Въведение
Сигурният дистанционен достъп вече не е избор между криптирани и некриптирани връзки. И двете съвременни VPN и решения за дистанционен достъп с нулево доверие могат да защитят данните в движение. По-важният въпрос е какво може да достигне потребител или устройство след удостоверяване.
VPN често разширява мрежовата свързаност до отдалечена точка. Zero Trust Network Access приема ресурсно-центриран подход, оценявайки потребителя, устройството, исканото приложение и текущия контекст преди да предостави достъп. За много организации най-добрият дизайн не е пълна замяна, а целенасочено разделение между достъпа до приложения и истинския мрежов достъп.
Какво е VPN?
A виртуална частна мрежа създава криптиран тунел между отдалечено устройство и VPN шлюз, който удостоверява връзката преди да маршрутизира одобрения трафик към частни мрежи, подсистеми или услуги.
Въпреки че VPN не е задължително да предоставя неограничен достъп, неговият оперативен модел остава насочен към мрежата. Администраторите могат да прилагат:
- многофакторна автентикация
- д устройствени сертификати
- правила на защитната стена
- мрежова сегментация
- а списъци за контрол на достъпа
Все пак, крайният възел обикновено ще получи път на ниво IP към един или повече вътрешни ресурси.
Тъй като този модел е добре установен и поддържа широк спектър от протоколи, той остава полезен, когато администраторите се нуждаят от широк достъп до инфраструктура, приложенията зависят от вътрешно адресиране или две места трябва да обменят трафик сигурно.
Основният риск възниква, когато разрешенията за VPN надхвърлят това, от което потребителят наистина се нуждае. Например, отдалечен служител, който се нуждае само от едно счетоводно приложение, може да не се нуждае от достъп до цялата финансова подсистема.
Какво е Zero Trust Remote Access (ZTNA)?
В общото използване, Zero Trust отдалечен достъп обикновено се отнася до Zero Trust мрежов достъп, или ZTNA. ZTNA се прилага Принципи на нулевото доверие до отдалечена свързаност, като се предоставя достъп до индивидуално приложение, работен плот или услуга, вместо да се разширява общият достъп до мрежата.
Решението може да вземе предвид няколко сигнала:
- Идентичност и роля на потребителя
- Собственост на устройството и позиция на сигурността
- Заявеният ресурс
- Местоположение и време на достъп
- Сила на удостоверяване
- Риск от сесия или необичайно поведение
NIST описва Нулева доверие като архитектура, която премахва имплицитното доверие, основано на мрежовото местоположение, и защитава индивидуалните ресурси чрез експлицитна автентикация и авторизация. ZTNA е един от начините за прилагане на този принцип, а не цялата архитектура на Zero Trust.
След одобрение на заявка, потребителят получава контролиран достъп до упълномощения ресурс. Неодобрените системи не трябва да стават видими или маршрутизируеми от крайна точка. Политиките могат също да задействат повторна автентикация, ограничен достъп или прекратяване на сесията, когато рискът се променя.
Нулева доверителна отдалечен достъп срещу VPN: Основни разлики
Разликата между ZTNA и VPN е архитектурна, а не просто технологична. Добре сегментиран VPN може да бъде много ограничителен, докато лошо управлявано внедряване на ZTNA все още може да предостави прекомерен достъп.
| Критерий | VPN | Достъп до нулева доверие или ZTNA |
|---|---|---|
| Достъп до целта | Мрежа, подсет или обхват на услугата | Специфично приложение, настолно или услуга |
| Основен контекст на политиката | Маршрути, IP адреси, групи и правила на защитната стена | Идентичност, устройство, ресурс и контекстуални сигнали |
| Мрежова видимост | Вътрешните услуги може да станат достъпни след свързване. | Неодобрени ресурси могат да останат недостъпни. |
| Потребителски работен процес | Създайте тунел, след това отворете ресурса | Искане или стартиране на одобрен ресурс директно |
| Най-добро съответствие | Мрежово ниво, наследствено и достъп между сайтове | Достъп на ниво приложение за потребители и трети страни |
| Основен оперативен компромис | Запознат, но може да стане широк и натоварен с портали | Грануларен, но изисква картографиране на приложения и идентичности |
Модел на сигурност
Традиционната VPN взема основното си решение за доверие, когато тунелът е установен. Съвременните платформи могат да укрепят това решение с условен достъп, проверки на крайни точки и повторна автентикация, но сесията все още започва с разширяване на мрежовата свързаност до потребителя.
