Obsah

Úvod

Bezpečný vzdálený přístup již není volbou mezi šifrovanými a nešifrovanými připojeními. Moderní řešení VPN a Zero Trust pro vzdálený přístup mohou chránit data během přenosu. Důležitější otázkou je, co může uživatel nebo zařízení dosáhnout po autentizaci.

VPN často rozšiřuje síťové připojení k vzdálenému koncovému bodu. Přístup k síti s nulovou důvěrou zaujímá přístup zaměřený na zdroje, hodnotí uživatele, zařízení, požadovanou aplikaci a aktuální kontext před udělením přístupu. Pro mnoho organizací není nejlepší návrh úplnou náhradou, ale záměrným rozdělením mezi přístupem k aplikaci a skutečným přístupem k síti.

Co je to VPN?

[A] [A] virtuální privátní síť vytváří šifrovaný tunel mezi vzdáleným zařízením a VPN bránou, která ověřuje připojení před směrováním schváleného provozu do soukromých sítí, podsítí nebo služeb.

I když VPN nemusí poskytovat neomezený přístup, její provozní model zůstává orientovaný na síť. Správci mohou aplikovat:

  • vícefaktorová autentizace
  • d zařízení certifikáty
  • pravidla firewallu
  • segmentace sítě
  • a seznamy řízení přístupu

Přesto obvykle koncový bod stále obdrží cestu na úrovni IP k jednomu nebo více interním zdrojům.

Protože je tento model dobře zaveden a podporuje širokou škálu protokolů, zůstává užitečný, když administrátoři potřebují široký přístup k infrastruktuře, aplikace závisí na interním adresování nebo když dvě místa potřebují bezpečně vyměňovat provoz.

Hlavní riziko vzniká, když oprávnění VPN přesahují to, co uživatel skutečně potřebuje. Například vzdálený zaměstnanec, který potřebuje pouze jednu účetní aplikaci, nemusí potřebovat přístup k celému finančnímu podsíti.

Co je Zero Trust Remote Access (ZTNA)?

V běžném použití se vzdálený přístup s nulovou důvěrou obvykle vztahuje na přístup k síti s nulovou důvěrou, nebo ZTNA. ZTNA se vztahuje Principy Zero Trust k vzdálenému připojení udělením přístupu k jednotlivé aplikaci, desktopu nebo službě místo rozšíření obecného přístupu k síti.

Rozhodnutí může zohlednit několik signálů:

  • Uživatelská identita a role
  • Vlastnictví zařízení a bezpečnostní postoj
  • Požadovaný zdroj
  • Místo a čas přístupu
  • Síla ověření
  • Riziko relace nebo neobvyklé chování

NIST popisuje Zero Trust jako architektura, která odstraňuje implicitní důvěru založenou na síťové poloze a chrání jednotlivé zdroje prostřednictvím explicitní autentizace a autorizace. ZTNA je jedním ze způsobů, jak tento princip aplikovat, nikoli celou architekturou Zero Trust.

Po schválení žádosti obdrží uživatel řízenou cestu k autorizovanému zdroji. Neschválené systémy nemusí být viditelné nebo směrovatelné z koncového bodu. Politiky mohou také vyvolat znovuautentizaci, omezený přístup nebo ukončení relace, když se změní riziko.

Zero Trust Remote Access vs VPN: Klíčové rozdíly

Rozdíl mezi ZTNA a VPN je architektonický spíše než pouze technologický. Dobře segmentovaná VPN může být vysoce omezující, zatímco špatně řízené nasazení ZTNA může stále poskytovat nadměrný přístup.

