معرفی
دسترسی امن از راه دور دیگر انتخابی بین اتصالات رمزگذاری شده و غیر رمزگذاری شده نیست. هر دو راه حل دسترسی از راه دور VPN مدرن و Zero Trust میتوانند دادهها را در حین انتقال محافظت کنند. سوال مهمتر این است که یک کاربر یا دستگاه پس از احراز هویت به چه چیزی میتواند دسترسی پیدا کند.
یک VPN اغلب اتصال شبکه را به یک نقطه انتهایی از راه دور گسترش میدهد. دسترسی شبکه با اعتماد صفر به رویکردی مبتنی بر منابع میپردازد و قبل از اعطای دسترسی، کاربر، دستگاه، برنامه درخواست شده و زمینه فعلی را ارزیابی میکند. برای بسیاری از سازمانها، بهترین طراحی نه یک جایگزینی کامل، بلکه یک تقسیم عمدی بین دسترسی به برنامه و دسترسی واقعی به شبکه است.
VPN چیست؟
A شبکه خصوصی مجازی یک تونل رمزگذاری شده بین یک دستگاه از راه دور و یک دروازه VPN ایجاد میکند که قبل از مسیریابی ترافیک تأیید شده به شبکههای خصوصی، زیرشبکهها یا خدمات، اتصال را احراز هویت میکند.
اگرچه یک VPN نیازی به ارائه دسترسی نامحدود ندارد، مدل عملیاتی آن همچنان مبتنی بر شبکه است. مدیران میتوانند اعمال کنند:
- احراز هویت چندعاملی
- دی گواهینامههای دستگاه
- قوانین فایروال
- تقسیمبندی شبکه
- الف لیستهای کنترل دسترسی
با این حال، نقطه پایانی معمولاً هنوز یک مسیر در سطح IP به یک یا چند منبع داخلی دریافت خواهد کرد.
زیرا این مدل به خوبی تثبیت شده و از طیف وسیعی از پروتکلها پشتیبانی میکند، زمانی که مدیران به دسترسی گسترده به زیرساخت نیاز دارند، برنامهها به آدرسدهی داخلی وابسته هستند یا دو سایت نیاز به تبادل ترافیک به صورت ایمن دارند، همچنان مفید باقی میماند.
خطر اصلی زمانی بروز میکند که مجوزهای VPN فراتر از آنچه کاربر واقعاً نیاز دارد، گسترش یابد. به عنوان مثال، یک کارمند از راه دور که فقط به یک برنامه حسابداری نیاز دارد، ممکن است به دسترسی به کل زیرشبکه مالی نیازی نداشته باشد.
Zero Trust Remote Access (ZTNA) چیست؟
در استفاده عمومی، دسترسی از راه دور Zero Trust معمولاً به دسترسی شبکه Zero Trust، یا ZTNA اشاره دارد. ZTNA اعمال میشود اصول صفر اعتماد به اتصال از راه دور با اعطای دسترسی به یک برنامه، دسکتاپ یا سرویس خاص به جای گسترش دسترسی عمومی به شبکه.
تصمیم میتواند چندین سیگنال را در نظر بگیرد:
- هویت و نقش کاربر
- مالکیت دستگاه و وضعیت امنیتی
- منبع درخواست شده
- محل و زمان دسترسی
- قدرت احراز هویت
- ریسک جلسه یا رفتار غیرمعمول
NIST توصیف میکند اعتماد صفر به عنوان یک معماری که اعتماد ضمنی را بر اساس موقعیت شبکه حذف کرده و منابع فردی را از طریق احراز هویت و مجوزدهی صریح محافظت میکند. ZTNA یکی از راههای اعمال آن اصل است، نه کل معماری Zero Trust.
پس از تأیید یک درخواست، کاربر به یک مسیر کنترلشده به منبع مجاز دسترسی پیدا میکند. سیستمهای تأییدنشده نیازی به قابل مشاهده یا قابل مسیریابی شدن از نقطه پایانی ندارند. سیاستها همچنین ممکن است باعث احراز هویت مجدد، دسترسی محدود یا خاتمه جلسه شوند زمانی که ریسک تغییر کند.
