W rozmowach o Zero Trust Network niemal zawsze pojawiają się te same elementy: laptopy, serwery, tożsamości, aplikacje, dostęp do chmury. To ważne obszary. Ale w tej całej dyskusji bardzo łatwo pominąć obszar, w którym dane cyfrowe przestają być abstrakcją i zamieniają się w coś znacznie bardziej namacalnego: dokument.A dokument nie żyje wyłącznie w systemie. Krąży między użytkownikiem, aplikacją, skanem, pamięcią urządzenia, wydrukiem, obiegiem akceptacji i fizyczną tacą odbiorczą. Właśnie dlatego urządzenia drukujące i urządzenia wielofunkcyjne (MFP) nie są dziś tłem infrastruktury biurowej. Są jej aktywnym uczestnikiem.W modelu Zero Trust nie ma większego znaczenia, czy mówimy o serwerze, laptopie, kamerze IP czy urządzeniu wielofunkcyjnym. Każdy element infrastruktury, który odbiera, przetwarza lub przekazuje dane, powinien podlegać tym samym zasadom weryfikacji, kontroli i monitorowania – nie wyłączając drukarek. I tu właśnie zaczyna się prawdziwy test dojrzałości organizacji.Zero Trust w druku to NIE teoria. Z perspektywy środowiska druku Zero Trust nie jest kolejną modną etykietą. To odpowiedź na bardzo konkretne, praktyczne ryzyka.Chodzi o nieautoryzowany dostęp do urządzeń. O dokumenty czekające na odbiór przez kogokolwiek, kto akurat przechodzi obok. O dane zapisane w pamięci urządzeń. O ryzyko, że pozornie niegroźne MFP stanie się furtką umożliwiającą przemieszczanie się dalej po sieci. W klasycznym modelu zaufania drukowanie często działało według prostej zasady: skoro urządzenie jest „w tej samej sieci”, to najwyraźniej można z niego korzystać. W praktyce oznaczało to szeroki dostęp do zasobów, które przetwarzają dokumenty finansowe, kadrowe, prawne czy handlowe – często bez silnego uwierzytelnienia i bez realnej kontroli nad tym, kto, kiedy i w jakim kontekście inicjuje operację.Zero Trust odwraca tę logikę. Zadanie drukowania lub skanowania nie powinno być realizowane tylko dlatego, że urządzenie „stoi po naszej stronie muru”. Każdy etap procesu – od przesłania dokumentu, przez jego przechowanie, aż po wydruk lub skan – powinien podlegać weryfikacji tożsamości użytkownika i kontekstu zdarzenia. Dzięki temu nawet przejęcie jednego elementu infrastruktury nie oznacza automatycznie dostępu do danych ani możliwości swobodnego poruszania się dalej po sieci.Mikrosegmentacja zamiast domyślnego zaufaniaTo właśnie w tym sensie drukarki doskonale wpisują się w model mikrosegmentacji i minimalnego zaufania. Nie powinny „widzieć” całego środowiska. Powinny komunikować się tylko z precyzyjnie określonym systemem zarządzającym, w jasno zdefiniowanym celu i na ściśle kontrolowanych zasadach.To nie jest kwestia konfiguracji jednego checkboxa. To zmiana sposobu myślenia: urządzenie drukujące nie jest neutralnym elementem sieci, tylko kolejnym węzłem, który musi być objęty architekturą Zero Trust.Największe wyzwanie zaczyna się wtedy, gdy trzeba tym wszystkim zarządzaćNa slajdach wszystko wygląda zwykle bardzo elegancko. Mikrosegmentacja, minimalny dostęp, brak domyślnego zaufania, weryfikacja tożsamości. Problem zaczyna się dopiero wtedy, gdy do tej pięknej architektury dokładamy rzeczywistość operacyjną.Bo ktoś musi:wejść na panel administracyjny, zmienić konfigurację urządzenia, zaktualizować komponent, wesprzeć użytkownika stojącego przy MFP, wykonać interwencję serwisową, zarządzać kilkunastoma albo kilkuset urządzeniami rozproszonymi między centralą, oddziałami i małymi biurami. – I właśnie tutaj wiele organizacji zaczyna się