Сетевой доступ с нулевым доверием (ZTNA) — это решение для ИТ-безопасности, обеспечивающее защищенный удаленный доступ к приложениям, данным и сервисам компании на основе четко определенных политик контроля доступа. Отличие ZTNA от виртуальных частных сетей (VPN) состоит в том, что доступ предоставляется только к определенным сервисам или приложениям, тогда как сети VPN обеспечивают доступ ко всей сети. Поскольку все больше пользователей получают доступ к ресурсам из дома или других мест, решения ZTNA помогают устранить недостатки других технологий и методов обеспечения безопасного удаленного доступа.
При использовании ZTNA доступ к определенным приложениям или ресурсам предоставляется только после аутентификации пользователя в сервисе ZTNA. После аутентификации ZTNA предоставляет пользователю доступ к определенному приложению, используя защищенный зашифрованный туннель, который обеспечивает дополнительный уровень безопасности благодаря сокрытию IP-адресов приложений и сервисов, которые в противном случае были бы видимыми.
Таким образом, решения ZTNA действуют аналогично программно-определяемым периметрам (SDP), полагаясь на ту же концепцию «темного облака», которая предотвращает визуализацию любых других приложений и сервисов, к которым они не имеют доступа. Это также обеспечивает защиту от горизонтальных атак, поскольку, даже если злоумышленник получит доступ, он не сможет выполнить сканирование для поиска других сервисов.
Аутентификация и доступ. Основное предназначение ZTNA заключается в предоставлении высокоточного механизма доступа, основанного на идентификаторах пользователя. В то время как сеть VPN предоставляет широкий доступ к сети на основе IP-адресов после авторизации, ZTNA обеспечивает ограниченный и гибкий доступ к определенным приложениям и ресурсам. ZTNA может гарантировать более высокий уровень безопасности с помощью политик контроля доступа, зависящих от местоположения или устройства. Эти политики препятствуют доступу нежелательных или скомпрометированных устройств к ресурсам компании. Это можно противопоставить некоторым сетям VPN, которые обеспечивают устройствам, принадлежащим сотрудникам, те же права доступа, что и устройствам администраторов в локальной среде.
Комплексный контроль и визуализация. Если злоумышленник использует свой доступ с целью нанесения вреда либо если учетные данные пользователя потеряны или украдены, может возникнуть проблема, поскольку ZTNA не проверяет пользовательский трафик после аутентификации. Внедряя ZTNA в решение по защите доступа на границе (SASE), компания может получить преимущества безопасности, масштабируемости и сетевых возможностей, необходимых для безопасного удаленного доступа, а также мониторинга после подключения. Это поможет предотвратить потерю данных, вредоносные действия или компрометацию учетных данных пользователей.
ZTNA позволяет выполнять подключение пользователей, приложений и данных, даже если они находятся вне корпоративной сети. Такой сценарий становится все более распространенным в современных многооблачных средах, где приложения на основе микрослужб могут размещаться в нескольких облаках, а также в локальной среде. Современным организациям необходимо обеспечить доступность цифровых ресурсов для базы распределенных пользователей в любой точке, в любое время и на любом устройстве.
ZTNA удовлетворяет эту потребность, предоставляя гибкий доступ с учетом контекста для важных бизнес-приложений без риска уязвимости других сервисов для потенциальных атак злоумышленников.
Модель ZTNA, предложенная компанией Gartner, помогает избежать предоставления чрезмерных прав доступа работодателям, подрядчикам и другим пользователям, которым нужен только очень ограниченный доступ. Концепция этой модели состоит в том, что ни один компонент не может считаться доверенным, пока это не будет доказано. Более того, необходимо повторно выполнять аутентификацию каждый раз, когда происходят любые изменения в подключении (местоположение, контекст, IP-адрес и т. д.).
Между VPN и ZTNA есть несколько различий. Прежде всего, сети VPN предназначены для обеспечения доступа в масштабе всей сети, а ZTNA предоставляет доступ к определенным ресурсам и часто требует повторной аутентификации.
Ниже приведены некоторые недостатки VPN по сравнению с ZTNA.
