Доступ к сети по принципу нулевого доверия (ZTNA)

 

Доступ к сети по принципу нулевого доверия (ZTNA) — это решение для ИТ-безопасности, обеспечивающее защищенный удаленный доступ к приложениям, данным и сервисам компании на основе четко определенных политик контроля доступа.

 

Отличие ZTNA от виртуальных частных сетей (VPN) состоит в том, что доступ предоставляется только к определенным сервисам или приложениям, тогда как сети VPN обеспечивают доступ ко всей сети. Поскольку все больше пользователей получают доступ к ресурсам из дома или других мест, решения ZTNA помогают устранить недостатки других технологий и методов обеспечения безопасного удаленного доступа.

 

 

 

Принцип работы ZTNA

При использовании ZTNA доступ к определенным приложениям или ресурсам предоставляется только после аутентификации пользователя в службе ZTNA.

После аутентификации ZTNA предоставляет пользователю доступ к определенному приложению, используя защищенный зашифрованный туннель, который обеспечивает дополнительный уровень безопасности за счет защиты приложений и сервисов от IP-адресов, которые в противном случае были бы видимыми.

Модель нулевого доверия

Книга «SASE и ZTNA для "чайников"» поможет вам быстро ознакомиться с этими технологиями

Скачать бесплатно 

Сценарии использования ZTNA

Аутентификация и доступ. Основное предназначение ZTNA заключается в предоставлении высокоточного механизма доступа, основанного на учетных данных пользователя. В то время как сеть VPN предоставляет широкий доступ к сети на основе IP-адресов после авторизации, ZTNA обеспечивает ограниченный и гибкий доступ к определенным приложениям и ресурсам. ZTNA может гарантировать более высокий уровень безопасности с помощью политик контроля доступа, зависящих от местоположения или устройства. Эти политики препятствуют доступу нежелательных или скомпрометированных устройств к ресурсам компании. Это можно противопоставить некоторым сетям VPN, которые обеспечивают устройствам, принадлежащим сотрудникам, те же права доступа, что и устройствам администраторов в локальной среде.

 

Комплексный контроль и визуализация. Если злоумышленник использует свой доступ с целью нанесения вреда или если учетные данные пользователя потеряны или украдены, может возникнуть проблема, поскольку ZTNA не проверяет пользовательский трафик после аутентификации. Внедряя ZTNA в решение по защите доступа на периметре (SASE), компания может получить преимущества безопасности, масштабируемости и сетевых возможностей, необходимых для безопасного удаленного доступа, а также мониторинга после подключения. Это поможет предотвратить потерю данных, вредоносные действия или компрометацию учетных данных пользователей.

 

 

Преимущества ZTNA

ZTNA позволяет выполнять подключение пользователей, приложений и данных, даже если они находятся вне корпоративной сети. Такой сценарий становится все более распространенным в современных многооблачных средах, где приложения на основе микрослужб могут размещаться в нескольких облаках, а также в локальной среде. Современным организациям необходимо обеспечить доступность цифровых ресурсов для базы распределенных пользователей в любой точке, в любое время и на любом устройстве.

 

ZTNA удовлетворяет эту потребность, предоставляя гибкий доступ с учетом контекста для важных бизнес-приложений без риска уязвимости других сервисов для потенциальных атак злоумышленников.

Модель ZTNA была предложена компанией Gartner. Она помогает устранить чрезмерное доверие к работодателям, подрядчикам и другим пользователям, которым нужен только очень ограниченный доступ. Концепция этой модели состоит в том, что ни один компонент не может считаться доверенным, пока это не будет доказано. Более того, необходимо повторно выполнять аутентификацию каждый раз, когда происходят любые изменения в подключении (местоположение, контекст, IP-адрес и т. д.).

 

 

Различия между VPN и ZTNA

Между VPN и ZTNA есть несколько различий. Прежде всего, сети VPN предназначены для обеспечения доступа в масштабе всей сети, а ZTNA предоставляет доступ к определенным ресурсам и часто требует повторной аутентификации.

 

Ниже приведены некоторые недостатки VPN по сравнению с ZTNA.

Использование ресурсов. По мере роста числа удаленных пользователей нагрузка на VPN может привести к неожиданно высокой задержке, для чего может потребоваться добавить ресурсы в VPN, чтобы удовлетворить растущий спрос или справиться с пиковой нагрузкой. Кроме того, это может создать нагрузку на персонал ИТ-отдела.

