Что такое ZTNA?

Сетевой доступ с нулевым доверием (ZTNA) — это решение для ИТ-безопасности, обеспечивающее защищенный удаленный доступ к приложениям, данным и сервисам компании на основе четко определенных политик контроля доступа. Отличие ZTNA от виртуальных частных сетей (VPN) состоит в том, что доступ предоставляется только к определенным сервисам или приложениям, тогда как сети VPN обеспечивают доступ ко всей сети. Поскольку все больше пользователей получают доступ к ресурсам из дома или других мест, решения ZTNA помогают устранить недостатки других технологий и методов обеспечения безопасного удаленного доступа.

Переход к модели нулевого доверия

Упрощение перехода к модели нулевого доверия

Принцип работы ZTNA

При использовании ZTNA доступ к определенным приложениям или ресурсам предоставляется только после аутентификации пользователя в сервисе ZTNA. После аутентификации ZTNA предоставляет пользователю доступ к определенному приложению, используя защищенный зашифрованный туннель, который обеспечивает дополнительный уровень безопасности благодаря сокрытию IP-адресов приложений и сервисов, которые в противном случае были бы видимыми.

Таким образом, решения ZTNA действуют аналогично программно-определяемым периметрам (SDP), полагаясь на ту же концепцию «темного облака», которая предотвращает визуализацию любых других приложений и сервисов, к которым они не имеют доступа. Это также обеспечивает защиту от горизонтальных атак, поскольку, даже если злоумышленник получит доступ, он не сможет выполнить сканирование для поиска других сервисов.

Для каких сценариев использования предназначен сервис ZTNA?

Аутентификация и доступ. Основное предназначение ZTNA заключается в предоставлении высокоточного механизма доступа, основанного на идентификаторах пользователя. В то время как сеть VPN предоставляет широкий доступ к сети на основе IP-адресов после авторизации, ZTNA обеспечивает ограниченный и гибкий доступ к определенным приложениям и ресурсам. ZTNA может гарантировать более высокий уровень безопасности с помощью политик контроля доступа, зависящих от местоположения или устройства. Эти политики препятствуют доступу нежелательных или скомпрометированных устройств к ресурсам компании. Это можно противопоставить некоторым сетям VPN, которые обеспечивают устройствам, принадлежащим сотрудникам, те же права доступа, что и устройствам администраторов в локальной среде.

Комплексный контроль и визуализация. Если злоумышленник использует свой доступ с целью нанесения вреда либо если учетные данные пользователя потеряны или украдены, может возникнуть проблема, поскольку ZTNA не проверяет пользовательский трафик после аутентификации. Внедряя ZTNA в решение по защите доступа на границе (SASE), компания может получить преимущества безопасности, масштабируемости и сетевых возможностей, необходимых для безопасного удаленного доступа, а также мониторинга после подключения. Это поможет предотвратить потерю данных, вредоносные действия или компрометацию учетных данных пользователей.

Преимущества ZTNA

ZTNA позволяет выполнять подключение пользователей, приложений и данных, даже если они находятся вне корпоративной сети. Такой сценарий становится все более распространенным в современных многооблачных средах, где приложения на основе микрослужб могут размещаться в нескольких облаках, а также в локальной среде. Современным организациям необходимо обеспечить доступность цифровых ресурсов для базы распределенных пользователей в любой точке, в любое время и на любом устройстве.

ZTNA удовлетворяет эту потребность, предоставляя гибкий доступ с учетом контекста для важных бизнес-приложений без риска уязвимости других сервисов для потенциальных атак злоумышленников.

Модель ZTNA, предложенная компанией Gartner, помогает избежать предоставления чрезмерных прав доступа работодателям, подрядчикам и другим пользователям, которым нужен только очень ограниченный доступ. Концепция этой модели состоит в том, что ни один компонент не может считаться доверенным, пока это не будет доказано. Более того, необходимо повторно выполнять аутентификацию каждый раз, когда происходят любые изменения в подключении (местоположение, контекст, IP-адрес и т. д.).

Различия между VPN и ZTNA

Между VPN и ZTNA есть несколько различий. Прежде всего, сети VPN предназначены для обеспечения доступа в масштабе всей сети, а ZTNA предоставляет доступ к определенным ресурсам и часто требует повторной аутентификации.

