مقدمة
لم يعد الوصول الآمن عن بُعد خيارًا بين الاتصالات المشفرة وغير المشفرة. يمكن لكل من حلول VPN الحديثة وحلول الوصول عن بُعد القائمة على الثقة الصفرية حماية البيانات أثناء النقل. السؤال الأكثر أهمية هو ما الذي يمكن أن يصل إليه المستخدم أو الجهاز بعد المصادقة.
غالبًا ما يمد VPN الاتصال بالشبكة إلى نقطة نهاية بعيدة. يأخذ الوصول إلى الشبكة المعتمد على الثقة الصفرية نهجًا مركزيًا للموارد، حيث يقيم المستخدم والجهاز والتطبيق المطلوب والسياق الحالي قبل منح الوصول. بالنسبة للعديد من المنظمات، فإن أفضل تصميم ليس استبدالًا كليًا، بل تقسيمًا متعمدًا بين الوصول إلى التطبيقات والوصول الحقيقي إلى الشبكة.
ما هو VPN؟
A شبكة خاصة افتراضية ينشئ نفقًا مشفرًا بين جهاز بعيد وبوابة VPN، التي تتحقق من صحة الاتصال قبل توجيه حركة المرور المعتمدة إلى الشبكات الخاصة أو الشبكات الفرعية أو الخدمات.
على الرغم من أن VPN لا يتعين عليها توفير وصول غير مقيد، إلا أن نموذج تشغيلها يظل موجهًا نحو الشبكة. يمكن للمسؤولين تطبيق:
- المصادقة متعددة العوامل
- د شهادات الجهاز
- قواعد جدار الحماية
- تقسيم الشبكة
- أ قوائم التحكم في الوصول
ومع ذلك، سيتلقى الطرف عادةً مسارًا على مستوى IP إلى مورد أو أكثر داخلي.
لأن هذا النموذج راسخ جيدًا ويدعم مجموعة واسعة من البروتوكولات، فإنه يظل مفيدًا عندما يحتاج المسؤولون إلى وصول واسع للبنية التحتية، وتعتمد التطبيقات على العناوين الداخلية، أو يحتاج موقعان إلى تبادل الحركة بشكل آمن.
يظهر الخطر الرئيسي عندما تمتد أذونات VPN إلى ما هو أكثر مما يحتاجه المستخدم فعليًا. على سبيل المثال، قد لا يحتاج موظف عن بُعد يحتاج فقط إلى تطبيق محاسبة واحد إلى الوصول إلى الشبكة الفرعية المالية بأكملها.
ما هو الوصول عن بُعد بدون ثقة (ZTNA)؟
في الاستخدام الشائع، يشير الوصول عن بُعد بنظام الثقة الصفرية عادةً إلى الوصول إلى الشبكة بنظام الثقة الصفرية، أو ZTNA. ينطبق ZTNA مبادئ الثقة الصفرية إلى الاتصال عن بُعد من خلال منح الوصول إلى تطبيق فردي أو سطح مكتب أو خدمة بدلاً من توسيع الوصول العام إلى الشبكة.
يمكن أن يأخذ القرار في الاعتبار عدة إشارات:
- هوية المستخدم والدور
- ملكية الجهاز ووضع الأمان
- المورد المطلوب
- موقع ووقت الوصول
- قوة المصادقة
- مخاطر الجلسة أو سلوك غير عادي
تصف NIST ثقة صفرية كنموذج يزيل الثقة الضمنية بناءً على موقع الشبكة ويحمي الموارد الفردية من خلال المصادقة والتفويض الصريح. ZTNA هو أحد الطرق لتطبيق هذا المبدأ، وليس الهيكل الكامل للثقة الصفرية.
بعد الموافقة على الطلب، يتلقى المستخدم مسارًا محكومًا إلى المورد المصرح به. لا تحتاج الأنظمة غير المعتمدة إلى أن تصبح مرئية أو قابلة للتوجيه من نقطة النهاية. قد تؤدي السياسات أيضًا إلى إعادة المصادقة أو الوصول المقيد أو إنهاء الجلسة عندما تتغير المخاطر.