دسترسی از راه دور صفر اعتماد در مقابل VPN: تفاوتهای کلیدی
تفاوت بین ZTNA و VPN بیشتر به جنبههای معماری مربوط میشود تا صرفاً فناوری. یک VPN بهخوبی تقسیمبندیشده میتواند بسیار محدودکننده باشد، در حالی که یک پیادهسازی ZTNA که بهخوبی مدیریت نشده باشد، هنوز هم میتواند دسترسی بیش از حدی را فراهم کند.
| معیار | VPN | دسترسی از راه دور صفر اعتماد یا ZTNA |
|---|---|---|
| دسترسی به هدف | شبکه، زیرشبکه یا دامنه خدمات | برنامه خاص، دسکتاپ یا سرویس |
| زمینه سیاست اصلی | مسیرها، آدرسهای IP، گروهها و قوانین فایروال | هویت، دستگاه، منبع و سیگنالهای زمینهای |
| دیدVisibility شبکه | خدمات داخلی ممکن است پس از اتصال قابل دسترسی شوند | منابع غیرمجاز میتوانند ناشناخته باقی بمانند |
| جریان کاربر | تونل را ایجاد کنید، سپس منبع را باز کنید | درخواست یا راهاندازی یک منبع تأیید شده بهطور مستقیم |
| بهترین تناسب | دسترسی در سطح شبکه، دسترسی قدیمی و دسترسی سایت به سایت | دسترسی در سطح برنامه برای کاربران و طرفهای سوم |
| معامله اصلی عملیاتی | آشنا اما میتواند گسترده و سنگین بر روی دروازه شود | جزئیاتی اما نیاز به نقشهبرداری برنامه و هویت دارد |
مدل امنیتی
یک VPN سنتی تصمیم اصلی اعتماد خود را زمانی که تونل برقرار میشود، اتخاذ میکند. پلتفرمهای مدرن میتوانند آن تصمیم را با دسترسی شرطی، بررسیهای نقطه پایانی و احراز هویت مجدد تقویت کنند، اما جلسه هنوز با گسترش اتصال شبکه به کاربر آغاز میشود.
ZTNA رویکردی متمرکز بر منابع بیشتری اتخاذ میکند. یک رمز عبور معتبر و عامل دوم به طور خودکار دسترسی به هر سیستم داخلی را فراهم نمیکند، زیرا سیاست همچنین میتواند نیاز به یک دستگاه مدیریت شده، یک مکان تأیید شده، یک نقش کاربری خاص یا یک جلسه با ریسک کمتر قبل از در دسترس قرار دادن برنامه درخواست شده داشته باشد.
این مدل دسترسی باریکتر از حداقل امتیاز پشتیبانی میکند و میتواند تعداد سیستمهای در معرض خطر را در صورت سرقت اعتبارنامهها محدود کند. با این حال، ZTNA خطر نقض حساب را از بین نمیبرد، زیرا یک مهاجم ممکن است هنوز از هر برنامهای که حساب نقض شده مجاز به باز کردن آن است، سوءاستفاده کند.
تجربه کاربری
کاربران VPN اغلب نیاز دارند که یک کلاینت را باز کنند، منتظر بمانند تا تونل متصل شود، درخواستهای احراز هویت را تکمیل کنند و سپس برنامه مورد نیاز را راهاندازی کنند. زمانی که تضادهای DNS، قوانین تونلزنی تقسیمشده، شبکههای محلی ناپایدار یا پیکربندیهای منقضیشده کلاینت باعث بروز مشکلات میشوند، نتیجه میتواند درخواستهای پشتیبانی اضافی باشد.
ZTNA میتواند این فرآیند را با ارائه تنها منابع تأیید شده از طریق یک پورتال، مرورگر یا کلاینت سبک ساده کند. به جای دریافت دسترسی عمومی به شبکه در ابتدا، کاربر میتواند برنامه مورد نیاز را به طور مستقیم راهاندازی کند.
تجربه هنوز به پیادهسازی بستگی دارد، زیرا برخی پروتکلها به یک عامل نقطه پایانی نیاز دارند و برخی برنامههای قدیمی به خوبی از طریق یک پروکسی برنامه کار نمیکنند. بنابراین، قبل از مهاجرت، تیمهای IT باید آزمایش کنند:
- احراز هویت
- چاپ
- انتقال فایل
- · کنترلهای کلیپ بورد
- رفتار اتصال مجدد
معرض شبکه
یک دروازه VPN یک سرویس لبه رو به اینترنت است، بنابراین باید وصلهگذاری، نظارت و محافظت شود. بسته به مسیرها، تقسیمبندی و سیاست فایروال موجود، یک کاربر متصل ممکن است بتواند آدرسها یا خدمات داخلی را نیز کشف کند.
