VPN je nákladná a komplikovaná. Zkuste to chytřeji, říká expert NEWPS.CZ David Čečelský
Doba koronavirová to ukázala jasně. Firmy, ale i veřejné instituce se musí lépe a efektivněji připravit na to, že jejich zaměstnanci budou pracovat z domova. Zažitým standardem pro vzdálené připojení je virtuální privátní síť. „Zákazníkům bych ji dnes už nedoporučil. Naše řešení DRAM přináší mnohem více benefitů uživatelům i správcům IT,“ říká ředitel delivery v NEWPS.CZ David Čečelský.
Spontánně. V době nouzového stavu jsme si uvědomili, že je zde obchodní příležitost pro řešení, které jsme již chvíli nosili v hlavě pod kódovým označením DRAM. Máme totiž více než deset let zkušeností s vývojem přístupových bran velkých eGov systémů.
Je to čistě váš produkt, nebo staví na nějaké licenci?
Je to čistě náš produkt. Základ jsme postavili již před lety, kdy jsme na trhu nenašli dostatečně škálovatelné a robustní řešení. Proto jsme již tehdy vytvořili s částečným zapojením komponent z open source vlastní alternativu, kterou dnes používají miliony uživatelů v českém e-governmentu. Aktuálně pracujeme na úplně nové verzi se zaměřením na přístup uživatelů z home-office prostředí.
V čem jsou hlavní rozdíly proti virtuální privátní síti?
Je to trochu obtížné srovnávat, protože VPN je skutečně jen způsob, jak zpřístupnit externím pracovníkům interní systémy. Pomocí VPN prostě vytvoříte šifrovaný tunel přes internet, aby se uživatel mohl přihlásit k vnitřním systémům tak, jak je zvyklý, když je v práci. Pak už má veškeré přístupy k aplikacím, jako by seděl v kanceláři. Rozdíl může být především v tom, že je to přece jen o něco pomalejší, protože musíte šifrovat komunikaci přes internet, a hodně záleží na rychlosti příslušné internetové linky.
Jak tedy funguje DRAM?
Umí řešit to samé, ale je postavena na webových technologiích. Uživatel nacházející se mimo perimetr pracoviště si přes webový prohlížeč otevře přihlašovací stránku, která ho vyzve k zadání autentizační metody. Ta se odvíjí od toho, jak bezpečné vzdálené připojení chce zákazník mít. Varianty začínají prostým jménem a heslem a dají se přidávat další faktory. Po přihlášení se uživatel dostane do vnitřní sítě, a když jsou za DRAM integrované aplikace, tak už úplně transparentně přistupuje do těchto aplikací, aniž by se musel kamkoli přihlašovat. Tento „single sign-on“ za něj dělá DRAM. S jednou identitou, s níž tam vstoupí, už uživatel dál propadává do všech systémů, aniž by byl obtěžován autentizačními dialogy.
Je takové řešení dostatečně bezpečné?
Zákazníci samozřejmě mívají ve vnitřních systémech součásti, které považují za kritické z pohledu bezpečnosti. Když se uživatel rozhodne zamířit právě tam, DRAM, pokud je tak nastavena, to rozpozná a vyžádá si další přihlašovací faktor, jako je certifikát nebo jednorázový kód. Bezpečnost je tedy možné vrstvit tak, že k různým systémům existuje různá úroveň zabezpečení přístupu. To třeba VPN vůbec neřeší.
Má přístupová brána nějaké další přednosti?
Na uživatelské straně není třeba instalovat žádný klientský software. DRAM je typicky webový a podporuje širokou paletu prohlížečů, takže je jedno, z jaké klientské platformy se kdo přihlašuje. Podstatný rozdíl je také v tom, že náš produkt nijak nelicencujeme na uživatele, jako to dnes dělají všichni výrobci VPN, kteří za každou licenci vybírají poplatky. VPN navíc musí mít ještě protikus v infrastruktuře vnitřní sítě. Typicky se nazývá VPN koncentrátor, k němuž se všichni uživatelé hlásí, provedou tam ověření a koncentrátor je propouští do vnitřní sítě. IT oddělení pak musí tohle zařízení spravovat, konfigurovat, zavádět tam nové uživatele a potom ještě distribuovat a konfigurovat klientské aplikace pro různé operační systémy uživatelů.