الوصول عن بُعد بدون ثقة مقابل VPN: الاختلافات الرئيسية
الفرق بين ZTNA و VPN هو هيكلي بدلاً من كونه تكنولوجيًا فقط. يمكن أن يكون VPN مقسمًا بشكل جيد مقيدًا للغاية، بينما يمكن أن يمنح نشر ZTNA غير المنظم وصولًا مفرطًا.
| معيار | VPN | الوصول عن بُعد بنظام الثقة الصفرية أو ZTNA |
|---|---|---|
| الوصول إلى الهدف | شبكة أو نطاق فرعي أو نطاق خدمة | تطبيق محدد، سطح المكتب أو الخدمة |
| سياق السياسة الأساسية | المسارات، عناوين IP، المجموعات وقواعد جدار الحماية | الهوية، الجهاز، المورد وإشارات السياق |
| رؤية الشبكة | قد تصبح الخدمات الداخلية قابلة للوصول بعد الاتصال | يمكن أن تظل الموارد غير المعتمدة غير قابلة للاكتشاف |
| تدفق عمل المستخدم | قم بإنشاء نفق، ثم افتح المورد | اطلب أو أطلق موردًا معتمدًا مباشرة |
| أفضل ملاءمة | الوصول على مستوى الشبكة، الوصول التقليدي والوصول من موقع إلى موقع | الوصول على مستوى التطبيق للمستخدمين والأطراف الثالثة |
| التجارة التشغيلية الرئيسية | مألوف ولكنه يمكن أن يصبح واسعًا وثقيلًا على البوابة | دقيق ولكنه يتطلب تطبيقًا ورسم خرائط الهوية |
نموذج الأمان
تتخذ شبكة VPN التقليدية قرار الثقة الرئيسي عندما يتم إنشاء النفق. يمكن أن تعزز المنصات الحديثة هذا القرار من خلال الوصول المشروط، وفحوصات النقاط النهائية وإعادة المصادقة، ولكن لا تزال الجلسة تبدأ بتمديد الاتصال الشبكي للمستخدم.
ZTNA تتبنى نهجًا يركز أكثر على الموارد. كلمة مرور صالحة وعامل ثانٍ لا توفران تلقائيًا الوصول إلى كل نظام داخلي، لأن السياسة قد تتطلب أيضًا جهازًا مُدارًا، أو موقعًا معتمدًا، أو دور مستخدم محدد، أو جلسة ذات مخاطر أقل قبل جعل التطبيق المطلوب متاحًا.
يدعم هذا النموذج الضيق للوصول أقل الامتيازات ويمكن أن يحد من عدد الأنظمة المعرضة للخطر إذا تم سرقة بيانات الاعتماد. ومع ذلك، فإن ZTNA لا تقضي على خطر اختراق الحساب، حيث قد لا يزال المهاجم يستغل أي تطبيق يُسمح للحساب المخترق بفتحه.
تجربة المستخدم
غالبًا ما يحتاج مستخدمو VPN إلى فتح عميل، والانتظار حتى يتصل النفق، وإكمال مطالبات المصادقة ثم تشغيل التطبيق المطلوب. عندما تتسبب تعارضات DNS، أو قواعد تقسيم النفق، أو الشبكات المحلية غير المستقرة، أو تكوينات العملاء المنتهية في حدوث مشكلات، يمكن أن تكون النتيجة طلبات دعم إضافية.
يمكن أن تبسط ZTNA هذه العملية من خلال تقديم الموارد المعتمدة فقط عبر بوابة أو متصفح أو عميل خفيف الوزن. بدلاً من تلقي الوصول العام إلى الشبكة أولاً، يمكن للمستخدم تشغيل التطبيق المطلوب مباشرة.
