Pengenalan
Akses jauh yang selamat tidak lagi menjadi pilihan antara sambungan yang dienkripsi dan tidak dienkripsi. Kedua-dua penyelesaian akses jauh VPN moden dan Zero Trust boleh melindungi data dalam transit. Soalan yang lebih penting adalah apa yang boleh dicapai oleh pengguna atau peranti selepas pengesahan.
VPN sering memperluas konektiviti rangkaian ke titik akhir jauh. Akses Rangkaian Zero Trust mengambil pendekatan yang berpusat pada sumber, menilai pengguna, peranti, aplikasi yang diminta, dan konteks semasa sebelum memberikan akses. Bagi banyak organisasi, reka bentuk terbaik bukanlah penggantian total tetapi pembahagian yang sengaja antara akses aplikasi dan akses rangkaian yang sebenar.
Apa itu VPN?
[A] TSplus vs RDS rangkaian peribadi maya mewujudkan terowong yang disulitkan antara peranti jauh dan pintu masuk VPN, yang mengesahkan sambungan sebelum mengarahkan trafik yang diluluskan ke rangkaian persendirian, subnet atau perkhidmatan.
Walaupun VPN tidak perlu memberikan akses tanpa sekatan, model operasinya tetap berorientasikan rangkaian. Pentadbir boleh memohon:
- pengesahan pelbagai faktor
- d sijil peranti
- peraturan firewall
- pemisahan rangkaian
- a senarai kawalan akses
Namun, titik akhir biasanya masih akan menerima jalur pada tingkat IP ke satu atau lebih sumber daya internal.
Kerana model ini telah ditubuhkan dengan baik dan menyokong pelbagai protokol, ia tetap berguna apabila pentadbir memerlukan akses infrastruktur yang luas, aplikasi bergantung pada alamat dalaman, atau dua lokasi perlu bertukar trafik dengan selamat.
Risiko utama timbul apabila kebenaran VPN melampaui apa yang sebenarnya diperlukan oleh pengguna. Sebagai contoh, seorang pekerja jarak jauh yang hanya memerlukan satu aplikasi perakaunan mungkin tidak memerlukan akses ke seluruh subnet kewangan.
Apa itu Akses Jauh Zero Trust (ZTNA)?
Dalam penggunaan umum, akses jauh Zero Trust biasanya merujuk kepada Akses Rangkaian Zero Trust, atau ZTNA. ZTNA terpakai Prinsip Zero Trust kepada sambungan jauh dengan memberikan akses kepada aplikasi, desktop, atau perkhidmatan individu dan bukannya memperluas akses rangkaian umum.
Keputusan boleh mempertimbangkan beberapa isyarat:
- Identiti dan peranan pengguna
- Kepemilikan peranti dan kedudukan keselamatan
- Sumber yang diminta
- Lokasi dan waktu akses
- Kekuatan pengesahan
- Risiko sesi atau tingkah laku luar biasa
NIST menerangkan Zero Trust sebagai satu seni bina yang menghapuskan kepercayaan tersirat berdasarkan lokasi rangkaian dan melindungi sumber individu melalui pengesahan dan kebenaran yang jelas. ZTNA adalah salah satu cara untuk menerapkan prinsip itu, bukan keseluruhan seni bina Zero Trust.
Setelah permintaan diluluskan, pengguna menerima laluan terkawal ke sumber yang dibenarkan. Sistem yang tidak diluluskan tidak perlu menjadi boleh dilihat atau boleh diroute dari titik akhir. Dasar juga boleh mencetuskan pengesahan semula, akses terhad atau penamatan sesi apabila risiko berubah.
Akses Jauh Zero Trust vs VPN: Perbezaan Utama
Perbezaan antara ZTNA dan VPN adalah bersifat seni bina dan bukannya sekadar teknologi. VPN yang tersegmentasi dengan baik boleh menjadi sangat ketat, manakala pelaksanaan ZTNA yang tidak diurus dengan baik masih boleh memberikan akses yang berlebihan.