Pohled informatika je jedna věc, ale co nejvíce oceňují uživatelé v praxi?
Myslím, že to je jednoduchost a transparentnost. Dostanete se na webové rozhraní, kde se připojujete do systému, zvolíte autentizační možnost, připojíte se a víc se už o nic nestaráte. Je to velmi intuitivní.
A pak je to spousta autentizačních metod, které DRAM umožňuje. Ať už jde o jednorázová hesla, SMS nebo autentizační data vytvořená či ověřená Národní identifikační autoritou NIA. Dnes už DRAM opatřujeme i podporou autentizačních protokolů, které umožňují přihlásit se účtem z Googlu či Facebooku kamkoli jinam jedním kliknutím tlačítka. Systém, do něhož přistupujete, pak převezme vaši identitu, kterou jste si vytvořil na Googlu či sociální síti. A administrátor nemusí spravovat nový uživatelův účet a držet jeho údaje.
Je z vašeho pohledu VPN mrtvá záležitost, nebo je využití, pro které byste ji stále doporučil?
I v oblasti VPN se situace hodně mění. Její funkcionalita i možnosti se stále rozvíjí. Ale základní koncept zůstává více méně stejný a myslím si, že je to pořád nákladná záležitost proti tomu, co nabízíme my. Správa prostředí není jednoduchá, dost často je VPN velice pomalá. Pokud je člověk na pomalejším internetu, odezvy bývají šíleně dlouhé. Na načtení e-mailů můžete čekat deset minut. Já bych tohle zákazníkům nedoporučil, protože je to jak z pohledu administrátorů, tak z pohledu uživatelů daleko komplikovanější řešení, které navíc nepřináší zdaleka tolik benefitů jako to naše.
Existuje na druhé straně využití DRAM, které přesahuje standardní funkci VPN?
Zmiňoval jsem vícefaktorovou autentizaci, zdůraznil bych škálovatelnost. Výkon můžete libovolně navyšovat, aniž byste musel investovat větší peníze. Maximálně na to vymezíte nějaký dodatečný hardware – procesor, paměť, což dnes nic moc nestojí. Pak je tu ještě pohled správců sítí. My jsme použili předchůdce DRAM jako součást identity managementu některých krajských úřadů a typicky třeba Moravskoslezský kraj velmi intenzivně rozvíjí své řešení, na němž už pracujeme sedmým rokem. Mají tam standardně erudovaný tým správců a ti, když dnes postaví nebo koupí nějakou novou aplikaci, jsou schopni zcela samostatně provést její integraci s naší DRAM. Nejsou závislí na nás jako dodavateli a nemusí vynakládat další peníze.
Chystáte aktuálně nějaké inovace vaší přístupové brány?
Máme projekt, v němž vytváříme grafické rozhraní pro konfiguraci tohoto systému. Protože to lze zatím dělat pouze editací konfiguračních souborů, což vyžaduje specifickou odbornou znalost. My dnes vytváříme grafickou konzoli, která řadu konfiguračních záležitostí převede do grafického rozhraní. Správce systému pak bude schopen klikacím způsobem pomocí roletových menu provádět základní nastavení, přiřazovat uživatele, řídit politiky, nastavovat autentizační metody. Chceme tak ulehčit práci firmám, které si budou chtít tento produkt spravovat samy.
Ing. David Čečelský
Delivery Director
NEWPS.CZ s.r.o.
Najdete nás i na LinkedIN nebo Facebooku.
elektronické formuláře pro komunikaci (nejen) s úřady - zdarma, rychle, z bezpečí domova
povinnosti podnikatelů na jedno místě a přehledně