لا تزال التجربة تعتمد على التنفيذ، حيث تتطلب بعض البروتوكولات وكيل نقطة نهاية ولا تعمل بعض التطبيقات القديمة بشكل جيد من خلال وكيل التطبيق. لذلك، يجب على فرق تكنولوجيا المعلومات اختبار:
- المصادقة
- الطباعة
- نقل الملفات
- · تحكمات الحافظة
- سلوك إعادة الاتصال
تعرض الشبكة
بوابة VPN هي خدمة حافة تواجه الإنترنت، لذا يجب تحديثها ومراقبتها وحمايتها. اعتمادًا على المسارات والتقسيم وسياسة جدار الحماية المعمول بها، قد يتمكن المستخدم المتصل أيضًا من اكتشاف العناوين أو الخدمات الداخلية.
يمكن أن تقلل ZTNA من هذه المخاطر من خلال وضع وسيط أو نقطة تنفيذ بين المستخدم والتطبيق. وهذا يمنح نقطة النهاية الوصول إلى المورد المعتمد دون إنشاء مسار عام إلى الشبكة المحيطة.
على الرغم من أن هذا التصميم يمكن أن يجعل الحركة الجانبية أكثر صعوبة، إلا أن الموصلات ومزودي الهوية والبوابات وخوادم التطبيقات لا تزال بحاجة إلى تأمين. إرشادات CISA كما يعامل برامج الوصول عن بُعد والأجهزة الطرفية كالبنية التحتية عالية القيمة التي تتطلب المصادقة متعددة العوامل، والتحديثات، وتسجيل الدخول، وتقليل التعرض.
الأداء
تصميمات VPN غالبًا ما تعيد توجيه حركة المرور عبر بوابة مركزية أو مركز بيانات، مما قد يضيف تأخيرًا عندما يتصل مستخدم بعيد من المقر الرئيسي للوصول إلى تطبيق مستضاف في السحابة.
قد تقدم ZTNA مسارًا أكثر مباشرةً إلى التطبيق المصرح به، خاصةً عندما تكون الموصلات أو نقاط الخدمة موزعة بالقرب من المستخدمين وأحمال العمل. ومع ذلك، لا تزال الأداء تعتمد على:
- متطلبات الفحص
- بنية المزود
- موضع الموصل
- جودة الإنترنت
يمكن أن تظل الشبكة الافتراضية الخاصة فعالة لأحمال العمل في مراكز البيانات الداخلية أو البيئات التي تحتوي على مجمعات محلية. بدلاً من افتراض أن نموذجًا واحدًا هو الأسرع دائمًا، يجب على فرق تكنولوجيا المعلومات مقارنة أوقات استجابة التطبيقات واستقرار الجلسات في بيئتها الخاصة.
إدارة
تكون فرق الشبكة بالفعل على دراية بمجمعات VPN، والمسارات، وقواعد جدار الحماية، وقوائم التحكم في الوصول، مما يمكن أن يسهل عملية النشر. مع مرور الوقت، قد تصبح الأذونات أكثر صعوبة في المراجعة مع تراكم المجموعات، والشبكات الفرعية، والاستثناءات.
يتطلب ZTNA جردًا أوضح للمستخدمين والتطبيقات ومتطلبات الأجهزة والاعتماديات. يجب على المسؤولين تحديد من يحتاج إلى كل مورد، وأي الأجهزة يمكنهم استخدامها وتحت أي ظروف يجب منح الوصول. على الرغم من أن هذا العمل السياسي يتطلب جهدًا، إلا أنه يمكن أن يجعل مراجعات الوصول أكثر معنى لأن الأذونات مرتبطة مباشرة بالتطبيقات التجارية.
أيًا كان النموذج المستخدم، يعتمد الإدارة الفعالة على تعيين مالك لكل مورد، وتوثيق الاستثناءات ومراجعة الامتيازات بانتظام. لا تظل كل من VPN و ZTNA آمنة دون انضباط تشغيلي مستمر.
التكلفة
قد تكون الشبكة الافتراضية الخاصة (VPN) الخيار الأقل تكلفة عندما تمتلك المؤسسة بالفعل بنية تحتية لجدار الحماية أو البوابة متوافقة. ومع ذلك، يمكن أن تشمل التكلفة الإجمالية ما يلي:
- سعة المجمع
- توافر عالي
- دعم العملاء
- عرض النطاق الترددي
- عمل تقسيم
- صيانة القواعد الجارية
قد يقدم ZTNA اشتراكات لكل مستخدم، وتكامل الهوية، ووكلاء نقاط النهاية، وموصلات وأعمال ترحيل. في نفس الوقت، يمكن أن يقلل من نقل VPN، ويبسّط وصول المتعاقدين، ويخفض تكلفة دعم الاتصال الشبكي الواسع.