Kritérium VPN Zero Trust vzdálený přístup nebo ZTNA
Cílový přístup Síť, podsíť nebo rozsah služby Specifická aplikace, desktop nebo služba
Primární kontext politiky Trasy, IP adresy, skupiny a pravidla firewallu Identita, zařízení, zdroj a kontextové signály
Viditelnost sítě Interní služby mohou být po připojení dostupné. Neschválené zdroje mohou zůstat neodhaleny
Uživatelský pracovní postup Vytvořte tunel a poté otevřete zdroj. Požádejte nebo spusťte schválený zdroj přímo
Nejlepší volba Přístup na úrovni sítě, dědictví a mezi lokalitami Přístup na úrovni aplikace pro uživatele a třetí strany
Hlavní provozní kompromis Známé, ale může se stát širokým a zatíženým bránou Granulární, ale vyžaduje mapování aplikací a identit.

Bezpečnostní model

Tradiční VPN činí své hlavní rozhodnutí o důvěře, když je tunel vytvořen. Moderní platformy mohou toto rozhodnutí posílit podmíněným přístupem, kontrolami koncových bodů a znovuautentizací, ale relace stále začíná rozšířením síťového připojení k uživateli.

ZTNA přistupuje k problematice více zaměřeně na zdroje. Platné heslo a druhý faktor automaticky neposkytují přístup ke každému internímu systému, protože politika může také vyžadovat spravované zařízení, schválenou lokalitu, specifickou uživatelskou roli nebo relaci s nižším rizikem před zpřístupněním požadované aplikace.

Tento užší model přístupu podporuje minimální oprávnění a může omezit počet systémů, které jsou vystaveny, pokud jsou přihlašovací údaje odcizeny. Nicméně, ZTNA neodstraňuje riziko kompromitace účtu, protože útočník může stále zneužít jakoukoli aplikaci, kterou má kompromitovaný účet oprávnění otevřít.

Uživatelská zkušenost

Uživatelé VPN často potřebují otevřít klienta, počkat na připojení tunelu, dokončit výzvy k ověření a poté spustit požadovanou aplikaci. Když DNS konflikty, pravidla pro rozdělené tunelování, nestabilní místní sítě nebo vypršené konfigurace klienta způsobují problémy, výsledkem mohou být další žádosti o podporu.

ZTNA může tento proces zjednodušit tím, že prostřednictvím portálu, prohlížeče nebo lehkého klienta zobrazí pouze schválené zdroje. Místo toho, aby nejprve získal obecný přístup k síti, může uživatel spustit požadovanou aplikaci přímo.

Zkušenost stále závisí na implementaci, protože některé protokoly vyžadují agenta na koncovém bodě a některé starší aplikace nefungují dobře přes aplikační proxy. Před migrací by proto IT týmy měly provést testy:

  • ověření
  • tisknutí
  • přenos souborů
  • · ovládání schránky
  • chování opětovného připojení

Expozice sítě

VPN brána je služba na okraji internetu, takže musí být aktualizována, monitorována a chráněna. V závislosti na trasách, segmentaci a politice firewallu může připojený uživatel také zjistit interní adresy nebo služby.

ZTNA může snížit toto vystavení tím, že umístí zprostředkovatele nebo vynucovací bod mezi uživatele a aplikaci. To poskytuje koncovému bodu přístup k schválenému zdroji, aniž by vytvořilo obecnou cestu do okolní sítě.

I když tento design může ztížit laterální pohyb, konektory, poskytovatelé identity, brány a aplikační servery je stále třeba zabezpečit. Pokyny CISA také považuje software pro vzdálený přístup a okrajová zařízení za vysoce hodnotnou infrastrukturu, která vyžaduje MFA, záplaty, protokolování a sníženou expozici.

Výkon

VPN návrhy často přenášejí provoz přes centrální bránu nebo datové centrum, což může přidat latenci, když se vzdálený uživatel připojuje přes centrálu k dosažení aplikace hostované v cloudu.