ZTNA приема по-ресурсно ориентиран подход. Валидната парола и вторият фактор не предоставят автоматично достъп до всяка вътрешна система, тъй като политиката може също да изисква управлявано устройство, одобрено местоположение, специфична роля на потребителя или сесия с по-нисък риск, преди да направи исканото приложение достъпно.
Този по-тесен модел на достъп поддържа минимални права и може да ограничи броя на системите, изложени на риск, ако удостоверенията бъдат откраднати. Въпреки това, ZTNA не елиминира риска от компрометиране на акаунта, тъй като нападателят все още може да злоупотреби с всяко приложение, за което компрометираният акаунт е упълномощен да отваря.
Потребителски опит
Потребителите на VPN често трябва да отворят клиент, да изчакат тунелът да се свърже, да завършат подканите за удостоверяване и след това да стартират необходимото приложение. Когато конфликти с DNS, правила за разделно тунелиране, нестабилни локални мрежи или изтекли конфигурации на клиента причиняват проблеми, резултатът може да бъде допълнителни заявки за поддръжка.
ZTNA може да опрости този процес, като представя само одобрени ресурси чрез портал, браузър или лек клиент. Вместо първо да получи общ достъп до мрежата, потребителят може да стартира необходимото приложение директно.
Опитът все още зависи от внедряването, тъй като някои протоколи изискват агент на крайна точка, а някои наследствени приложения не работят добре през прокси за приложения. Поради това, преди мигриране, ИТ екипите трябва да тестват:
- автентикация
- печатане
- пренос на файлове
- · контроли на клипборда
- поведение на повторно свързване
Излагане на мрежата
VPN шлюзът е услуга на ръба, която е насочена към интернет, така че трябва да бъде актуализиран, наблюдаван и защитен. В зависимост от маршрутите, сегментацията и политиката на защитната стена, свързаният потребител може също да може да открие вътрешни адреси или услуги.
ZTNA може да намали това излагане, като постави брокер или точка на прилагане между потребителя и приложението. Това дава на крайното устройство достъп до одобрения ресурс, без да създава общ маршрут към околната мрежа.
Въпреки че този дизайн може да направи страничното движение по-трудно, свързващите елементи, доставчиците на идентичност, шлюзовете и сървърите на приложения все още трябва да бъдат защитени. Насоки на CISA също така третира софтуера за отдалечен достъп и крайни устройства като инфраструктура с висока стойност, която изисква MFA, актуализации, регистриране и намалена експозиция.
Производителност
VPN дизайните често пренасочват трафика през централен шлюз или дата център, което може да добави закъснение, когато отдалечен потребител се свързва през централата, за да достигне до приложение, хоствано в облака.
ZTNA може да предложи по-пряк път към упълномощеното приложение, особено когато свързващите устройства или точките на услуги са разпределени близо до потребителите и натоварванията. Въпреки това, производителността все още зависи от:
- изисквания за инспекция
- архитектура на доставчика
- разположение на конектора
- интернет качество
VPN може да остане ефективен за вътрешни натоварвания в центрове за данни или среди с локални концентратори. Вместо да предполагат, че един модел винаги е по-бърз, ИТ екипите трябва да сравняват времето за отговор на приложенията и стабилността на сесиите в собствената си среда.
Управление
Мрежовите екипи вече са запознати с VPN концентратори, маршрути, правила за защитна стена и списъци за контрол на достъпа, което може да улесни внедряването. С времето обаче разрешенията могат да станат по-трудни за преглед, тъй като групи, подсетове и изключения се натрупват.
ZTNA изисква по-ясен инвентар на потребителите, приложенията, изискванията за устройства и зависимостите. Администраторите трябва да определят кой се нуждае от всеки ресурс, кои устройства могат да използват и при какви условия достъпът трябва да бъде предоставен. Въпреки че тази работа по политиката изисква усилия, тя може да направи прегледите на достъпа по-смислени, тъй като разрешенията са свързани директно с бизнес приложенията.
Независимо от използвания модел, ефективното управление зависи от назначаването на собственик на всеки ресурс, документирането на изключения и редовното преглеждане на привилегиите. Нито VPN, нито ZTNA остават сигурни без последователна оперативна дисциплина.
Цена
VPN може да бъде по-евтиният вариант, когато организацията вече притежава съвместима инфраструктура за защитна стена или шлюз. Въпреки това, общата цена все още може да включва:
- капацитет на концентратор
- висока наличност
- клиентска поддръжка
- пропускателна способност
- сегментационна работа
- текуща поддръжка на правилата
ZTNA може да въведе абонаменти на потребителска основа, интеграция на идентичност, агенти за крайни точки, конектори и миграционна работа. В същото време може да намали VPN обратния трафик, да опрости достъпа на изпълнители и да намали разходите за поддържане на широка мрежова свързаност.
