ZTNA: все, что вам нужно знать о доступе к сети с нулевым доверием
Доступ к сети с нулевым доверием (ZTNA) становится модным словом для ИТ-специалистов и специалистов по безопасности. Многие компании даже стремятся заменить VPN на ZTNA. Это связано с тем , что для предоставления доступа к активам и сетям используется ненадежный метод. Он использует аутентификацию и авторизацию для проверки пользователей и устройств.
Это здорово, когда вам нужна высокая безопасность с хорошим использованием ресурсов, гибкостью и детализацией.
В этой статье я опишу все, что вам нужно знать о доступе к сети с нулевым доверием. Вы узнаете, что это такое, когда и как его использовать. Вы также узнаете, чем он отличается от VPN. Давайте сначала узнаем, что такое ZTNA.
ZTNA: краткое описание
Доступ к сети с нулевым доверием — набирающая популярность модель безопасности. Это позволяет сотрудникам работать с любого устройства, в любом месте, без VPN. ZTNA полагается на аутентификацию и авторизацию, а не на доверие. Это делает его идеальным для сред BYOD и компаний, чтобы отказаться от традиционной модели безопасности на основе периметра.
В модели ZTNA система управления идентификацией выполняет аутентификацию с любого устройства, на котором хранятся учетные данные. затем это устройство получает оценку доверия на основе нескольких факторов, включая местоположение, поведение пользователя и время суток.
Например, если вы входите в систему из разных мест в разные дни. Эти места получают высокий рейтинг доверия. Это означает, что система управления идентификацией может утвердить аутентификацию автоматически. Тем не менее, у нового пользователя или устройства с низким показателем доверия возникнут проблемы с получением одобрения запросов на доступ к системе. Аутентификация может завершиться ошибкой, и перед предоставлением доступа потребуется подтверждение.
ZTNA отличается от традиционных сетевых моделей тем, что не доверяет ни одному устройству. И наоборот, в традиционных сетях все устройства размещаются в доверенных зонах и свободно предоставляют доступ к сетевым ресурсам. Это финишная черта традиционных сетей. Однако ZTNA идет еще дальше. Даже если вы находитесь в доверенной зоне, вам потребуется дополнительная аутентификация перед получением доступа к сетевым ресурсам.
Теперь, когда вы знаете, что такое ZTNA, давайте углубимся в то, как это работает.
Процесс проверки личности ZTNA
ZTNA использует аутентификацию и авторизацию для предоставления сетевого доступа к ресурсам. Аутентификация использует различные методы аутентификации пользователей, включая пароли, биометрические данные и токены. Авторизация же зависит от ролей и разрешений каждого пользователя. Этот процесс также аутентифицирует и авторизует устройства, прежде чем разрешать доступ к сети и подключение.
ZTNA опирается на комбинацию инструментов управления доступом к сети (NAC) и безопасности информации и управления событиями (SIEM). Он использует эти элементы управления и инструменты для управления удостоверениями, устройствами, пользователями, приложениями и данными. ZTNA использует NAC для обеспечения соблюдения политик, защищающих всю сеть от несанкционированных или неуправляемых устройств. SIEM, в свою очередь, анализирует шаблоны активности пользователей на предмет аномального поведения, сигнализируя о потенциальной атаке или утечке данных.
Если вы хотите получить выгоду от ZTNA как компании, первым шагом будет выбор решения NAC. После развертывания вы можете добавить SIEM, чтобы обеспечить более глубокую аналитику и оповещения в реальном времени об угрозах безопасности. Вот 7 наиболее распространенных вариантов использования.
7 вариантов использования ZTNA
У ZTNA есть много способов помочь вашей компании защитить себя в цифровом мире. Вы можете использовать ZTNA в этих 7 самых популярных методах. Давайте рассмотрим их один за другим:
1. Выход VPN, вход ZTNA
Зависимость от VPN уменьшается, поскольку они становятся менее необходимыми. По данным Gartner, к 2023 году 60% компаний перейдут с VPN на ZTNA. ZTNA — это более быстрая и безопасная альтернатива, которой легко могут управлять компании.