ZTNA může nabídnout přímější cestu k autorizované aplikaci, zejména když jsou konektory nebo servisní body distribuovány blízko uživatelů a pracovních zátěží. I tak výkon stále závisí na:

  • požadavky na inspekci
  • architektura poskytovatele
  • umístění konektoru
  • kvalita internetu

VPN může zůstat efektivní pro interní pracovní zátěže datových center nebo prostředí s místními koncentrátory. Místo předpokladu, že jeden model je vždy rychlejší, by IT týmy měly porovnat časy odezvy aplikací a stabilitu relací ve svém vlastním prostředí.

Správa

Síťové týmy jsou již obeznámeny s VPN koncentrátory, trasami, pravidly firewallu a seznamy řízení přístupu, což může usnadnit nasazení. V průběhu času však může být obtížnější přezkoumávat oprávnění, jak se hromadí skupiny, podsítě a výjimky.

ZTNA vyžaduje jasnější inventář uživatelů, aplikací, požadavků na zařízení a závislostí. Správci musí definovat, kdo potřebuje každý zdroj, která zařízení mohou používat a za jakých podmínek by měl být přístup udělen. I když tato práce na politice vyžaduje úsilí, může učinit přehledy přístupů smysluplnějšími, protože oprávnění jsou přímo mapována na obchodní aplikace.

Ať už je použit jakýkoli model, efektivní správa závisí na přiřazení vlastníka každému zdroji, dokumentaci výjimek a pravidelném přezkoumávání oprávnění. Ani VPN, ani ZTNA nezůstávají bezpečné bez konzistentní provozní disciplíny.

Náklady

VPN může být levnější možnost, když organizace již vlastní kompatibilní firewall nebo bránu. Celkové náklady však mohou stále zahrnovat:

  • kapacita koncentrátoru
  • vysoká dostupnost
  • podpora klientů
  • šířka pásma
  • segmentační práce
  • průběžná údržba pravidel

ZTNA může zavést předplatné na uživatele, integraci identity, agenty pro koncové body, konektory a migrační práce. Zároveň může snížit zpětný přenos VPN, zjednodušit přístup pro dodavatele a snížit náklady na podporu širokého síťového připojení.

Z tohoto důvodu by se srovnání mělo zaměřit na celkové náklady na vlastnictví spíše než pouze na počáteční cenu produktu. IT týmy by měly zvážit licencování, infrastrukturu, úsilí helpdesku, správu politik, riziko výpadků a náklady na poskytnutí většího přístupu, než kolik uživatelé skutečně potřebují.

Kdy má VPN stále smysl?

I přes posun směrem k modelům přístupu specifickým pro zdroje zůstává VPN správnou volbou, když uživatelé nebo systémy skutečně potřebují konektivitu na úrovni sítě.

Je to zvláště užitečné, když požadavek zahrnuje více protokolů, sdílenou infrastrukturu nebo aplikace, které závisí na přímém přístupu k interním sítím.

Běžné příklady zahrnují:

  • Konektivita mezi pobočkami, datovými centry nebo cloudovými sítěmi
  • Odstraňování problémů v síti a správa na úrovni paketů
  • Přístup k více protokolům v rámci řízeného segmentu infrastruktury
  • Zastaralé aplikace, které nelze publikovat prostřednictvím aplikační brány
  • Vývojové, laboratorní nebo prostředí pro obnovu po havárii, která vyžadují široké připojení
  • T dočasný přístup v prostředích, kde je segmentace a monitorování již vyspělé

VPN tedy není ani zastaralý, ani inherentně nezabezpečený. Jeho bezpečnost závisí na tom, jak pečlivě je připojení nakonfigurováno a spravováno, včetně omezených tras, silné autentizace, pravidelného patchování brány a jasného oddělení mezi standardními uživateli a privilegovanými administrátory.

Když jsou tyto kontroly zavedeny a obchodní potřeba je skutečně orientována na síť, může VPN zůstat efektivním a praktickým řešením pro vzdálený přístup.

Kdy je Zero Trust lepší volba?

