Uvod
Sigurna udaljena pristupnost više nije izbor između šifriranih i nešifriranih veza. I moderna VPN i Zero Trust rješenja za udaljeni pristup mogu zaštititi podatke u prijenosu. Pitanje koje je važnije je što korisnik ili uređaj može doseći nakon autentifikacije.
VPN često proširuje mrežnu povezanost na udaljenu točku. Zero Trust Network Access pristupa resursima s fokusom na korisnika, uređaj, zatraženu aplikaciju i trenutni kontekst prije nego što odobri pristup. Za mnoge organizacije, najbolji dizajn nije potpuno zamjenjivanje, već namjerno razdvajanje između pristupa aplikacijama i stvarnog mrežnog pristupa.
Što je VPN?
[A] A virtualna privatna mreža stvara šifrirani tunel između udaljenog uređaja i VPN pristupne točke, koja autentificira vezu prije usmjeravanja odobrenog prometa na privatne mreže, podmreže ili usluge.
Iako VPN ne mora pružati neograničen pristup, njegov operativni model ostaje orijentiran na mrežu. Administratori mogu primijeniti:
- višefaktorska autentifikacija
- d uređajni certifikati
- pravila vatrozida
- segmentacija mreže
- a kontrole pristupa
Ipak, krajnja točka obično će i dalje primiti putanju na razini IP-a do jednog ili više unutarnjih resursa.
Budući da je ovaj model dobro uspostavljen i podržava širok spektar protokola, ostaje koristan kada administratorima treba širok pristup infrastrukturi, aplikacije ovise o internom adresiranju ili kada dva mjesta trebaju sigurno razmjenjivati promet.
Glavna opasnost nastaje kada VPN dozvole nadmašuju ono što korisnik zapravo treba. Na primjer, udaljeni zaposlenik koji treba samo jednu aplikaciju za računovodstvo možda neće trebati pristup cijelom financijskom podmrežju.
Što je Zero Trust Remote Access (ZTNA)?
U uobičajenoj upotrebi, Zero Trust daljinski pristup obično se odnosi na Zero Trust mrežni pristup, ili ZTNA. ZTNA se primjenjuje Načela Zero Trust do daljinske povezanosti omogućavanjem pristupa pojedinačnoj aplikaciji, radnoj površini ili usluzi umjesto proširenja općeg mrežnog pristupa.
Odluka može uzeti u obzir nekoliko signala:
- Identitet i uloga korisnika
- Vlasništvo uređaja i sigurnosna pozicija
- Zatraženi resurs
- Lokacija i vrijeme pristupa
- Snaga autentifikacije
- Rizik sesije ili neobično ponašanje
NIST opisuje Nulta povjerenja kao arhitektura koja uklanja implicitno povjerenje temeljeno na mrežnoj lokaciji i štiti pojedinačne resurse putem eksplicitne autentifikacije i autorizacije. ZTNA je jedan od načina primjene tog načela, a ne cijela arhitektura Zero Trust.
Nakon odobrenja zahtjeva, korisnik dobiva kontrolirani put do autoriziranog resursa. Neodobreni sustavi ne moraju postati vidljivi ili usmjereni s krajnje točke. Politike također mogu pokrenuti ponovnu autentifikaciju, ograničen pristup ili prekid sesije kada se rizik promijeni.
Zero Trust Remote Access vs VPN: Ključne razlike
Razlika između ZTNA i VPN-a je arhitektonska, a ne samo tehnološka. Dobro segmentiran VPN može biti vrlo restriktivan, dok loše upravljana ZTNA implementacija može i dalje omogućiti prekomjeran pristup.