ZTNA میتواند این معرض را با قرار دادن یک کارگزار یا نقطه اجرایی بین کاربر و برنامه کاهش دهد. این به نقطه پایانی دسترسی به منبع تأیید شده را بدون ایجاد یک مسیر عمومی به شبکه اطراف میدهد.
اگرچه این طراحی میتواند حرکت جانبی را دشوارتر کند، اما کانکتورها، ارائهدهندگان هویت، دروازهها و سرورهای برنامه هنوز نیاز به ایمنسازی دارند. راهنمای CISA همچنین نرمافزار دسترسی از راه دور و دستگاههای لبه را به عنوان زیرساختهای با ارزش بالا در نظر میگیرد که نیاز به احراز هویت چندعاملی، وصلهگذاری، ثبت وقایع و کاهش قرارگیری دارد.
عملکرد
طراحیهای VPN معمولاً ترافیک را از طریق یک دروازه مرکزی یا مرکز داده منتقل میکنند که میتواند تأخیر را زمانی که یک کاربر از راه دور از طریق دفتر مرکزی به یک برنامه میزبانی شده در ابر متصل میشود، اضافه کند.
ZTNA ممکن است مسیر مستقیمتری به برنامه مجاز ارائه دهد، بهویژه زمانی که اتصالات یا نقاط خدمات نزدیک به کاربران و بارهای کاری توزیع شده باشند. با این حال، عملکرد هنوز به:
- الزامات بازرسی
- معماری ارائهدهنده
- قرارگیری کانکتور
- کیفیت اینترنت
یک VPN میتواند برای بارهای کاری مرکز داده داخلی یا محیطهایی با متمرکزکنندههای محلی کارآمد باقی بماند. به جای فرض اینکه یک مدل همیشه سریعتر است، تیمهای IT باید زمانهای پاسخ برنامه و ثبات جلسه را در محیط خود مقایسه کنند.
مدیریت
تیمهای شبکه با متمرکزکنندههای VPN، مسیرها، قوانین فایروال و لیستهای کنترل دسترسی آشنا هستند که میتواند استقرار را آسانتر کند. با این حال، با گذشت زمان، مجوزها ممکن است به دلیل انباشت گروهها، زیرشبکهها و استثناها سختتر برای بررسی شوند.
ZTNA نیاز به فهرست واضحتری از کاربران، برنامهها، الزامات دستگاه و وابستگیها دارد. مدیران باید مشخص کنند که هر منبع را چه کسی نیاز دارد، کدام دستگاهها را میتوانند استفاده کنند و تحت چه شرایطی باید دسترسی داده شود. اگرچه این کار سیاستی نیاز به تلاش دارد، اما میتواند بررسیهای دسترسی را معنادارتر کند زیرا مجوزها به طور مستقیم به برنامههای تجاری مرتبط هستند.
هر مدلی که استفاده شود، مدیریت مؤثر به اختصاص یک مالک به هر منبع، مستندسازی استثنائات و بررسی منظم امتیازات بستگی دارد. نه VPN و نه ZTNA بدون انضباط عملی مداوم ایمن نمیمانند.
هزینه
یک VPN ممکن است گزینهای کمهزینهتر باشد زمانی که یک سازمان قبلاً زیرساختهای فایروال یا دروازه سازگار را در اختیار دارد. با این حال، هزینه کلی هنوز میتواند شامل موارد زیر باشد:
- ظرفیت متمرکزکننده
- دسترسپذیری بالا
- پشتیبانی مشتری
- پهنای باند
- کار تقسیمبندی
- نگهداری قوانین جاری
ZTNA ممکن است اشتراکهای مبتنی بر کاربر، ادغام هویت، عاملهای نقطه پایانی، اتصالات و کارهای مهاجرت را معرفی کند. در عین حال، میتواند بار بازگشتی VPN را کاهش دهد، دسترسی پیمانکاران را ساده کند و هزینه پشتیبانی از اتصال شبکه گسترده را کاهش دهد.
