Tartalomjegyzék

Bevezetés

A biztonságos távoli hozzáférés már nem választás az titkosított és titkosítatlan kapcsolatok között. Mind a modern VPN, mind a Zero Trust távoli hozzáférési megoldások védhetik az adatokat az átvitel során. A fontosabb kérdés az, hogy mit érhet el egy felhasználó vagy eszköz az azonosítás után.

A VPN gyakran kiterjeszti a hálózati kapcsolódást egy távoli végpontra. A Zero Trust Network Access erőforrás-központú megközelítést alkalmaz, értékelve a felhasználót, az eszközt, a kért alkalmazást és a jelenlegi kontextust, mielőtt hozzáférést biztosítana. Sok szervezet számára a legjobb megoldás nem a teljes helyettesítés, hanem a tudatos megosztás az alkalmazás-hozzáférés és a valódi hálózati hozzáférés között.

Mi az a VPN?

Egyáltalán virtuális magánhálózat létrehoz egy titkosított alagutat egy távoli eszköz és egy VPN átjáró között, amely hitelesíti a kapcsolatot, mielőtt az engedélyezett forgalmat magán hálózatokhoz, alhálózatokhoz vagy szolgáltatásokhoz irányítaná.

Bár a VPN-nek nem kell korlátlan hozzáférést biztosítania, működési modellje hálózatorientált marad. Az adminisztrátorok alkalmazhatják:

  • többfaktoros hitelesítés
  • d eszköz tanúsítványok
  • tűzfal szabályok
  • hálózati szegmentáció
  • a hozzáférés-ellenőrzési listák

Mégis, a végpont általában továbbra is IP-szintű elérési utat kap egy vagy több belső erőforráshoz.

Mivel ez a modell jól megalapozott és széles körű protokollokat támogat, hasznos marad, amikor az adminisztrátorok széleskörű infrastruktúra-hozzáférésre van szükségük, az alkalmazások belső címzésre támaszkodnak, vagy két helyszínnek biztonságosan kell forgalmat cserélnie.

A fő kockázat akkor merül fel, amikor a VPN jogosultságok túllépik azt, amire a felhasználónak valójában szüksége van. Például egy távoli munkavállalónak, aki csak egy könyvelési alkalmazásra van szüksége, lehet, hogy nincs szüksége a teljes pénzügyi alhálózathoz való hozzáférésre.

Mi az Zero Trust Remote Access (ZTNA)?

A köznyelvben a Zero Trust távoli hozzáférés általában a Zero Trust Network Access-re, vagyis ZTNA-ra utal. A ZTNA alkalmazása Zero Trust elvek a távoli kapcsolódás lehetővé tételéhez egy adott alkalmazás, asztal vagy szolgáltatás hozzáférésének megadásával ahelyett, hogy általános hálózati hozzáférést biztosítanánk.

A döntés több jelzőt is figyelembe vehet:

  • Felhasználói azonosító és szerep
  • Eszköz tulajdonjog és biztonsági helyzet
  • Kért erőforrás
  • Hozzáférés helye és ideje
  • Hitelesítési erősség
  • Session kockázat vagy szokatlan viselkedés

A NIST leírja Zero Trust mint egy olyan architektúra, amely eltávolítja az implicit bizalmat a hálózati hely alapján, és védi az egyes erőforrásokat kifejezett hitelesítéssel és engedélyezéssel. A ZTNA egy módja ennek az elvnek az alkalmazására, de nem az egész Zero Trust architektúra.

Miután egy kérést jóváhagytak, a felhasználó egy ellenőrzött utat kap az engedélyezett erőforráshoz. A jóváhagyatlan rendszereknek nem kell láthatóvá vagy elérhetővé válniuk a végponttól. A szabályzatok újrahitelesítést, korlátozott hozzáférést vagy munkamenet megszüntetést is kiválthatnak, amikor a kockázat változik.

