Εισαγωγή
Η ασφαλής απομακρυσμένη πρόσβαση δεν είναι πλέον επιλογή μεταξύ κρυπτογραφημένων και μη κρυπτογραφημένων συνδέσεων. Και οι δύο σύγχρονες λύσεις VPN και Zero Trust απομακρυσμένης πρόσβασης μπορούν να προστατεύσουν τα δεδομένα κατά τη μεταφορά. Η πιο σημαντική ερώτηση είναι τι μπορεί να προσεγγίσει ένας χρήστης ή μια συσκευή μετά την αυθεντικοποίηση.
Ένα VPN συχνά επεκτείνει τη συνδεσιμότητα δικτύου σε ένα απομακρυσμένο σημείο. Η πρόσβαση δικτύου μηδενικής εμπιστοσύνης υιοθετεί μια προσέγγιση που επικεντρώνεται στους πόρους, αξιολογώντας τον χρήστη, τη συσκευή, την αιτούμενη εφαρμογή και το τρέχον πλαίσιο πριν παραχωρήσει πρόσβαση. Για πολλές οργανώσεις, ο καλύτερος σχεδιασμός δεν είναι μια πλήρης αντικατάσταση αλλά μια σκόπιμη διαίρεση μεταξύ της πρόσβασης στην εφαρμογή και της γνήσιας πρόσβασης στο δίκτυο.
Τι είναι ένα VPN;
Ένα εικονικό ιδιωτικό δίκτυο δημιουργεί μια κρυπτογραφημένη σήραγγα μεταξύ μιας απομακρυσμένης συσκευής και μιας πύλης VPN, η οποία πιστοποιεί τη σύνδεση πριν δρομολογήσει την εγκεκριμένη κίνηση σε ιδιωτικά δίκτυα, υποδίκτυα ή υπηρεσίες.
Αν και ένα VPN δεν χρειάζεται να παρέχει απεριόριστη πρόσβαση, το λειτουργικό του μοντέλο παραμένει προσανατολισμένο στο δίκτυο. Οι διαχειριστές μπορούν να εφαρμόσουν:
- πολυπαραγοντική αυθεντικοποίηση
- δ πιστοποιητικά συσκευών
- κανόνες τείχους προστασίας
- δικτύωση τμηματοποίησης
- α λίστες ελέγχου πρόσβασης
Ωστόσο, το τερματικό θα λαμβάνει συνήθως μια διαδρομή επιπέδου IP σε μία ή περισσότερους εσωτερικούς πόρους.
Επειδή αυτό το μοντέλο είναι καλά εδραιωμένο και υποστηρίζει μια ευρεία γκάμα πρωτοκόλλων, παραμένει χρήσιμο όταν οι διαχειριστές χρειάζονται ευρεία πρόσβαση σε υποδομές, οι εφαρμογές εξαρτώνται από εσωτερική διεύθυνση ή δύο τοποθεσίες χρειάζεται να ανταλλάξουν κυκλοφορία με ασφάλεια.
Ο κύριος κίνδυνος προκύπτει όταν οι άδειες VPN επεκτείνονται πέρα από ό,τι χρειάζεται πραγματικά ο χρήστης. Για παράδειγμα, ένας απομακρυσμένος υπάλληλος που χρειάζεται μόνο μία εφαρμογή λογιστικής μπορεί να μην χρειάζεται πρόσβαση σε ολόκληρο το υποδίκτυο χρηματοδότησης.
Τι είναι η Zero Trust Remote Access (ZTNA);
Στη συνήθη χρήση, η απομακρυσμένη πρόσβαση Zero Trust αναφέρεται συνήθως στην Πρόσβαση Δικτύου Zero Trust, ή ZTNA. Η ZTNA εφαρμόζεται Αρχές Zero Trust στην απομακρυσμένη σύνδεση παρέχοντας πρόσβαση σε μια μεμονωμένη εφαρμογή, επιφάνεια εργασίας ή υπηρεσία αντί να επεκτείνει την γενική πρόσβαση στο δίκτυο.
