Johdanto
Turvallinen etäyhteys ei ole enää valinta salattujen ja salaamattomien yhteyksien välillä. Sekä modernit VPN- että Zero Trust -etäyhteysratkaisut voivat suojata tietoja siirron aikana. Tärkeämpi kysymys on, mihin käyttäjä tai laite voi päästä todennuksen jälkeen.
VPN laajentaa usein verkkoyhteyksiä etäpäätteeseen. Zero Trust Network Access ottaa resurssikeskeisen lähestymistavan, arvioiden käyttäjän, laitteen, pyydetyn sovelluksen ja nykyisen kontekstin ennen pääsyn myöntämistä. Monille organisaatioille paras suunnittelu ei ole täydellinen korvaaminen, vaan harkittu jako sovelluksen pääsyn ja todellisen verkkoyhteyden välillä.
Mikä on VPN?
[A] A virtuaalinen yksityinen verkko luo salatun tunnelin etälaitteen ja VPN-portaalin välille, joka todennee yhteyden ennen hyväksyttyjen tietoliikenteen reitittämistä yksityisiin verkkoihin, aliverkkoihin tai palveluihin.
Vaikka VPN:n ei tarvitse tarjota rajoittamatonta pääsyä, sen toimintamalli pysyy verkko-orientoituneena. Järjestelmänvalvojat voivat soveltaa:
- monivaiheinen todennus
- d laitetodistukset
- palomuurisäännöt
- verkkosegmentointi
- a käyttöoikeuslistat
Kuitenkin päätepiste saa yleensä edelleen IP-tason polun yhteen tai useampaan sisäiseen resurssiin.
Koska tämä malli on hyvin vakiintunut ja tukee laajaa valikoimaa protokollia, se pysyy hyödyllisenä, kun järjestelmänvalvojat tarvitsevat laajaa infrastruktuurin pääsyä, sovellukset riippuvat sisäisestä osoittamisesta tai kaksi sivustoa tarvitsevat vaihtaa liikennettä turvallisesti.
Pääriski syntyy, kun VPN-oikeudet ulottuvat yli sen, mitä käyttäjä oikeasti tarvitsee. Esimerkiksi etätyöntekijä, joka tarvitsee vain yhden kirjanpito-ohjelman, ei välttämättä tarvitse pääsyä koko rahoitusverkon aliverkkoon.
Mikä on Zero Trust Remote Access (ZTNA)?
Yleisessä käytössä Zero Trust -etäyhteys viittaa yleensä Zero Trust -verkkoyhteyteen tai ZTNA:han. ZTNA koskee Nollaluottamusperiaatteet etäyhteyden muodostamiseen myöntämällä pääsy yksittäiseen sovellukseen, työpöytään tai palveluun sen sijaan, että laajennettaisiin yleistä verkkopääsyä.
Päätös voi ottaa huomioon useita signaaleja:
- Käyttäjän henkilöllisyys ja rooli
- Laitteen omistus ja turvallisuusasema
- Pyydetty resurssi
- Sijainti ja pääsyn aika
- Todennuksen vahvuus
- Istuntoriski tai epätavallinen käyttäytyminen
NIST kuvaa Nolla luottamus arkkitehtuurina, joka poistaa implisiittisen luottamuksen verkon sijainnin perusteella ja suojaa yksittäisiä resursseja eksplisiittisen todennuksen ja valtuutuksen avulla. ZTNA on yksi tapa soveltaa tätä periaatetta, ei koko Zero Trust -arkkitehtuuria.
Hyväksynnän jälkeen käyttäjä saa hallitun polun valtuutettuun resurssiin. Hyväksymättömien järjestelmien ei tarvitse näkyä tai olla reititettävissä päätepisteestä. Politiikat voivat myös laukaista uudelleentodennuksen, rajoitetun pääsyn tai istunnon päättämisen, kun riski muuttuu.