| Kriterij | VPN | Zero Trust udaljeni pristup ili ZTNA |
|---|---|---|
| Pristup cilju | Mreža, podmreža ili raspon usluga | Specifična aplikacija, radna površina ili usluga |
| Primarni kontekst politike | Rute, IP adrese, grupe i pravila vatrozida | Identitet, uređaj, resurs i kontekstualni signali |
| Vidljivost mreže | Interni servisi mogu postati dostupni nakon veze | Neodobreni resursi mogu ostati neotkriveni |
| Korisnički tijek rada | Uspostavite tunel, a zatim otvorite resurs. | Zatražite ili pokrenite odobreni resurs izravno |
| Najbolje odgovara | Pristup na razini mreže, naslijeđeni i pristup s lokacije na lokaciju | Pristup na razini aplikacije za korisnike i treće strane |
| Glavna operativna trgovinska razlika | Poznato, ali može postati široko i opterećeno prolazima. | Granularno, ali zahtijeva mapiranje aplikacija i identiteta |
Model sigurnosti
Tradicionalni VPN donosi svoju glavnu odluku o povjerenju kada se tunel uspostavi. Moderne platforme mogu ojačati tu odluku s uvjetnim pristupom, provjerama krajnjih točaka i ponovnom autentifikacijom, ali sesija se i dalje započinje proširenjem mrežne povezanosti korisniku.
ZTNA pristupa s više fokusa na resurse. Važeća lozinka i drugi faktor ne pružaju automatski pristup svakom internom sustavu, jer politika može zahtijevati i upravljani uređaj, odobrenu lokaciju, specifičnu korisničku ulogu ili sesiju s nižim rizikom prije nego što učini zatraženu aplikaciju dostupnom.
Ovaj uži model pristupa podržava najmanje privilegije i može ograničiti broj sustava koji su izloženi ako su vjerodajnice ukradene. Međutim, ZTNA ne eliminira rizik od kompromitacije računa, budući da napadač može i dalje zloupotrijebiti bilo koju aplikaciju koju je kompromitirani račun ovlašten otvoriti.
Korisničko iskustvo
Korisnici VPN-a često trebaju otvoriti klijent, čekati da se tunel poveže, dovršiti zahtjeve za autentifikaciju i zatim pokrenuti potrebnu aplikaciju. Kada DNS sukobi, pravila podijeljenog tuneliranja, nestabilne lokalne mreže ili istečene konfiguracije klijenta uzrokuju probleme, rezultat može biti dodatni zahtjevi za podršku.
ZTNA može pojednostaviti ovaj proces prikazivanjem samo odobrenih resursa putem portala, preglednika ili laganog klijenta. Umjesto da prvo dobije opći pristup mreži, korisnik može izravno pokrenuti potrebnu aplikaciju.
Iskustvo i dalje ovisi o implementaciji, budući da neki protokoli zahtijevaju agenta na krajnjoj točki, a neke naslijeđene aplikacije ne rade dobro putem aplikacijskog proksija. Prije migracije, IT timovi trebaju testirati:
- autentifikacija
- ispisivanje
- prijenos datoteka
- · kontrole međuspremnika
- ponašanje ponovne veze
Izloženost mreži
VPN prolaz je usluga na rubu koja je dostupna putem interneta, stoga je potrebno redovito je ažurirati, nadzirati i zaštititi. Ovisno o rutama, segmentaciji i politici vatrozida, povezani korisnik također može otkriti unutarnje adrese ili usluge.
ZTNA može smanjiti ovu izloženost postavljanjem posrednika ili točke provedbe između korisnika i aplikacije. To omogućuje pristup krajnjoj točki odobrenom resursu bez stvaranja opće rute u okolnu mrežu.
Iako ovaj dizajn može otežati lateralno kretanje, konektori, pružatelji identiteta, prolazi i poslužitelji aplikacija i dalje trebaju biti zaštićeni. CISA smjernice također tretira softver za daljinski pristup i rubne uređaje kao infrastrukturu visoke vrijednosti koja zahtijeva MFA, zakrpe, evidentiranje i smanjenu izloženost.
Performanse
VPN dizajni često preusmjeravaju promet kroz središnju pristupnu točku ili podatkovni centar, što može dodati kašnjenje kada se udaljeni korisnik poveže putem središnjice kako bi došao do aplikacije koja se hosta u oblaku.