2. ZTNA для защиты мультиоблачного доступа
По мере того, как удаленная работа набирает обороты, все больше компаний внедряют облачные приложения и сервисы. Вот почему компании уделяют первоочередное внимание безопасности для защиты своих данных по мере роста числа кибератак. ZTNA помогает вам контролировать свою безопасность, поскольку вы можете установить определенные ограничения доступа и предоставлять доступ только авторизованным пользователям и устройствам! Таким образом, ваши сотрудники получают доступ только к тем ресурсам, которые им необходимы для работы, что ограничивает количество конечных точек, которые кибератаки могут использовать для доступа к вашей информации и атаки программ-вымогателей.
3. ZTNA для снижения риска третьих лиц
Сторонние пользователи, которые получают доступ к сети и используют неуправляемые устройства, подвергаются риску. Кибер-злоумышленники ищут лазейки в системе безопасности, чтобы проникнуть в устройства, и скрываются, чтобы найти данные, чтобы использовать вашу компанию для получения денег. Тем не менее, ZTNA значительно снижает эту угрозу безопасности, гарантируя , что внешние стороны никогда не получат полный контроль над активами вашей компании. Он также блокирует доступ к неавторизованным приложениям, которые могут привести к сбою или повреждению внутри системы, если их не остановить.
4. Ускорение интеграции M&A
Вам часто требуется много лет, чтобы пожинать плоды слияний и поглощений. Это потому, что вы получите перекрывающиеся IP-адреса и сетевые инструменты, которые расширят процесс интеграции. ZTNA помогает быстрее интегрироваться, так как опирается на установленные вами правила и параметры, а не на IP-адреса, которые необходимо проверить.
5. ZTNA для ужесточения контроля доступа
Вы можете спроектировать подход безопасности ZTNA таким образом, чтобы обеспечить минимально возможный доступ для всех пользователей, ограничивая то, что каждый человек знает и делает. Случай с широкой стратегией периметра традиционных решений SaaS заключается в том, что она может позволить кибер-злоумышленникам проникнуть в вашу сеть, если они взломают учетную запись с действительными ключами входа. Это, в свою очередь, открывает двери для полных прав на конфиденциальные корпоративные ресурсы, такие как данные, которые вы храните на фермах серверов. Это также может означать, что киберзлодеи уже получили доступ к служебным компьютерам, скомпрометировав и их.
Ключевое отличие ZTNA от других систем этой категории заключается в том, что она проверяет запросы на подключение перед предоставлением полного неограниченного использования. Он также присваивает каждому запросу проверенную цифровую подпись. Эта подпись соответствует только одной действительной копии, присутствующей в любом месте. Это гарантирует, что ни у каких двух людей никогда не будет прямого пути общения.
6. Снижение затрат на подключение и техническое обслуживание
Облачные сети необходимы для современного бизнеса. Тем не менее, если вы используете традиционное решение VPN, вы добавите расходы и обслуживание, которые только навредят бизнесу, а не помогут ему расти. Подход ZTNA к удаленному доступу пользователей предоставляет вам лучшее из обоих миров. Он обеспечивает быстрое и прямое подключение, снижающее затраты. Это потому, что вам не нужно настраивать VPN на каждом устройстве и тратить время на обучение сотрудников. Это также помогает вам повысить производительность, чтобы облегчить стратегии развертывания рабочей силы в этой постоянно меняющейся среде, которую мы называем «облаком».
7. Защита удаленного доступа к частным приложениям
В вашей компании вы сталкиваетесь с проблемой обеспечения безопасности приложений в нескольких облачных средах при перемещении важных для бизнеса приложений между устройствами. Этим подключающимся устройствам нужен способ определить, кто имеет доступ и какого он типа. Таким образом, никто не сможет завладеть данными вашей компании без вашего разрешения.
ZTNA поможет вам получить контекстно-зависимый доступ к вашим частным приложениям. Это также поможет вам адаптировать этот доступ. Система проверяет вашу личность, прежде чем предоставить разрешение для приложения или программируемого интерфейса. Это означает, что только назначенные пользователи могут открывать определенные файлы. Это также лишает посторонних полного контроля над этими критически важными бизнес-активами.
В чем разница между VPN и ZTNA?
Виртуальные частные сети и ZTNA обеспечивают доступ в масштабах всей сети, но в первую очередь виртуальные частные сети предназначены для защиты всего вашего интернет-соединения. При этом ZTNA разрешает доступ только к определенным ресурсам и часто запрашивает аутентификацию.
