Med secure internet gateway säkrar du nätet – här är åtta saker du måste tänka på

Att tillhandahålla anslutning mot internet är numer mer eller mindre ett krav både för anställda och gäster till ditt företag. Men hur kan detta göras på ett säkert sätt? Hur kan detta göras på ett hanterbart sätt när ditt företag har 100 kontor runt om i världen?

Att hantera 100 brandväggar kan lätt bli svårhanterligt och centraliserad internetförbindelse vid huvudkontoret innebär att det är mycket trafik som skall transporteras mellan kontoren som ändå bara skall sändas vidare mot internet. Det innebär också att om ditt huvudkontor har problem blir alla andra kontor lidande. Vad finns det för andra alternativ?

Begreppet secure internet gateway (SIG) används för att produkter som skall tillhandahålla säker internetanslutning för anställda och gäster oavsett om de sitter på kontoret eller hemma. Kända tillverkare är till exempel Cisco, Forcepoint och Zscaler. Gemensamt för produkterna är att de bygger på att det finns central intelligens i molnet som analyserar internettrafiken och beslutar om den är skadlig eller inte. Det går då att skapa ett regelverk för hela organisationen trots att varje kontor har en egen internetförbindelse.

Läs mer: Internet är ert nätverk numera – hur hanterar ni det?

Men vad ska man tänka på innan man skaffar sig en SIG?

1. Var finns tjänsten? Dessa tjänster tillhandahålls i stora datacenter runt om i världen. Vissa av tjänsterna kräver att din internettrafik transporteras till detta datacenter innan trafiken släpps ut där. Detta innebär att din internetförbindelse kan upplevas som långsammare då trafiken tar en längre väg och din hastighet blir begränsad till vad molntjänsten kan leverera. Det kan också uppstå underligheter som att Google tror att du är från Danmark för att din trafik släpps ut där trots att du sitter på ett kontor i Sverige. Många av tjänsterna finns i många länder men inte alla. Beroende på vilka som är dina viktigaste kontor måste du avgöra om det är acceptabelt att din trafik skall transporteras via andra länder.
2. Var har din operatör avtal med SIG leverantören? Din SIG-leverantör finns på ett datacenter i Sverige men ändå klagar användarna på dålig prestanda - varför? Beroende på var din internetleverantör och SIG-leverantören utbyter trafik är det inte säkert att din trafik håller sig inom landet. Det kan vara så att din trafik först transporteras till Tyskland innan den vänder tillbaka och kommer in i Sverige igen. Innan du köper en tjänst bör du kolla på dina viktigaste kontor hur trafiken skulle gå om ni aktiverade tjänsten där.
3. Vilken typ av trafik kan filtreras? Vissa tjänster kan bara filtrera webtrafik, det vill säga trafik på TCP port 80 och 443. Andra tjänster kan också filtrera annan typ av trafik. Det är relativt vanligt att malware kommunicerar med sitt command center över http eller https men studier har visat att 15 procent av så kallade callbacks görs över andra portar. Om din tjänst endast kan filtrera webtrafik öppnar du då upp för 15 procent av trafiken som kan smita igenom ditt filter.
4. Vilken trafik måste passera filtret? I vissa tjänster måste all trafik passera genom filtret medan andra har mer intelligens inbyggt och bara skickar den trafik som troligen är skadlig genom filtret. Det påverkar hur mycket trafik du måste skicka genom filtret och hur användarupplevelsen blir. Du vill inte påverka användarna mer än nödvändigt och då kan det vara önskvärt att ha en tjänst som bara omdirigerar trafik som behöver passera filtret.
5. Hur dirigeras trafiken? Det finns ett antal olika sätt att omdirigera trafiken. Det kan till exempel vara genom att använda en så kallad PAC-fil som konfigurerar användarens dator att skicka trafiken genom en proxy. I vissa fall kan det behövas tunnlar mot leverantören eller statiska routes. En PAC-fil kan spridas med hjälp av till exempel en grupppolicy i active directory (AD) medan tunnlar och statiska routes kräver handpåläggning på respektive kontor. Oftast räcker det att göra detta arbete en gång men det kan också hända att leverantören uppdaterar sina ip-adresser som tjänsten levereras på och då kan det innebära omkonfiguration på alla kontor. I värsta fall har du inte fått information om detta och en del kontor kan då få problem med att få fram sin internettrafik.
6. Hur anpassningsbar är tjänsten? Går det att skapa regler för olika typer av användare? Ska samma regelverk appliceras för anställda som för gäster? Ska anställda tillhörande olika avdelningar ha olika regler? Vissa tjänster kanske bara klarar att applicera ett regelverk för alla medan andra är mer anpassningsbara. Går det att basera detta på till exempel ett konto i AD eller hur kan användaren autentisera sig? Det kan vara en viktig faktor och en administratör kan behöva ha full behörighet för att kunna komma åt sidor som andra anställda inte skall ha möjlighet till.
7. Kan tjänsten användas hemma? Det är numera standard att anställda tar med sig sin dator hem. Är användarna skyddade även när de är hemma? Om användaren får ett virus eller ransomware hemma och sedan tar med sig datorn till kontoret igen kan detta sprida sig till de övriga anställda. Vissa tjänster kräver att användaren kopplar upp sig via ett virtual private network (VPN) medan andra tjänster fungerar utan detta. Det är viktigt att kunna skydda användarna både på kontoret och hemma.
8. Hur bra är spårbarheten? Det primära i dessa tjänster är så klart att skydda användarna men hur vet du om skyddet har fungerat? Det kan vara svårt att avgöra om det inte finns loggar som visar vilka hot som har blockerats. Loggningen kan också vara olika detaljerad. Visar den vilken användare som hotet blockerades på? När skedde detta? Var kom trafiken ifrån? I allt säkerhetsarbete är uppföljning A och O.

Läs mer: Så säkrar du nätverket i en krypterad värld

Tänk på dessa saker innan du införskaffar en SIG-tjänst så är chansen betydligt större att du väljer en tjänst som du kan leva med.