В этой статье пойдет речь о ZTNA и VPN. Читатели узнают о том, почему многие компании переходят с VPN на доступ к сети с нулевым уровнем доверия (ZTNA), на сколько подобный переход важен и происходит ли он своевременно.
Введение
Современному бизнесу требуется современный подход к сетевой безопасности и решениям для контроля доступа – они должны обеспечивать централизованное управление и унифицированную видимость в гибридных и удаленных средах.
Раньше имело смысл маршрутизировать каждое сетевое подключение через центр обработки данных, поскольку там размещались все бизнес-приложения. Однако теперь большинство приложений находятся в облаке – или в нескольких облаках.
VPN, который был разработан для традиционных сетевых архитектур, больше не может обеспечивать защиту, необходимую при работе и коммуникации в гибридных или мультиоблачных средах. Кроме того, он создает ненужную сложность, снижает производительность, расходует ресурсы впустую и является дорогостоящим.
Неудивительно, что 63% организаций переходят от виртуальной частной сети (VPN) к сетевому доступу с нулевым доверием (ZTNA), поскольку хотят снизить киберриски по всей поверхности атаки в рамках более широкой стратегии Zero Trust.
Что такое ZTNA?
Сетевой доступ с нулевым доверием (англ. «Zero Trust Network Access (ZTNA)») – это ориентированная на пользователя технология, которая позволяет работникам получать удаленный доступ к конкретным приложениям на основе детализированных, установленных политик контроля доступа как в облаке, так и локально. С помощью ZTNA авторизованные пользователи могут работать в системе удаленно без получения доступа к неиспользуемым ресурсам и данным, что повышает безопасность сети и снижает киберриски.
Что такое Zero Trust?
Нулевое доверие (англ. «Zero Trust») – это модель безопасности, которая предполагает, что все устройства и пользователи, в том числе находящиеся внутри периметра сети, не должны вызывать доверия и, следовательно, должны быть проверены перед предоставлением доступа к любым ресурсам.
SASE и Zero Trust могут работать вместе для обеспечения безопасности и оптимизации сетевых подключений для пользователей и устройств. Это становится возможным из-за особенности Zero Trust – постоянно проверять подлинность и разрешать доступ к ресурсам на основе принципа «Никогда не доверяй, всегда проверяй». Сочетание SASE и нулевого доверия обеспечивает более всеобъемлющую и безопасную сетевую архитектуру, способную защитить компанию как от внешних, так и от внутренних угроз.
ZTNA и SASE
Архитектура SASE ограничивает доступ к ресурсам, включая смартфоны, сайты, облачные приложения и центры обработки данных. Одним из ключевых элементов SASE выступает ZTNA, которая сама по себе защищает определенную часть сети, используемую внутри бизнеса. Однако при использовании ZTNA в архитектуре SASE ИБ-отдел также получает доступ к расширенной службе безопасности для контекстуальной идентификации (включая местоположение и состояние безопасности устройства пользователя), чтобы выработать более эффективную политику контроля за данными.
К примеру, по мере перехода современных предприятий на приложения SaaS и облачные сервисы компаниям приходится лучше контролировать перемещение данных между удаленными сотрудниками, которые получают доступ к облачным приложениям, размещенным в частных и общедоступных сетях. Для полной безопасности удаленной деятельности требуется детальный контроль, обеспечиваемый внедрением ZTNA в архитектуру SASE.
ZTNA или VPN?
В то время как VPN отлично справлялся со своей целью в «локальном» мире, ускоренный переход в облако выявил его недостатки, и, как результат, стали появляться новые технологии. ZTNA считается эволюцией удаленного доступа VPN, и на это есть свои причины.
Уменьшение поверхности атаки
VPN расширяет сетевую структуру на множество сайтов, открытых в разных местах, что включает в себя заведомо небезопасные домашние компьютеры. Это расширяет возможности осуществления атак посредством использования защищенных и незащищенных сетей вместе, включая домашние сети.
Таким образом, в то время как сотрудник удаленно может получать доступ только к определенным рабочим приложениям, другие пользователи или устройства получают возможность распространять вредоносное ПО через незащищенный компьютер, подключенный к VPN. Учитывая, что 82% утечек данных связаны с человеческим фактором, чем больше устройств и пользователей имеют доступ ко всей сети организации, тем выше киберриск.
Стоит отметить, что ZTNA позволяет более детально контролировать, кто и к чему может получить доступ. Он работает по принципу наименьших привилегий, тем самым позволяя устанавливать только определенные соединения приложения с пользователем – создавая более ограниченный периметр для поверхности атаки.
Кроме того, ZTNA постоянно проверяет уровень доверия пользователей и устройств и предоставляет доступ только к интерфейсу веб-портала. Таким образом, даже если пользователь скомпрометирован, у киберпреступника не будет доступа, необходимого для того, чтобы осуществить атаку по всей поверхности.