Η απόφαση μπορεί να εξετάσει αρκετά σήματα:
- Ταυτότητα και ρόλος χρήστη
- Κυριότητα συσκευής και στάση ασφάλειας
- Αιτούμενος πόρος
- Τοποθεσία και ώρα πρόσβασης
- Δύναμη αυθεντικοποίησης
- Κίνδυνος συνεδρίας ή ασυνήθιστη συμπεριφορά
NIST περιγράφει Μηδενική Εμπιστοσύνη ως μια αρχιτεκτονική που αφαιρεί την έμμεση εμπιστοσύνη με βάση την τοποθεσία του δικτύου και προστατεύει τους μεμονωμένους πόρους μέσω ρητής αυθεντικοποίησης και εξουσιοδότησης. Το ZTNA είναι ένας τρόπος εφαρμογής αυτού του αρχ принципа, όχι ολόκληρη η αρχιτεκτονική Zero Trust.
Αφού εγκριθεί ένα αίτημα, ο χρήστης λαμβάνει έναν ελεγχόμενο δρόμο προς τον εξουσιοδοτημένο πόρο. Τα μη εγκεκριμένα συστήματα δεν χρειάζεται να γίνουν ορατά ή δρομολογήσιμα από το σημείο πρόσβασης. Οι πολιτικές μπορεί επίσης να ενεργοποιήσουν επαναπιστοποίηση, περιορισμένη πρόσβαση ή τερματισμό συνεδρίας όταν αλλάζει ο κίνδυνος.
Zero Trust Remote Access vs VPN: Κύριες Διαφορές
Η διαφορά μεταξύ ZTNA και VPN είναι αρχιτεκτονική και όχι απλώς τεχνολογική. Ένα καλά τμηματοποιημένο VPN μπορεί να είναι πολύ περιοριστικό, ενώ μια κακώς διαχειριζόμενη ανάπτυξη ZTNA μπορεί να παρέχει ακόμα υπερβολική πρόσβαση.
| Κριτήριο | VPN | Απομακρυσμένη πρόσβαση μηδενικής εμπιστοσύνης ή ZTNA |
|---|---|---|
| Πρόσβαση στόχου | Δίκτυο, υποδίκτυο ή εύρος υπηρεσίας | Συγκεκριμένη εφαρμογή, επιτραπέζιος υπολογιστής ή υπηρεσία |
| Πρωτογενές πλαίσιο πολιτικής | Διαδρομές, διευθύνσεις IP, ομάδες και κανόνες τείχους προστασίας | Ταυτότητα, συσκευή, πόρος και συμφραζόμενα σήματα |
| Ορατότητα δικτύου | Οι εσωτερικές υπηρεσίες μπορεί να γίνουν προσβάσιμες μετά τη σύνδεση. | Οι μη εγκεκριμένοι πόροι μπορεί να παραμείνουν αόρατοι. |
| Ροή εργασίας χρήστη | Δημιουργήστε σήραγγα, στη συνέχεια ανοίξτε την πηγή | Ζητήστε ή εκκινήστε έναν εγκεκριμένο πόρο απευθείας |
| Καλύτερη εφαρμογή | Πρόσβαση σε επίπεδο δικτύου, κληρονομιάς και από τοποθεσία σε τοποθεσία | Επίπεδο πρόσβασης εφαρμογής για χρήστες και τρίτους |
| Κύρια λειτουργική παραχώρηση | Γνωστό αλλά μπορεί να γίνει ευρύ και βαρύ σε πύλες | Λεπτομερής αλλά απαιτεί χαρτογράφηση εφαρμογής και ταυτότητας |
Μοντέλο ασφαλείας
Μια παραδοσιακή VPN λαμβάνει την κύρια απόφαση εμπιστοσύνης της όταν δημιουργείται η σήραγγα. Οι σύγχρονες πλατφόρμες μπορούν να ενισχύσουν αυτή την απόφαση με συνθήκες πρόσβασης, ελέγχους τερματικών και επαναπιστοποίηση, αλλά η συνεδρία εξακολουθεί να ξεκινά επεκτείνοντας τη συνδεσιμότητα δικτύου στον χρήστη.