По тази причина сравнението трябва да се фокусира върху общата цена на притежание, а не само върху началната цена на продукта. ИТ екипите трябва да вземат предвид лицензиране, инфраструктура, усилия за помощ, администриране на политики, риск от престой и разходите за предоставяне на повече достъп, отколкото потребителите всъщност имат нужда.
Кога все още има смисъл от VPN?
Въпреки преминаването към по-специфични модели за достъп до ресурси, VPN остава правилният избор, когато потребителите или системите наистина се нуждаят от свързаност на ниво мрежа.
Особено полезно е, когато изискването включва множество протоколи, споделена инфраструктура или приложения, които зависят от директен достъп до вътрешни мрежи.
Често срещаните примери включват:
- Свързаност между офиси, центрове за данни или облачни мрежи
- Отстраняване на мрежови проблеми и администриране на ниво пакети
- Достъп до множество протоколи в контролирана инфраструктурна секция
- Наследени приложения, които не могат да бъдат публикувани чрез приложение за достъп.
- Разработване, лабораторни или среди за възстановяване след бедствия, които изискват широка свързаност
- Т временен достъп в среди, където сегментацията и мониторингът вече са зрели
VPN не е нито остарял, нито по същество несигурен. Неговата сигурност зависи от това колко внимателно е конфигурирана и управлявана връзката, включително ограничени маршрути, силна автентикация, редовно актуализиране на шлюза и ясна разделеност между стандартни потребители и привилегировани администратори.
Когато тези контроли са в сила и бизнес нуждата е наистина ориентирана към мрежата, VPN може да остане ефективно и практично решение за отдалечен достъп.
Кога е по-добре да изберем Zero Trust?
ZTNA обикновено е по-силният избор, когато потребителите се нуждаят от достъп до определен набор от приложения, а не до по-широката мрежа. Това го прави особено подходящ за дистанционни служители, изпълнители, партньори и външни екипи за поддръжка, чиито изисквания за достъп могат да бъдат описани точно.
Например, политика на нулева доверие може да позволи на членовете на финансовата група да получат достъп до счетоводното приложение по време на одобрени часове, при условие че използват управлявани устройства и многофакторна автентикация. Този тип правило е по-лесно за преглед, отколкото широко разрешение, предоставящо достъп до финансовата подсистема.
ZTNA също е добре пригоден за разпределени и облачно ориентирани среди, където приложенията вече не се намират зад единен офисен периметър. Като поставя политиката за идентичност и ресурси в центъра на решението за достъп, моделът следва работното натоварване, а не физическата мрежова граница.
Има ли среден вариант?
Да. Вместо да принуждават всяка работна процедура да преминава през една единствена технология, много организации могат да използват ZTNA и VPN заедно.
Стандартните служители и изпълнители могат да получат достъп на ниво приложение чрез ZTNA или сигурен портал за приложения, докато мрежовите администратори запазват строго контролирани VPN или привилегирован достъп до шлюз за задачи, които изискват свързаност на ниво IP. Клоновите офиси могат да продължат да използват VPN връзки между сайтове, а наследените приложения могат да останат на ограничени VPN маршрути, докато не бъдат модернизирани или публикувано по-узко .
Постепенната трансформация обикновено е по-безопасна от внезапната замяна. ИТ екипите могат да създадат дистанционни работни потоци, да отделят изискванията на приложението от нуждите на мрежовото ниво, да укрепят контрола на идентичността, да тестват едно ограничено приложение и да премахнат съответния VPN маршрут само след валидиране на новия път за достъп.
Как TSplus се вписва в картината?
TSplus Advanced Security защитава Windows сървъри и среди за отдалечен достъп. Вместо да замества VPN или да действа като напълно решение за Zero Trust Network Access, той добавя контроли на ниво сървър, които могат да укрепят всеки от моделите за достъп.
Тези контроли могат да защитят Windows сървъри зад VPN, като добавят ограничения на базата на потребители, устройства, местоположения и времена на свързване. Те поддържат няколко принципа на Zero Trust като част от по-широка архитектура за сигурност.
Защита от брутфорс и злонамерени IP адреси
Услугите за удостоверяване, достъпни в интернет, често са цел на атаки за отгатване на пароли и автоматизирани мрежови сканирания. Нашето решение следи неуспешните опити за влизане в Windows и може автоматично да блокира произходния IP адрес, след като бъде достигнато конфигурираното ниво.