Zero Trust Remote Access vs VPN: Kulcsfontosságú különbségek

A ZTNA és a VPN közötti különbség inkább architekturális, mintsem pusztán technológiai. Egy jól szegmentált VPN rendkívül korlátozó lehet, míg egy rosszul irányított ZTNA telepítés még mindig túlzott hozzáférést biztosíthat.

Kritérium VPN Zero Trust távoli hozzáférés vagy ZTNA
Hozzáférési cél Hálózat, alhálózat vagy szolgáltatási tartomány Speciális alkalmazás, asztali vagy szolgáltatás
Elsődleges politikai kontextus Útvonalak, IP-címek, csoportok és tűzfal szabályok Identitás, eszköz, erőforrás és kontextuális jelek
Hálózati láthatóság A belső szolgáltatások elérhetővé válhatnak a kapcsolat után. A jóváhagyatlan erőforrások felfedezhetetlenek maradhatnak
Felhasználói munkafolyamat Alagút létrehozása, majd az erőforrás megnyitása Kérjen vagy indítson el egy jóváhagyott erőforrást közvetlenül
Legjobb illeszkedés Hálózati szintű, örökölt és helyszínről helyszínre történő hozzáférés Alkalmazás szintű hozzáférés felhasználók és harmadik felek számára
Fő működési kompromisszum Ismerős, de széleskörűvé és átjáró-nehézzé válhat. Granuláris, de alkalmazás- és identitás-térképezést igényel.

Biztonsági modell

A hagyományos VPN a fő bizalmi döntését akkor hozza meg, amikor a alagút létrejön. A modern platformok megerősíthetik ezt a döntést feltételes hozzáféréssel, végpont-ellenőrzésekkel és újrahitelesítéssel, de a munkamenet még mindig azzal kezdődik, hogy a hálózati kapcsolódást kiterjesztik a felhasználóra.

A ZTNA egy erőforrás-központúbb megközelítést alkalmaz. Egy érvényes jelszó és második tényező nem biztosít automatikusan hozzáférést minden belső rendszerhez, mivel a politika megkövetelheti egy kezelt eszköz, egy jóváhagyott helyszín, egy specifikus felhasználói szerep vagy egy alacsonyabb kockázatú munkamenet meglétét is, mielőtt a kért alkalmazás elérhetővé válik.

Ez a szűkebb hozzáférési modell támogatja a legkisebb jogosultságot, és korlátozhatja a feltárt rendszerek számát, ha a hitelesítő adatok ellopásra kerülnek. Azonban a ZTNA nem szünteti meg a fiók kompromittálásának kockázatát, mivel a támadó továbbra is visszaélhet bármely alkalmazással, amelyhez a kompromittált fiók jogosultságot kapott.

Felhasználói élmény

A VPN felhasználóknak gyakran meg kell nyitniuk egy klienst, várniuk kell, amíg a alagút csatlakozik, be kell fejezniük az azonosítási kéréseket, majd el kell indítaniuk a szükséges alkalmazást. Amikor a DNS ütközések, a megosztott alagút szabályok, a stabiltalan helyi hálózatok vagy a lejárt kliens konfigurációk problémákat okoznak, az eredmény további támogatási kérések lehet.

A ZTNA egyszerűsítheti ezt a folyamatot azáltal, hogy csak az engedélyezett erőforrásokat mutatja be egy portálon, böngészőn vagy könnyű kliensen keresztül. Ahelyett, hogy először általános hálózati hozzáférést kapna, a felhasználó közvetlenül elindíthatja a szükséges alkalmazást.

A tapasztalat továbbra is a megvalósítástól függ, mivel egyes protokollok végponti ügynököt igényelnek, míg egyes régi alkalmazások nem működnek jól egy alkalmazásproxy-n keresztül. A migrálás előtt ezért az IT csapatoknak tesztelniük kell:

  • hitelesítés
  • nyomtatás
  • fájlátvitel
  • · vágólap vezérlők
  • újrakapcsolódási viselkedés

Hálózati kitettség

A VPN átjáró egy internetes szélszolgáltatás, ezért javítani, figyelni és védeni kell. A meglévő útvonalak, szegmentáció és tűzfal politika függvényében egy csatlakozott felhasználó esetleg képes lehet felfedezni a belső címeket vagy szolgáltatásokat.

