Pengantar
Akses jarak jauh yang aman tidak lagi menjadi pilihan antara koneksi terenkripsi dan tidak terenkripsi. Baik solusi VPN modern maupun akses jarak jauh Zero Trust dapat melindungi data dalam perjalanan. Pertanyaan yang lebih penting adalah apa yang dapat diakses oleh pengguna atau perangkat setelah otentikasi.
VPN sering memperluas konektivitas jaringan ke titik akhir jarak jauh. Akses Jaringan Zero Trust mengambil pendekatan yang berfokus pada sumber daya, mengevaluasi pengguna, perangkat, aplikasi yang diminta, dan konteks saat ini sebelum memberikan akses. Bagi banyak organisasi, desain terbaik bukanlah penggantian total tetapi pembagian yang disengaja antara akses aplikasi dan akses jaringan yang sebenarnya.
Apa itu VPN?
A jaringan pribadi virtual membuat terowongan terenkripsi antara perangkat jarak jauh dan gerbang VPN, yang mengautentikasi koneksi sebelum mengarahkan lalu lintas yang disetujui ke jaringan pribadi, subnet, atau layanan.
Meskipun VPN tidak harus memberikan akses tanpa batas, model operasinya tetap berorientasi jaringan. Administrator dapat menerapkan:
- otentikasi multifaktor
- d sertifikat perangkat
- aturan firewall
- segmentasi jaringan
- a daftar kontrol akses
Namun, endpoint biasanya masih akan menerima jalur tingkat IP ke satu atau lebih sumber daya internal.
Karena model ini sudah mapan dan mendukung berbagai protokol, model ini tetap berguna ketika administrator memerlukan akses infrastruktur yang luas, aplikasi bergantung pada pengalamatan internal, atau dua situs perlu bertukar lalu lintas dengan aman.
Risiko utama muncul ketika izin VPN melampaui apa yang sebenarnya dibutuhkan pengguna. Misalnya, seorang karyawan jarak jauh yang hanya membutuhkan satu aplikasi akuntansi mungkin tidak memerlukan akses ke seluruh subnet keuangan.
Apa itu Akses Jarak Jauh Zero Trust (ZTNA)?
Dalam penggunaan umum, akses jarak jauh Zero Trust biasanya merujuk pada Akses Jaringan Zero Trust, atau ZTNA. ZTNA berlaku prinsip Zero Trust ke konektivitas jarak jauh dengan memberikan akses ke aplikasi, desktop, atau layanan individu alih-alih memperluas akses jaringan umum.
Keputusan dapat mempertimbangkan beberapa sinyal:
- Identitas dan peran pengguna
- Kepemilikan perangkat dan sikap keamanan
- Sumber daya yang diminta
- Lokasi dan waktu akses
- Kekuatan otentikasi
- Risiko sesi atau perilaku tidak biasa
NIST menggambarkan Kepercayaan Nol sebagai arsitektur yang menghapus kepercayaan implisit berdasarkan lokasi jaringan dan melindungi sumber daya individu melalui otentikasi dan otorisasi eksplisit. ZTNA adalah salah satu cara untuk menerapkan prinsip tersebut, bukan seluruh arsitektur Zero Trust.
Setelah permintaan disetujui, pengguna menerima jalur terkontrol ke sumber daya yang diizinkan. Sistem yang tidak disetujui tidak perlu menjadi terlihat atau dapat dirouting dari titik akhir. Kebijakan juga dapat memicu reautentikasi, akses terbatas, atau penghentian sesi ketika risiko berubah.
Zero Trust Remote Access vs VPN: Perbedaan Utama
Perbedaan antara ZTNA dan VPN adalah arsitektural daripada sekadar teknologi. VPN yang tersegmentasi dengan baik dapat sangat membatasi, sementara penerapan ZTNA yang kurang dikelola masih dapat memberikan akses yang berlebihan.
