Ersätt VPN Light: lösningar och arbetssätt
Att tillåta icke hanterade och okända enheter att ansluta till KI:s interna nätverk och IT-lösningar innebär enormt stora risker för våra IT-miljöer - risker som inte är acceptabla då säkra alternativ erbjuds från IT-avdelningen. På den här sidan beskrivs lösningar och arbetssätt kopplade till olika behov och tekniska förutsättningar.
Varför avvecklas VPN Light? Säkerhetsmässig och juridisk bakgrund
VPN Light, som ger okontrollerade datorer åtkomst till KI:s interna IT‑resurser med känslig information ökar risken för intrång, spridning av skadlig kod, obehörig åtkomst och dataexfiltration, eftersom klienternas säkerhetsnivå (så som patchning, EDR/antivirus, konfiguration och identitetsskydd) inte kan verifieras eller upprätthållas.
Den typen av ”implicit tillit” gör det svårt att säkerställa principerna om minsta behörighet, stark autentisering och segmentering, och försvårar även spårbarhet och incidenthantering när enheter saknar central loggning och kontroll.
Detta står i konflikt med de ökade krav som följer av NIS2 och svensk cybersäkerhetslagstiftning om att skydda nätverk och informationssystem samt säkerställa lämpliga tekniska och organisatoriska säkerhetsåtgärder för att skydda informationstillgångar.
Även MSBFS 2020:7 (och motsvarande krav i etablerade säkerhetsramverk) betonar behovet av styrning av åtkomst och skydd mot obehörig spridning; därför bör åtkomst till interna resurser med känslig information endast medges från hanterade och kontrollerade enheter, via säkra och verifierbara åtkomstmodeller.
Krävs VPN för att nå det du ska arbeta med?
ITA har aktivt arbetat för att minska andelen system och tjänster som kräver VPN på distans - och de allra flesta nås i dag genom att enkelt logga in med ditt KI-ID. Längst ned på sidan om KI-VPN hittar du en aktuell listning av vad som kräver VPN och inte.
Behöver du inte nyttja VPN för just det du arbetar med för stunden, så kan du helt enkelt strunta i att koppla upp dig.
Linux-användare
KI och ITA har inte stöd för Linux som primär arbetsdator. Den centralt hanterade klienten med Windows eller Mac-plattform, Karyon, har alla de olika säkerhetsfunktioner som krävs för att skydda KI:s information och IT-lösningar.
ITA har fått i uppdrag av KI:s konsistorium och ledning att hantera de gemensamma och centrala IT-lösningarna. Väljer du att stå utanför detta och använda en egen Linuxdator som din primära arbetsdator så kommer du i praktiken inte kunna nyttja de centrala lösningarna i samma utsträckning som när du använder en Karyon-klient.
Rekommendationen är att gå över till Karyon-klienten för dagligt arbete. En majoritet av de tillämpningar som görs på Linux är också möjliga på en Mac i dag.
Tekniska möjligheter till Linux på Karyon-klient
Använder du en Windows 11-klient kan du använda WSL för ”terminalbaserad” Linux.
Du kan också använda WMware för att köra "virtuell full GUI Linux", på Windows eller Mac.
Använd en IAAS-Linuxserver
Byt till KI:s Karyon-klient och beställ en IAAS/IAAS+ -Linuxserver genom ITA, placerad i i KI:s datacenter.
Använd sedan SSH för att arbeta mot din server som är aktiv och kan nås dygnet runt. Det är inga problem att nå din server utanför campus, till exempel via SSH eller KI:s VPN-tjänst.
Vid hårdvarunära utveckling/instrument kopplad till Linux-dator
1. Byt till KI:s Karyon-klient och skaffa en ”headless” dator (desktop, NUC eller liknande) och installera Linux på den.
2. Koppla din hårdvara/instrument till den dedikerade Linuxdatorn och anslut denna till labb-nätet. Beställ därefter en anslutning till labbnätet genom att skapa ett ärende i KI Self Service, och ange datorns MAC-adress.
3. Administrera datorn via SSH, VNC eller dylikt från din Karyon-klient. Du når din labb-dator från din Karyon-klient uppkopplad på KI:s VPN-tjänst också utanför campus.
Administrering av servrar, filservrar och hantering av stora datamängder
Administrera IAAS-servrar utan en Karyon-klient
Linux-server: Aktivera SSH med certifikatinloggning, använd fail2ban för att automatiskt blockera otillåtna inloggningsförsök. Då kommer du kunna nå din server från Internet.
För detta behöver du begära en brandväggsöppning - gör det genom att skapa ett ärende i KI Self Service.
Windows-server, alternativ 1: Använd Karyon-klient, KI-VPN och sedan administrerar du din server som du brukar genom RDP, VNC eller liknande.
Windows-server, alternativ 2: Använd KI-VDI, logga in med ditt KI-ID, och sedan administrerar du din server som du brukar genom RDP, VNC eller liknande.
Arbete med stora datamängder och lagring
Använd KI:s objektlagring (S3) eller filservrar och en Karyon-klient.
Observera dock att direkt arbete mot en filserver via VPN aldrig är en optimal lösning då prestandaproblem uppstår.
Behöver du jobba aktivt mot en intern filserver med stora datamängder så ska du befinna dig på Campus eller nyttja alternativet IAAS/IAAS+ i stället.
Om du behöver nå specifika P:\ eller L:\-mappar
KI:s interna filservrar (fillagring) ska enbart nås med managerade Karyon-klienter utifrån säkerhetsperspektivet. Undantaget är labb-mappar som nås från utrustning på labb-nätet. Har du en dator på labbnätet idag så når du L-mappar när du är på Campus.
P-mappar är interna mappar för skyddsvärd data och nås bara via managerade Karyon-klienter.
Externa samarbetspartners och datahantering
Externa samarbetspartner som behöver åtkomst till delad data
KI har specifika tjänster för att dela data med externa parter som MFT och SciShare. Ska parten aktivt ”jobba” med samma data så ska hen anknytas och ha en KI-identitet och Karyon-klient eller använda KI-VDI.
Teams och SharePoint som samarbetsyta
Du kan nyttja en samarbetsyta i Teams/SharePoint för att bjuda in externa parter att jobba med din data om du har tillstånd som krävs (etiskt, datahanteringsplan, GDPR och så vidare) på plats för att göra detta.
Externa konsulter som behöver åtkomst till interna system för supportåtaganden
Använd KI-VDI: din konsult (med supportkonsultkonto) loggar in i en VDI-klient för att sedan gå vidare till det interna systemet som ska supporteras.