Η ZTNA ακολουθεί μια πιο επικεντρωμένη προσέγγιση στους πόρους. Ένας έγκυρος κωδικός πρόσβασης και ο δεύτερος παράγοντας δεν παρέχουν αυτόματα πρόσβαση σε κάθε εσωτερικό σύστημα, διότι η πολιτική μπορεί επίσης να απαιτεί μια διαχειριζόμενη συσκευή, μια εγκεκριμένη τοποθεσία, έναν συγκεκριμένο ρόλο χρήστη ή μια συνεδρία χαμηλότερου κινδύνου πριν καταστεί διαθέσιμη η ζητούμενη εφαρμογή.
Αυτό το πιο περιορισμένο μοντέλο πρόσβασης υποστηρίζει την ελάχιστη προνόμια και μπορεί να περιορίσει τον αριθμό των συστημάτων που εκτίθενται αν κλαπούν τα διαπιστευτήρια. Ωστόσο, το ZTNA δεν εξαλείφει τον κίνδυνο παραβίασης λογαριασμού, καθώς ένας επιτιθέμενος μπορεί να κακοποιήσει οποιαδήποτε εφαρμογή στην οποία ο παραβιασμένος λογαριασμός έχει εξουσιοδότηση να ανοίξει.
Εμπειρία χρήστη
Οι χρήστες VPN συχνά χρειάζεται να ανοίξουν έναν πελάτη, να περιμένουν να συνδεθεί η σήραγγα, να ολοκληρώσουν τις προτροπές αυθεντικοποίησης και στη συνέχεια να εκκινήσουν την απαιτούμενη εφαρμογή. Όταν οι συγκρούσεις DNS, οι κανόνες διαχωρισμού σήραγγας, τα ασταθή τοπικά δίκτυα ή οι ληγμένες ρυθμίσεις πελάτη προκαλούν προβλήματα, το αποτέλεσμα μπορεί να είναι επιπλέον αιτήματα υποστήριξης.
Το ZTNA μπορεί να απλοποιήσει αυτή τη διαδικασία παρουσιάζοντας μόνο εγκεκριμένους πόρους μέσω ενός πορτάλ, προγράμματος περιήγησης ή ελαφριάς εφαρμογής. Αντί να λαμβάνει πρώτα γενική πρόσβαση στο δίκτυο, ο χρήστης μπορεί να εκκινήσει την απαιτούμενη εφαρμογή απευθείας.
Η εμπειρία εξαρτάται ακόμη από την υλοποίηση, καθώς ορισμένα πρωτόκολλα απαιτούν έναν πράκτορα endpoint και ορισμένες παλιές εφαρμογές δεν λειτουργούν καλά μέσω ενός proxy εφαρμογής. Πριν από τη μετανάστευση, οι ομάδες IT θα πρέπει επομένως να δοκιμάσουν:
- αυθεντικοποίηση
- εκτύπωση
- μεταφορά αρχείων
- · έλεγχοι αποθήκης
- συμπεριφορά επανασύνδεσης
Έκθεση δικτύου
Ένα VPN gateway είναι μια υπηρεσία περιθωρίου που είναι προσβάσιμη από το διαδίκτυο, επομένως πρέπει να ενημερώνεται, να παρακολουθείται και να προστατεύεται. Ανάλογα με τις διαδρομές, τον κατακερματισμό και την πολιτική τείχους προστασίας που ισχύει, ένας συνδεδεμένος χρήστης μπορεί επίσης να είναι σε θέση να ανακαλύψει εσωτερικές διευθύνσεις ή υπηρεσίες.
Το ZTNA μπορεί να μειώσει αυτή την έκθεση τοποθετώντας έναν μεσίτη ή σημείο επιβολής μεταξύ του χρήστη και της εφαρμογής. Αυτό δίνει στο endpoint πρόσβαση στους εγκεκριμένους πόρους χωρίς να δημιουργεί μια γενική διαδρομή στο περιβάλλον δίκτυο.
Αν και αυτός ο σχεδιασμός μπορεί να δυσκολέψει την πλευρική κίνηση, οι συνδετήρες, οι πάροχοι ταυτότητας, οι πύλες και οι διακομιστές εφαρμογών εξακολουθούν να χρειάζονται ασφάλεια. Καθοδήγηση CISA επίσης θεωρεί το λογισμικό απομακρυσμένης πρόσβασης και τις συσκευές άκρης ως υποδομή υψηλής αξίας που απαιτεί MFA, ενημερώσεις, καταγραφή και μειωμένη έκθεση.
