Koniec epoki otwartych portów. Jak architektura Zero Trust realizuje wymogi prawne dyrektywy NIS2 i rozporządzenia DORA

Tradycyjny model cyberbezpieczeństwa, oparty wyłącznie na budowaniu „grubego muru” wokół firmowej sieci (podejście perymetrowe), bezpowrotnie odchodzi do lamusa. Z punktu widzenia nowoczesnej architektury IT, a także w świetle nadchodzących regulacji europejskich, wystawianie wewnętrznych usług bezpośrednio na zewnątrz lub utrzymywanie otwartych portów w sieci LAN to nie tylko błąd w sztuce – to rażące ryzyko prawne.

Unijny ustawodawca, wprowadzając dyrektywę NIS2 oraz rozporządzenie DORA, zmienił optykę. Wymaga już nie tylko posiadania procedur na papierze, ale wdrożenia mechanizmów, które realnie podnoszą cyfrową odporność operacyjną. Jak zatem przełożyć skomplikowane wymogi prawne na infrastrukturę serwerową ? Odpowiedzią jest architektura Zero Trust, centralne zarządzanie tożsamością (Identity Provider) oraz mądre zarządzanie ruchem sieciowym (Reverse Proxy).

Ślepa ufność wewnątrz sieci LAN to przeszłość

Wielu przedsiębiorców wychodzi z założenia, że jeśli usługa (np. wewnętrzny system CRM, panel HR, środowisko testowe czy baza danych) działa tylko w lokalnej sieci firmowej, to jest bezpieczna. Praktyka pokazuje jednak, że przełamanie pierwszego zabezpieczenia przy płaskiej sieci wewnętrznej (np. przez atak phishingowy na pracownika lub kompromitację urządzenia końcowego) otwiera atakującemu drogę do całej infrastruktury. Złośliwe oprogramowanie, w tym ransomware, z łatwością skanuje sieć LAN w poszukiwaniu otwartych portów, infekując kolejne maszyny. Coraz intensywniejszy rozwój sieci IoT na jak np. sieci Zigbee, na których operują czujniki temperatury, zbliżeniowe, sterowniki oświetlenia - wszystkie stanowią dodatkowy wektor ataku z wewnątrz sieci LAN uznawaną przecież za bezpieczną.

Rozwiązaniem tego problemu jest segmentacja sieci (sieci VLAN) i całkowite zamknięcie portów aplikacji. W nowoczesnym środowisku (np. opartym na kontenerach Docker) usługi komunikują się wyłącznie we własnych, odizolowanych sieciach wirtualnych. Jedynym punktem styku ze światem – strażnikiem dostępu – staje się Reverse Proxy, takie jak Traefik.

Sam Traefik to jednak tylko brama. Aby zdecydować, kogo przez nią przepuścić, potrzebuje weryfikatora. Tutaj do gry wchodzi Authentik – potężne rozwiązanie klasy Identity Provider (IdP). Wykorzystując mechanizm Forward Auth, Traefik zatrzymuje każdy ruch i odpytuje Authentika: „Czy ten użytkownik ma prawo tu wejść?”. Jeśli odpowiedź brzmi nie, ruch jest ucinany na poziomie sieciowym. Atakujący (lub złośliwy skaner) nie jest w stanie nawet zobaczyć ekranu logowania docelowej aplikacji, ponieważ porty są przed nim zamknięte.

To technologiczne podejście idealnie wpisuje się w ramy prawne, które weszły właśnie w życie.

Dyrektywa NIS2: Koniec wymówek dla braku MFA

Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 (szerzej znana jako NIS2) nakłada na tysiące firm w Polsce obowiązek wdrożenia środków zarządzania ryzykiem. Ustawodawca jest tu wyjątkowo precyzyjny.

Zgodnie z Art. 21 ust. 1 dyrektywy NIS2, podmioty kluczowe i ważne wprowadzają odpowiednie i proporcjonalne środki techniczne, operacyjne i organizacyjne w celu zarządzania ryzykiem dla bezpieczeństwa sieci i systemów informatycznych. W ust. 2 Przepis ten wymienia konkretne minimalne wymagania i wskazuje wprost na obowiązek wdrożenia:

Słowo-klucz to „uwierzytelnianie wieloskładnikowe” (MFA). Wdrożenie MFA w nowoczesnych systemach w chmurze jest stosunkowo proste. Problem pojawia się w przypadku oprogramowania typu legacy – starszych systemów firmowych, które natywnie nie obsługują logowania dwuetapowego, a których przebudowa kosztowałaby setki tysięcy złotych.

Wdrożenie centralnego systemu takiego jak Authentik rozwiązuje ten problem systemowo. Authentik „przykrywa” starsze aplikacje warstwą silnego uwierzytelniania. Logowanie dwuskładnikowe (np. kluczem U2F YubiKey lub aplikacją w telefonie) jest wymuszane na poziomie Reverse Proxy, zanim użytkownik w ogóle dotrze do przestarzałego systemu. W ten sposób firma spełnia wymóg Art. 21 ust. 2 lit. j) dyrektywy NIS2 dla całej swojej infrastruktury bez konieczności kosztownego modyfikowania kodu starych aplikacji.