لهذا السبب، يجب أن تركز المقارنة على التكلفة الإجمالية للملكية بدلاً من سعر المنتج الأولي فقط. يجب على فرق تكنولوجيا المعلومات أن تأخذ في الاعتبار الترخيص، والبنية التحتية، وجهد مكتب المساعدة، وإدارة السياسات، ومخاطر التوقف، وتكلفة منح وصول أكبر مما يحتاجه المستخدمون فعليًا.
متى لا يزال استخدام VPN منطقيًا؟
على الرغم من الانتقال نحو نماذج الوصول الأكثر تخصيصًا للموارد، تظل الشبكة الافتراضية الخاصة (VPN) الخيار الصحيح عندما يحتاج المستخدمون أو الأنظمة حقًا إلى الاتصال على مستوى الشبكة.
إنه مفيد بشكل خاص عندما تتطلب الحاجة بروتوكولات متعددة، بنية تحتية مشتركة أو تطبيقات تعتمد على الوصول المباشر إلى الشبكات الداخلية.
تشمل الأمثلة الشائعة:
- الاتصال من موقع إلى موقع بين المكاتب ومراكز البيانات أو الشبكات السحابية
- استكشاف الشبكة وإدارة مستوى الحزمة
- الوصول إلى بروتوكولات متعددة عبر شريحة بنية تحتية مسيطر عليها
- التطبيقات القديمة التي لا يمكن نشرها من خلال بوابة التطبيقات
- بيئات التطوير أو المختبر أو استعادة الكوارث التي تتطلب اتصالاً واسع النطاق
- ت الوصول المؤقت في البيئات التي تكون فيها التقسيم والمراقبة ناضجة بالفعل
إن شبكة VPN ليست قديمة ولا غير آمنة بطبيعتها. تعتمد أمانها على مدى دقة تكوين الاتصال وإدارته، بما في ذلك المسارات المقيدة، والمصادقة القوية، وتحديثات البوابة المنتظمة، والفصل الواضح بين المستخدمين العاديين والمديرين المتميزين.
عندما تكون هذه الضوابط موجودة وتكون الحاجة التجارية موجهة حقًا نحو الشبكة، يمكن أن تظل VPN حلاً فعالًا وعمليًا للوصول عن بُعد.
متى يكون خيار الثقة الصفرية هو الخيار الأفضل؟
عادةً ما تكون ZTNA الخيار الأقوى عندما يحتاج المستخدمون إلى الوصول إلى مجموعة محددة من التطبيقات بدلاً من الشبكة الأوسع. وهذا يجعلها مناسبة بشكل خاص للموظفين عن بُعد، والمقاولين، والشركاء، وفرق الدعم الخارجية التي يمكن وصف متطلبات وصولها بدقة.
على سبيل المثال، قد تسمح سياسة الثقة الصفرية لأعضاء مجموعة المالية بالوصول إلى تطبيق المحاسبة خلال الساعات المعتمدة، بشرط أن يستخدموا أجهزة مُدارة ومصادقة متعددة العوامل. هذا النوع من القواعد أسهل في المراجعة من إذن واسع يمنح الوصول إلى الشبكة الفرعية المالية.
ZTNA مناسب أيضًا للبيئات الموزعة والموجهة نحو السحابة حيث لم تعد التطبيقات تقع خلف محيط مكتب واحد. من خلال وضع سياسة الهوية والموارد في مركز قرار الوصول، يتبع النموذج عبء العمل بدلاً من حدود الشبكة المادية.
هل هناك أرضية مشتركة؟
نعم. بدلاً من إجبار كل سير عمل على استخدام تقنية واحدة، يمكن للعديد من المؤسسات استخدام ZTNA و VPN معًا.