Защита на IP адреси от хакери подсилва тази защита с поддържан списък на адреси, свързани с зловреден софтуер, ботнети, онлайн атаки и друга злонамерена дейност. Администраторите могат също да управляват разрешените и блокираните адреси чрез правила на защитната стена, което помага да се спре нежелания трафик преди да достигне до изложена Windows услуга.
Географски и контекстуални ограничения за достъп
Географската защита позволява на администраторите да контролират достъпа в зависимост от страната на произход или IP адреса. Те могат да ограничат връзките до одобрени държави, частни адреси и конкретно добавени в бял списък IP диапазони, което е полезно, когато легитимни потребители се свързват от предсказуеми места.
Работното време добавя контрол на базата на времето за потребители и групи, позволявайки на администраторите да определят кога могат да се отварят сесии и да намалят наличността на акаунта извън очакваните работни периоди. Доверените устройства могат допълнително да ограничат връзките до одобрени крайни точки, когато методът на свързване поддържа идентификация на устройството.
Тези проверки наподобяват контекстуалните контроли, използвани в стратегиите за нулево доверие. Въпреки това, информацията за местоположение, време и устройство трябва да остане подкрепящи сигнали, а не окончателно доказателство, че връзката е надеждна.
Грануларни разрешения и сигурни сесии
Нашето решение включва контрол на разрешенията за преглед и управление на привилегиите на потребители и групи. Администраторите могат да ограничават достъпа до файлове, папки, обекти в регистъра и принтери на защитения Windows сървър.
Сигурните сесии могат да прилагат различни нива на сигурност за конкретни потребители и групи. Заедно, тези функции намаляват какво може да достъпи или модифицира свързаният акаунт след удостоверяване.
Този подход на минимални права на ниво сървър може да ограничи въздействието на компрометирана сметка. Въпреки това, той не е еквивалентен на ZTNA политически двигател, който обикновено посредничи за достъп до отделни приложения или услуги преди установяване на мрежова свързаност.
Защита срещу рансъмуер
Нашето решение следи активността на сървъра за поведение, свързано с ransomware. То комбинира статични индикатори с поведенчески анализ, за да открие подозрителна файлова активност и да реагира, когато бъде идентифициран потенциален ransomware.
Тази защита е особено важна, когато отдалечени потребители могат да отварят споделени документи или да записват в сървърно хранилище. Тъй като валидна сметка все още може да бъде злоупотребена за стартиране на злонамерен софтуер, само осигуряването на връзката не е достатъчно.
Защитата от ransomware следователно трябва да допълва тестваните офлайн резервни копия, управлението на пачове, защитата на крайни точки и процедурите за реагиране при инциденти, а не да ги заменя.
Контроли на защитната стена, Събития и известия
TSplus Advanced Security може да прилага правила за блокиране чрез Windows Firewall или неговия интегриран защитен екран. Администраторите могат да блокират враждебни адреси, да поддържат списъци с разрешени адреси и да преглеждат ограниченията на мрежата от интерфейса на Advanced Security.
Таблото за управление също показва последните събития по сигурността, докато конфигурируемите известия могат да уведомят администраторите по имейл, SMS или Microsoft Teams, когато се случат избрани събития. Заедно, тези функции предоставят видимост върху блокираните връзки и друга активност, която може да изисква разследване.
Наблюдението остава съществено както в VPN, така и в Zero Trust среди. Превантивните мерки могат да намалят риска, но ИТ екипите трябва да продължат да преглеждат известията, да разследват необичайно поведение и да усъвършенстват политиките, тъй като изискванията за достъп се променят.
Заключение
Централната разлика между Zero Trust отдалечен достъп и VPN е обхватът и времето на доверие. VPN обикновено създава криптиран мрежов път след удостоверяване на потребител или устройство. ZTNA предоставя достъп до конкретен ресурс след оценка на идентичността, устройството и контекстуалните условия.
VPN остава подходящ за връзки между сайтове, мрежова администрация, наследствени протоколи и натоварвания, които изискват свързаност на ниво IP. ZTNA обикновено е по-подходящ за служители, изпълнители и партньори, които се нуждаят само от избрани приложения или услуги.
Много организации ще се възползват от комбинирането на двата подхода. Достъпът на ниво приложение може да се насочи към ZTNA, докато ограничените VPN връзки остават налични за работни потоци, които наистина изискват достъп до мрежата. Независимо кой модел е избран, силната автентикация, минималните права, сегментацията, укрепването на сървъра и непрекъснатото наблюдение остават необходими.