwa zasobach, w chmurach publicznych. Jesteśmy elastyczni pod tym względem i zapraszamy Państwa do ewentualnego kontaktu z opiekunami handlowymi. Dlaczego zapraszam do kontaktu z opiekunami handlowymi? Ponieważ nie jest to usługa cennikowa. Za każdym razem cena tej usługi przechodzi proces badania wymagań. Klienci są różni i mają różne wymagania, a linia produktowa Fortinetu jest bardzo długa, a spektrum tych funkcjonalności bardzo szerokie. To co my jesteśmy w stanie dostarczyć, to pełna integracja. Integrujemy usługę z Państwa środowiskiem na ile jest to możliwe w zastanych warunkach. Oczywiście preferujemy sprzedaż tej usługi w formie abonamentu miesięcznego. Jest to polecany przez nas model, dość dobrze się sprawdzający i zdejmujący z Państwa głowy wszelkie problemy z utrzymaniem, serwisem i łatkami. Dostają Państwo gotowy produkt ochrony bezpieczeństwa. I to tyle jeżeli chodzi o Managed Firewall.

— Pytania —
37:51
„Jaki tryb pracy zdalnej/połączenia rekomendujecie?”

Paweł: Ja bym rekomendował VPN. Czy SSL czy IPSec to jest już kwestia indywidualnego wyboru. Z naszego doświadczenia, większość klientów EXATEL idzie w kierunku SSL VPN. My też to obserwujemy. Można oczywiście odpalać sesje RDP, ale z tym trzeba uważać, ponieważ takie sesje konsumują dosyć dużą ilość pamięci. One trochę ułatwiają życie, bo można aplikacje odpalać z przeglądarki, natomiast konsumują pamięć, a pamięć w urządzeniu jest skończona. Więc jakby ktoś miał bramę VPN w chmurze, gdzie tej limitacji na pamięć nie ma, to wtedy nie musi się tym przejmować, natomiast jeżeli jest to urządzenie, to trzeba uważnie do tego podchodzić albo bardzo mocno policzyć. Moja rekomendacja to VPN.

39:32
„Czy można zarządzać FortiTokenami bezpośrednio z FortiGate bez pomocy FortiAuthenticatora?” Paweł: Tak, można, natomiast nasza rekomendacja idzie w kierunku FortiAuthenticatora. Dlaczego? Mamy jednego FortiGate’a i tam postawioną bramę, w którą można wbić FortiTokeny i zarządzać nimi z FortiGate’a. W momencie, gdy będzie się wymieniało urządzenie, to trzeba to będzie ręcznie przepisać przez kontakt z naszym serwisem. Proces ten jest więc skomplikowany. W momencie, gdy mamy więcej FortiGate’ów, bo jest to wieloodziałowa infrastruktura, to wtedy FortiTokeny trzeba wprowadzać na każdy FortiGate oddzielnie, a to już nie jest fajna rzecz. Dlatego FortiAuthenticator, stojący z tyłu, połączony z Active Directory, jest bardzo fajnym rozwiązaniem, które ułatwia centralne zarządzanie FortiTokenami, ale też procesem zarządzania tożsamością i autoryzacją.

41:00
„Co z podziałem kompetencji zarządzania urządzeniem? Siecią VPN zarządza EXATEL, firewallem wciąż my?” Rafał: Jest to jeden z modeli, który przyjmujemy, jednak nie jest on zalecany. Dlaczego? Przenikające się obszary jurysdykcji między osobami zarządzającymi, powodują – w przypadku zgłoszeń części questów, żądań zmian – tzw. ping-ponga. Nie mówimy nie, ale z doświadczenia preferujemy model usługi zarządzanej. Niesie ona ze sobą zdjęcie jakichkolwiek potrzeb inżynieryjnych/głębokich po Państwa stronie.

42:24
„Jaka jest zasadnicza różnica w bezpieczeństwie między przedstawionymi tutaj rozwiązaniami Fortinet, a popularną metodą pracy zdalnej przez aplikacje typu TeamViever, AnyDesk, itp.?” Rafał: Generalnie są to rozwiązania RDP i jest to nieco inny poziom bezpieczeństwa. FortiClientem dajemy użytkownikowi pełną użyteczność, może on przetwarzać dokumenty lokalnie u siebie. Ciężko powiedzieć które rozwiązanie jest lepsze, które jest gorsze – one są inne i trudno je porównać do siebie. Paweł: Uważam, że jest to coś zupełnie innego. My dostarczamy możliwość stworzenia infrastruktury bezpiecznej zdalnej pracy i połączenia z dowolnego miejsca na świecie do centrali, a na tym są kładzione aplikacje i inne rzeczy. Z AnyDesk miałem do czynienia, kiedy IT wspiera zdalnie użytkowników, dostając się na zdalny pulpit. Nie mam w tej kwestii zdania, ponieważ nie pozwalają na zdalną pracę z dowolnego miejsca na świecie. Wydaje mi się również, że infrastruktura Fortinet daje bardziej uniwersalne bezpieczeństwo na poziomie infrastruktury. Rafał Broda, Kierownik Projektu, EXATEL S.A. Paweł Wojciechowski, Business Development Manager, Fortinet