يمكن للموظفين القياسيين والمقاولين الحصول على وصول على مستوى التطبيق من خلال ZTNA أو بوابة تطبيق آمنة، بينما يحتفظ مسؤولو الشبكة ببوابة VPN محكمة التحكم أو وصول مميز للمهام التي تتطلب اتصالاً على مستوى IP. يمكن لمكاتب الفروع الاستمرار في استخدام VPN من موقع إلى موقع، ويمكن أن تظل التطبيقات القديمة على مسارات VPN مقيدة حتى يتم تحديثها أو نُشر بشكل أكثر تحديدًا .
الانتقال التدريجي عادةً ما يكون أكثر أمانًا من الاستبدال المفاجئ. يمكن لفرق تكنولوجيا المعلومات ابتكار سير عمل عن بُعد، وفصل متطلبات مستوى التطبيق عن احتياجات مستوى الشبكة، وتعزيز ضوابط الهوية، وتجربة تطبيق واحد محصور وإزالة مسار VPN المقابل فقط بعد التحقق من مسار الوصول الجديد.
كيف يتناسب TSplus مع الصورة؟
TSplus الأمان المتقدم يحمي خوادم Windows وبيئات الوصول عن بُعد. بدلاً من استبدال VPN أو العمل كمنصة وصول شبكة موثوق بها بالكامل، فإنه يضيف ضوابط على مستوى الخادم يمكن أن تعزز أي نموذج وصول.
يمكن أن تحمي هذه الضوابط خوادم Windows خلف VPN مع إضافة قيود بناءً على المستخدمين والأجهزة والمواقع وأوقات الاتصال. إنها تدعم عدة مبادئ للثقة الصفرية كجزء من بنية أمان أوسع.
حماية من هجمات القوة الغاشمة وعناوين IP الخبيثة
تعتبر خدمات المصادقة المتاحة على الإنترنت أهدافًا شائعة لهجمات تخمين كلمات المرور والفحوصات الآلية للشبكة. يقوم حلنا بمراقبة محاولات تسجيل الدخول الفاشلة على نظام Windows ويمكنه تلقائيًا إضافة عنوان IP المصدر إلى القائمة السوداء بمجرد الوصول إلى العتبة المحددة.
تعزز حماية عنوان IP من القراصنة هذا الدفاع من خلال قائمة محفوظة من العناوين المرتبطة بالبرامج الضارة، والشبكات الآلية، والهجمات عبر الإنترنت، وغيرها من الأنشطة الخبيثة. يمكن للمسؤولين أيضًا إدارة العناوين المسموح بها والمحظورة من خلال قواعد جدار الحماية، مما يساعد على إيقاف حركة المرور غير المرغوب فيها قبل أن تصل إلى خدمة Windows المكشوفة.
قيود الوصول الجغرافية والسياقية
تتيح الحماية الجغرافية للمسؤولين التحكم في الوصول وفقًا للبلد أو عنوان IP الأصلي. يمكنهم تقييد الاتصالات بالدول المعتمدة والعناوين الخاصة ونطاقات IP المحددة في القائمة البيضاء، وهو ما يكون مفيدًا عندما يتصل المستخدمون الشرعيون من مواقع متوقعة.
تضيف ساعات العمل ضوابط قائمة على الوقت للمستخدمين والمجموعات، مما يسمح للمسؤولين بتحديد متى يمكن فتح الجلسات وتقليل توفر الحسابات خارج الفترات المتوقعة للعمل. يمكن أن تحد الأجهزة الموثوقة من الاتصالات إلى نقاط النهاية المعتمدة عندما تدعم طريقة الاتصال تحديد الهوية للجهاز.
تشبه هذه الفحوصات الضوابط السياقية المستخدمة في استراتيجيات الثقة الصفرية. ومع ذلك، يجب أن تظل معلومات الموقع والوقت والجهاز إشارات داعمة بدلاً من أن تكون دليلاً قاطعًا على أن الاتصال موثوق.
أذونات دقيقة وجلسات آمنة
تتضمن حلنا ضوابط الأذونات لمراجعة وإدارة امتيازات المستخدمين والمجموعات. يمكن للمسؤولين تقييد الوصول إلى الملفات والمجلدات وكائنات السجل والطابعات على الخادم المحمي بنظام Windows.
