Доступ к сети по принципу нулевого доверия (ZTNA)

Сценарии использования ZTNA

Аутентификация и доступ. Основное предназначение ZTNA заключается в предоставлении высокоточного механизма доступа, основанного на учетных данных пользователя. В то время как сеть VPN предоставляет широкий доступ к сети на основе IP-адресов после авторизации, ZTNA обеспечивает ограниченный и гибкий доступ к определенным приложениям и ресурсам. ZTNA может гарантировать более высокий уровень безопасности с помощью политик контроля доступа, зависящих от местоположения или устройства. Эти политики препятствуют доступу нежелательных или скомпрометированных устройств к ресурсам компании. Это можно противопоставить некоторым сетям VPN, которые обеспечивают устройствам, принадлежащим сотрудникам, те же права доступа, что и устройствам администраторов в локальной среде.

Комплексный контроль и визуализация. Если злоумышленник использует свой доступ с целью нанесения вреда или если учетные данные пользователя потеряны или украдены, может возникнуть проблема, поскольку ZTNA не проверяет пользовательский трафик после аутентификации. Внедряя ZTNA в решение по защите доступа на периметре (SASE), компания может получить преимущества безопасности, масштабируемости и сетевых возможностей, необходимых для безопасного удаленного доступа, а также мониторинга после подключения. Это поможет предотвратить потерю данных, вредоносные действия или компрометацию учетных данных пользователей.

Преимущества ZTNA

ZTNA позволяет выполнять подключение пользователей, приложений и данных, даже если они находятся вне корпоративной сети. Такой сценарий становится все более распространенным в современных многооблачных средах, где приложения на основе микрослужб могут размещаться в нескольких облаках, а также в локальной среде. Современным организациям необходимо обеспечить доступность цифровых ресурсов для базы распределенных пользователей в любой точке, в любое время и на любом устройстве.

ZTNA удовлетворяет эту потребность, предоставляя гибкий доступ с учетом контекста для важных бизнес-приложений без риска уязвимости других сервисов для потенциальных атак злоумышленников.

Модель ZTNA была предложена компанией Gartner. Она помогает устранить чрезмерное доверие к работодателям, подрядчикам и другим пользователям, которым нужен только очень ограниченный доступ. Концепция этой модели состоит в том, что ни один компонент не может считаться доверенным, пока это не будет доказано. Более того, необходимо повторно выполнять аутентификацию каждый раз, когда происходят любые изменения в подключении (местоположение, контекст, IP-адрес и т. д.).

Различия между VPN и ZTNA

Между VPN и ZTNA есть несколько различий. Прежде всего, сети VPN предназначены для обеспечения доступа в масштабе всей сети, а ZTNA предоставляет доступ к определенным ресурсам и часто требует повторной аутентификации.

Ниже приведены некоторые недостатки VPN по сравнению с ZTNA.

Использование ресурсов. По мере роста числа удаленных пользователей нагрузка на VPN может привести к неожиданно высокой задержке, для чего может потребоваться добавить ресурсы в VPN, чтобы удовлетворить растущий спрос или справиться с пиковой нагрузкой. Кроме того, это может создать нагрузку на персонал ИТ-отдела.

Гибкость и адаптивность. Сети VPN не обеспечивают такой гибкости, как ZTNA. Помимо этого, может быть сложно установить и настроить программное обеспечение VPN на всех устройствах конечных пользователей, которые требуется подключить к корпоративным ресурсам. В то же время намного удобнее добавлять или удалять политики безопасности и авторизовать пользователей в зависимости от их непосредственных бизнес-потребностей. ABAC (управление доступом на основе атрибутов) и RBAC (управление доступом на основе ролей) в ZTNA упрощают эту задачу.

Детализация. Внутри периметра VPN пользователь получает доступ ко всей системе. ZTNA использует противоположный подход, не предоставляя доступа совсем, если ресурс — приложение, данные или сервис — специально не авторизован для этого пользователя. В отличие от VPN, ZTNA обеспечивает непрерывную проверку на основе аутентификации учетных данных. Каждый пользователь и каждое устройство проверяются и аутентифицируются, прежде чем им будет предоставлен доступ к определенным приложениям, системам или другим ресурсам. VPN и ZTNA можно использовать в сочетании друг с другом, например для усиления безопасности в особо уязвимом сегменте сети, обеспечивая дополнительный уровень защиты на случай компрометации VPN.

Внедрение ZTNA

Существует два подхода к внедрению ZTNA: оно может быть инициировано конечным устройством или сервисом. Как следует из названия, в сетевой архитектуре с нулевым доверием, инициируемой конечным устройством, пользователь инициирует доступ к приложению с устройства, подключенного к конечному устройству, аналогично SDP. Агент, установленный на устройстве, взаимодействует с контроллером ZTNA, который обеспечивает аутентификацию и подключается к необходимому сервису.

В то же время в ZTNA с инициацией сервисом соединение между приложением и пользователем инициируется брокером. Для этого требуется компактный соединитель ZTNA, который будет находиться в бизнес-приложениях, расположенных в локальной среде или в средах поставщиков облачных сервисов. Как только исходящее подключение от запрошенного приложения аутентифицирует пользователя или другое приложение, трафик будет проходить через поставщика услуг ZTNA, изолируя приложения от прямого доступа через прокси-сервер. Преимущество заключается в том, что на устройствах конечных пользователей не требуется наличие агента. Это делает данный способ более привлекательным в случаях, когда для доступа консультантов или партнеров используются неуправляемые устройства или устройства BYOD.

Кроме того, существует две модели предоставления доступа к сети по принципу нулевого доверия: отдельное решение ZTNA или ZTNA как услуга. Ниже приведены основные различия этих моделей.

Отдельное решение ZTNA требует от компании развертывания всех элементов ZTNA и управления ими. При этом ZTNA находится на периметре среды (в облаке или в ЦОД), обеспечивая безопасность подключений. Несмотря на то что это решение хорошо подходит для компаний, которые не используют облачные технологии, его развертывание, администрирование и обслуживание становятся дополнительной проблемой.

Используя ZTNA как облачный сервис, компании могут воспользоваться инфраструктурой поставщика облачных сервисов для всех процессов: от развертывания до применения политик. В этом случае компания просто приобретает пользовательские лицензии, развертывает соединители в защищенных приложениях и позволяет поставщику облачных сервисов или ZTNA предоставлять возможности подключения, ресурсы и инфраструктуру. Это упрощает управление и развертывание, а решение ZTNA, предоставляемое в облаке, может обеспечить выбор оптимального пути передачи трафика, чтобы гарантировать минимальную задержку для всех пользователей.

По оценкам Gartner, более 90% компаний внедряют ZTNA как услугу.