ZTNA je obvykle silnější volbou, když uživatelé potřebují přístup k definovanému souboru aplikací spíše než k širší síti. To ji činí obzvlášť vhodnou pro vzdálené zaměstnance, dodavatele, partnery a externí podpůrné týmy, jejichž požadavky na přístup lze přesně popsat.

Například politika Zero Trust může umožnit členům finanční skupiny přístup k účetní aplikaci během schválených hodin, pokud používají spravovaná zařízení a vícefaktorovou autentizaci. Tento typ pravidla je snazší zkontrolovat než široké oprávnění, které poskytuje přístup k finančnímu podsíti.

ZTNA je také dobře přizpůsobena distribuovaným a cloudově orientovaným prostředím, kde aplikace již nejsou umístěny za jediným kancelářským perimetrem. Umístěním politiky identity a zdrojů do centra rozhodování o přístupu model sleduje pracovní zátěž spíše než fyzickou síťovou hranici.

Existuje nějaký střed?

Ano. Místo toho, aby každou pracovní postup nutně procházely jednou technologií, mohou mnohé organizace používat ZTNA a VPN společně.

Standardní zaměstnanci a dodavatelé mohou získat přístup na úrovni aplikace prostřednictvím ZTNA nebo zabezpečeného aplikačního portálu, zatímco síťoví administrátoři si uchovávají přísně kontrolovanou VPN nebo privilegovaný přístupový bránu pro úkoly, které vyžadují konektivitu na úrovni IP. Pobočky mohou nadále používat VPN mezi lokalitami a starší aplikace mohou zůstat na omezených VPN trasách, dokud nebudou modernizovány nebo publikováno užšími okruhy .

Fázový přechod je obvykle bezpečnější než náhlá výměna. IT týmy mohou vymyslet vzdálené pracovní postupy, oddělit požadavky na úrovni aplikace od potřeb na úrovni sítě, posílit kontroly identity, pilotovat jednu omezenou aplikaci a odstranit odpovídající VPN trasu až po ověření nové cesty přístupu.

Jak zapadá TSplus do obrázku?

TSplus Advanced Security chrání servery Windows a prostředí pro vzdálený přístup. Místo nahrazení VPN nebo fungování jako kompletní platforma pro přístup s nulovou důvěrou přidává ovládací prvky na úrovni serveru, které mohou posílit kterýkoli model přístupu.

Tyto kontroly mohou chránit servery Windows za VPN, zatímco přidávají omezení na základě uživatelů, zařízení, umístění a časů připojení. Podporují několik principů Zero Trust jako součást širší bezpečnostní architektury.

Ochrana proti hrubé síle a škodlivým IP adresám

Internetové autentizační služby čelí častým útokům na hádání hesel a automatizovaným skenům sítě. Naše řešení monitoruje neúspěšné pokusy o přihlášení do systému Windows a může automaticky zablokovat původní IP adresu, jakmile je dosaženo nastaveného prahu.

Ochrana IP hackerů posiluje tuto obranu udržovaným seznamem adres spojených se škodlivým softwarem, botnety, online útoky a dalšími zlovolnými aktivitami. Správci mohou také spravovat povolené a blokované adresy prostřednictvím pravidel firewallu, což pomáhá zastavit nežádoucí provoz, než dosáhne vystavené služby Windows.

Geografická a kontextová omezení přístupu

Geografická ochrana umožňuje správcům řídit přístup podle země původu nebo IP adresy. Mohou omezit připojení na schválené země, soukromé adresy a konkrétní vyjmenované IP rozsahy, což je užitečné, když se legitimní uživatelé připojují z předvídatelných míst.

Pracovní doba přidává časově založené kontroly pro uživatele a skupiny, což umožňuje správcům definovat, kdy mohou být relace otevřeny, a snížit dostupnost účtů mimo očekávané pracovní období. Důvěryhodná zařízení mohou dále omezit připojení k schváleným koncovým bodům, když metoda připojení podporuje identifikaci zařízení.