يمكن أن تطبق الجلسات الآمنة بعد ذلك مستويات أمان مختلفة على مستخدمين ومجموعات محددة. معًا، تقلل هذه الميزات مما يمكن لحساب متصل الوصول إليه أو تعديله بعد المصادقة.
يمكن أن يحد هذا النهج على مستوى الخادم الذي يعتمد على أقل الامتيازات من تأثير حساب مخترق. ومع ذلك، فإنه لا يعادل محرك سياسة ZTNA، الذي يقوم عادةً بوساطة الوصول إلى التطبيقات أو الخدمات الفردية قبل إنشاء اتصال الشبكة.
حماية ضد برامج الفدية
تراقب حلنا نشاط الخادم للسلوك المرتبط بالبرمجيات الخبيثة. يجمع بين المؤشرات الثابتة والتحليل السلوكي لاكتشاف نشاط الملفات المشبوهة والاستجابة عند تحديد البرمجيات الخبيثة المحتملة.
تكون هذه الحماية ذات صلة خاصة عندما يتمكن المستخدمون عن بُعد من فتح المستندات المشتركة أو الكتابة إلى تخزين الخادم. لأن الحساب الصالح يمكن أن يُساء استخدامه لتشغيل برامج ضارة، فإن تأمين الاتصال وحده ليس كافيًا.
يجب أن تكمل حماية ransomware النسخ الاحتياطية غير المتصلة التي تم اختبارها، وإدارة التصحيحات، وحماية النقاط النهائية، وإجراءات الاستجابة للحوادث بدلاً من استبدالها.
تحكمات جدار الحماية، الأحداث والتنبيهات
TSplus الأمان المتقدم يمكن فرض قواعد الحظر من خلال جدار حماية Windows أو جدار الحماية المدمج. يمكن للمسؤولين حظر العناوين المعادية، والحفاظ على القوائم البيضاء ومراجعة قيود الشبكة من واجهة الأمان المتقدمة.
تظهر لوحة المعلومات أيضًا الأحداث الأمنية الأخيرة، بينما يمكن أن تُخطِر التنبيهات القابلة للتكوين المسؤولين عبر البريد الإلكتروني أو الرسائل القصيرة أو Microsoft Teams عند حدوث أحداث محددة. معًا، توفر هذه الميزات رؤية للاتصالات المحجوبة وغيرها من الأنشطة التي قد تتطلب التحقيق.
يظل المراقبة ضرورية في كل من بيئات VPN وZero Trust. يمكن أن تقلل الضوابط الوقائية من المخاطر، ولكن يجب على فرق تكنولوجيا المعلومات الاستمرار في مراجعة التنبيهات، والتحقيق في السلوك غير المعتاد، وتنقيح السياسات مع تغير متطلبات الوصول.
الختام
الفرق الرئيسي بين الوصول عن بُعد بنظام الثقة الصفرية وVPN هو نطاق وثقة التوقيت. عادةً ما ينشئ VPN مسار شبكة مشفر بعد مصادقة مستخدم أو جهاز. يمنح ZTNA الوصول إلى مورد محدد بعد تقييم الهوية والجهاز والظروف السياقية.
تظل الشبكة الافتراضية الخاصة مناسبة للاتصالات من موقع إلى آخر، وإدارة الشبكة، والبروتوكولات القديمة، والأحمال التي تتطلب اتصالاً على مستوى IP. عادةً ما تكون ZTNA أكثر ملاءمة للموظفين والمقاولين والشركاء الذين يحتاجون فقط إلى تطبيقات أو خدمات محددة.
ستستفيد العديد من المنظمات من دمج النهجين. يمكن أن يتحرك الوصول على مستوى التطبيق نحو ZTNA، بينما تظل اتصالات VPN المقيدة متاحة لتدفقات العمل التي تتطلب فعلاً الوصول إلى الشبكة. أيًا كان النموذج المختار، تظل المصادقة القوية، وأقل الامتيازات، والتقسيم، وتقوية الخادم، والمراقبة المستمرة ضرورية.