Давайте рассмотрим 3 недостатка VPN по сравнению с ZTNA:
1. Адаптация к растущему количеству удаленных пользователей
Влияние пандемии на условия труда привело к зависимости от удаленных рабочих мест. Тем не менее, VPN должны идти в ногу с возросшим спросом, но часто не могут. Многие VPN часто имеют ограниченные ресурсы или небольшую серверную сеть. Это может привести к перегрузке, так как 1 сервер подключает больше пользователей.
Ситуация приводит к более высокой задержке и необходимости иметь дополнительные ресурсы для удовлетворения растущего спроса или в периоды пиковой нагрузки. Это может вызвать перегрузку вашего ИТ-отдела, поскольку они стремятся своевременно предоставлять необходимые ресурсы. Для ZTNA это не проблема, поскольку все, что нужно сделать вашим ИТ-администраторам, — это установить параметры аутентификации и авторизации один раз. Затем система будет работать независимо и использовать имеющиеся вычислительные мощности, чтобы проверить, соответствует ли пользователь параметрам.
2. Изменение политик безопасности и авторизации пользователей
Вам часто приходится управлять многими конечными точками и множеством ресурсов, которые ваши сотрудники используют каждый день. Если вы полагаетесь на VPN для управления доступом, вам придется установить программное обеспечение на все устройства сотрудников. Вы также должны обучить своих сотрудников использованию VPN и тому, как она работает при подключении из разных сетей, например, с работы или дома. Это может занять много времени и быть сложным, поскольку сотрудники должны следить за тем, чтобы VPN была активна при подключении к сети. Вот почему вы найдете ZTNA идеальным решением.
ZTNA — отличный выбор, если вы хотите легко изменить свои политики безопасности и авторизацию пользователей в зависимости от необходимости. Это становится еще проще, если вы используете ABAC и RBAC в ZTNA.
3. Ограничение привилегий пользователей
Виртуальные частные сети подобны главным ключам, поскольку они помогают предоставить пользователям доступ ко всей сети. Этот процесс проверяет каждого пользователя, прежде чем разрешить доступ к неопределенным активам, таким как приложения или данные. А если ты этого не хочешь? Вот где ZTNA пригодится. ZTNA помогает вам проверить и аутентифицировать каждого пользователя и устройство перед открытием доступа. Пользователи должны доказать свою состоятельность посредством доказательства владения. Это создает дополнительный уровень безопасности, поскольку гарантирует, что только авторизованные устройства имеют полные права на использование определенных служб в любой момент времени. Иногда компании используют ZTNA и VPN вместе для усиления безопасности.
Как вы можете реализовать ZTNA?
ZTNA — это безопасная, многоплатформенная, заслуживающая доверия интернет-система, которая упрощает обмен информацией между сетями. Вы можете реализовать доступ к сети с нулевым доверием, используя 2 основные архитектуры: ZTNA, инициируемую конечной точкой или агентом, и ZTNA, инициируемую службой или основанную на службе. Давайте проверим, как вы можете использовать каждый из них.
1. Агентный ZTNA
Эта архитектура близка к спецификации Cloud Security Alliance для программно-определяемых периметров (SDP). В этом случае виртуализированный периметр создает небольшие зоны вокруг пользователей, устройств и приложений.
Когда вы инициируете ZTNA, инициированный конечной точкой, процесс начинается с агента. Ваш контекст безопасности достигает одного из многих контроллеров для записи и анализа. Серверы этой сторонней компании могут иметь доступ или информацию о том, какое устройство вы использовали и в какие временные рамки. Эти серверы собирают эти данные на основе многих факторов, таких как географическое положение, код страны и т. д.
Контроллер ZTNA гарантирует, что любое устройство, пытающееся подключиться через Интернет, является подлинным и имеет разрешение на то, что оно делает. Первым шагом в этом процессе является определение знакомых функций безопасности в вашей сети. Это может быть брандмауэр нового поколения (NGFW), способный применять несколько политик. Вы также можете использовать этот брандмауэр в качестве шлюза между внутренними сетями и внешними подключениями.
После того как вы предоставите доступ, трафик может направляться к месту назначения через сквозное зашифрованное соединение. В обобщенных архитектурах ZTNA один центральный шлюз служит точкой для всех коммуникаций в этой сети.