potykać. Nie dlatego, że nie rozumieją ryzyka. Tylko dlatego, że operacyjna wygoda zaczyna wygrywać z zasadami bezpieczeństwa. Najpierw pojawia się wyjątek w firewallu. Potem tymczasowy dostęp. Potem lokalny skrót, bo „przecież trzeba to jakoś utrzymać – mówi Marek Szczytowski, Biuro Innowacje.W efekcie bardzo nowoczesna twierdza zaczyna uchylać szereg technicznych furtek, z których każda jest decyzją „uzasadnioną operacyjnie”.Jeden punkt kontroli zamiast improwizacji– W dojrzałym modelu bezpieczeństwa nie chodzi tylko o utwardzenie urządzenia. Chodzi o to, by późniejsze zarządzanie nim nie wymagało obchodzenia własnych polityk. Bezpieczna administracja nie jest dodatkiem do architektury; jest jej integralną częścią- dodajeDariusz Szwed, ekspert w obszarze bezpieczeństwa danych, Canon Polska.W architekturze Canon rolę centralnego zwornika środowiska MFP pełni uniFLOW Online. To nie tylko narzędzie do zarządzania drukiem czy skanowaniem. To system, który utrzymuje dyscyplinę – możliwia sprawowanie kontroli nad urządzeniami w modelu Zero Trust.W tym modelu nie ma miejsca na przypadek. Jest jeden punkt kontroli, który:nie wymaga bezpośredniego dostępu do sieci, w której znajduje się urządzenie, pośredniczy w komunikacji administracyjnej, zapewnia ciągłą weryfikację tożsamości i kontekstu dostępu. – To fundamentalna zmiana myślenia. W tradycyjnym modelu administrator „wchodził” na interfejs urządzenia z sieci lokalnej i po prostu robił to, co trzeba. W modelu Zero Trust takie podejście nie jest już neutralne. Jest sprzeczne z architekturą – dodaje Marek Szczytowski, Biuro Innowacje.Urządzenie drukujące nie powinno wystawiać swojego interfejsu konfiguracyjnego światu. Nie powinno przyjmować połączeń przychodzących tylko dlatego, że ktoś chce „na skróty”. Jego jedyną drogą komunikacji powinien być zaufany, centralny system zarządzania.W języku samuraja sprawa jest prosta: nie otwieramy bocznych bram twierdzy dla wygody dowódcy. Każde wejście ma straż, reguły i ślad w kronikach. Tu nie ma improwizacji – jest porządek.Samuraj nie ufa nawet administratorowiTo jedna z tych zasad, które brzmią niekomfortowo, ale ratują skórę.W modelu Zero Trust administrator nie jest uprzywilejowanym wyjątkiem. Jeśli może wykonywać krytyczne operacje konfiguracyjne, to powinien być weryfikowany bardziej rygorystycznie, a nie mniej. Dlatego dostęp administracyjny nie powinien opierać się wyłącznie na haśle.W podejściu opartym o uniFLOW Online krytyczne działania mogą być objęte uwierzytelnianiem wieloskładnikowym (MFA) – niezależnie od tego, czy chodzi o zmianę ustawień globalnych, pojedyncze urządzenie, czy interwencję serwisową.To ważne, bo „mam ustawione hasło” nie jest dziś żadną pieczęcią zaufania. To raczej minimalny próg wejścia.– W modelu Zero Trust administrator nie stoi ponad zasadami. Krytyczne operacje na urządzeniach MFP powinny podlegać tej samej dyscyplinie uwierzytelnienia, kontroli i rozliczalności co inne wrażliwe systemy – dodaje Darek Szwed, Canon Polska.Tunel zamiast wystawionej bramyDruga rzecz jest jeszcze ciekawsza.W wielu środowiskach interfejs WWW urządzenia działa po prostu w sieci lokalnej. Niby wygodnie. Niby nic złego. Problem w tym, że „wygodnie” nie jest synonimem „bezpiecznie”, a wystawiony panel administracyjny to nadal wystawiony panel administracyjny.Dlatego sensowniejszym podejściem jest tunelowany dostęp do interfejsu WWW urządzenia. W modelu opartym o uniFLOW Online połączenie inicjowane jest z poziomu centralnej