A ZTNA csökkentheti ezt a kitettséget azáltal, hogy egy brókert vagy végrehajtási pontot helyez el a felhasználó és az alkalmazás között. Ez lehetővé teszi a végpont számára, hogy hozzáférjen az engedélyezett erőforráshoz anélkül, hogy általános útvonalat hozna létre a környező hálózatba.

Bár ez a tervezés megnehezítheti a laterális mozgást, a csatlakozók, az identitáskezelők, a kapuk és az alkalmazás szerverek biztonságát továbbra is meg kell oldani. CISA útmutató távoli hozzáférési szoftverként és élszél eszközökként is kezeli, mint magas értékű infrastruktúrát, amely többfaktoros hitelesítést, javítást, naplózást és csökkentett kitettséget igényel.

Teljesítmény

A VPN tervek gyakran központi átjárón vagy adatközponton keresztül irányítják a forgalmat, ami késleltetést okozhat, amikor egy távoli felhasználó a központi irodán keresztül csatlakozik egy felhőalapú alkalmazáshoz.

A ZTNA közvetlenebb utat kínálhat az engedélyezett alkalmazáshoz, különösen akkor, ha a csatlakozók vagy szolgáltatási pontok közel helyezkednek el a felhasználókhoz és a munkaterhelésekhez. Ennek ellenére a teljesítmény továbbra is függ:

  • ellenőrzési követelmények
  • szolgáltató architektúra
  • csatlakozó elhelyezés
  • internet minőség

A VPN hatékony maradhat belső adatközponti munkaterhelések vagy helyi koncentrátorokkal rendelkező környezetek esetén. Ahelyett, hogy feltételeznék, hogy egy modell mindig gyorsabb, az IT csapatoknak össze kell hasonlítaniuk az alkalmazás válaszidejét és a munkamenetek stabilitását a saját környezetükben.

Menedszment

A hálózati csapatok már ismerik a VPN koncentrátorokat, az útvonalakat, a tűzfal szabályokat és a hozzáférési vezérlő listákat, amelyek megkönnyíthetik a telepítést. Az idő múlásával azonban a jogosultságok felülvizsgálata nehezebbé válhat, ahogy a csoportok, alhálózatok és kivételek felhalmozódnak.

A ZTNA világosabb felhasználói, alkalmazási, eszközkövetelmények és függőségek nyilvántartását igényli. A rendszergazdáknak meg kell határozniuk, hogy ki igényli az egyes erőforrásokat, mely eszközöket használhatják, és milyen feltételek mellett kell hozzáférést biztosítani. Bár ez a politikai munka erőfeszítést igényel, a hozzáférési felülvizsgálatok értelmesebbé válhatnak, mivel a jogosultságok közvetlenül az üzleti alkalmazásokhoz vannak hozzárendelve.

Bármelyik modellt is használják, a hatékony kezelés attól függ, hogy minden erőforráshoz tulajdonost rendelnek, dokumentálják a kivételeket és rendszeresen felülvizsgálják a jogosultságokat. Sem a VPN, sem a ZTNA nem marad biztonságos következetes működési fegyelem nélkül.

Költség

A VPN lehet a kevésbé költséges lehetőség, amikor egy szervezet már rendelkezik kompatibilis tűzfallal vagy átjáró infrastruktúrával. Azonban az összköltség még mindig tartalmazhatja:

  • koncentrátor kapacitás
  • magas rendelkezésre állás
  • ügyféltámogatás
  • sávszélesség
  • szegmentációs munka
  • folyamatban lévő szabálykarbantartás

A ZTNA bevezethet felhasználónkénti előfizetéseket, identitásintegrációt, végponti ügynököket, csatlakozókat és migrációs munkát. Ugyanakkor csökkentheti a VPN visszavezetést, egyszerűsítheti a vállalkozói hozzáférést és csökkentheti a széleskörű hálózati kapcsolatok támogatásának költségeit.