Минимизация киберрисков
VPN рассматривает аутентификацию перманентно, что означает, что после того, как пользователю будет предоставлен доступ к сети, он сможет оставаться подключенным в течение длительного (или неопределенного) периода времени, пока его учетные данные будут оставаться действительными. Теоретически, кто-то может украсть ноутбук работника и получить мгновенный доступ к сети организации.
ZTNA выходит за рамки простого подтверждения учетных данных посредством следующих особенностей:
- проверка доступа в определенный момент времени путем проверки того, что установлены исправления, приложение подключено к домену;
- проверка подлинности личности пользователя с помощью многофакторной аутентификации (MFA);
- проверка того, к чему пользователь получает доступ, и других маркеров поведения, среди которых: в какое время человек обычно работает, из какого места, какие приложения использует;
- опора на базовые принципы Zero Trust.
После предоставления доступа ZTNA непрерывно оценивает риски, выполняя проверки подлинности пользователя, а также отслеживая работу устройства в соответствии с установленными политиками безопасности. Например, если пользователь внезапно начинает заниматься дампингом файлов с помощью PowerShell, оценка рисков немедленно повысится, и соединение будет разорвано. Аналогичным образом, при обнаружении вредоносного ПО и изменении системы безопасности устройства доступ будет мгновенно прекращен.
Улучшенная масштабируемость
Поскольку VPN предоставляет пользователю доступ ко всему, предприятиям требовалась определенная пропускная способность сети, чтобы он мог функционировать, не влияя на скорость базовых рабочих процессов. К сожалению, устаревшие технологии VPN не способны масштабироваться и обеспечивать необходимый пользовательский опыт для работников компаний.
С помощью ZTNA конкретное подключение приложения к пользователю не требует такой пропускной способности, как в случае с VPN. ZTNA предназначен для быстрого масштабирования при сохранении высокой производительности и последовательности, необходимых для современных решений в области безопасности, без негативного влияния на пользовательский опыт.
Советы по внедрению ZTNA вместо VPN
Замена VPN на ZTNA может показаться непосильной задачей, особенно учитывая огромное количество приложений, устройств и пользователей, с которыми приходится иметь дело предприятиям.
Замена VPN – дело не быстрое
Обновление системы безопасности, касающейся получения доступа удаленно, следует воспринимать как долгое путешествие, подобное миграции приложений из on-prem в облако. Рекомендуется начать с переноса приложений с низким уровнем риска к решениям ZTNA, чтобы выявить любые проблемы, а затем следует наращивать присутствие ZTNA-технологий (с той скоростью, с которой может бизнес) до тех пор, пока VPN не будет исключен полностью.
Автоматизация настройки
Ручная настройка ZTNA может показаться непосильной задачей для ИБ-групп любого размера, учитывая, что необходимо добавить эту технологию в каждое приложение. Следует подбирать решение ZTNA, которое использует автоматическое обнаружение приложений и сможет просматривать сетевой трафик и определять, где размещено приложение и как к нему можно получить доступ. Подобная практика также поможет выявить любое приложение, которое остается незамеченным при использовании VPN.
Финансовый вопрос
Стоит остерегаться «скрытых» трат. Многие поставщики ZTNA используют ту же модель ценообразования, что и VPN – компаниям приходится платить не только за каждого пользователя, но и за каждое приложение, а если организация работает в облаке, с нее также взимается плата за передачу данных. Нужно искать поставщика с ценообразованием на основе потребления, что будет взимать плату только за идентификационные данные, независимо от того, подключен ли пользователь к нескольким устройствам.
ZTNA для модернизации SOC
Частью модернизации SOC является способность предоставлять информацию о том, что происходит во всей IТ-инфраструктуре. Поскольку VPN предоставляет доступ ко всему, отсутствие контекста, связанного с рискованным поведением пользователя, устройств и приложений, приводит к некачественной и недействительной информации.
Решение ZTNA может предоставлять более детализированную информацию, поскольку оно напрямую подключено к конечной точке и приложению и непрерывно проверяет весь трафик. Это помогает ИБ-командам определить базовый уровень риска, еще больше сводя к минимуму любой потенциальный ущерб от несанкционированного доступа.
Заключение
Конвергенция является ключом к укреплению безопасности. Хотя ZTNA может работать независимо, технология более эффективна при ее использовании с архитектурой SASE. Интеграция ZTNA с защищенными веб-шлюзами (SWG) и брокерами безопасности облачного доступа (CASB) обеспечивает более оптимизированную и мощную защиту на всех этапах атаки.
Автор переведенной статьи: компания Trend Micro.
Актуальные вакансии по ИБ: https://cisoclub.ru/vacancy/. Отправить резюме во все популярные IT-компании: https://cisoclub.ru/jobmail/
Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.