platformy, odbywa się szyfrowanym kanałem i nie wymaga otwierania portów ani wyjątków w firewallach.Czyli da się zarządzać urządzeniem bez robienia z niego sieciowej altany.Zdalny dostęp do fizycznego panelu (bez osłabiania twierdzy)Zero Trust nie oznacza, że wszyscy muszą teraz cierpieć w imię czystości architektury. Ktoś nadal musi pomagać użytkownikom, diagnozować problemy i wykonywać działania serwisowe.Dlatego ważnym elementem tej układanki jest także tunelowany dostęp do fizycznego interfejsu urządzenia. Dzięki temu można wspierać użytkownika stojącego przy MFP, diagnozować problem zdalnie i wykonywać działania bez fizycznej obecności serwisu – ale nadal pod kontrolą systemu centralnego i z pełnym rejestrem zdarzeń.To kluczowa różnica między dojrzałym podejściem a improwizacją.Jedna polityka dla całego klanuNajbardziej praktyczna zaleta takiego modelu? Bezpieczeństwo nie zależy od tego, gdzie stoi urządzenie.– Centrala, oddział, małe biuro, środowisko domowe – jeśli polityka egzekwowana jest centralnie, to nie ma „lepszych” i „gorszych” lokalizacji. Nie ma miejsc, gdzie zasady obowiązują naprawdę, i takich, gdzie obowiązują tylko częściowo. Centralne zarządzanie, na przykład z wykorzystaniem uniFLOW Online, pozwala aktualizować komponenty, kontrolować stan urządzeń, wykrywać niepożądane zmiany konfiguracji i integrować to z monitoringiem oraz analityką. Czyli zamiast szeregu urządzeń żyjących własnym życiem masz flotę pod kontrolą –dodaje Marek Szczytowski, Biuro Innowacje.Zero Trust zaczyna się tam, gdzie kończą się wyjątkiDlatego Samuraj IT nie pyta, czy dostęp jest wygodny. Pyta, czy jest kontrolowany.Zamiast dyskutować o tym, czy drukarki są zagrożeniem, lepiej zastanowić się, jak nimi zarządzać, żeby nie osłabić całej własnej infrastruktury.Na końcu i tak chodzi o dokumentW całej tej opowieści łatwo zgubić rzecz najważniejszą: celem nie jest sama drukarka. Celem są dane. Dokument. Informacja, która przepływa między światem cyfrowym i fizycznym.To właśnie dlatego druk i skanowanie nie mogą być w architekturze Zero Trust wyjątkiem ani marginesem. To obszar, w którym polityka bezpieczeństwa spotyka się z codzienną praktyką biznesu – i właśnie dlatego musi być zarządzany równie dojrzale jak serwery, aplikacje czy tożsamości.Autorami niniejszego artykułu są Canon Polska — producent i dostawca rozwiązań do druku i obiegu dokumentów, w których bezpieczeństwo jest elementem architektury, a nie dodatkiem.Podejście to widać zarówno w zaawansowanych urządzeniach wielofunkcyjnych serii imageFORCE, tworzonych z myślą o środowiskach o podwyższonych wymaganiach bezpieczeństwa, jak i laserowych drukarkach Canon iSENSYS, które już w podstawowej konfiguracji oferują szyfrowanie danych, silne mechanizmy uwierzytelniania i nowoczesne standardy sieciowe.Biuro Innowacje — Autoryzowany Partner Canon Polska. Od ponad 25 lat specjalizuje się w dostarczaniu do biur nowoczesnych urządzeń kopiujących, drukujących i skanujących. Firma świadczy również usługi informatyczne związane z oprogramowaniem biurowym. Wdraża rozwiązania IT dla małych i średnich przedsiębiorstw, zapewniając sprawne funkcjonowanie środowiska pracy Klienta oraz wspierając automatyzację procesów obiegu dokumentów.Kontakt:do spraw technicznych: pawel.filipczak@biuroinnowacje.pl do spraw handlowych: marek.szczytowski@biuroinnowacje.plWięcej informacji:https://www.biuroinnowacje.pl/programy/uniflow Artykuł jest artykułem sponsorowanym i za jego publikację otrzymaliśmy wynagrodzenie.