Zero Trust Remote Access vs VPN: Tärkeimmät erot
ZTNA:n ja VPN:n välinen ero on arkkitehtoninen eikä pelkästään teknologinen. Hyvin segmentoitu VPN voi olla erittäin rajoittava, kun taas huonosti hallittu ZTNA-implementaatio voi silti myöntää liiallista pääsyä.
| Kriteeri | VPN | Nollaluottamus etäyhteys tai ZTNA |
|---|---|---|
| Kohteen käyttöoikeus | Verkko, aliverkko tai palvelualue | Erityinen sovellus, työpöytä tai palvelu |
| Pääasiallinen politiikkayhteys | Reitit, IP-osoitteet, ryhmät ja palomuurisäännöt | Identiteetti, laite, resurssi ja kontekstuaaliset signaalit |
| Verkkonäkyvyys | Sisäiset palvelut voivat tulla saavutettaviksi yhteyden jälkeen. | Hyväksymättömät resurssit voivat jäädä huomaamatta. |
| Käyttäjätyönkulku | Avaa tunneli ja avaa sitten resurssi | Pyydä tai käynnistä hyväksytty resurssi suoraan |
| Paras sovitus | Verkkotason, perinteinen ja sivu-sivulle pääsy | Sovellustason pääsy käyttäjille ja kolmansille osapuolille |
| Pääasiallinen toiminnallinen kauppa | Tutut, mutta voivat muuttua laajoiksi ja porttipainotteisiksi | Hienojakoinen, mutta vaatii sovelluksen ja henkilöllisyyden kartoitusta |
Turvamalli
Perinteinen VPN tekee pääasiallisen luottamuspäätöksensä tunnelin muodostamisen yhteydessä. Modernit alustat voivat vahvistaa tätä päätöstä ehdollisella pääsyllä, päätelaitetarkistuksilla ja uudelleenautentikoinnilla, mutta istunto alkaa silti laajentamalla verkkoyhteyttä käyttäjälle.
ZTNA ottaa enemmän resurssikeskeisen lähestymistavan. Voimassa oleva salasana ja toinen tekijä eivät automaattisesti anna pääsyä jokaiseen sisäiseen järjestelmään, koska käytäntö voi myös vaatia hallittua laitetta, hyväksyttyä sijaintia, tiettyä käyttäjäroolia tai matalariskistä istuntoa ennen kuin pyydetty sovellus on saatavilla.
Tämä kapeampi pääsyoimalli tukee vähimmäisoikeuksia ja voi rajoittaa altistettujen järjestelmien määrää, jos käyttöoikeustiedot varastetaan. Kuitenkin ZTNA ei poista tilin vaarantamisen riskiä, koska hyökkääjä voi silti väärinkäyttää mitä tahansa sovellusta, johon vaarantunut tili on valtuutettu.
Käyttäjäkokemus
VPN-käyttäjien on usein avattava asiakasohjelma, odotettava tunnelin yhdistämistä, suoritettava todennuskehotteet ja sitten käynnistettävä tarvittava sovellus. Kun DNS-konfliktit, jakotunnelointisäännöt, epävakaat paikalliset verkot tai vanhentuneet asiakasasetukset aiheuttavat ongelmia, seurauksena voi olla lisätukipyyntöjä.
ZTNA voi yksinkertaistaa tätä prosessia esittämällä vain hyväksytyt resurssit portaalin, selaimen tai kevyen asiakasohjelman kautta. Sen sijaan, että käyttäjä ensin saisi yleisen verkkoyhteyden, hän voi käynnistää tarvittavan sovelluksen suoraan.
Kokemus riippuu edelleen toteutuksesta, sillä jotkut protokollat vaativat päätepisteagentin ja jotkut vanhat sovellukset eivät toimi hyvin sovellusproksin kautta. Ennen siirtymistä IT-tiimien tulisi siksi testata:
- todennus
- tulostus
- tiedostonsiirto
- · leikehallinta
- uudelleenyhdistämiskäyttäytyminen
Verkkonäkyvyys
VPN-portti on internettiin suuntautuva reuna-palvelu, joten se on päivitettävä, valvottava ja suojattava. Reiteistä, segmentoinnista ja käytössä olevasta palomuuripolitiikasta riippuen yhdistetty käyttäjä saattaa myös pystyä löytämään sisäisiä osoitteita tai palveluja.