Απόδοση
Οι σχεδιασμοί VPN συχνά μεταφέρουν την κίνηση μέσω μιας κεντρικής πύλης ή κέντρου δεδομένων, κάτι που μπορεί να προσθέσει καθυστέρηση όταν ένας απομακρυσμένος χρήστης συνδέεται μέσω της κεντρικής γραμμής για να φτάσει σε μια εφαρμογή που φιλοξενείται στο cloud.
Η ZTNA μπορεί να προσφέρει μια πιο άμεση διαδρομή προς την εξουσιοδοτημένη εφαρμογή, ιδιαίτερα όταν οι σύνδεσμοι ή τα σημεία υπηρεσίας είναι κατανεμημένα κοντά στους χρήστες και τα φορτία εργασίας. Παρ' όλα αυτά, η απόδοση εξαρτάται ακόμα από:
- απαιτήσεις επιθεώρησης
- παροχέας αρχιτεκτονικής
- τοποθέτηση συνδετήρα
- ποιότητα διαδικτύου
Ένα VPN μπορεί να παραμείνει αποτελεσματικό για εσωτερικά φορτία εργασίας κέντρου δεδομένων ή περιβάλλοντα με τοπικούς συγκεντρωτές. Αντί να υποθέτουν ότι ένα μοντέλο είναι πάντα ταχύτερο, οι ομάδες IT θα πρέπει να συγκρίνουν τους χρόνους απόκρισης εφαρμογών και τη σταθερότητα συνεδριών στο δικό τους περιβάλλον.
Διαχείριση
Οι ομάδες δικτύου είναι ήδη εξοικειωμένες με συγκεντρωτές VPN, δρομολογήσεις, κανόνες τείχους προστασίας και λίστες ελέγχου πρόσβασης, γεγονός που μπορεί να διευκολύνει την ανάπτυξη. Με την πάροδο του χρόνου, ωστόσο, οι άδειες μπορεί να γίνουν πιο δύσκολες στην αναθεώρηση καθώς οι ομάδες, τα υποδίκτυα και οι εξαιρέσεις συσσωρεύονται.
Η ZTNA απαιτεί μια πιο σαφή καταγραφή χρηστών, εφαρμογών, απαιτήσεων συσκευών και εξαρτήσεων. Οι διαχειριστές πρέπει να καθορίσουν ποιος χρειάζεται κάθε πόρο, ποιες συσκευές μπορούν να χρησιμοποιήσουν και υπό ποιες συνθήκες θα πρέπει να παραχωρείται η πρόσβαση. Αν και αυτή η εργασία πολιτικής απαιτεί προσπάθεια, μπορεί να κάνει τις αναθεωρήσεις πρόσβασης πιο ουσιαστικές, καθώς οι άδειες αντιστοιχίζονται άμεσα σε επιχειρηματικές εφαρμογές.
Όποιο μοντέλο και αν χρησιμοποιείται, η αποτελεσματική διαχείριση εξαρτάται από την ανάθεση ενός ιδιοκτήτη σε κάθε πόρο, την τεκμηρίωση των εξαιρέσεων και την τακτική ανασκόπηση των προνομίων. Ούτε το VPN ούτε το ZTNA παραμένουν ασφαλή χωρίς συνεπή επιχειρησιακή πειθαρχία.
Κόστος
Μια VPN μπορεί να είναι η λιγότερο δαπανηρή επιλογή όταν μια οργάνωση διαθέτει ήδη συμβατή υποδομή τείχους προστασίας ή πύλης. Ωστόσο, το συνολικό κόστος μπορεί να περιλαμβάνει ακόμα:
- χωρητικότητα συγκεντρωτή
- υψηλή διαθεσιμότητα
- υποστήριξη πελατών
- εύρος ζώνης
- εργασία τμηματοποίησης
- συνεχιζόμενη συντήρηση κανόνων
Η ZTNA μπορεί να εισάγει συνδρομές ανά χρήστη, ενσωμάτωσης ταυτότητας, πράκτορες τερματικών, συνδέσμους και εργασία μετανάστευσης. Ταυτόχρονα, μπορεί να μειώσει την επιστροφή VPN, να απλοποιήσει την πρόσβαση των εργολάβων και να μειώσει το κόστος υποστήριξης ευρείας συνδεσιμότητας δικτύου.
