Från VPN-trassel till SSE

Igen. Två dagar efter att jag äntligen lyckats boka in ett servicefönster för våra fem brandväggskluster som kör SSL-VPN, så händer det på nytt. Ännu en kritisk sårbarhet - CVSS 9,2. På just den tjänst som hela vår remote-access bygger på.

Jag suckar. Lösningarna är lika usla varje gång. Antingen stänger jag ner tjänsten så att ingen kan jobba remote eller så börjar jag jaga resurser för en snabb uppgradering. På kvällstid, såklart.

Säkerhetsavdelningen vill att det sker nu. Så här sitter jag nu igen på kvällen, tar backup, läser igenom release notes, trycker på reboot och hoppas att allt kommer igång igen.

För ingen vill ha ett öppet hål rakt ut på Internet. Och jag fattar det – jag vill inte heller vara den som lämnar fönstret på vid gavel.  

SSL-VPN och IPSEC har hängt med länge, men idag känns det mer som en tickande bomb än en lösning. Vi tekniker vet – det är samma visa varje gång: patcha, testa, hoppas, laga och gå vidare tills nästa gång det smäller.

Men det finns en bättre väg att ta – SSE (Secure Service Edge). Sedan det kom in i bilden har tillvaron för oss tekniker förändrats rejält.

Plötsligt är det inte längre jag som är brandväggsvakt dygnet runt. Med SSE är vardagen helt annorlunda. Jag behöver inte längre oroa mig för att attackytan är öppen utifrån. Och inget är exponerat på Internet.

Jämför det med tidigare lösningar som hade flera öppningar rakt in till datacentret. Trafiken tvättas nu innan den ens når in – det är som att ha en väktare som stoppar hoten långt innan de ens är nära. Det tar dessutom bort en stor last och komplexitet i brandväggarna som finns i datacentret.

Numera kan jag ge konsulter och underleverantörer exakt den access de behöver. Inget mer ”allt eller inget” som i tidigare uppsättning. Klienterna verifieras också med device posture så jag vet att de uppfyller kraven för att koppla upp.

Däremot kan inte underleverantörer installera den minimala applikation vi använder för anslutning, så för att komma åt resurser får de använda RBI. På så sätt vet jag att de inte kan föra över någon skadlig kod om deras dator skulle vara "smittad".

Accessen styrs också via identitet istället för IP-adresser. Därför är det oviktigt vilken IP-adress klienten får. Så för att vara säkra på att vi tillåter rätt access måste vi verifiera identiteten. Det betyder att en användare aldrig behöver få samma IP-adress.

En annan fördel är att också att automatiseringen redan finns där – Terraform och Ansible. Det gör att jag slipper sitta och klicka mig igenom samma uppgifter om och om igen.

SSE är byggt för att fungera så här från början. Det är med andra ord ingen ny feature som satte plåster på den gamla lösningens kod utan det moderna sättet att ge access till både interna och externa användare.

För mig betyder SSE mer än bara högre säkerhet. Det betyder att jag äntligen kan lägga tid på att utveckla och förbättra istället för att ständigt släcka bränder. Och det betyder i sin tur en bättre användarupplevelse och en mer tekniskt utvecklande vardag för mig.