Что такое ZTNA?

ZTNA позволяет выполнять подключение пользователей, приложений и данных, даже если они находятся вне корпоративной сети. Такой сценарий становится все более распространенным в современных многооблачных средах, где приложения на основе микрослужб могут размещаться в нескольких облаках, а также в локальной среде. Современным организациям необходимо обеспечить доступность цифровых ресурсов для базы распределенных пользователей в любой точке, в любое время и на любом устройстве.

ZTNA удовлетворяет эту потребность, предоставляя гибкий доступ с учетом контекста для важных бизнес-приложений без риска уязвимости других сервисов для потенциальных атак злоумышленников.

Модель ZTNA, предложенная компанией Gartner, помогает избежать предоставления чрезмерных прав доступа работодателям, подрядчикам и другим пользователям, которым нужен только очень ограниченный доступ. Концепция этой модели состоит в том, что ни один компонент не может считаться доверенным, пока это не будет доказано. Более того, необходимо повторно выполнять аутентификацию каждый раз, когда происходят любые изменения в подключении (местоположение, контекст, IP-адрес и т. д.).

Между VPN и ZTNA есть несколько различий. Прежде всего, сети VPN предназначены для обеспечения доступа в масштабе всей сети, а ZTNA предоставляет доступ к определенным ресурсам и часто требует повторной аутентификации.

Ниже приведены некоторые недостатки VPN по сравнению с ZTNA.

Использование ресурсов. По мере роста числа удаленных пользователей нагрузка на VPN может привести к неожиданно высокой задержке, для чего может потребоваться добавить ресурсы в VPN, чтобы удовлетворить растущий спрос или справиться с пиковой нагрузкой. Кроме того, это может создать нагрузку на персонал ИТ-отдела.

Гибкость и адаптивность. Сети VPN не обеспечивают такой гибкости, как ZTNA. Помимо этого, может быть сложно установить и настроить программное обеспечение VPN на всех устройствах конечных пользователей, которые требуется подключить к корпоративным ресурсам. В то же время намного удобнее добавлять или удалять политики безопасности и авторизовать пользователей в зависимости от их непосредственных бизнес-потребностей. ABAC (управление доступом на основе атрибутов) и RBAC (управление доступом на основе ролей) в ZTNA упрощают эту задачу.

Детализация. Внутри периметра VPN пользователь получает доступ ко всей системе. ZTNA использует противоположный подход, не предоставляя доступа совсем, если ресурс — приложение, данные или сервис — специально не авторизован для этого пользователя. В отличие от VPN, ZTNA обеспечивает непрерывную проверку на основе аутентификации учетных данных. Каждый пользователь и каждое устройство проверяются и аутентифицируются, прежде чем им будет предоставлен доступ к определенным приложениям, системам или другим ресурсам. VPN и ZTNA можно использовать в сочетании друг с другом, например для усиления безопасности в особо уязвимом сегменте сети, обеспечивая дополнительный уровень защиты на случай компрометации VPN.

Существует два подхода к внедрению решения ZTNA: оно может быть инициировано конечным устройством или сервисом. Как следует из названия, в сетевой архитектуре с нулевым доверием, инициируемой конечным устройством, пользователь инициирует доступ к приложению с устройства, подключенного к конечному устройству, аналогично SDP. Агент, установленный на устройстве, взаимодействует с контроллером ZTNA, который обеспечивает аутентификацию и подключается к необходимому сервису.

В то же время в ZTNA с инициацией сервисом соединение между приложением и пользователем инициируется брокером. Для этого требуется компактный соединитель ZTNA, который будет находиться в бизнес-приложениях, расположенных в локальной среде или в средах поставщиков облачных сервисов. Как только исходящее подключение от запрошенного приложения аутентифицирует пользователя или другое приложение, трафик будет проходить через поставщика услуг ZTNA, изолируя приложения от прямого доступа через прокси-сервер. Преимущество заключается в том, что на устройствах конечных пользователей не требуется наличие агента. Это делает данный способ более привлекательным в случаях, когда для доступа консультантов или партнеров используются неуправляемые устройства или устройства BYOD.

Кроме того, существует две модели предоставления доступа к сети по принципу нулевого доверия: отдельное решение ZTNA или ZTNA как услуга. Ниже приведены основные различия этих моделей.

Отдельное решение ZTNA требует от компании развертывания всех элементов ZTNA и управления ими. При этом ZTNA находится на границе среды (в облаке или в ЦОД), обеспечивая безопасность подключений. Несмотря на то что это решение хорошо подходит для компаний, которые не используют облачные технологии, его развертывание, администрирование и обслуживание становятся дополнительной проблемой.

Используя ZTNA как облачный сервис, компании могут воспользоваться инфраструктурой поставщика облачных сервисов для всех процессов: от развертывания до применения политик. В этом случае компания просто приобретает пользовательские лицензии, развертывает соединители в защищенных приложениях и позволяет поставщику облачных сервисов или ZTNA предоставлять возможности подключения, ресурсы и инфраструктуру. Это упрощает управление и развертывание, а решение ZTNA, предоставляемое в облаке, может обеспечить выбор оптимального пути передачи трафика, чтобы гарантировать минимальную задержку для всех пользователей.

По оценкам Gartner, более 90% компаний внедряют ZTNA как услугу.