Για αυτόν τον λόγο, η σύγκριση θα πρέπει να επικεντρώνεται στο συνολικό κόστος ιδιοκτησίας παρά μόνο στην αρχική τιμή του προϊόντος. Οι ομάδες IT θα πρέπει να εξετάσουν την αδειοδότηση, την υποδομή, την προσπάθεια του helpdesk, τη διαχείριση πολιτικών, τον κίνδυνο χρόνου διακοπής και το κόστος παροχής περισσότερης πρόσβασης από ό,τι πραγματικά χρειάζονται οι χρήστες.
Πότε έχει νόημα ένα VPN;
Παρά την κίνηση προς πιο συγκεκριμένα μοντέλα πρόσβασης σε πόρους, ένα VPN παραμένει η σωστή επιλογή όταν οι χρήστες ή τα συστήματα χρειάζονται πραγματικά συνδεσιμότητα σε επίπεδο δικτύου.
Είναι ιδιαίτερα χρήσιμο όταν η απαίτηση περιλαμβάνει πολλαπλά πρωτόκολλα, κοινή υποδομή ή εφαρμογές που εξαρτώνται από άμεση πρόσβαση σε εσωτερικά δίκτυα.
Κοινά παραδείγματα περιλαμβάνουν:
- Συνδεσιμότητα μεταξύ τοποθεσιών μεταξύ γραφείων, κέντρων δεδομένων ή δικτύων cloud
- Διαχείριση δικτύου και αποσφαλμάτωσης πακέτων
- Πρόσβαση σε πολλαπλά πρωτόκολλα μέσω ενός ελεγχόμενου τμήματος υποδομής
- Κληρονομημένες εφαρμογές που δεν μπορούν να δημοσιευτούν μέσω μιας πύλης εφαρμογών
- Αναπτυξιακά, εργαστηριακά ή περιβάλλοντα αποκατάστασης από καταστροφές που απαιτούν ευρεία συνδεσιμότητα
- Τ προσωρινή πρόσβαση σε περιβάλλοντα όπου η τμηματοποίηση και η παρακολούθηση είναι ήδη ώριμες
Ένα VPN δεν είναι επομένως ούτε ξεπερασμένο ούτε εγγενώς ανασφαλές. Η ασφάλειά του εξαρτάται από το πόσο προσεκτικά έχει ρυθμιστεί και διαχειριστεί η σύνδεση, συμπεριλαμβανομένων περιορισμένων διαδρομών, ισχυρής αυθεντικοποίησης, τακτικής ενημέρωσης του πύλης και σαφούς διαχωρισμού μεταξύ των τυπικών χρηστών και των προνομιακών διαχειριστών.
Όταν αυτοί οι έλεγχοι είναι σε εφαρμογή και η επιχειρηματική ανάγκη είναι πραγματικά προσανατολισμένη στο δίκτυο, ένα VPN μπορεί να παραμείνει μια αποτελεσματική και πρακτική λύση απομακρυσμένης πρόσβασης.
Πότε είναι η καλύτερη επιλογή η Zero Trust;
Η ZTNA είναι συνήθως η ισχυρότερη επιλογή όταν οι χρήστες χρειάζονται πρόσβαση σε ένα καθορισμένο σύνολο εφαρμογών αντί για το ευρύτερο δίκτυο. Αυτό την καθιστά ιδιαίτερα κατάλληλη για απομακρυσμένους υπαλλήλους, εργολάβους, συνεργάτες και εξωτερικές ομάδες υποστήριξης των οποίων οι απαιτήσεις πρόσβασης μπορούν να περιγραφούν με ακρίβεια.
Για παράδειγμα, μια πολιτική Zero Trust μπορεί να επιτρέπει στα μέλη της ομάδας χρηματοδότησης να έχουν πρόσβαση στην εφαρμογή λογιστικής κατά τις εγκεκριμένες ώρες, υπό την προϋπόθεση ότι χρησιμοποιούν διαχειριζόμενες συσκευές και πολυπαραγοντική αυθεντικοποίηση. Αυτός ο τύπος κανόνα είναι πιο εύκολος στην αναθεώρηση από μια ευρεία άδεια που παρέχει πρόσβαση στο υποδίκτυο χρηματοδότησης.