| Kriteria | VPN | Akses jarak jauh Zero Trust atau ZTNA |
|---|---|---|
| Akses target | Jaringan, subnet, atau rentang layanan | Aplikasi spesifik, desktop, atau layanan |
| Konteks kebijakan utama | Rute, alamat IP, grup, dan aturan firewall | Identitas, perangkat, sumber daya, dan sinyal kontekstual |
| Visibilitas jaringan | Layanan internal mungkin dapat diakses setelah koneksi. | Sumber yang tidak disetujui dapat tetap tidak terdeteksi |
| Alur kerja pengguna | Mendirikan terowongan, lalu buka sumber daya | Minta atau luncurkan sumber daya yang disetujui secara langsung |
| Kesesuaian terbaik | Akses tingkat jaringan, warisan, dan situs ke situs | Akses tingkat aplikasi untuk pengguna dan pihak ketiga |
| Kompromi operasional utama | Familiar tetapi dapat menjadi luas dan berat gerbang | Granular tetapi memerlukan pemetaan aplikasi dan identitas |
Model keamanan
VPN tradisional membuat keputusan kepercayaan utamanya saat terowongan dibangun. Platform modern dapat memperkuat keputusan itu dengan akses bersyarat, pemeriksaan titik akhir, dan otentikasi ulang, tetapi sesi tetap dimulai dengan memperluas konektivitas jaringan kepada pengguna.
ZTNA mengambil pendekatan yang lebih fokus pada sumber daya. Kata sandi yang valid dan faktor kedua tidak secara otomatis memberikan akses ke setiap sistem internal, karena kebijakan juga dapat memerlukan perangkat yang dikelola, lokasi yang disetujui, peran pengguna tertentu, atau sesi dengan risiko lebih rendah sebelum membuat aplikasi yang diminta tersedia.
Model akses yang lebih sempit ini mendukung hak akses paling sedikit dan dapat membatasi jumlah sistem yang terpapar jika kredensial dicuri. Namun, ZTNA tidak menghilangkan risiko kompromi akun, karena penyerang masih dapat menyalahgunakan aplikasi apa pun yang diizinkan untuk dibuka oleh akun yang dikompromikan.
Pengalaman pengguna
Pengguna VPN sering kali perlu membuka klien, menunggu terowongan terhubung, menyelesaikan permintaan otentikasi, dan kemudian meluncurkan aplikasi yang diperlukan. Ketika konflik DNS, aturan split-tunneling, jaringan lokal yang tidak stabil, atau konfigurasi klien yang kedaluwarsa menyebabkan masalah, hasilnya bisa berupa permintaan dukungan tambahan.
ZTNA dapat menyederhanakan proses ini dengan menyajikan hanya sumber daya yang disetujui melalui portal, browser, atau klien ringan. Alih-alih pertama-tama menerima akses jaringan umum, pengguna dapat meluncurkan aplikasi yang diperlukan secara langsung.
Pengalaman masih tergantung pada implementasi, karena beberapa protokol memerlukan agen endpoint dan beberapa aplikasi lama tidak berfungsi dengan baik melalui proxy aplikasi. Sebelum migrasi, tim TI sebaiknya menguji:
- autentikasi
- mencetak
- transfer file
- · kontrol clipboard
- perilaku penyambungan kembali
Paparan jaringan
Gateway VPN adalah layanan tepi yang terhubung ke internet, jadi harus diperbarui, dipantau, dan dilindungi. Tergantung pada rute, segmentasi, dan kebijakan firewall yang diterapkan, pengguna yang terhubung juga mungkin dapat menemukan alamat atau layanan internal.
ZTNA dapat mengurangi paparan ini dengan menempatkan broker atau titik penegakan antara pengguna dan aplikasi. Ini memberikan akses endpoint ke sumber daya yang disetujui tanpa menciptakan rute umum ke jaringan sekitarnya.
Meskipun desain ini dapat membuat pergerakan lateral lebih sulit, konektor, penyedia identitas, gerbang, dan server aplikasi tetap perlu diamankan. Panduan CISA juga menganggap perangkat lunak akses jarak jauh dan perangkat tepi sebagai infrastruktur bernilai tinggi yang memerlukan MFA, pemeliharaan, pencatatan, dan pengurangan paparan.
Kinerja
Desain VPN sering kali mengalihkan lalu lintas melalui gerbang pusat atau pusat data, yang dapat menambah latensi ketika pengguna jarak jauh terhubung melalui kantor pusat untuk mengakses aplikasi yang dihosting di cloud.