ZTNA može ponuditi izravniji put do autorizirane aplikacije, posebno kada su konektori ili servisne točke distribuirane blizu korisnika i radnih opterećenja. Ipak, performanse i dalje ovise o:
- zahtjevi za inspekciju
- arhitektura pružatelja
- postavljanje konektora
- kvaliteta interneta
VPN može ostati učinkovit za unutarnje radne opterećenja u podatkovnim centrima ili okruženjima s lokalnim koncentratorima. Umjesto da pretpostavljaju da je jedan model uvijek brži, IT timovi trebaju usporediti vrijeme odziva aplikacija i stabilnost sesija u svom vlastitom okruženju.
Upravljanje
Mrežni timovi su već upoznati s VPN koncentratorima, rutama, pravilima vatrozida i popisima kontrola pristupa, što može olakšati implementaciju. Međutim, s vremenom, dozvole mogu postati teže za pregledati kako se grupe, podmreže i iznimke nakupljaju.
ZTNA zahtijeva jasniji popis korisnika, aplikacija, zahtjeva za uređajima i ovisnosti. Administratori moraju definirati tko treba svaki resurs, koje uređaje mogu koristiti i pod kojim uvjetima bi pristup trebao biti odobren. Iako ovaj rad na politici zahtijeva trud, može učiniti preglede pristupa smislenijima jer su dozvole izravno povezane s poslovnim aplikacijama.
Koji god model bio korišten, učinkovito upravljanje ovisi o dodjeljivanju vlasnika svakom resursu, dokumentiranju iznimaka i redovitom pregledu privilegija. Ni VPN ni ZTNA ne ostaju sigurni bez dosljedne operativne discipline.
Trošak
VPN može biti jeftinija opcija kada organizacija već posjeduje kompatibilnu infrastrukturu vatrozida ili prolaza. Međutim, ukupni trošak može još uvijek uključivati:
- kapacitet koncentratora
- visoka dostupnost
- podrška klijentima
- propusnost
- segmentacijski rad
- tekuće održavanje pravila
ZTNA može uvesti pretplate po korisniku, integraciju identiteta, agente na krajnjim točkama, konektore i rad na migraciji. U isto vrijeme, može smanjiti VPN povratni promet, pojednostaviti pristup izvođačima i smanjiti troškove podrške širokoj mrežnoj povezanosti.
Iz tog razloga, usporedba bi se trebala usredotočiti na ukupne troškove vlasništva, a ne samo na početnu cijenu proizvoda. IT timovi trebaju razmotriti licenciranje, infrastrukturu, napore helpdeska, upravljanje politikama, rizik od zastoja i troškove davanja većeg pristupa nego što korisnici zapravo trebaju.
Kada VPN još uvijek ima smisla?
Unatoč prelasku na modele pristupa koji su specifični za resurse, VPN ostaje pravi izbor kada korisnici ili sustavi zaista trebaju povezivost na razini mreže.
Osobito je korisno kada zahtjev uključuje više protokola, zajedničku infrastrukturu ili aplikacije koje ovise o izravnom pristupu unutarnjim mrežama.
Uobičajeni primjeri uključuju:
- Povezivanje između ureda, podatkovnih centara ili mreža u oblaku
- Mrežno rješavanje problema i administracija na razini paketa
- Pristup više protokola kroz kontrolirani segment infrastrukture
- Nasljedne aplikacije koje se ne mogu objaviti putem aplikacijskog prolaza
- Razvojna, laboratorijska ili okruženja za oporavak od katastrofa koja zahtijevaju široku povezanost
- T privremeni pristup u okruženjima gdje su segmentacija i nadzor već zreli
VPN stoga nije ni zastario ni inherentno nesiguran. Njegova sigurnost ovisi o tome koliko pažljivo je veza konfigurirana i upravljana, uključujući ograničene rute, jaku autentifikaciju, redovito ažuriranje prolaza i jasnu odvojenost između standardnih korisnika i privilegiranih administratora.
Kada su ovi kontrolni mehanizmi uspostavljeni i kada je poslovna potreba zaista orijentirana na mrežu, VPN može ostati učinkovito i praktično rješenje za daljinski pristup.
Kada je Zero Trust bolji izbor?