2. Сервисный ZTNA
ZTNA на основе сервиса напоминает технологию Google BeyondCorp. Тем не менее, это более продвинутая архитектура, основанная на облаке. Процесс не требует наличия агента на устройствах. Вместо этого вы можете полагаться на сторонние услуги, например, на управление устройствами.
Соединитель является ключевым компонентом Systems Manager. Он подключается к приложениям, базам данных и другим системам. Это помогает технологической инфраструктуре вашей компании работать максимально эффективно и результативно.
Возвращаясь к Gartner, в их документации, к сожалению, не упоминается, что составляет эту жизненно важную связь. Тем не менее, в нем указано, что коннекторы существуют в выделенных сетях. Это означает, что соединители имеют высокоскоростные соединения, поэтому вы можете продолжать масштабирование по мере необходимости, не испытывая замедления или простоев. Это отличается от менее продвинутых платформ, которые испытывают замедление или время простоя, когда несколько пользователей разделяют скорость соединения.
Когда вы запрашиваете доступ к приложению, служба в облаке аутентифицирует их. Затем проверка проходит через продукт управления идентификацией, такой как инструмент единого входа. Этот продукт имеет полный контроль над вашим прокси для всех приложений. Он также изолирует приложения от прямых атак и взломов.
Последние мысли
Сетевой доступ с нулевым доверием — это отличный способ обеспечить максимальную безопасность для ваших сотрудников и клиентов. Это может помочь вам избежать дорогостоящих утечек данных, сократив количество атак с захватом учетной записи. ZTNA — это также решение для обеспечения безопасности, которое помогает защитить вашу компанию от рисков, связанных с использованием облачных сред, и повышает удобство работы пользователей. Внедрение ZTNA — непростая задача. Для этого требуется опытный партнер по безопасности, который может гарантировать, что ваш бизнес реализует основные принципы ZTNA, о которых мы упоминали выше, чтобы вы могли воспользоваться всеми его преимуществами.
Часто задаваемые вопросы
Что такое ЗТНА?
Доступ к сети с нулевым доверием (ZTNA) — это система безопасности, которая позволяет сотрудникам работать с любого устройства в любом месте без VPN. Он основан на аутентификации и авторизации, которые отличаются от VPN, основанных на доверии. Это делает его идеальным для компаний, которые хотят отказаться от традиционной модели безопасности на основе периметра.
Для чего я могу использовать ZTNA?
Вы можете использовать ZTNA во многих случаях. Это ненадежный подход к безопасности, который позволяет вам контролировать, кто имеет доступ к каким активам в вашей компании. Вот почему это может быть полезно для снижения риска третьих лиц, ограничения контроля доступа и защиты удаленного доступа к удаленным приложениям. Помимо обеспечения безопасности, ZTNA помогает ускорить интеграцию слияний и поглощений и заменить VPN- подключения.
Чем ZTNA отличается от VPN?
Разница сводится к доверию. Когда VPN устанавливает доверие, она предоставляет доступ ко всей сети активов вашей компании. ZTNA, наоборот, ненадежная система. Он предоставляет доступ к определенным функциям и ресурсам только после аутентификации и проверки авторизации пользователя или устройства. Это поможет вам добиться более строгих мер безопасности для конфиденциальных и важных данных компании.
Как я могу реализовать ZTNA?
Вы можете внедрить ZTNA двумя способами в зависимости от агента или службы. ZTNA на основе агента начинается с агента. Сторонний контроллер собирает данные и информацию о разрешениях на своих серверах. Затем он использует эту информацию для предоставления доступа пользователям. ZTNA на основе служб полагается на службу в облаке для их аутентификации. Затем продукт управления идентификацией, такой как инструмент единого входа, проверяет доступ. Он также изолирует приложения от прямых атак и взломов.
Как ZTNA предоставляет доступ к сети?
ZTNA опирается на комбинацию инструментов управления доступом к сети (NAC) и безопасности информации и управления событиями (SIEM). Он использует NAC для применения политик для защиты всей сети от несанкционированных или неуправляемых устройств. SIEM, в свою очередь, анализирует шаблоны активности пользователей на предмет ненормального поведения. Это может сигнализировать о потенциальной атаке или утечке данных.