ZTNA voi vähentää tätä altistumista asettamalla välittäjän tai valvontapisteen käyttäjän ja sovelluksen väliin. Tämä antaa päätepisteelle pääsyn hyväksyttyyn resurssiin ilman, että se luo yleistä reittiä ympäröivään verkkoon.
Vaikka tämä suunnittelu voi tehdä sivuttaisen liikkumisen vaikeammaksi, liittimet, identiteettipalveluntarjoajat, portit ja sovelluspalvelimet on silti suojattava. CISA-ohjeistus käsittelee myös etäyhteysohjelmistoja ja reunalaitteita korkealaatuisena infrastruktuurina, joka vaatii MFA:ta, päivityksiä, lokitusta ja vähennettyä altistumista.
Suorituskyky
VPN-suunnitelmat ohjaavat usein liikennettä keskitetyn portin tai datakeskuksen kautta, mikä voi lisätä viivettä, kun etäkäyttäjä yhdistää pääkontorin kautta päästäkseen pilvessä isännöityyn sovellukseen.
ZTNA voi tarjota suoremman reitin valtuutettuun sovellukseen, erityisesti kun liittimet tai palvelupisteet ovat jakautuneet lähelle käyttäjiä ja kuormituksia. Silti suorituskyky riippuu edelleen:
- tarkastusvaatimukset
- palveluntarjoajan arkkitehtuuri
- liitännän sijoittaminen
- internetlaatu
VPN voi pysyä tehokkaana sisäisissä datakeskusten kuormituksissa tai ympäristöissä, joissa on paikallisia keskitinlaitteita. Sen sijaan, että oletettaisiin, että yksi malli on aina nopeampi, IT-tiimien tulisi verrata sovelluksen vasteaikoja ja istunnon vakautta omassa ympäristössään.
Hallinta
Verkkotiimit tuntevat jo VPN-keskitinlaitteet, reitit, palomuurisäännöt ja pääsynvalvontaluettelot, mikä voi helpottaa käyttöönottoa. Ajan myötä kuitenkin käyttöoikeuksien tarkastaminen voi vaikeutua, kun ryhmät, aliverkot ja poikkeukset kertyvät.
ZTNA vaatii selkeämpää käyttäjien, sovellusten, laitevaatimusten ja riippuvuuksien inventaariota. Järjestelmänvalvojien on määriteltävä, kuka tarvitsee kutakin resurssia, mitä laitteita he voivat käyttää ja millä ehdoilla pääsyä tulisi myöntää. Vaikka tämä politiikkatyö vaatii vaivannäköä, se voi tehdä pääsyn tarkastuksista merkityksellisempiä, koska käyttöoikeudet on kartoitettu suoraan liiketoimintasovelluksiin.
Mikä tahansa malli on käytössä, tehokas hallinta riippuu omistajan nimeämisestä jokaiselle resurssille, poikkeusten dokumentoinnista ja etuoikeuksien säännöllisestä tarkastelusta. Sekä VPN että ZTNA eivät pysy turvallisina ilman johdonmukaista operatiivista kurinalaisuutta.
Kustannus
VPN voi olla edullisempi vaihtoehto, kun organisaatiolla on jo yhteensopiva palomuuri- tai porttialustainfrastruktuuri. Kuitenkin kokonaiskustannukset voivat silti sisältää:
- konsentraattorin kapasiteetti
- korkea saatavuus
- asiakastuki
- kaistanleveys
- segmentointityö
- käynnissä oleva sääntöjen ylläpito
ZTNA voi tuoda mukanaan käyttäjäkohtaisia tilauksia, identiteetti-integraatiota, päätepisteagentteja, liittimiä ja siirtotyötä. Samalla se voi vähentää VPN-yhteyksien kuormitusta, yksinkertaistaa urakoitsijoiden pääsyä ja alentaa laajan verkkoyhteyden tukemisen kustannuksia.