ZTNA je obično jači izbor kada korisnici trebaju pristup definiranoj skupini aplikacija umjesto šire mreže. To ga čini posebno pogodnim za udaljene zaposlenike, izvođače, partnere i vanjske timove za podršku čiji se zahtjevi za pristupom mogu precizno opisati.
Na primjer, politika Zero Trust može omogućiti članovima financijske grupe pristup aplikaciji za računovodstvo tijekom odobrenih sati, pod uvjetom da koriste upravljane uređaje i višefaktorsku autentifikaciju. Ova vrsta pravila lakša je za pregledati od široke dozvole koja omogućava pristup financijskoj podmreži.
ZTNA je također dobro prilagođena distribuiranim i oblačnim okruženjima gdje aplikacije više nisu smještene iza jednog uredskog perimetra. Postavljanjem politike identiteta i resursa u središte odluke o pristupu, model prati radno opterećenje umjesto fizičke mrežne granice.
Postoji li srednja opcija?
Da. Umjesto da prisiljavaju svaki radni proces kroz jednu tehnologiju, mnoge organizacije mogu koristiti ZTNA i VPN zajedno.
Standardni zaposlenici i izvođači mogu primati pristup na razini aplikacije putem ZTNA ili sigurnog aplikacijskog portala, dok mrežni administratori zadržavaju strogo kontrolirani VPN ili privilegirani pristupni prolaz za zadatke koji zahtijevaju IP razinu povezivanja. Podružnice mogu nastaviti koristiti VPN-ove između lokacija, a naslijeđene aplikacije mogu ostati na ograničenim VPN rutama dok se ne moderniziraju ili objavljeno užim krugom .
Postupna tranzicija obično je sigurnija od iznenadne zamjene. IT timovi mogu osmisliti udaljene radne tokove, odvojiti zahtjeve na razini aplikacije od potreba na razini mreže, ojačati kontrole identiteta, testirati jednu ograničenu aplikaciju i ukloniti odgovarajuću VPN rutu tek nakon što potvrde novi pristup.
Kako se TSplus uklapa u sliku?
TSplus Napredna sigurnost štiti Windows poslužitelje i okruženja za daljinski pristup. Umjesto da zamijeni VPN ili djeluje kao potpuno rješenje za pristup s nultom povjerenjem, dodaje kontrole na razini poslužitelja koje mogu ojačati bilo koji model pristupa.
Ove kontrole mogu zaštititi Windows poslužitelje iza VPN-a dok dodaju ograničenja na temelju korisnika, uređaja, lokacija i vremena povezivanja. Podržavaju nekoliko načela Zero Trust kao dio šire arhitekture sigurnosti.
Zaštita od Brute-Force i zlonamjernih IP adresa
Internetom dostupne usluge autentifikacije često su mete napada pogađanja lozinki i automatiziranih mrežnih skeniranja. Naše rješenje prati neuspjele pokušaje prijave na Windows i može automatski staviti na crnu listu izvornu IP adresu kada se dostigne konfigurirani prag.
Zaštita IP adresa od hakera pojačava ovu obranu održavanjem popisa adresa povezanih s zloćudnim softverom, botnetima, online napadima i drugim zlonamjernim aktivnostima. Administratori također mogu upravljati dopuštenim i blokiranim adresama putem pravila vatrozida, pomažući u zaustavljanju neželjenog prometa prije nego što dođe do izloženih Windows usluga.
Geografska i kontekstualna ograničenja pristupa
Geografska zaštita omogućuje administratorima da kontroliraju pristup prema zemlji podrijetla ili IP adresi. Mogu ograničiti veze na odobrene zemlje, privatne adrese i specifične IP adrese koje su na bijeloj listi, što je korisno kada se legitimni korisnici povezuju s predvidivih lokacija.
Radno vrijeme dodaje vremenski temeljene kontrole za korisnike i grupe, omogućujući administratorima da definiraju kada se sesije mogu otvoriti i smanje dostupnost računa izvan očekivanih radnih razdoblja. Pouzdani uređaji mogu dodatno ograničiti veze na odobrene krajnje točke kada metoda povezivanja podržava identifikaciju uređaja.