Ниже приведены некоторые недостатки VPN по сравнению с ZTNA.

Использование ресурсов. По мере роста числа удаленных пользователей нагрузка на VPN может привести к неожиданно высокой задержке, для чего может потребоваться добавить ресурсы в VPN, чтобы удовлетворить растущий спрос или справиться с пиковой нагрузкой. Кроме того, это может создать нагрузку на персонал ИТ-отдела.

Гибкость и адаптивность. Сети VPN не обеспечивают такой гибкости, как ZTNA. Помимо этого, может быть сложно установить и настроить программное обеспечение VPN на всех устройствах конечных пользователей, которые требуется подключить к корпоративным ресурсам. В то же время намного удобнее добавлять или удалять политики безопасности и авторизовать пользователей в зависимости от их непосредственных бизнес-потребностей. ABAC (управление доступом на основе атрибутов) и RBAC (управление доступом на основе ролей) в ZTNA упрощают эту задачу.

Детализация. Внутри периметра VPN пользователь получает доступ ко всей системе. ZTNA использует противоположный подход, не предоставляя доступа совсем, если ресурс — приложение, данные или сервис — специально не авторизован для этого пользователя. В отличие от VPN, ZTNA обеспечивает непрерывную проверку на основе аутентификации учетных данных. Каждый пользователь и каждое устройство проверяются и аутентифицируются, прежде чем им будет предоставлен доступ к определенным приложениям, системам или другим ресурсам. VPN и ZTNA можно использовать в сочетании друг с другом, например для усиления безопасности в особо уязвимом сегменте сети, обеспечивая дополнительный уровень защиты на случай компрометации VPN.

Внедрение ZTNA

Существует два подхода к внедрению решения ZTNA: оно может быть инициировано конечным устройством или сервисом. Как следует из названия, в сетевой архитектуре с нулевым доверием, инициируемой конечным устройством, пользователь инициирует доступ к приложению с устройства, подключенного к конечному устройству, аналогично SDP. Агент, установленный на устройстве, взаимодействует с контроллером ZTNA, который обеспечивает аутентификацию и подключается к необходимому сервису.

В то же время в ZTNA с инициацией сервисом соединение между приложением и пользователем инициируется брокером. Для этого требуется компактный соединитель ZTNA, который будет находиться в бизнес-приложениях, расположенных в локальной среде или в средах поставщиков облачных сервисов. Как только исходящее подключение от запрошенного приложения аутентифицирует пользователя или другое приложение, трафик будет проходить через поставщика услуг ZTNA, изолируя приложения от прямого доступа через прокси-сервер. Преимущество заключается в том, что на устройствах конечных пользователей не требуется наличие агента. Это делает данный способ более привлекательным в случаях, когда для доступа консультантов или партнеров используются неуправляемые устройства или устройства BYOD.

Кроме того, существует две модели предоставления доступа к сети по принципу нулевого доверия: отдельное решение ZTNA или ZTNA как услуга. Ниже приведены основные различия этих моделей.

Отдельное решение ZTNA требует от компании развертывания всех элементов ZTNA и управления ими. При этом ZTNA находится на границе среды (в облаке или в ЦОД), обеспечивая безопасность подключений. Несмотря на то что это решение хорошо подходит для компаний, которые не используют облачные технологии, его развертывание, администрирование и обслуживание становятся дополнительной проблемой.

Используя ZTNA как облачный сервис, компании могут воспользоваться инфраструктурой поставщика облачных сервисов для всех процессов: от развертывания до применения политик. В этом случае компания просто приобретает пользовательские лицензии, развертывает соединители в защищенных приложениях и позволяет поставщику облачных сервисов или ZTNA предоставлять возможности подключения, ресурсы и инфраструктуру. Это упрощает управление и развертывание, а решение ZTNA, предоставляемое в облаке, может обеспечить выбор оптимального пути передачи трафика, чтобы гарантировать минимальную задержку для всех пользователей.


По оценкам Gartner, более 90% компаний внедряют ZTNA как услугу.

 

Связанные решения и продукты

Внедрение безопасности по модели нулевого доверия

Защитите данные и приложения с помощью непрерывной проверки.

Решения для распределенной рабочей области

Предоставьте сотрудникам возможность работать из любой точки.