Tämän vuoksi vertailun tulisi keskittyä kokonaisomistuskustannuksiin pelkän alkuperäisen tuotteen hinnan sijaan. IT-tiimien tulisi ottaa huomioon lisensointi, infrastruktuuri, tukipalvelun vaivannäkö, politiikan hallinta, käyttökatkosten riski ja kustannukset, jotka liittyvät enemmän pääsyn myöntämiseen kuin mitä käyttäjät todellisuudessa tarvitsevat.
Milloin VPN:stä on edelleen hyötyä?
Huolimatta siirtymisestä kohti resurssikohtaisempia pääsytapoja, VPN on edelleen oikea valinta, kun käyttäjät tai järjestelmät todella tarvitsevat verkon tason yhteyksiä.
Se on erityisen hyödyllistä, kun vaatimukseen liittyy useita protokollia, jaettua infrastruktuuria tai sovelluksia, jotka riippuvat suorasta pääsystä sisäisiin verkkoihin.
Yleisiä esimerkkejä ovat:
- Toimisto-toimisto-yhteys toimistojen, datakeskusten tai pilviverkkojen välillä
- Verkkovianetsintä ja pakettitason hallinta
- Pääsy useisiin protokolliin hallitussa infrastruktuurisegmentissä
- Perinteiset sovellukset, joita ei voida julkaista sovellusportin kautta
- Kehitys-, laboratorio- tai katastrofipalautusympäristöt, jotka vaativat laajaa yhteyksien kattavuutta
- T tilapäinen pääsy ympäristöissä, joissa segmentointi ja valvonta ovat jo kehittyneet
VPN ei siis ole vanhentunut eikä itsessään epävarma. Sen turvallisuus riippuu siitä, kuinka huolellisesti yhteys on konfiguroitu ja hallittu, mukaan lukien rajoitetut reitit, vahva todennus, säännöllinen porttipäivitys ja selkeä erottelu tavallisten käyttäjien ja etuoikeutettujen järjestelmänvalvojien välillä.
Kun nämä hallintatoimenpiteet ovat käytössä ja liiketoimintatarve on aidosti verkkoon suuntautunut, VPN voi pysyä tehokkaana ja käytännöllisenä etäyhteysratkaisuna.
Milloin nollaluottamus on parempi valinta?
ZTNA on yleensä vahvempi valinta, kun käyttäjät tarvitsevat pääsyn määriteltyyn sovelluskokonaisuuteen laajemman verkon sijaan. Tämä tekee siitä erityisen sopivan etätyöntekijöille, urakoitsijoille, kumppaneille ja ulkoisille tukitiimeille, joiden pääsyvaatimukset voidaan kuvata tarkasti.
Esimerkiksi Zero Trust -politiikka saattaisi sallia rahoitusryhmän jäsenten käyttää kirjanpito-ohjelmaa hyväksyttyinä aikoina, edellyttäen että he käyttävät hallittuja laitteita ja monivaiheista todennusta. Tällaisen säännön tarkastaminen on helpompaa kuin laaja lupa, joka myöntää pääsyn rahoitusverkon aliverkkoon.
ZTNA sopii myös hyvin hajautettuihin ja pilvipohjaisiin ympäristöihin, joissa sovellukset eivät enää sijaitse yhden toimiston rajojen takana. Asettamalla identiteetti- ja resurssipolitiikan pääsypäätöksen keskiöön malli seuraa työkuormaa fyysisen verkkorajan sijaan.
Onko olemassa keskitietä?
Kyllä. Sen sijaan, että pakotettaisiin jokainen työnkulku yhden teknologian läpi, monet organisaatiot voivat käyttää ZTNA:ta ja VPN:ää yhdessä.
Standardit työntekijät ja urakoitsijat voivat saada sovellustason pääsyn ZTNA:n tai turvallisen sovellusalustan kautta, kun taas verkkoadministrattorit säilyttävät tiukasti hallitun VPN:n tai etuoikeutetun pääsyn portaalin tehtäviin, jotka vaativat IP-tason yhteyksiä. Toimistot voivat jatkaa sivu-sivulle VPN:ien käyttöä, ja vanhat sovellukset voivat pysyä rajoitetuilla VPN-reiteillä, kunnes ne modernisoidaan tai julkaistu tarkemmin .
