Problem z węzłem końcowym

W przypadku innych zastosowań zobacz Node .

Problem z węzłem końcowym pojawia się, gdy poszczególne komputery są używane do wrażliwych zadań i/lub tymczasowo stają się częścią zaufanej, dobrze zarządzanej sieci/chmury, a następnie są wykorzystywane do bardziej ryzykownych działań i/lub dołączają do niezaufanych sieci. (Poszczególne komputery na obrzeżach sieci/chmur nazywane są węzłami końcowymi). Węzły końcowe często nie są zarządzane zgodnie z wysokimi bezpieczeństwa komputerowego zaufanej sieci . Węzły końcowe często mają słabe/przestarzałe oprogramowanie, słabe narzędzia bezpieczeństwa, nadmierne uprawnienia, błędne konfiguracje, wątpliwe treści i aplikacje oraz ukryte exploity. Problemem staje się zanieczyszczenie krzyżowe i nieautoryzowane uwalnianie danych z systemu komputerowego.

W rozległym cyberekosystemie te węzły końcowe często łączą się przejściowo z jedną lub kilkoma chmurami/sieciami, z których niektóre są godne zaufania, a inne nie. Kilka przykładów: firmowy komputer stacjonarny przeglądający Internet, firmowy laptop sprawdzający firmową pocztę internetową za pośrednictwem otwartego punktu dostępu Wi-Fi w kawiarni , komputer osobisty używany do pracy zdalnej w ciągu dnia i grania w nocy lub aplikacja w smartfonie/tablecie ( lub dowolna z poprzednich kombinacji użycia/urządzenia). Nawet jeśli są w pełni zaktualizowane i ściśle zablokowane, węzły te mogą przenosić złośliwe oprogramowanie z jednej sieci (np. uszkodzoną stronę internetową lub zainfekowaną wiadomość e-mail) do innej, wrażliwej sieci. Podobnie, węzły końcowe mogą wydobywać poufne dane (np. rejestrować naciśnięcia klawiszy lub zrzuty ekranu ). Zakładając, że urządzenie jest w pełni godne zaufania, węzeł końcowy musi zapewnić środki do prawidłowego uwierzytelnienia użytkownika. Inne węzły mogą podszywać się pod zaufane komputery, co wymaga uwierzytelnienia urządzenia . Urządzenie i użytkownik mogą być zaufani, ale w niezaufanym środowisku (określonym na podstawie informacji zwrotnych z czujników wbudowanych). Łącznie zagrożenia te nazywane są problemem węzła końcowego. Istnieje kilka środków zaradczych, ale wszystkie wymagają zaszczepienia zaufania w węźle końcowym i przekazania tego zaufania do sieci/chmury.

Najsłabsze ogniwo chmury

Przetwarzanie w chmurze można scharakteryzować jako ogromną, pozornie nieskończoną gamę przetwarzania i przechowywania, które można wypożyczyć ze swojego komputera. Ostatnie zainteresowanie mediów [ kiedy? ] skupiła się na bezpieczeństwie w chmurze. Wielu uważa, że ​​prawdziwe ryzyko nie leży w dobrze monitorowanym, zarządzanym 24-7-365 hoście w chmurze z pełną redundancją, ale w wielu wątpliwych komputerach, które uzyskują dostęp do chmury. Wiele takich chmur FISMA , podczas gdy łączące się z nimi węzły końcowe rzadko są skonfigurowane zgodnie z jakimkolwiek standardem. [ potrzebne źródło ]

Stale rosnące ryzyko

W latach 2005-2009 największe i rosnące zagrożenia dla danych osobowych i firmowych pochodziły z exploitów na komputerach osobistych użytkowników. Zorganizowani cyberprzestępcy uznali, że bardziej opłacalne jest wewnętrzne wykorzystywanie wielu słabych komputerów osobistych i służbowych niż atakowanie przez silnie ufortyfikowane tereny. Typowym przykładem jest kradzież dostępu do konta bankowości internetowej małej firmy.

Rozwiązania

Aby wyeliminować problem z węzłem końcowym, zezwalaj na łączenie się z siecią/chmurą tylko uwierzytelnionym użytkownikom na zaufanych komputerach zdalnych w bezpiecznych środowiskach. Istniejącą technologię można osiągnąć na wiele sposobów, z których każdy charakteryzuje się innym poziomem zaufania.

Wiele firm wydaje typowe laptopy i pozwala na zdalne łączenie się tylko tym konkretnym komputerom. Na przykład Departament Obrony Stanów Zjednoczonych zezwala swoim zdalnym komputerom na łączenie się ze swoją siecią tylko przez VPN (bez bezpośredniego przeglądania Internetu) i stosuje uwierzytelnianie dwuskładnikowe . Niektóre organizacje używają narzędzi po stronie serwera do skanowania i/lub sprawdzania poprawności komputera węzła końcowego [ potrzebne źródło ] , takich jak komunikacja z modułem Trusted Platform Module (TPM) węzła .

Znacznie wyższy poziom zaufania można uzyskać, wydając niezmiennego, odpornego na manipulacje klienta bez lokalnej pamięci masowej, umożliwiającego łączenie się tylko po uwierzytelnieniu urządzenia i użytkownika, zdalnie dostarczając system operacyjny i oprogramowanie (przez PXE lub Etherboot ), a następnie tylko zapewnianie dostępu zdalnego pulpitu lub przeglądarki do wrażliwych danych.

Tańszym podejściem jest zaufanie do dowolnego sprzętu (korporacyjnego, rządowego, osobistego lub publicznego), ale zapewnienie znanego jądra i oprogramowania oraz wymaganie silnego uwierzytelnienia użytkownika. Na przykład DoD oferuje Lightweight Portable Security , LiveCD , który uruchamia się tylko w pamięci RAM, tworząc nieskazitelny, nietrwały węzeł końcowy podczas korzystania z oprogramowania Common Access Card do uwierzytelniania w sieciach DoD.

Zobacz też

Pobrano z „ https://en.wikipedia.org/w/index.php?title=End_node_problem&oldid=1104316990