| Kriteria | VPN | Akses jauh Zero Trust atau ZTNA |
|---|---|---|
| Akses sasaran | Rangkaian, subnet atau julat perkhidmatan | Aplikasi khusus, desktop atau perkhidmatan |
| Konteks dasar polisi | Rute, alamat IP, kumpulan dan peraturan firewall | Identiti, peranti, sumber dan isyarat kontekstual |
| Keterlihatan rangkaian | Perkhidmatan dalaman mungkin dapat diakses selepas sambungan. | Sumber yang tidak diluluskan boleh kekal tidak dapat dikesan |
| Aliran kerja pengguna | Tubuhkan terowong, kemudian buka sumber tersebut | Minta atau lancarkan sumber yang diluluskan secara langsung |
| Sesuai terbaik | Akses tahap rangkaian, warisan dan antara laman | Akses peringkat aplikasi untuk pengguna dan pihak ketiga |
| Pertukaran operasi utama | Mend familiar tetapi boleh menjadi luas dan berat pintu gerbang | Granular tetapi memerlukan pemetaan aplikasi dan identiti |
Model keselamatan
VPN tradisional membuat keputusan kepercayaan utamanya apabila terowong ditubuhkan. Platform moden boleh menguatkan keputusan itu dengan akses bersyarat, pemeriksaan titik akhir dan pengesahan semula, tetapi sesi masih bermula dengan memperluas sambungan rangkaian kepada pengguna.
ZTNA mengambil pendekatan yang lebih fokus kepada sumber. Kata laluan yang sah dan faktor kedua tidak secara automatik memberikan akses kepada setiap sistem dalaman, kerana polisi juga boleh memerlukan peranti yang diurus, lokasi yang diluluskan, peranan pengguna tertentu atau sesi yang berisiko lebih rendah sebelum menjadikan aplikasi yang diminta tersedia.
Model akses yang lebih sempit ini menyokong hak akses minimum dan dapat mengehadkan jumlah sistem yang terdedah jika kelayakan dicuri. Walau bagaimanapun, ZTNA tidak menghapuskan risiko kompromi akaun, kerana penyerang masih boleh menyalahgunakan mana-mana aplikasi yang dibenarkan untuk dibuka oleh akaun yang terjejas.
Pengalaman pengguna
Pengguna VPN sering perlu membuka klien, menunggu terowong untuk menyambung, menyelesaikan permintaan pengesahan dan kemudian melancarkan aplikasi yang diperlukan. Apabila konflik DNS, peraturan pemisahan terowong, rangkaian tempatan yang tidak stabil atau konfigurasi klien yang tamat tempoh menyebabkan masalah, hasilnya boleh menjadi permintaan sokongan tambahan.
ZTNA boleh memudahkan proses ini dengan mempersembahkan hanya sumber yang diluluskan melalui portal, pelayar atau klien ringan. Daripada menerima akses rangkaian umum terlebih dahulu, pengguna boleh melancarkan aplikasi yang diperlukan secara langsung.
Pengalaman masih bergantung pada pelaksanaan, kerana beberapa protokol memerlukan ejen titik akhir dan beberapa aplikasi lama tidak berfungsi dengan baik melalui proksi aplikasi. Oleh itu, sebelum migrasi, pasukan IT harus menguji:
- pengesahan
- percetakan
- pemindahan fail
- · kawalan papan klip
- tingkah laku penyambungan kembali
Pendedahan rangkaian
Gerbang VPN adalah perkhidmatan tepi yang terdedah kepada internet, jadi ia mesti dipasang kemas kini, dipantau dan dilindungi. Bergantung pada laluan, segmentasi dan dasar firewall yang ada, pengguna yang disambungkan juga mungkin dapat menemui alamat atau perkhidmatan dalaman.
ZTNA dapat mengurangkan pendedahan ini dengan meletakkan broker atau titik penguatkuasaan di antara pengguna dan aplikasi. Ini memberikan akses titik akhir kepada sumber yang diluluskan tanpa mencipta laluan umum ke dalam rangkaian sekeliling.
Walaupun reka bentuk ini boleh menyukarkan pergerakan lateral, penyambung, penyedia identiti, pintu gerbang dan pelayan aplikasi masih perlu dilindungi. panduan CISA juga menganggap perisian akses jauh dan peranti tepi sebagai infrastruktur bernilai tinggi yang memerlukan MFA, tampalan, log dan pendedahan yang dikurangkan.
Prestasi
Reka bentuk VPN sering menghantar semula trafik melalui pintu masuk pusat atau pusat data, yang boleh menambah latensi apabila pengguna jarak jauh menyambung melalui ibu pejabat untuk mencapai aplikasi yang dihoskan di awan.