Το ZTNA είναι επίσης κατάλληλο για κατανεμημένα και προσανατολισμένα στο cloud περιβάλλοντα όπου οι εφαρμογές δεν βρίσκονται πλέον πίσω από ένα μόνο περιθώριο γραφείου. Τοποθετώντας την πολιτική ταυτότητας και πόρων στο κέντρο της απόφασης πρόσβασης, το μοντέλο ακολουθεί το φόρτο εργασίας αντί για ένα φυσικό όριο δικτύου.
Υπάρχει μια μέση λύση;
Ναι. Αντί να αναγκάζουν κάθε ροή εργασίας να περνά μέσα από μια ενιαία τεχνολογία, πολλές οργανώσεις μπορούν να χρησιμοποιούν το ZTNA και το VPN μαζί.
Οι κανονικοί υπάλληλοι και οι εργολάβοι μπορούν να αποκτήσουν πρόσβαση σε επίπεδο εφαρμογής μέσω ZTNA ή ενός ασφαλούς διαδικτυακού πύλης εφαρμογής, ενώ οι διαχειριστές δικτύου διατηρούν μια αυστηρά ελεγχόμενη πύλη VPN ή πύλη προνομιακής πρόσβασης για εργασίες που απαιτούν συνδεσιμότητα σε επίπεδο IP. Τα υποκαταστήματα μπορούν να συνεχίσουν να χρησιμοποιούν VPN site-to-site, και οι κληρονομημένες εφαρμογές μπορούν να παραμείνουν σε περιορισμένες διαδρομές VPN μέχρι να εκσυγχρονιστούν ή δημοσιεύθηκε πιο περιορισμένα .
Μια σταδιακή μετάβαση είναι συνήθως ασφαλέστερη από μια ξαφνική αντικατάσταση. Οι ομάδες IT μπορούν να εφεύρουν απομακρυσμένες ροές εργασίας, να διαχωρίσουν τις απαιτήσεις σε επίπεδο εφαρμογής από τις ανάγκες σε επίπεδο δικτύου, να ενισχύσουν τους ελέγχους ταυτότητας, να δοκιμάσουν μια περιορισμένη εφαρμογή και να αφαιρέσουν τη σχετική διαδρομή VPN μόνο μετά την επικύρωση της νέας διαδρομής πρόσβασης.
Πώς ταιριάζει το TSplus στην εικόνα;
TSplus Προηγμένη Ασφάλεια προστατεύει τους διακομιστές Windows και τα περιβάλλοντα απομακρυσμένης πρόσβασης. Αντί να αντικαθιστά ένα VPN ή να λειτουργεί ως μια πλήρης πλατφόρμα Zero Trust Network Access, προσθέτει ελέγχους σε επίπεδο διακομιστή που μπορούν να ενισχύσουν οποιοδήποτε μοντέλο πρόσβασης.
Αυτοί οι έλεγχοι μπορούν να προστατεύσουν τους διακομιστές Windows πίσω από ένα VPN προσθέτοντας περιορισμούς με βάση τους χρήστες, τις συσκευές, τις τοποθεσίες και τους χρόνους σύνδεσης. Υποστηρίζουν αρκετές αρχές Zero Trust ως μέρος μιας ευρύτερης αρχιτεκτονικής ασφάλειας.
Προστασία από επιθέσεις Brute-Force και κακόβουλες διευθύνσεις IP
Οι υπηρεσίες αυθεντικοποίησης που είναι προσβάσιμες μέσω του διαδικτύου είναι συχνά στόχοι επιθέσεων με μαντεψιά κωδικών πρόσβασης και αυτοματοποιημένων σαρώσεων δικτύου. Η λύση μας παρακολουθεί τις αποτυχημένες προσπάθειες σύνδεσης στα Windows και μπορεί αυτόματα να αποκλείσει τη διεύθυνση IP προέλευσης μόλις επιτευχθεί το καθορισμένο όριο.