Vaiheittainen siirtyminen on yleensä turvallisempaa kuin äkillinen korvaaminen. IT-tiimit voivat kehittää etätyönkulkuja, erottaa sovellustason vaatimukset verkon tason tarpeista, vahvistaa identiteettikontrolleja, kokeilla yhtä rajattua sovellusta ja poistaa vastaava VPN-reitti vasta uuden pääsyn vahvistamisen jälkeen.
Miten TSplus sopii kuvaan?
TSplus Advanced Security suojaa Windows-palvelimia ja etäyhteysympäristöjä. Sen sijaan, että se korvaisi VPN:n tai toimisi täydellisenä Zero Trust Network Access -alustana, se lisää palvelintason hallintaa, joka voi vahvistaa kumpaakin pääsytapaa.
Nämä hallintakohteet voivat suojata Windows-palvelimia VPN:n takana samalla, kun ne lisäävät rajoituksia käyttäjien, laitteiden, sijaintien ja yhteysaikojen perusteella. Ne tukevat useita Zero Trust -periaatteita osana laajempaa turvallisuusarkkitehtuuria.
Brute-Force ja haitallisten IP-osoitteiden suojaus
Internetin kautta käytettävät todennuspalvelut ovat usein salasanojen arvaamiseen tähtäävien hyökkäysten ja automatisoitujen verkkoskannausten kohteena. Ratkaisumme valvoo epäonnistuneita Windows-kirjautumisyrityksiä ja voi automaattisesti lisätä lähde-IP-osoitteen mustalle listalle, kun määritetty kynnysarvo saavutetaan.
Hacker IP Protection vahvistaa tätä puolustusta ylläpidetyllä luettelolla osoitteista, jotka liittyvät haittaohjelmiin, botneitteihin, verkkohyökkäyksiin ja muuhun haitalliseen toimintaan. Järjestelmänvalvojat voivat myös hallita sallittuja ja estettyjä osoitteita palomuurisääntöjen kautta, mikä auttaa estämään ei-toivottua liikennettä ennen kuin se saavuttaa alttiina olevan Windows-palvelun.
Maantieteelliset ja kontekstuaaliset pääsyrajoitukset
Maantieteellinen suojaus mahdollistaa järjestelmänvalvojille pääsyn hallinnan alkuperäisen maan tai IP-osoitteen mukaan. He voivat rajoittaa yhteyksiä hyväksyttyihin maihin, yksityisiin osoitteisiin ja erityisesti valkoistetuille IP-alueille, mikä on hyödyllistä, kun lailliset käyttäjät yhdistävät ennakoitavista sijainneista.
Työaika lisää aikaperusteisia hallintakontrolleja käyttäjille ja ryhmille, jolloin järjestelmänvalvojat voivat määrittää, milloin istuntoja voidaan avata ja vähentää tilin saatavuutta odotettujen työaikojen ulkopuolella. Luotettavat laitteet voivat lisäksi rajoittaa yhteyksiä hyväksyttyihin päätepisteisiin, kun yhteysmenetelmä tukee laiteidentifikaatiota.
Nämä tarkastukset muistuttavat kontekstuaalisia hallintakeinoja, joita käytetään Zero Trust -strategioissa. Kuitenkin sijainti, aika ja laitetiedot tulisi pitää tukevina signaaleina sen sijaan, että ne olisivat lopullisia todisteita siitä, että yhteys on luotettava.
Hienojakoiset käyttöoikeudet ja turvalliset istunnot
Ratkaisumme sisältää käyttöoikeusvalvontaa käyttäjien ja ryhmien oikeuksien tarkasteluun ja hallintaan. Järjestelmänvalvojat voivat rajoittaa pääsyä tiedostoihin, kansioihin, rekisteriobjekteihin ja tulostimiin suojatulla Windows-palvelimella.
