Livet etter 2 sone modellen


Livet etter 2 sone modellen


I det offentlige har sikkerhet til applikasjoner og data tradisjonelt vært løst med en 2 sone modell. Den tradisjonelle sikkersonen har vært bygget rundt separerte nettverk; ofte delt inn i:

  • sikker sone som håndterer sensitive personopplysninger med høyere krav til informasjonssikkerhet
  • intern sone der de ansatte fikk tilgang til internett og der krav til informasjonssikkerhet var lavere

Siden dette ikke lenger er et krav fra regulerende myndigheter, åpner det seg muligheter der fysisk tilkobling til nettverket ikke er nødvendig, men snarere at en har kontroll over alle enheter som leverer, transporterer eller konsumerer data.

I samarbeid med en offentlig kunde har vi utarbeidet en fremtidsrettet løsning. Her er det lagt vekt på at applikasjonene skal brukes på nye brukerflater som f.eks tablets, og kunne bruke sensitive applikasjoner der arbeidet faktisk utføres. Sistnevnte forventes å øke kvaliteten og nytteeffekten av løsningene som brukes for å støtte etatens arbeid.

Følgende har vært lagt til grunn i oppbygging av ny modell for sensitive data i sikker sone:

  • Systemene skal være sentraliserte og i datasenteret være isolert i en sikker sone.
  • Før tilkobling skal arbeidsstasjonen være identifisert og klarert for tilgang til sikrede data.
  • Bruker skal være autentisert med 2-faktor løsning

Løsningen benytter følgende komponenter

  • Citrix Netscaler Endpoint analysis
    Arbeidsstasjonen skannes før loginbildet i det hele tatt vises på skjermen. Domenetilhørighet bekreftes. Oppdateringer av OS og antivirus kontrolleres.
  • Citrix Netscaler med 2-faktor autentisering. Backend er AD.
  • Kommunikasjon kan kun etableres med de mest moderne cipher-suits som støtter Forward Secrecy.

Vurderingen er at dette gir en bedre sikkerhet enn en tradisjonell modell fordi endepunktet er kvalifisert å være en intern maskin. Det legges med andre ord mer vekt på sikre endepunkt enn fysiske forbindelser. Kommunikasjonen er sikret med sterk kryptering slik at nettverket ikke er begrensende faktor.

Dersom det er behov for å begrense lokasjonen klienten kan befinne seg på, kan IP-adresser også benyttes for å autorisere tilgang.

Ta kontakt for mer informasjon.