Η προστασία IP από χάκερ ενισχύει αυτή την άμυνα με μια διατηρούμενη λίστα διευθύνσεων που σχετίζονται με κακόβουλο λογισμικό, botnets, διαδικτυακές επιθέσεις και άλλες κακόβουλες δραστηριότητες. Οι διαχειριστές μπορούν επίσης να διαχειρίζονται τις επιτρεπόμενες και αποκλεισμένες διευθύνσεις μέσω κανόνων τείχους προστασίας, βοηθώντας να σταματήσουν την ανεπιθύμητη κίνηση πριν φτάσει σε μια εκτεθειμένη υπηρεσία Windows.
Γεωγραφικοί και Συγκείμενοι Περιορισμοί Πρόσβασης
Η Γεωγραφική Προστασία επιτρέπει στους διαχειριστές να ελέγχουν την πρόσβαση σύμφωνα με τη χώρα προέλευσης ή τη διεύθυνση IP. Μπορούν να περιορίσουν τις συνδέσεις σε εγκεκριμένες χώρες, ιδιωτικές διευθύνσεις και συγκεκριμένα whitelisted IP ranges, κάτι που είναι χρήσιμο όταν οι νόμιμοι χρήστες συνδέονται από προβλέψιμες τοποθεσίες.
Οι Ώρες Εργασίας προσθέτουν ελέγχους βάσει χρόνου για χρήστες και ομάδες, επιτρέποντας στους διαχειριστές να καθορίζουν πότε μπορούν να ανοίγουν οι συνεδρίες και να μειώνουν τη διαθεσιμότητα των λογαριασμών εκτός των αναμενόμενων ωρών εργασίας. Οι Εμπιστευμένες Συσκευές μπορούν περαιτέρω να περιορίσουν τις συνδέσεις σε εγκεκριμένα σημεία όταν η μέθοδος σύνδεσης υποστηρίζει την αναγνώριση συσκευών.
Αυτές οι έλεγχοι μοιάζουν με τους συμφραστικούς ελέγχους που χρησιμοποιούνται σε στρατηγικές Zero Trust. Ωστόσο, οι πληροφορίες σχετικά με την τοποθεσία, τον χρόνο και τη συσκευή θα πρέπει να παραμένουν υποστηρικτικά σήματα και όχι οριστική απόδειξη ότι μια σύνδεση είναι αξιόπιστη.
Λεπτομερείς Άδειες και Ασφαλείς Συνεδρίες
Η λύση μας περιλαμβάνει ελέγχους δικαιωμάτων για την αναθεώρηση και τη διαχείριση των δικαιωμάτων χρηστών και ομάδων. Οι διαχειριστές μπορούν να περιορίσουν την πρόσβαση σε αρχεία, φακέλους, αντικείμενα μητρώου και εκτυπωτές στον προστατευμένο διακομιστή Windows.
Οι ασφαλείς συνεδρίες μπορούν στη συνέχεια να εφαρμόσουν διαφορετικά επίπεδα ασφάλειας σε συγκεκριμένους χρήστες και ομάδες. Μαζί, αυτές οι δυνατότητες μειώνουν το τι μπορεί να έχει πρόσβαση ή να τροποποιήσει ένας συνδεδεμένος λογαριασμός μετά την αυθεντικοποίηση.
Αυτή η προσέγγιση ελάχιστης προνομιακής πρόσβασης σε επίπεδο διακομιστή μπορεί να περιορίσει τον αντίκτυπο ενός παραβιασμένου λογαριασμού. Ωστόσο, δεν είναι ισοδύναμη με έναν κινητήρα πολιτικής ZTNA, ο οποίος κανονικά μεσολαβεί για την πρόσβαση σε μεμονωμένες εφαρμογές ή υπηρεσίες πριν από την εγκαθίδρυση συνδεσιμότητας δικτύου.
Προστασία από Ransomware
Η λύση μας παρακολουθεί τη δραστηριότητα του διακομιστή για συμπεριφορές που σχετίζονται με το ransomware. Συνδυάζει στατικούς δείκτες με συμπεριφορική ανάλυση για να ανιχνεύσει ύποπτη δραστηριότητα αρχείων και να ανταποκριθεί όταν εντοπιστεί πιθανό ransomware.