ZTNA mungkin menawarkan jalur yang lebih langsung ke aplikasi yang diotorisasi, terutama ketika konektor atau titik layanan didistribusikan dekat dengan pengguna dan beban kerja. Meskipun demikian, kinerja tetap bergantung pada:
- persyaratan inspeksi
- arsitektur penyedia
- penempatan konektor
- kualitas internet
VPN dapat tetap efisien untuk beban kerja pusat data internal atau lingkungan dengan konsentrator lokal. Alih-alih mengasumsikan satu model selalu lebih cepat, tim TI harus membandingkan waktu respons aplikasi dan stabilitas sesi di lingkungan mereka sendiri.
Manajemen
Tim jaringan sudah familiar dengan konsentrator VPN, rute, aturan firewall, dan daftar kontrol akses, yang dapat mempermudah penerapan. Seiring waktu, namun, izin mungkin menjadi lebih sulit untuk ditinjau saat grup, subnet, dan pengecualian terakumulasi.
ZTNA memerlukan inventaris yang lebih jelas tentang pengguna, aplikasi, persyaratan perangkat, dan ketergantungan. Administrator harus mendefinisikan siapa yang membutuhkan setiap sumber daya, perangkat mana yang dapat mereka gunakan, dan dalam kondisi apa akses harus diberikan. Meskipun pekerjaan kebijakan ini memerlukan usaha, hal ini dapat membuat tinjauan akses menjadi lebih bermakna karena izin dipetakan langsung ke aplikasi bisnis.
Model mana pun yang digunakan, manajemen yang efektif bergantung pada penugasan pemilik untuk setiap sumber daya, mendokumentasikan pengecualian, dan meninjau hak akses secara teratur. Baik VPN maupun ZTNA tidak akan tetap aman tanpa disiplin operasional yang konsisten.
Biaya
VPN mungkin menjadi opsi yang lebih murah ketika sebuah organisasi sudah memiliki infrastruktur firewall atau gateway yang kompatibel. Namun, total biaya masih dapat mencakup:
- kapasitas konsentrator
- ketersediaan tinggi
- dukungan klien
- lebar pita
- pekerjaan segmentasi
- pemeliharaan aturan yang sedang berlangsung
ZTNA dapat memperkenalkan langganan per pengguna, integrasi identitas, agen endpoint, konektor, dan pekerjaan migrasi. Pada saat yang sama, ini dapat mengurangi backhaul VPN, menyederhanakan akses kontraktor, dan menurunkan biaya untuk mendukung konektivitas jaringan yang luas.
Oleh karena itu, perbandingan harus fokus pada total biaya kepemilikan daripada hanya harga produk awal. Tim TI harus mempertimbangkan lisensi, infrastruktur, upaya helpdesk, administrasi kebijakan, risiko waktu henti, dan biaya memberikan lebih banyak akses daripada yang sebenarnya dibutuhkan pengguna.
Kapan VPN Masih Masuk Akal?
Meskipun ada pergeseran menuju model akses yang lebih spesifik sumber daya, VPN tetap menjadi pilihan yang tepat ketika pengguna atau sistem benar-benar membutuhkan konektivitas tingkat jaringan.
Ini sangat berguna ketika persyaratan melibatkan beberapa protokol, infrastruktur bersama, atau aplikasi yang bergantung pada akses langsung ke jaringan internal.
Contoh umum termasuk:
- Konektivitas situs ke situs antara kantor, pusat data, atau jaringan cloud
- Pemecahan masalah jaringan dan administrasi tingkat paket
- Akses ke beberapa protokol di seluruh segmen infrastruktur yang terkontrol
- Aplikasi warisan yang tidak dapat diterbitkan melalui gerbang aplikasi
- Pengembangan, laboratorium, atau lingkungan pemulihan bencana yang memerlukan konektivitas yang luas
- T akses sementara di lingkungan di mana segmentasi dan pemantauan sudah matang
VPN oleh karena itu tidak usang maupun secara inheren tidak aman. Keamanannya tergantung pada seberapa hati-hati koneksi dikonfigurasi dan dikelola, termasuk rute yang dibatasi, otentikasi yang kuat, pemeliharaan gateway secara berkala, dan pemisahan yang jelas antara pengguna standar dan administrator yang memiliki hak istimewa.
Ketika kontrol ini diterapkan dan kebutuhan bisnis benar-benar berorientasi jaringan, VPN dapat tetap menjadi solusi akses jarak jauh yang efektif dan praktis.
Kapan Zero Trust Menjadi Pilihan yang Lebih Baik?