Ezért a összehasonlításnak a teljes tulajdonlási költségre kell összpontosítania, nem csupán a kezdeti termékárra. Az IT csapatoknak figyelembe kell venniük a licencdíjakat, az infrastruktúrát, a helpdesk erőfeszítéseit, a politika adminisztrációját, a leállás kockázatát és a költségeket, amelyek a felhasználók ténylegesen szükségesnél nagyobb hozzáférés biztosításával járnak.

Mikor van még értelme egy VPN-nek?

A VPN továbbra is a megfelelő választás, amikor a felhasználóknak vagy rendszereknek valóban hálózati szintű kapcsolatra van szükségük, annak ellenére, hogy a hozzáférési modellek egyre inkább erőforrás-specifikus irányba mozdulnak el.

Különösen hasznos, amikor a követelmény több protokollt, megosztott infrastruktúrát vagy olyan alkalmazásokat érint, amelyek közvetlen hozzáférést igényelnek a belső hálózatokhoz.

Gyakori példák közé tartozik:

  • Irodák, adatközpontok vagy felhőhálózatok közötti site-to-site kapcsolódás
  • Hálózati hibaelhárítás és csomagszintű adminisztráció
  • Hozzáférés több protokollhoz egy ellenőrzött infrastruktúra szegmensen keresztül
  • Örökölt alkalmazások, amelyeket nem lehet közzétenni egy alkalmazáskapu segítségével
  • Fejlesztési, laboratóriumi vagy katasztrófa-helyreállítási környezetek, amelyek széleskörű kapcsolódást igényelnek
  • T ideiglenes hozzáférés olyan környezetekben, ahol a szegmentálás és a megfigyelés már érett

A VPN tehát sem elavult, sem pedig alapvetően nem biztonságos. A biztonsága attól függ, hogy mennyire gondosan van konfigurálva és kezelve a kapcsolat, beleértve a korlátozott útvonalakat, a szigorú hitelesítést, a rendszeres átjáró frissítéseket és a normál felhasználók és a jogosult rendszergazdák közötti világos elkülönítést.

Amikor ezek a vezérlők érvényben vannak, és az üzleti igény valóban hálózati orientált, egy VPN hatékony és praktikus távoli hozzáférési megoldás maradhat.

Mikor a Zero Trust a jobb választás?

A ZTNA általában erősebb választás, amikor a felhasználóknak egy meghatározott alkalmazáskészlethez van szükségük, nem pedig a szélesebb hálózathoz. Ez különösen alkalmas a távoli alkalmazottak, vállalkozók, partnerek és külső támogatási csapatok számára, akiknek hozzáférési követelményei pontosan leírhatók.

Például egy Zero Trust politika lehetővé teheti a pénzügyi csoport tagjai számára, hogy a jóváhagyott órákban hozzáférjenek a könyvelési alkalmazáshoz, feltéve, hogy kezelt eszközöket és többlépcsős hitelesítést használnak. Ez a típusú szabály könnyebben áttekinthető, mint egy széleskörű engedély, amely hozzáférést biztosít a pénzügyi alhálózathoz.

A ZTNA jól alkalmazható elosztott és felhőorientált környezetekben is, ahol az alkalmazások már nem egyetlen irodai határ mögött találhatók. Az identitás- és erőforrás-politika középpontba helyezésével a hozzáférési döntés során a modell a munkaterhelést követi, nem pedig egy fizikai hálózati határt.

Van középutas megoldás?

Igen. Ahelyett, hogy minden munkafolyamatot egyetlen technológián keresztül kényszerítenének, sok szervezet együtt használhatja a ZTNA-t és a VPN-t.

A standard alkalmazottak és vállalkozók alkalmazás szintű hozzáférést kaphatnak ZTNA-n vagy egy biztonságos alkalmazásportálon keresztül, míg a hálózati rendszergazdák szigorúan ellenőrzött VPN-t vagy privilégiumokkal rendelkező hozzáférési átjárót tartanak fenn az IP-szintű kapcsolódást igénylő feladatokhoz. A fiókirodák folytathatják a helyről-helyre VPN-ek használatát, és a régi alkalmazások korlátozott VPN útvonalakon maradhatnak, amíg modernizálásra nem kerülnek. szűkebb körben közzétéve .