به همین دلیل، مقایسه باید بر هزینه کل مالکیت تمرکز کند نه فقط قیمت اولیه محصول. تیمهای IT باید مجوزها، زیرساخت، تلاشهای مرکز تماس، مدیریت سیاستها، ریسک زمانهای غیرقابل دسترسی و هزینه اعطای دسترسی بیشتر از آنچه کاربران واقعاً نیاز دارند را در نظر بگیرند.
VPN چه زمانی هنوز منطقی است؟
با وجود حرکت به سمت مدلهای دسترسی خاصتر به منابع، یک VPN همچنان انتخاب مناسبی است زمانی که کاربران یا سیستمها بهطور واقعی به اتصال در سطح شبکه نیاز دارند.
این موضوع به ویژه زمانی مفید است که نیاز شامل پروتکلهای متعدد، زیرساختهای مشترک یا برنامههایی باشد که به دسترسی مستقیم به شبکههای داخلی وابستهاند.
نمونههای رایج شامل:
- اتصال سایت به سایت بین دفاتر، مراکز داده یا شبکههای ابری
- عیبیابی شبکه و مدیریت در سطح بسته
- دسترسی به پروتکلهای متعدد در یک بخش زیرساخت کنترلشده
- برنامههای قدیمی که نمیتوان از طریق یک دروازه برنامه منتشر کرد
- محیطهای توسعه، آزمایشگاه یا بازیابی از فاجعه که به اتصال گسترده نیاز دارند
- ت دسترسی موقت در محیطهایی که تقسیمبندی و نظارت قبلاً به بلوغ رسیدهاند
یک VPN بنابراین نه منسوخ است و نه به طور ذاتی ناامن. امنیت آن بستگی به این دارد که چگونه اتصال به دقت پیکربندی و مدیریت میشود، از جمله مسیرهای محدود، احراز هویت قوی، بهروزرسانی منظم دروازه و جداسازی واضح بین کاربران عادی و مدیران دارای امتیاز.
زمانی که این کنترلها در جای خود قرار دارند و نیاز کسبوکار بهطور واقعی به شبکه مربوط میشود، یک VPN میتواند بهعنوان یک راهحل مؤثر و عملی برای دسترسی از راه دور باقی بماند.
چه زمانی انتخاب بهتر صفر اعتماد است؟
ZTNA معمولاً انتخاب قویتری است زمانی که کاربران به مجموعهای مشخص از برنامهها نیاز دارند تا به شبکه وسیعتر. این موضوع آن را بهویژه برای کارمندان دورکار، پیمانکاران، شرکا و تیمهای پشتیبانی خارجی که نیازهای دسترسی آنها بهطور دقیق توصیف میشود، مناسب میسازد.
به عنوان مثال، یک سیاست اعتماد صفر ممکن است به اعضای گروه مالی اجازه دهد تا در ساعات تأیید شده به برنامه حسابداری دسترسی پیدا کنند، به شرطی که از دستگاههای مدیریت شده و احراز هویت چندعاملی استفاده کنند. این نوع قانون بررسی آن آسانتر از یک مجوز گسترده است که دسترسی به زیرشبکه مالی را فراهم میکند.
ZTNA همچنین به محیطهای توزیعشده و مبتنی بر ابر مناسب است که در آنها برنامهها دیگر در پشت یک مرز اداری واحد قرار ندارند. با قرار دادن هویت و سیاست منابع در مرکز تصمیمگیری دسترسی، این مدل بار کاری را دنبال میکند نه یک مرز شبکه فیزیکی.
آیا نقطه میانی وجود دارد؟
بله. به جای اینکه هر جریان کاری را از طریق یک فناوری واحد مجبور کنیم، بسیاری از سازمانها میتوانند از ZTNA و VPN به طور همزمان استفاده کنند.
کارمندان استاندارد و پیمانکاران میتوانند از طریق ZTNA یا یک پورتال امن برنامه، دسترسی در سطح برنامه دریافت کنند، در حالی که مدیران شبکه یک VPN کنترلشده یا دروازه دسترسی ویژه برای وظایفی که به اتصال در سطح IP نیاز دارند، حفظ میکنند. دفاتر شعب میتوانند به استفاده از VPNهای سایت به سایت ادامه دهند و برنامههای قدیمی میتوانند تا زمانی که بهروز شوند، در مسیرهای VPN محدود باقی بمانند. بهطور خاص منتشر شده .