Ove provjere nalikuju kontekstualnim kontrolama koje se koriste u strategijama Zero Trust. Međutim, informacije o lokaciji, vremenu i uređaju trebale bi ostati podržavajući signali, a ne definitivan dokaz da je veza pouzdana.
Granularne dozvole i sigurne sesije
Naše rješenje uključuje kontrole dozvola za pregled i upravljanje privilegijama korisnika i grupa. Administratori mogu ograničiti pristup datotekama, mapama, registrijskim objektima i pisačima na zaštićenom Windows poslužitelju.
Sigurne sesije tada mogu primijeniti različite razine sigurnosti na specifične korisnike i grupe. Zajedno, ove značajke smanjuju ono što povezani račun može pristupiti ili modificirati nakon autentifikacije.
Ovaj pristup minimalnih privilegija na razini poslužitelja može ograničiti utjecaj kompromitiranog računa. Međutim, nije ekvivalentan ZTNA policy engine-u, koji obično posreduje pristup pojedinačnim aplikacijama ili uslugama prije uspostavljanja mrežne povezanosti.
Zaštita od ucjenjivačkog softvera
Naše rješenje prati aktivnost poslužitelja za ponašanje povezano s ransomwareom. Kombinira statične indikatore s analitikom ponašanja kako bi otkrilo sumnjivu aktivnost datoteka i odgovorilo kada se identificira potencijalni ransomware.
Ova zaštita je posebno relevantna kada udaljeni korisnici mogu otvoriti dijeljene dokumente ili pisati na poslužiteljski prostor. Budući da se važeći račun još uvijek može zloupotrijebiti za pokretanje zlonamjernog softvera, samo osiguranje veze nije dovoljno.
Zaštita od ransomwarea stoga bi trebala dopuniti testirane offline sigurnosne kopije, upravljanje zakrpama, zaštitu krajnjih točaka i postupke odgovora na incidente umjesto da ih zamijeni.
Kontrole vatrozida, događaji i upozorenja
TSplus Napredna sigurnost može provoditi pravila blokiranja putem Windows vatrozida ili njegovog integriranog vatrozida. Administratori mogu blokirati neprijateljske adrese, održavati popise dopuštenih adresa i pregledavati mrežna ograničenja iz sučelja Advanced Security.
Nadzorna ploča također prikazuje nedavne sigurnosne događaje, dok konfigurabilna upozorenja mogu obavijestiti administratore putem e-pošte, SMS-a ili Microsoft Teams-a kada se dogode odabrani događaji. Zajedno, ove značajke pružaju uvid u blokirane veze i druge aktivnosti koje mogu zahtijevati istragu.
Praćenje ostaje ključno u VPN i Zero Trust okruženjima. Preventivne mjere mogu smanjiti rizik, ali IT timovi moraju nastaviti pregledavati upozorenja, istraživati neobično ponašanje i usavršavati politike kako se zahtjevi za pristupom mijenjaju.
Zaključak
Središnja razlika između Zero Trust udaljenog pristupa i VPN-a je opseg i vrijeme povjerenja. VPN obično stvara šifriranu mrežnu stazu nakon autentifikacije korisnika ili uređaja. ZTNA omogućuje pristup određenom resursu nakon procjene identiteta, uređaja i kontekstualnih uvjeta.
VPN ostaje prikladan za veze između lokacija, upravljanje mrežom, naslijeđene protokole i radne opterećenja koja zahtijevaju IP-nivo povezivost. ZTNA je općenito bolje prilagođena zaposlenicima, izvođačima i partnerima koji trebaju samo odabrane aplikacije ili usluge.
Mnoge organizacije će imati koristi od kombiniranja dva pristupa. Pristup na razini aplikacije može se kretati prema ZTNA, dok ograničene VPN veze ostaju dostupne za radne tokove koji zaista zahtijevaju pristup mreži. Bez obzira na to koji model je odabran, jaka autentifikacija, minimalna privilegija, segmentacija, učvršćivanje poslužitelja i kontinuirano praćenje ostaju neophodni.