ZTNA mungkin menawarkan jalan yang lebih langsung ke aplikasi yang dibenarkan, terutamanya apabila penyambung atau titik perkhidmatan diedarkan dekat dengan pengguna dan beban kerja. Walau bagaimanapun, prestasi masih bergantung kepada:
- keperluan pemeriksaan
- arsitektur penyedia
- penempatan penyambung
- kualiti internet
VPN boleh kekal berkesan untuk beban kerja pusat data dalaman atau persekitaran dengan pengumpul tempatan. Daripada menganggap satu model sentiasa lebih pantas, pasukan IT harus membandingkan masa respons aplikasi dan kestabilan sesi dalam persekitaran mereka sendiri.
Pengurusan
Pasukan rangkaian sudah biasa dengan pengumpul VPN, laluan, peraturan firewall dan senarai kawalan akses, yang boleh memudahkan penyebaran. Walau bagaimanapun, dari semasa ke semasa, kebenaran mungkin menjadi lebih sukar untuk disemak apabila kumpulan, subnet dan pengecualian terkumpul.
ZTNA memerlukan inventori yang lebih jelas mengenai pengguna, aplikasi, keperluan peranti dan kebergantungan. Pentadbir mesti menentukan siapa yang memerlukan setiap sumber, peranti mana yang boleh mereka gunakan dan dalam keadaan apa akses harus diberikan. Walaupun kerja dasar polisi ini memerlukan usaha, ia dapat menjadikan semakan akses lebih bermakna kerana kebenaran dipetakan secara langsung kepada aplikasi perniagaan.
Model yang digunakan, pengurusan yang berkesan bergantung kepada penetapan pemilik untuk setiap sumber, mendokumentasikan pengecualian dan menyemak hak secara berkala. Tiada VPN atau ZTNA yang kekal selamat tanpa disiplin operasi yang konsisten.
Kos
VPN mungkin menjadi pilihan yang lebih murah apabila sebuah organisasi sudah memiliki infrastruktur firewall atau gerbang yang serasi. Walau bagaimanapun, kos keseluruhan masih boleh merangkumi:
- kapasiti pengumpul
- ketersediaan tinggi
- sokongan pelanggan
- lebar jalur
- kerja segmentasi
- penyelenggaraan peraturan yang berterusan
ZTNA mungkin memperkenalkan langganan per pengguna, integrasi identiti, ejen titik akhir, penyambung dan kerja migrasi. Pada masa yang sama, ia boleh mengurangkan pengembalian VPN, memudahkan akses kontraktor dan menurunkan kos untuk menyokong sambungan rangkaian yang luas.
Oleh kerana itu, perbandingan harus memberi tumpuan kepada jumlah kos pemilikan dan bukannya hanya harga produk awal. Pasukan IT harus mempertimbangkan pelesenan, infrastruktur, usaha meja bantuan, pentadbiran dasar, risiko waktu henti dan kos memberikan lebih banyak akses daripada yang sebenarnya diperlukan oleh pengguna.
Apabila VPN Masih Relevan?
Walaupun terdapat peralihan ke arah model akses yang lebih khusus kepada sumber, VPN tetap menjadi pilihan yang tepat apabila pengguna atau sistem benar-benar memerlukan sambungan pada tahap rangkaian.
Ia sangat berguna apabila keperluan melibatkan pelbagai protokol, infrastruktur yang dikongsi atau aplikasi yang bergantung kepada akses langsung ke rangkaian dalaman.
Contoh umum termasuk:
- Konektiviti antara laman ke laman antara pejabat, pusat data atau rangkaian awan
- Penyelesaian masalah rangkaian dan pentadbiran tahap paket
- Akses kepada pelbagai protokol melalui segmen infrastruktur yang terkawal
- Aplikasi legasi yang tidak dapat diterbitkan melalui gerbang aplikasi
- Persekitaran pembangunan, makmal atau pemulihan bencana yang memerlukan sambungan yang luas
- T akses sementara dalam persekitaran di mana segmentasi dan pemantauan sudah matang
VPN oleh itu tidak ketinggalan zaman dan tidak semestinya tidak selamat. Keselamatannya bergantung kepada seberapa teliti sambungan itu dikonfigurasi dan diurus, termasuk laluan terhad, pengesahan yang kuat, tampalan gerbang yang berkala dan pemisahan yang jelas antara pengguna biasa dan pentadbir yang mempunyai hak istimewa.
Apabila kawalan ini dilaksanakan dan keperluan perniagaan benar-benar berorientasikan rangkaian, VPN boleh kekal sebagai penyelesaian akses jauh yang berkesan dan praktikal.
Apabila Zero Trust adalah Pilihan yang Lebih Baik?