Rozporządzenie DORA: dowody na kontrolę dostępu

Dla sektora finansowego i jego dostawców technologicznych (ICT) rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 (DORA) stawia poprzeczkę jeszcze wyżej. Wymaga ono udowodnienia pełnej, granularnej kontroli nad tym, kto i na jakich zasadach przetwarza dane.

Kluczowy w tym kontekście jest Art. 9 ust. 4 lit. d rozporządzenia DORA (Ochrona i zapobieganie), który stanowi:

Te „odpowiednie metody zarządzania tożsamością i dostępem” (IAM – Identity and Access Management) muszą opierać się na konkretnych zasadach. Wdrożenie duetu Traefik + Authentik pozwala na fizyczną realizację zasady Least Privilege (najmniejszych uprawnień). Każdy pracownik widzi i ma dostęp tylko do tych aplikacji, które są mu niezbędne do pracy, na podstawie centralnie zarządzanych ról (RBAC).

Co niezwykle istotne z perspektywy prawnej i audytowej, scentralizowany dostawca tożsamości tworzy dowód zgodności (tzw. audit trail). W przypadku kontroli KNF lub audytu bezpieczeństwa, organizacja jest w stanie z jednego miejsca wyeksportować precyzyjne logi udowadniające, kto, o której godzinie, z jakiego adresu IP i przy użyciu jakich składników uwierzytelnienia uzyskał dostęp do krytycznego systemu finansowego.

Aktywna obrona i zapobieganie incydentom (Art. 10 DORA)

Architektura bezpieczeństwa nie jest kompletna bez aktywnego monitorowania. Skoro ruch sieciowy przechodzi przez jeden centralny punkt (Traefik), stwarza to idealne warunki do analizy zagrożeń. W to miejsce doskonale wpisuje się wdrożenie systemu CrowdSec – silnika IPS (Intrusion Prevention System) opartego na analizie behawioralnej i współdzielonej bazie zagrożeń CTI (Cyber Threat Intelligence).

Działając bezpośrednio w infrastrukturze kontenerowej (Docker), CrowdSec analizuje logi dostępowe Traefika w czasie rzeczywistym. Jeśli wykryje, że z danego adresu IP przeprowadzany jest atak typu brute-force na panel logowania lub trwa próba skanowania podatności (wykrywanie otwartych portów), natychmiast blokuje ten adres, zanim atakujący zdąży wyrządzić szkody.

Realizuje to wprost wymogi Art. 10 DORA (Wykrywanie), który nakłada obowiązek posiadania mechanizmów pozwalających na „szybkie wykrywanie nietypowych działań (...) oraz identyfikację potencjalnych istotnych punktów awarii”.

Wymiar operacyjny: Bezpieczeństwo, które się opłaca

Zamknięcie infrastruktury za Reverse Proxy i systemem IAM to nie tylko wypełnienie obowiązków ustawowych. To mierzalne korzyści biznesowe i operacyjne, które obniżają ryzyko finansowe firmy:

1. Błyskawiczny i bezpieczny offboarding: Zabezpieczenie przed tzw. insider threat. Gdy pracownik lub zewnętrzny kontrahent kończy współpracę, jednym kliknięciem w centralnym panelu Authentik odbiera się mu dostęp do absolutnie wszystkich systemów firmowych. Eliminuje to ryzyko pozostawienia „osieroconych” kont w systemach pobocznych.
   

2. Centralizacja certyfikatów: Zarządzanie dziesiątkami certyfikatów SSL/TLS dla wewnętrznych aplikacji to koszmar administracyjny. Traefik automatyzuje ten proces, odnawiając certyfikaty (np. przez Let's Encrypt) w jednym miejscu, co eliminuje przestoje wywołane wygaśnięciem zabezpieczeń.
   

3. Drastyczne zmniejszenie powierzchni ataku: Systemy, których porty nie są widoczne publicznie ani w wewnętrznym LAN, nie mogą zostać łatwo zidentyfikowane przez zautomatyzowane skanery złośliwych grup ransomware.

   
   

Technologia i prawo muszą mówić jednym głosem

Wdrażanie regulacji pokroju NIS2 czy DORA nie może sprowadzać się do tworzenia martwej dokumentacji. Organy nadzorcze będą wymagały udowodnienia, że deklarowane w politykach bezpieczeństwa środki (MFA, segmentacja, zarządzanie tożsamością) fizycznie działają w infrastrukturze przedsiębiorstwa.

Odpowiednio skonstruowany stos technologiczny – oparty na izolacji sieci, inteligentnym proxy i centralnej tożsamości – jest dziś fundamentem, na którym buduje się nie tylko architekturę IT, ale przede wszystkim bezpieczeństwo prawne całej organizacji.