Tyto kontroly připomínají kontextové kontroly používané ve strategiích Zero Trust. Nicméně informace o umístění, čase a zařízení by měly zůstat podpůrnými signály spíše než definitivním důkazem, že je připojení důvěryhodné.

Granulární oprávnění a zabezpečené relace

Naše řešení zahrnuje kontrolu oprávnění pro přezkoumání a správu oprávnění uživatelů a skupin. Správci mohou omezit přístup k souborům, složkám, objektům registru a tiskárnám na chráněném serveru Windows.

Bezpečné relace mohou poté aplikovat různé úrovně zabezpečení na konkrétní uživatele a skupiny. Tyto funkce společně snižují to, k čemu může připojený účet přistupovat nebo co může měnit po autentizaci.

Tento přístup s minimálními oprávněními na úrovni serveru může omezit dopad kompromitovaného účtu. Není však ekvivalentní k motoru politiky ZTNA, který obvykle zprostředkovává přístup k jednotlivým aplikacím nebo službám před navázáním síťového připojení.

Ochrana před vydíráním

Naše řešení monitoruje aktivitu serveru pro chování spojené s ransomwarem. Kombinuje statické indikátory s behaviorální analýzou, aby detekovalo podezřelou aktivitu souborů a reagovalo, když je identifikován potenciální ransomware.

Tato ochrana je obzvlášť relevantní, když mohou vzdálení uživatelé otevírat sdílené dokumenty nebo zapisovat na serverové úložiště. Protože platný účet může být stále zneužit k spuštění škodlivého softwaru, zabezpečení samotného připojení nestačí.

Ochrana proti ransomwaru by proto měla doplňovat testované offline zálohy, správu záplat, ochranu koncových bodů a postupy reakce na incidenty, spíše než je nahrazovat.

Ovládání firewallu, události a upozornění

TSplus Advanced Security mohou prosazovat pravidla blokování prostřednictvím Windows Firewall nebo jeho integrovaného firewallu. Správci mohou blokovat nepřátelské adresy, udržovat whitelisty a přezkoumávat síťová omezení z rozhraní Advanced Security.

Dashboard také zobrazuje nedávné bezpečnostní události, zatímco konfigurovatelné upozornění mohou informovat administrátory e-mailem, SMS nebo Microsoft Teams, když dojde k vybraným událostem. Tyto funkce společně poskytují přehled o zablokovaných připojeních a další aktivitě, která může vyžadovat vyšetřování.

Monitoring zůstává zásadní jak v prostředích VPN, tak v prostředích Zero Trust. Prevenční opatření mohou snížit riziko, ale IT týmy musí nadále přezkoumávat upozornění, vyšetřovat neobvyklé chování a zdokonalovat politiky, jak se mění požadavky na přístup.

Závěr

Hlavní rozdíl mezi Zero Trust vzdáleným přístupem a VPN je rozsah a načasování důvěry. VPN obvykle vytváří šifrovanou síťovou cestu po ověření uživatele nebo zařízení. ZTNA poskytuje přístup k určitému zdroji po vyhodnocení identity, zařízení a kontextových podmínek.

VPN zůstává vhodný pro připojení mezi lokalitami, správu sítě, starší protokoly a pracovní zátěže, které vyžadují konektivitu na úrovni IP. ZTNA je obecně lépe přizpůsobena zaměstnancům, dodavatelům a partnerům, kteří potřebují pouze vybrané aplikace nebo služby.

Mnoho organizací bude mít prospěch z kombinace obou přístupů. Přístup na úrovni aplikace se může posunout směrem k ZTNA, zatímco omezené VPN připojení zůstává k dispozici pro pracovní postupy, které skutečně vyžadují přístup k síti. Ať už je zvolen jakýkoli model, silná autentizace, minimální oprávnění, segmentace, zpevnění serveru a nepřetržité monitorování zůstávají nezbytné.

Další čtení

back to top of the page icon