ZTNA biasanya merupakan pilihan yang lebih kuat apabila pengguna memerlukan akses kepada set aplikasi yang ditentukan berbanding rangkaian yang lebih luas. Ini menjadikannya sangat sesuai untuk pekerja jarak jauh, kontraktor, rakan kongsi dan pasukan sokongan luar yang keperluan aksesnya dapat diterangkan dengan tepat.
Sebagai contoh, polisi Zero Trust mungkin membenarkan ahli kumpulan kewangan mengakses aplikasi perakaunan semasa waktu yang diluluskan, dengan syarat mereka menggunakan peranti yang diurus dan pengesahan pelbagai faktor. Jenis peraturan ini lebih mudah untuk disemak berbanding dengan kebenaran luas yang memberikan akses kepada subnet kewangan.
ZTNA juga sangat sesuai untuk persekitaran yang terdistribusi dan berorientasikan awan di mana aplikasi tidak lagi terletak di belakang perimeter pejabat tunggal. Dengan meletakkan identiti dan dasar sumber di tengah keputusan akses, model ini mengikuti beban kerja dan bukannya sempadan rangkaian fizikal.
Adakah terdapat jalan tengah?
Ya. Daripada memaksa setiap aliran kerja melalui satu teknologi, banyak organisasi boleh menggunakan ZTNA dan VPN bersama-sama.
Pekerja standard dan kontraktor boleh menerima akses peringkat aplikasi melalui ZTNA atau portal aplikasi yang selamat, manakala pentadbir rangkaian mengekalkan VPN yang dikawal ketat atau pintu masuk akses istimewa untuk tugas yang memerlukan sambungan peringkat IP. Pejabat cawangan boleh terus menggunakan VPN tapak ke tapak, dan aplikasi lama boleh kekal pada laluan VPN terhad sehingga mereka dimodenkan atau diterbitkan dengan lebih khusus .
Peralihan secara berperingkat biasanya lebih selamat daripada penggantian secara tiba-tiba. Pasukan IT boleh mencipta aliran kerja jarak jauh, memisahkan keperluan peringkat aplikasi daripada keperluan peringkat rangkaian, mengukuhkan kawalan identiti, menguji satu aplikasi yang terhad dan menghapuskan laluan VPN yang berkaitan hanya selepas mengesahkan laluan akses baru.
Bagaimana TSplus Sesuai dengan Gambaran?
TSplus Advanced Security melindungi pelayan Windows dan persekitaran akses jauh. Daripada menggantikan VPN atau bertindak sebagai platform Akses Rangkaian Zero Trust yang lengkap, ia menambah kawalan peringkat pelayan yang dapat menguatkan mana-mana model akses.
Kawalan ini boleh melindungi pelayan Windows di belakang VPN sambil menambah sekatan berdasarkan pengguna, peranti, lokasi dan masa sambungan. Mereka menyokong beberapa prinsip Zero Trust sebagai sebahagian daripada seni bina keselamatan yang lebih luas.
Perlindungan IP Brute-Force dan Berbahaya
Perkhidmatan pengesahan yang terdedah kepada internet sering menjadi sasaran serangan meneka kata laluan dan imbasan rangkaian automatik. Penyelesaian kami memantau percubaan log masuk Windows yang gagal dan boleh secara automatik menyenaraihitamkan alamat IP yang berasal setelah ambang yang ditetapkan dicapai.
Perlindungan IP Hacker menguatkan pertahanan ini dengan senarai alamat yang dikekalkan yang berkaitan dengan malware, botnet, serangan dalam talian dan aktiviti jahat lain. Pentadbir juga boleh mengurus alamat yang dibenarkan dan disekat melalui peraturan firewall, membantu menghentikan trafik yang tidak diingini sebelum ia sampai ke perkhidmatan Windows yang terdedah.
Sekatan Akses Geografi dan Kontekstual
Perlindungan Geografi membolehkan pentadbir mengawal akses mengikut negara atau alamat IP asal. Mereka boleh mengehadkan sambungan kepada negara yang diluluskan, alamat persendirian dan julat IP yang khusus disenaraikan, yang berguna apabila pengguna yang sah menyambung dari lokasi yang boleh diramalkan.
Waktu Kerja menambah kawalan berasaskan masa untuk pengguna dan kumpulan, membolehkan pentadbir menentukan bila sesi boleh dibuka dan mengurangkan ketersediaan akaun di luar tempoh kerja yang dijangkakan. Peranti Dipercayai boleh mengehadkan lagi sambungan kepada titik akhir yang diluluskan apabila kaedah sambungan menyokong pengenalan peranti.