یک انتقال مرحلهای معمولاً ایمنتر از یک جایگزینی ناگهانی است. تیمهای IT میتوانند گردشهای کاری از راه دور را اختراع کنند، نیازهای سطح برنامه را از نیازهای سطح شبکه جدا کنند، کنترلهای هویتی را تقویت کنند، یک برنامه محدود را آزمایش کنند و تنها پس از تأیید مسیر دسترسی جدید، مسیر VPN مربوطه را حذف کنند.
چگونه TSplus در این تصویر جا میشود؟
TSplus Advanced Security سرورهای ویندوز و محیطهای دسترسی از راه دور را محافظت میکند. به جای جایگزینی یک VPN یا عمل به عنوان یک پلتفرم کامل دسترسی شبکه صفر اعتماد، کنترلهای سطح سرور را اضافه میکند که میتواند هر مدل دسترسی را تقویت کند.
این کنترلها میتوانند سرورهای ویندوز را در پشت یک VPN محافظت کنند در حالی که محدودیتهایی بر اساس کاربران، دستگاهها، مکانها و زمانهای اتصال اضافه میکنند. آنها از چندین اصل Zero Trust به عنوان بخشی از یک معماری امنیتی گستردهتر پشتیبانی میکنند.
حفاظت در برابر حملات بروتفورس و IPهای مخرب
خدمات احراز هویت در برابر اینترنت معمولاً هدفهای رایجی برای حملات حدس رمز عبور و اسکنهای خودکار شبکه هستند. راهحل ما تلاشهای ناموفق ورود به ویندوز را زیر نظر دارد و میتواند بهطور خودکار آدرس IP منبع را پس از رسیدن به آستانه تنظیمشده، در لیست سیاه قرار دهد.
حفاظت از IP هکرها این دفاع را با فهرستی نگهداری شده از آدرسهای مرتبط با بدافزار، باتنتها، حملات آنلاین و سایر فعالیتهای مخرب تقویت میکند. مدیران همچنین میتوانند آدرسهای مجاز و مسدود شده را از طریق قوانین فایروال مدیریت کنند و به جلوگیری از ترافیک ناخواسته قبل از رسیدن به یک سرویس ویندوز آسیبپذیر کمک کنند.
محدودیتهای دسترسی جغرافیایی و زمینهای
حفاظت جغرافیایی به مدیران این امکان را میدهد که دسترسی را بر اساس کشور یا آدرس IP مبدأ کنترل کنند. آنها میتوانند اتصالات را به کشورهای تأیید شده، آدرسهای خصوصی و بهویژه دامنههای IP که در لیست سفید قرار دارند، محدود کنند که این امر زمانی مفید است که کاربران قانونی از مکانهای قابل پیشبینی متصل شوند.
ساعات کاری کنترلهای مبتنی بر زمان را برای کاربران و گروهها اضافه میکند و به مدیران این امکان را میدهد که زمانهایی را که جلسات میتوانند باز شوند تعریف کنند و دسترسی به حسابها را در خارج از دورههای کاری مورد انتظار کاهش دهند. دستگاههای مورد اعتماد میتوانند اتصالات را به نقاط پایانی تأیید شده محدود کنند زمانی که روش اتصال از شناسایی دستگاه پشتیبانی میکند.
این بررسیها شبیه به کنترلهای زمینهای هستند که در استراتژیهای Zero Trust استفاده میشوند. با این حال، اطلاعات مربوط به مکان، زمان و دستگاه باید به عنوان سیگنالهای پشتیبان باقی بمانند و نه به عنوان مدرک قطعی که یک اتصال قابل اعتماد است.
مجوزهای دقیق و جلسات امن
راهحل ما شامل کنترلهای مجوز برای بررسی و مدیریت امتیازات کاربران و گروهها است. مدیران میتوانند دسترسی به فایلها، پوشهها، اشیاء رجیستری و چاپگرها را در سرور ویندوز محافظتشده محدود کنند.