Гибкость и адаптивность. Сети VPN не обеспечивают такой гибкости, как ZTNA. Помимо этого, может быть сложно установить и настроить программное обеспечение VPN на всех устройствах конечных пользователей, которые требуется подключить к корпоративным ресурсам. В то же время намного удобнее добавлять или удалять политики безопасности и авторизовать пользователей в зависимости от их непосредственных бизнес-потребностей. ABAC (управление доступом на основе атрибутов) и RBAC (управление доступом на основе ролей) в ZTNA упрощают эту задачу.

Детализация. Внутри периметра VPN пользователь получает доступ ко всей системе. ZTNA использует противоположный подход, не предоставляя доступа совсем, если ресурс — приложение, данные или сервис — специально не авторизован для этого пользователя. В отличие от VPN, ZTNA обеспечивает непрерывную проверку на основе аутентификации учетных данных. Каждый пользователь и каждое устройство проверяются и аутентифицируются, прежде чем им будет предоставлен доступ к определенным приложениям, системам или другим ресурсам. VPN и ZTNA можно использовать в сочетании друг с другом, например для усиления безопасности в особо уязвимом сегменте сети, обеспечивая дополнительный уровень защиты на случай компрометации VPN.

 

 

Внедрение ZTNA

Существует два подхода к внедрению ZTNA: оно может быть инициировано конечным устройством или сервисом. Как следует из названия, в сетевой архитектуре с нулевым доверием, инициируемой конечным устройством, пользователь инициирует доступ к приложению с устройства, подключенного к конечному устройству, аналогично SDP. Агент, установленный на устройстве, взаимодействует с контроллером ZTNA, который обеспечивает аутентификацию и подключается к необходимому сервису.

 

В то же время в ZTNA с инициацией сервисом соединение между приложением и пользователем инициируется брокером. Для этого требуется компактный соединитель ZTNA, который будет находиться в бизнес-приложениях, расположенных в локальной среде или в средах поставщиков облачных сервисов. Как только исходящее подключение от запрошенного приложения аутентифицирует пользователя или другое приложение, трафик будет проходить через поставщика услуг ZTNA, изолируя приложения от прямого доступа через прокси-сервер. Преимущество заключается в том, что на устройствах конечных пользователей не требуется наличие агента. Это делает данный способ более привлекательным в случаях, когда для доступа консультантов или партнеров используются неуправляемые устройства или устройства BYOD.

 

Кроме того, существует две модели предоставления доступа к сети по принципу нулевого доверия: отдельное решение ZTNA или ZTNA как услуга. Ниже приведены основные различия этих моделей.

 

Отдельное решение ZTNA требует от компании развертывания всех элементов ZTNA и управления ими. При этом ZTNA находится на периметре среды (в облаке или в ЦОД), обеспечивая безопасность подключений. Несмотря на то что это решение хорошо подходит для компаний, которые не используют облачные технологии, его развертывание, администрирование и обслуживание становятся дополнительной проблемой.

 

Используя ZTNA как облачный сервис, компании могут воспользоваться инфраструктурой поставщика облачных сервисов для всех процессов: от развертывания до применения политик. В этом случае компания просто приобретает пользовательские лицензии, развертывает соединители в защищенных приложениях и позволяет поставщику облачных сервисов или ZTNA предоставлять возможности подключения, ресурсы и инфраструктуру. Это упрощает управление и развертывание, а решение ZTNA, предоставляемое в облаке, может обеспечить выбор оптимального пути передачи трафика, чтобы гарантировать минимальную задержку для всех пользователей.


По оценкам Gartner, более 90% компаний внедряют ZTNA как услугу.

Продукты, решения и ресурсы VMware, связанные с доступом к сети по принципу нулевого доверия

VMware SD-WAN

VMware SD-WAN предоставляет дополнительные возможности с помощью полноценного и комплексного решения SASE, которое способствует переходу компаний к облаку.

Внедрение модели безопасности нулевого доверия

Обеспечьте визуализацию и контроль с помощью встроенного подхода к модели безопасности нулевого доверия. Этот модульный подход упрощает защиту всей цифровой области.

Сценарии использования VMware SD-WAN Enterprise

Компании сталкиваются с растущими расходами на полосу пропускания и сложностями развертывания сети.

Secure Access Service Edge (SASE)

Secure Access Service Edge, или SASE, представляет собой сочетание облачных служб сети и безопасности, которое обеспечивает простоту, масштабируемость, гибкость и повсеместную защиту.

Магический квадрант Gartner в сегменте решений для периферийной инфраструктуры сети WAN за 2020 г.

Дополнительные сведения см. в отчете о магическом квадранте Gartner за 2020 г.

Решения Anywhere Workspace

Обеспечьте сотрудникам безопасную и удобную работу из любой точки.