Αυτή η προστασία είναι ιδιαίτερα σχετική όταν οι απομακρυσμένοι χρήστες μπορούν να ανοίξουν κοινά έγγραφα ή να γράψουν σε αποθηκευτικό χώρο του διακομιστή. Επειδή ένας έγκυρος λογαριασμός μπορεί να χρησιμοποιηθεί κακόβουλα για να εκτελέσει κακόβουλο λογισμικό, η ασφάλιση της σύνδεσης από μόνη της δεν είναι αρκετή.
Η προστασία από ransomware θα πρέπει επομένως να συμπληρώνει τις δοκιμασμένες offline εφεδρικές αντιγράφες, τη διαχείριση ενημερώσεων, την προστασία τερματικών και τις διαδικασίες αντίδρασης σε περιστατικά αντί να τις αντικαθιστά.
Έλεγχοι Τείχους Προστασίας, Γεγονότα και Ειδοποιήσεις
TSplus Προηγμένη Ασφάλεια μπορεί να επιβάλει κανόνες αποκλεισμού μέσω του Windows Firewall ή του ενσωματωμένου τείχους προστασίας του. Οι διαχειριστές μπορούν να αποκλείσουν εχθρικές διευθύνσεις, να διατηρήσουν λευκές λίστες και να αναθεωρήσουν περιορισμούς δικτύου από τη διεπαφή του Advanced Security.
Ο πίνακας ελέγχου εμφανίζει επίσης πρόσφατα γεγονότα ασφαλείας, ενώ οι ρυθμιζόμενες ειδοποιήσεις μπορούν να ενημερώνουν τους διαχειριστές μέσω email, SMS ή Microsoft Teams όταν συμβαίνουν επιλεγμένα γεγονότα. Μαζί, αυτές οι δυνατότητες παρέχουν ορατότητα σε αποκλεισμένες συνδέσεις και άλλες δραστηριότητες που μπορεί να απαιτούν έρευνα.
Η παρακολούθηση παραμένει ουσιώδης τόσο σε περιβάλλοντα VPN όσο και σε περιβάλλοντα Zero Trust. Οι προληπτικοί έλεγχοι μπορούν να μειώσουν τον κίνδυνο, αλλά οι ομάδες IT πρέπει να συνεχίσουν να εξετάζουν τις ειδοποιήσεις, να ερευνούν ασυνήθιστη συμπεριφορά και να βελτιώνουν τις πολιτικές καθώς αλλάζουν οι απαιτήσεις πρόσβασης.
Συμπέρασμα
Η κεντρική διαφορά μεταξύ της απομακρυσμένης πρόσβασης Zero Trust και ενός VPN είναι το εύρος και ο χρόνος εμπιστοσύνης. Ένα VPN συνήθως δημιουργεί μια κρυπτογραφημένη διαδρομή δικτύου μετά την αυθεντικοποίηση ενός χρήστη ή συσκευής. Το ZTNA παρέχει πρόσβαση σε μια συγκεκριμένη πηγή μετά την αξιολόγηση της ταυτότητας, της συσκευής και των συμφραζομένων.
Ένα VPN παραμένει κατάλληλο για συνδέσεις site-to-site, διαχείριση δικτύου, παλαιά πρωτόκολλα και φορτία εργασίας που απαιτούν συνδεσιμότητα σε επίπεδο IP. Το ZTNA είναι γενικά πιο κατάλληλο για υπαλλήλους, εργολάβους και συνεργάτες που χρειάζονται μόνο επιλεγμένες εφαρμογές ή υπηρεσίες.
Πολλές οργανώσεις θα επωφεληθούν από τον συνδυασμό των δύο προσεγγίσεων. Η πρόσβαση σε επίπεδο εφαρμογής μπορεί να προχωρήσει προς το ZTNA, ενώ οι περιορισμένες συνδέσεις VPN παραμένουν διαθέσιμες για ροές εργασίας που απαιτούν πραγματικά πρόσβαση στο δίκτυο. Όποιο μοντέλο και αν επιλεγεί, η ισχυρή αυθεντικοποίηση, η ελάχιστη προνομία, ο κατακερματισμός, η σκληροποίηση του διακομιστή και η συνεχής παρακολούθηση παραμένουν απαραίτητες.