جلسات امن میتوانند سطوح امنیتی مختلفی را به کاربران و گروههای خاص اعمال کنند. این ویژگیها به طور مشترک دسترسی یا تغییراتی را که یک حساب متصل میتواند پس از احراز هویت انجام دهد، کاهش میدهند.
این رویکرد حداقل امتیاز در سطح سرور میتواند تأثیر یک حساب کاربری آسیبدیده را محدود کند. با این حال، معادل یک موتور سیاست ZTNA نیست، که معمولاً دسترسی به برنامهها یا خدمات فردی را قبل از برقراری اتصال شبکه واسطهگری میکند.
محافظت از رنسومور
راهحل ما فعالیتهای سرور را برای رفتارهای مرتبط با باجافزار نظارت میکند. این راهحل شاخصهای ایستا را با تحلیل رفتاری ترکیب میکند تا فعالیتهای مشکوک فایل را شناسایی کرده و در زمانی که باجافزار بالقوه شناسایی میشود، واکنش نشان دهد.
این حفاظت به ویژه زمانی مهم است که کاربران از راه دور بتوانند اسناد مشترک را باز کنند یا به فضای ذخیرهسازی سرور بنویسند. زیرا یک حساب کاربری معتبر هنوز میتواند برای اجرای نرمافزارهای مخرب مورد سوءاستفاده قرار گیرد، بنابراین تنها تأمین امنیت اتصال کافی نیست.
حفاظت در برابر باجافزار باید بهعنوان مکملی برای پشتیبانگیریهای آفلاین آزمایششده، مدیریت وصله، حفاظت از نقطه پایانی و رویههای پاسخ به حادثه عمل کند و نه اینکه جایگزین آنها شود.
کنترلهای فایروال، رویدادها و هشدارها
TSplus Advanced Security میتوانند قوانین مسدودسازی را از طریق فایروال ویندوز یا فایروال یکپارچه آن اعمال کنند. مدیران میتوانند آدرسهای مخرب را مسدود کنند، فهرستهای سفید را حفظ کنند و محدودیتهای شبکه را از رابط Advanced Security بررسی کنند.
داشبورد همچنین رویدادهای امنیتی اخیر را نمایش میدهد، در حالی که هشدارهای قابل تنظیم میتوانند مدیران را از طریق ایمیل، پیامک یا Microsoft Teams در زمان وقوع رویدادهای انتخاب شده مطلع کنند. به طور کلی، این ویژگیها دیدی به اتصالات مسدود شده و سایر فعالیتهایی که ممکن است نیاز به بررسی داشته باشند، ارائه میدهند.
نظارت در هر دو محیط VPN و Zero Trust ضروری است. کنترلهای پیشگیرانه میتوانند ریسک را کاهش دهند، اما تیمهای IT باید به بررسی هشدارها، تحقیق در مورد رفتارهای غیرمعمول و بهبود سیاستها بهعنوان نیازهای دسترسی تغییر میکنند، ادامه دهند.
نتیجه
تفاوت اصلی بین دسترسی از راه دور Zero Trust و VPN در دامنه و زمان اعتماد است. VPN معمولاً پس از احراز هویت یک کاربر یا دستگاه، یک مسیر شبکه رمزگذاری شده ایجاد میکند. ZTNA دسترسی به یک منبع خاص را پس از ارزیابی هویت، دستگاه و شرایط زمینهای اعطا میکند.
یک VPN برای اتصالات سایت به سایت، مدیریت شبکه، پروتکلهای قدیمی و بارهای کاری که به اتصال در سطح IP نیاز دارند، مناسب است. ZTNA به طور کلی برای کارمندان، پیمانکاران و شرکایی که فقط به برنامهها یا خدمات خاصی نیاز دارند، مناسبتر است.
بسیاری از سازمانها از ترکیب این دو رویکرد بهرهمند خواهند شد. دسترسی در سطح برنامه میتواند به سمت ZTNA حرکت کند، در حالی که اتصالات VPN محدود برای جریانهای کاری که واقعاً به دسترسی شبکه نیاز دارند، در دسترس باقی میمانند. هر مدلی که انتخاب شود، احراز هویت قوی، حداقل امتیاز، تقسیمبندی، سختسازی سرور و نظارت مداوم همچنان ضروری هستند.