ZTNA biasanya merupakan pilihan yang lebih kuat ketika pengguna memerlukan akses ke seperangkat aplikasi yang ditentukan daripada jaringan yang lebih luas. Ini membuatnya sangat cocok untuk karyawan jarak jauh, kontraktor, mitra, dan tim dukungan eksternal yang persyaratan aksesnya dapat dijelaskan dengan tepat.
Sebagai contoh, kebijakan Zero Trust mungkin memungkinkan anggota grup keuangan untuk mengakses aplikasi akuntansi selama jam yang disetujui, asalkan mereka menggunakan perangkat yang dikelola dan otentikasi multifaktor. Jenis aturan ini lebih mudah untuk ditinjau daripada izin luas yang memberikan akses ke subnet keuangan.
ZTNA juga sangat cocok untuk lingkungan yang terdistribusi dan berorientasi cloud di mana aplikasi tidak lagi terletak di belakang satu perimeter kantor. Dengan menempatkan identitas dan kebijakan sumber daya di pusat keputusan akses, model ini mengikuti beban kerja daripada batas jaringan fisik.
Apakah ada jalan tengah?
Ya. Alih-alih memaksa setiap alur kerja melalui satu teknologi, banyak organisasi dapat menggunakan ZTNA dan VPN bersama-sama.
Karyawan standar dan kontraktor dapat menerima akses tingkat aplikasi melalui ZTNA atau portal aplikasi yang aman, sementara administrator jaringan mempertahankan VPN yang dikendalikan dengan ketat atau gerbang akses istimewa untuk tugas yang memerlukan konektivitas tingkat IP. Kantor cabang dapat terus menggunakan VPN site-to-site, dan aplikasi lama dapat tetap berada di jalur VPN terbatas sampai mereka dimodernisasi atau diterbitkan lebih sempit .
Transisi bertahap biasanya lebih aman daripada penggantian mendadak. Tim TI dapat menciptakan alur kerja jarak jauh, memisahkan kebutuhan tingkat aplikasi dari kebutuhan tingkat jaringan, memperkuat kontrol identitas, menguji satu aplikasi yang terkontrol dan menghapus rute VPN yang sesuai hanya setelah memvalidasi jalur akses baru.
Bagaimana TSplus Sesuai dengan Gambar?
TSplus Advanced Security melindungi server Windows dan lingkungan akses jarak jauh. Alih-alih menggantikan VPN atau bertindak sebagai platform Akses Jaringan Zero Trust yang lengkap, ini menambahkan kontrol tingkat server yang dapat memperkuat model akses mana pun.
Kontrol ini dapat melindungi server Windows di belakang VPN sambil menambahkan pembatasan berdasarkan pengguna, perangkat, lokasi, dan waktu koneksi. Mereka mendukung beberapa prinsip Zero Trust sebagai bagian dari arsitektur keamanan yang lebih luas.
Perlindungan terhadap IP Berbahaya dan Serangan Brute-Force
Layanan otentikasi yang terhubung ke internet sering menjadi target serangan tebak kata sandi dan pemindaian jaringan otomatis. Solusi kami memantau upaya login Windows yang gagal dan dapat secara otomatis memblacklist alamat IP yang berasal setelah ambang batas yang dikonfigurasi tercapai.
Perlindungan IP Hacker memperkuat pertahanan ini dengan daftar alamat yang dipelihara yang terkait dengan malware, botnet, serangan online, dan aktivitas jahat lainnya. Administrator juga dapat mengelola alamat yang diizinkan dan diblokir melalui aturan firewall, membantu menghentikan lalu lintas yang tidak diinginkan sebelum mencapai layanan Windows yang terbuka.
Pembatasan Akses Geografis dan Kontekstual
Perlindungan Geografis memungkinkan administrator untuk mengontrol akses sesuai dengan negara atau alamat IP asal. Mereka dapat membatasi koneksi ke negara yang disetujui, alamat pribadi, dan rentang IP yang secara khusus di-whitelist, yang berguna ketika pengguna yang sah terhubung dari lokasi yang dapat diprediksi.
Jam Kerja menambahkan kontrol berbasis waktu untuk pengguna dan grup, memungkinkan administrator untuk menentukan kapan sesi dapat dibuka dan mengurangi ketersediaan akun di luar periode kerja yang diharapkan. Perangkat Tepercaya dapat lebih membatasi koneksi ke titik akhir yang disetujui ketika metode koneksi mendukung identifikasi perangkat.