Использование ресурсов. По мере роста числа удаленных пользователей нагрузка на VPN может привести к неожиданно высокой задержке, для чего может потребоваться добавить ресурсы в VPN, чтобы удовлетворить растущий спрос или справиться с пиковой нагрузкой. Кроме того, это может создать нагрузку на персонал ИТ-отдела.
Гибкость и адаптивность. Сети VPN не обеспечивают такой гибкости, как ZTNA. Помимо этого, может быть сложно установить и настроить программное обеспечение VPN на всех устройствах конечных пользователей, которые требуется подключить к корпоративным ресурсам. В то же время намного удобнее добавлять или удалять политики безопасности и авторизовать пользователей в зависимости от их непосредственных бизнес-потребностей. ABAC (управление доступом на основе атрибутов) и RBAC (управление доступом на основе ролей) в ZTNA упрощают эту задачу.
Детализация. Внутри периметра VPN пользователь получает доступ ко всей системе. ZTNA использует противоположный подход, не предоставляя доступа совсем, если ресурс — приложение, данные или сервис — специально не авторизован для этого пользователя. В отличие от VPN, ZTNA обеспечивает непрерывную проверку на основе аутентификации учетных данных. Каждый пользователь и каждое устройство проверяются и аутентифицируются, прежде чем им будет предоставлен доступ к определенным приложениям, системам или другим ресурсам. VPN и ZTNA можно использовать в сочетании друг с другом, например для усиления безопасности в особо уязвимом сегменте сети, обеспечивая дополнительный уровень защиты на случай компрометации VPN.
Существует два подхода к внедрению решения ZTNA: оно может быть инициировано конечным устройством или сервисом. Как следует из названия, в сетевой архитектуре с нулевым доверием, инициируемой конечным устройством, пользователь инициирует доступ к приложению с устройства, подключенного к конечному устройству, аналогично SDP. Агент, установленный на устройстве, взаимодействует с контроллером ZTNA, который обеспечивает аутентификацию и подключается к необходимому сервису.
В то же время в ZTNA с инициацией сервисом соединение между приложением и пользователем инициируется брокером. Для этого требуется компактный соединитель ZTNA, который будет находиться в бизнес-приложениях, расположенных в локальной среде или в средах поставщиков облачных сервисов. Как только исходящее подключение от запрошенного приложения аутентифицирует пользователя или другое приложение, трафик будет проходить через поставщика услуг ZTNA, изолируя приложения от прямого доступа через прокси-сервер. Преимущество заключается в том, что на устройствах конечных пользователей не требуется наличие агента. Это делает данный способ более привлекательным в случаях, когда для доступа консультантов или партнеров используются неуправляемые устройства или устройства BYOD.
Кроме того, существует две модели предоставления доступа к сети по принципу нулевого доверия: отдельное решение ZTNA или ZTNA как услуга. Ниже приведены основные различия этих моделей.
Отдельное решение ZTNA требует от компании развертывания всех элементов ZTNA и управления ими. При этом ZTNA находится на границе среды (в облаке или в ЦОД), обеспечивая безопасность подключений. Несмотря на то что это решение хорошо подходит для компаний, которые не используют облачные технологии, его развертывание, администрирование и обслуживание становятся дополнительной проблемой.
Используя ZTNA как облачный сервис, компании могут воспользоваться инфраструктурой поставщика облачных сервисов для всех процессов: от развертывания до применения политик. В этом случае компания просто приобретает пользовательские лицензии, развертывает соединители в защищенных приложениях и позволяет поставщику облачных сервисов или ZTNA предоставлять возможности подключения, ресурсы и инфраструктуру. Это упрощает управление и развертывание, а решение ZTNA, предоставляемое в облаке, может обеспечить выбор оптимального пути передачи трафика, чтобы гарантировать минимальную задержку для всех пользователей.
По оценкам Gartner, более 90% компаний внедряют ZTNA как услугу.
Защитите данные и приложения с помощью непрерывной проверки.
Предоставьте сотрудникам возможность работать из любой точки.