A fokozatos átmenet általában biztonságosabb, mint a hirtelen csere. Az IT csapatok távoli munkafolyamatokat találhatnak ki, elkülöníthetik az alkalmazás szintű követelményeket a hálózati szintű igényektől, megerősíthetik az identitásellenőrzéseket, egyetlen korlátozott alkalmazást tesztelhetnek, és csak az új hozzáférési útvonal érvényesítése után távolíthatják el a megfelelő VPN útvonalat.

Hogyan illeszkedik a TSplus a képbe?

TSplus Advanced Security védi a Windows szervereket és a távoli hozzáférési környezeteket. Ahelyett, hogy egy VPN-t helyettesítene vagy teljes Zero Trust Network Access platformként működne, szerver szintű vezérlőket ad hozzá, amelyek megerősíthetik bármelyik hozzáférési modellt.

Ezek a vezérlők védhetik a Windows szervereket egy VPN mögött, miközben korlátozásokat adnak a felhasználók, eszközök, helyszínek és kapcsolati idők alapján. Támogatják a Zero Trust elvek több aspektusát egy átfogóbb biztonsági architektúra részeként.

Brute-Force és Rosszindulatú IP Védelem

Az interneten elérhető hitelesítési szolgáltatások gyakori célpontjai a jelszóval való kitalálásos támadásoknak és az automatizált hálózati vizsgálatoknak. Megoldásunk figyelemmel kíséri a sikertelen Windows bejelentkezési kísérleteket, és automatikusan feketelistára teheti az eredeti IP-címet, amint a beállított küszöbérték elérésre kerül.

A Hacker IP védelem megerősíti ezt a védelmet egy karbantartott címjegyzékkel, amely a kártevőkkel, botnetekkel, online támadásokkal és egyéb rosszindulatú tevékenységekkel kapcsolatos címeket tartalmaz. Az adminisztrátorok a tűzfal szabályain keresztül is kezelhetik a megengedett és blokkolt címeket, segítve ezzel a nem kívánt forgalom megállítását, mielőtt az elérné a kiszolgáltatott Windows szolgáltatást.

Földrajzi és Kontextuális Hozzáférési Korlátozások

A földrajzi védelem lehetővé teszi az adminisztrátorok számára, hogy az eredeti ország vagy IP-cím szerint szabályozzák a hozzáférést. Korlátozhatják a kapcsolatokat az engedélyezett országokra, magáncímekre és kifejezetten fehérlistázott IP-tartományokra, ami hasznos, amikor a jogos felhasználók előre látható helyekről csatlakoznak.

A Munkaidő időalapú vezérléseket ad a felhasználók és csoportok számára, lehetővé téve az adminisztrátorok számára, hogy meghatározzák, mikor nyithatók meg a munkamenetek, és csökkentsék a fiók elérhetőségét a várt munkaidőn kívül. A Megbízható Eszközök tovább korlátozhatják a kapcsolódásokat az engedélyezett végpontokhoz, amikor a kapcsolódási módszer támogatja az eszközazonosítást.

Ezek a ellenőrzések hasonlítanak a Zero Trust stratégiákban használt kontextuális ellenőrzésekhez. Azonban a hely, az idő és a készülék információknak támogató jeleknek kell maradniuk, nem pedig végleges bizonyítékoknak arra, hogy egy kapcsolat megbízható.

Granuláris engedélyek és biztonságos munkamenetek

Megoldásunk tartalmazza a jogosultságok ellenőrzését a felhasználói és csoportjogosultságok felülvizsgálatához és kezeléséhez. A rendszergazdák korlátozhatják a hozzáférést fájlokhoz, mappákhoz, rendszerleíró adatbázis-objektumokhoz és nyomtatókhoz a védett Windows szerveren.