Pemeriksaan ini menyerupai kawalan kontekstual yang digunakan dalam strategi Zero Trust. Walau bagaimanapun, maklumat lokasi, masa dan peranti harus kekal sebagai isyarat sokongan dan bukannya bukti muktamad bahawa sambungan itu boleh dipercayai.
Kebenaran Granular dan Sesi Selamat
Penyelesaian kami termasuk kawalan kebenaran untuk menyemak dan mengurus hak pengguna dan kumpulan. Pentadbir boleh mengehadkan akses kepada fail, folder, objek pendaftaran dan pencetak pada pelayan Windows yang dilindungi.
Sesi Selamat kemudian boleh menerapkan tahap keselamatan yang berbeza kepada pengguna dan kumpulan tertentu. Bersama-sama, ciri-ciri ini mengurangkan apa yang boleh diakses atau diubah oleh akaun yang disambungkan selepas pengesahan.
Pendekatan keistimewaan paling rendah di peringkat pelayan ini dapat mengehadkan impak akaun yang terjejas. Walau bagaimanapun, ia tidak setara dengan enjin dasar ZTNA, yang biasanya menguruskan akses kepada aplikasi atau perkhidmatan individu sebelum menubuhkan sambungan rangkaian.
Perlindungan Ransomware
Penyelesaian kami memantau aktiviti pelayan untuk tingkah laku yang berkaitan dengan ransomware. Ia menggabungkan petunjuk statik dengan analisis tingkah laku untuk mengesan aktiviti fail yang mencurigakan dan bertindak balas apabila ransomware yang berpotensi dikenalpasti.
Perlindungan ini adalah sangat relevan apabila pengguna jarak jauh boleh membuka dokumen yang dikongsi atau menulis ke storan pelayan. Oleh kerana akaun yang sah masih boleh disalahgunakan untuk menjalankan perisian berniat jahat, mengamankan sambungan sahaja tidak mencukupi.
Perlindungan Ransomware seharusnya melengkapi sandaran luar talian yang telah diuji, pengurusan tampalan, perlindungan titik akhir dan prosedur tindak balas insiden dan bukannya menggantikannya.
Kawalan Firewall, Acara dan Amaran
TSplus Advanced Security boleh menguatkuasakan peraturan pemblokiran melalui Windows Firewall atau firewall terintegrasinya. Pentadbir boleh menyekat alamat yang tidak mesra, mengekalkan senarai putih dan menyemak sekatan rangkaian dari antara muka Advanced Security.
Papan pemuka juga memaparkan acara keselamatan terkini, sementara amaran yang boleh dikonfigurasi dapat memberitahu pentadbir melalui e-mel, SMS atau Microsoft Teams apabila acara yang dipilih berlaku. Bersama-sama, ciri-ciri ini memberikan keterlihatan terhadap sambungan yang disekat dan aktiviti lain yang mungkin memerlukan siasatan.
Pemantauan tetap penting dalam kedua-dua persekitaran VPN dan Zero Trust. Kawalan pencegahan boleh mengurangkan risiko, tetapi pasukan IT mesti terus menyemak amaran, menyiasat tingkah laku yang tidak biasa dan memperhalusi dasar apabila keperluan akses berubah.
Kesimpulan
Perbezaan utama antara akses jauh Zero Trust dan VPN adalah skop dan masa kepercayaan. VPN biasanya mencipta laluan rangkaian yang dienkripsi selepas mengesahkan pengguna atau peranti. ZTNA memberikan akses kepada sumber tertentu selepas menilai identiti, peranti dan keadaan konteks.
VPN tetap sesuai untuk sambungan dari tapak ke tapak, pentadbiran rangkaian, protokol lama dan beban kerja yang memerlukan sambungan pada tahap IP. ZTNA secara amnya lebih sesuai untuk pekerja, kontraktor dan rakan kongsi yang hanya memerlukan aplikasi atau perkhidmatan tertentu.
Banyak organisasi akan mendapat manfaat daripada menggabungkan kedua-dua pendekatan. Akses peringkat aplikasi boleh bergerak ke arah ZTNA, sementara sambungan VPN terhad tetap tersedia untuk aliran kerja yang benar-benar memerlukan akses rangkaian. Model mana yang dipilih, pengesahan yang kuat, hak minimum, segmentasi, pengukuhan pelayan dan pemantauan berterusan tetap diperlukan.