Pemeriksaan ini mirip dengan kontrol kontekstual yang digunakan dalam strategi Zero Trust. Namun, informasi lokasi, waktu, dan perangkat harus tetap menjadi sinyal pendukung daripada bukti definitif bahwa suatu koneksi dapat dipercaya.
Izin Granular dan Sesi Aman
Solusi kami mencakup kontrol izin untuk meninjau dan mengelola hak akses pengguna dan grup. Administrator dapat membatasi akses ke file, folder, objek registri, dan printer di server Windows yang dilindungi.
Sesi Aman kemudian dapat menerapkan tingkat keamanan yang berbeda untuk pengguna dan grup tertentu. Bersama-sama, fitur-fitur ini mengurangi apa yang dapat diakses atau dimodifikasi oleh akun yang terhubung setelah otentikasi.
Pendekatan hak istimewa paling sedikit di tingkat server ini dapat membatasi dampak dari akun yang terkompromi. Namun, ini tidak setara dengan mesin kebijakan ZTNA, yang biasanya menjembatani akses ke aplikasi atau layanan individu sebelum membangun konektivitas jaringan.
Perlindungan Ransomware
Solusi kami memantau aktivitas server untuk perilaku yang terkait dengan ransomware. Ini menggabungkan indikator statis dengan analisis perilaku untuk mendeteksi aktivitas file yang mencurigakan dan merespons ketika potensi ransomware teridentifikasi.
Perlindungan ini sangat relevan ketika pengguna jarak jauh dapat membuka dokumen bersama atau menulis ke penyimpanan server. Karena akun yang valid masih dapat disalahgunakan untuk menjalankan perangkat lunak berbahaya, mengamankan koneksi saja tidak cukup.
Perlindungan terhadap Ransomware seharusnya melengkapi cadangan offline yang telah diuji, manajemen patch, perlindungan endpoint, dan prosedur respons insiden daripada menggantikannya.
Kontrol Firewall, Peristiwa dan Peringatan
TSplus Advanced Security dapat menerapkan aturan pemblokiran melalui Windows Firewall atau firewall terintegrasi. Administrator dapat memblokir alamat yang bermusuhan, mempertahankan daftar putih, dan meninjau pembatasan jaringan dari antarmuka Advanced Security.
Dasbor juga menampilkan peristiwa keamanan terbaru, sementara peringatan yang dapat dikonfigurasi dapat memberi tahu administrator melalui email, SMS, atau Microsoft Teams ketika peristiwa yang dipilih terjadi. Bersama-sama, fitur-fitur ini memberikan visibilitas ke dalam koneksi yang diblokir dan aktivitas lain yang mungkin memerlukan penyelidikan.
Pemantauan tetap penting baik di lingkungan VPN maupun Zero Trust. Kontrol pencegahan dapat mengurangi risiko, tetapi tim TI harus terus meninjau peringatan, menyelidiki perilaku yang tidak biasa, dan memperbaiki kebijakan seiring dengan perubahan kebutuhan akses.
Kesimpulan
Perbedaan utama antara akses jarak jauh Zero Trust dan VPN adalah ruang lingkup dan waktu kepercayaan. VPN biasanya membuat jalur jaringan terenkripsi setelah mengautentikasi pengguna atau perangkat. ZTNA memberikan akses ke sumber daya tertentu setelah mengevaluasi identitas, perangkat, dan kondisi kontekstual.
VPN tetap sesuai untuk koneksi situs ke situs, administrasi jaringan, protokol warisan, dan beban kerja yang memerlukan konektivitas tingkat IP. ZTNA umumnya lebih cocok untuk karyawan, kontraktor, dan mitra yang hanya memerlukan aplikasi atau layanan tertentu.
Banyak organisasi akan mendapatkan manfaat dari menggabungkan kedua pendekatan tersebut. Akses tingkat aplikasi dapat bergerak menuju ZTNA, sementara koneksi VPN terbatas tetap tersedia untuk alur kerja yang benar-benar memerlukan akses jaringan. Model mana pun yang dipilih, otentikasi yang kuat, hak akses paling sedikit, segmentasi, penguatan server, dan pemantauan terus-menerus tetap diperlukan.