A Biztonságos Ülések ezután különböző biztonsági szinteket alkalmazhatnak konkrét felhasználókra és csoportokra. Ezek a funkciók együtt csökkentik, hogy egy csatlakoztatott fiók mit érhet el vagy módosíthat az azonosítás után.

Ez a szerver szintű legkisebb jogosultságú megközelítés korlátozhatja a kompromittált fiók hatását. Azonban nem egyenértékű egy ZTNA politikai motorral, amely általában közvetíti az egyes alkalmazásokhoz vagy szolgáltatásokhoz való hozzáférést, mielőtt létrehozná a hálózati kapcsolatot.

Ransomware védelem

Megoldásunk figyeli a szerver aktivitását a ransomware-hez kapcsolódó viselkedés szempontjából. Statikus mutatókat kombinál a viselkedéselemzéssel, hogy észlelje a gyanús fájlaktivitást, és reagáljon, amikor potenciális ransomware-t azonosítanak.

Ez a védelem különösen fontos, amikor a távoli felhasználók megnyithatják a megosztott dokumentumokat vagy írhatnak a szerver tárolójába. Mivel egy érvényes fiókot még mindig vissza lehet élni rosszindulatú szoftverek futtatására, a kapcsolat biztosítása önmagában nem elegendő.

A ransomware védelemnek ezért kiegészítenie kell a tesztelt offline biztonsági mentéseket, a javításkezelést, az endpoint védelmet és az incidens-reakciós eljárásokat, nem pedig helyettesítenie azokat.

Tűzfalvezérlés, Események és Figyelmeztetések

TSplus Advanced Security blokkolási szabályokat érvényesíthet a Windows tűzfalon vagy annak integrált tűzfalán keresztül. A rendszergazdák blokkolhatják a rosszindulatú címeket, fenntarthatják a fehérlistákat és áttekinthetik a hálózati korlátozásokat az Advanced Security felületről.

A műszerfal a legutóbbi biztonsági eseményeket is megjeleníti, míg a konfigurálható figyelmeztetések értesíthetik az adminisztrátorokat e-mailben, SMS-ben vagy Microsoft Teams-en, amikor a kiválasztott események bekövetkeznek. Ezek a funkciók együtt átláthatóságot biztosítanak a blokkolt kapcsolatok és egyéb tevékenységek tekintetében, amelyek vizsgálatot igényelhetnek.

A monitorozás továbbra is elengedhetetlen mind a VPN, mind a Zero Trust környezetekben. A megelőző intézkedések csökkenthetik a kockázatot, de az IT csapatoknak folytatniuk kell az értesítések áttekintését, a szokatlan viselkedés kivizsgálását és a politikák finomítását, ahogy a hozzáférési követelmények változnak.

Következtetés

A Zero Trust távoli hozzáférés és egy VPN közötti központi különbség a bizalom terjedelme és időzítése. A VPN általában titkosított hálózati utat hoz létre egy felhasználó vagy eszköz hitelesítése után. A ZTNA hozzáférést biztosít egy adott erőforráshoz, miután értékelte az identitást, az eszközt és a kontextuális feltételeket.

A VPN továbbra is megfelelő a helyről-helyre történő kapcsolatokhoz, a hálózatkezeléshez, a régi protokollokhoz és azokhoz a munkaterhelésekhez, amelyek IP-szintű kapcsolódást igényelnek. A ZTNA általában jobban megfelel azoknak az alkalmazottaknak, vállalkozóknak és partnereknek, akiknek csak kiválasztott alkalmazásokra vagy szolgáltatásokra van szükségük.

Sok szervezet profitálhat a két megközelítés kombinálásából. Az alkalmazás szintű hozzáférés a ZTNA felé haladhat, míg a korlátozott VPN kapcsolatok továbbra is elérhetők azokhoz a munkafolyamatokhoz, amelyek valóban igénylik a hálózati hozzáférést. Bármelyik modellt is választják, a szigorú hitelesítés, a legkisebb jogosultság, a szegmentálás, a szerverek megerősítése és a folyamatos ellenőrzés továbbra is szükségesek.

További olvasmányok

back to top of the page icon