Turvalliset istunnot voivat sitten soveltaa erilaisia turvallisuustasoja tiettyihin käyttäjiin ja ryhmiin. Yhdessä nämä ominaisuudet vähentävät sitä, mihin yhdistetty tili voi päästä tai mitä se voi muuttaa todennuksen jälkeen.
Tämä palvelintason vähimmäisoikeuslähestymistapa voi rajoittaa vaarantuneen tilin vaikutuksia. Se ei kuitenkaan ole verrattavissa ZTNA-politiikkamoottoriin, joka normaalisti välittää pääsyn yksittäisiin sovelluksiin tai palveluihin ennen verkkoyhteyden muodostamista.
Lunnasohjelmasuojaus
Ratkaisumme valvoo palvelimen toimintaa, joka liittyy kiristysohjelmiin. Se yhdistää staattiset indikaattorit käyttäytymisanalyysiin havaitakseen epäilyttävän tiedostoaktiviteetin ja reagoidakseen, kun mahdollinen kiristysohjelma tunnistetaan.
Tämä suojaus on erityisen tärkeä, kun etäkäyttäjät voivat avata jaettuja asiakirjoja tai kirjoittaa palvelimen tallennustilaan. Koska voimassa olevaa tiliä voidaan silti väärinkäyttää haitallisen ohjelmiston suorittamiseen, pelkkä yhteyden suojaaminen ei riitä.
Ransomware-suojaus tulisi siten täydentää testattuja offline-varmuuskopioita, päivitysjohtoa, päätepisteiden suojausta ja häiriötilanteiden hallintakäytäntöjä sen sijaan, että ne korvaisivat niitä.
Palomuurin hallinta, tapahtumat ja hälytykset
TSplus Advanced Security voi panna täytäntöön estosäännöt Windowsin palomuurin tai sen integroituun palomuurin kautta. Järjestelmänvalvojat voivat estää vihamielisiä osoitteita, ylläpitää valkoisia listoja ja tarkistaa verkkorajoituksia Advanced Security -käyttöliittymästä.
Ohjauspaneeli näyttää myös äskettäiset turvallisuustapahtumat, ja konfiguroitavat hälytykset voivat ilmoittaa ylläpitäjille sähköpostitse, tekstiviestillä tai Microsoft Teamsissa, kun valittuja tapahtumia tapahtuu. Yhdessä nämä ominaisuudet tarjoavat näkyvyyttä estettyihin yhteyksiin ja muuhun toimintaan, joka saattaa vaatia tutkimista.
Valvonta on edelleen olennaista sekä VPN- että Zero Trust -ympäristöissä. Ennaltaehkäisevät toimenpiteet voivat vähentää riskiä, mutta IT-tiimien on jatkettava hälytysten tarkistamista, epätavallisen käyttäytymisen tutkimista ja käytäntöjen hienosäätöä, kun pääsyvaatimukset muuttuvat.
Päätelmä
Nollaluottamuksen etäyhteyden ja VPN:n keskeinen ero on luottamuksen laajuus ja ajoitus. VPN luo yleensä salatun verkkopolun käyttäjän tai laitteen todennuksen jälkeen. ZTNA myöntää pääsyn tiettyyn resurssiin identiteetin, laitteen ja kontekstuaalisten olosuhteiden arvioinnin jälkeen.
VPN on edelleen sopiva sivustosta sivustoon -yhteyksiin, verkon hallintaan, vanhoihin protokolliin ja kuormituksiin, jotka vaativat IP-tason yhteyksiä. ZTNA sopii yleensä paremmin työntekijöille, urakoitsijoille ja kumppaneille, jotka tarvitsevat vain valittuja sovelluksia tai palveluja.
Monet organisaatiot hyötyvät kahden lähestymistavan yhdistämisestä. Sovelluskerroksen pääsy voi siirtyä ZTNA:han, kun taas rajoitetut VPN-yhteydet pysyvät saatavilla työnkuluille, jotka todella vaativat verkkoyhteyttä. Valitusta mallista riippumatta vahva todennus, vähimmäisoikeudet, segmentointi, palvelimen koventaminen ja jatkuva valvonta ovat edelleen tarpeen.