Inhoudsopgave

Introductie

Veilige externe toegang is niet langer een keuze tussen versleutelde en niet-versleutelde verbindingen. Zowel moderne VPN- als Zero Trust-oplossingen voor externe toegang kunnen gegevens tijdens verzending beschermen. De belangrijkere vraag is wat een gebruiker of apparaat kan bereiken na authenticatie.

Een VPN breidt vaak de netwerkverbinding uit naar een extern eindpunt. Zero Trust Network Access hanteert een resourcegerichte benadering, waarbij de gebruiker, het apparaat, de aangevraagde applicatie en de huidige context worden geëvalueerd voordat toegang wordt verleend. Voor veel organisaties is het beste ontwerp geen totale vervanging, maar een bewuste scheiding tussen applicatie-toegang en echte netwerktoegang.

Wat is een VPN?

A virtueel privé netwerk maakt een versleutelde tunnel tussen een extern apparaat en een VPN-gateway, die de verbinding authenticates voordat goedgekeurd verkeer naar privé-netwerken, subnetten of diensten wordt geleid.

Hoewel een VPN geen onbeperkte toegang hoeft te bieden, blijft het operationele model netwerkgericht. Beheerders kunnen toepassen:

  • multifactor authenticatie
  • d apparaatcertificaten
  • firewallregels
  • netwerksegmentatie
  • een toegangscontrolelijsten

Toch zal het eindpunt meestal nog steeds een IP-niveau pad ontvangen naar een of meer interne bronnen.

Omdat dit model goed is ingeburgerd en een breed scala aan protocollen ondersteunt, blijft het nuttig wanneer beheerders brede infrastructuurtoegang nodig hebben, applicaties afhankelijk zijn van interne adressering, of twee locaties verkeer veilig moeten uitwisselen.

Het grootste risico ontstaat wanneer VPN-rechten verder reiken dan wat de gebruiker daadwerkelijk nodig heeft. Een remote werknemer die alleen toegang nodig heeft tot één boekhoudapplicatie, heeft mogelijk geen toegang nodig tot het volledige financiële subnet.

Wat is Zero Trust Remote Access (ZTNA)?

In het algemeen gebruik verwijst Zero Trust remote access meestal naar Zero Trust Network Access, of ZTNA. ZTNA is van toepassing Zero Trust-principes voor externe connectiviteit door toegang te verlenen tot een individuele applicatie, desktop of service in plaats van algemene netwerktoegang uit te breiden.

De beslissing kan verschillende signalen overwegen:

  • Gebruikersidentiteit en rol
  • Apparabezit en beveiligingshouding
  • Opgevraagde bron
  • Locatie en tijd van toegang
  • Authenticatie sterkte
  • Sessierisico of ongebruikelijk gedrag

NIST beschrijft Zero Trust als een architectuur die impliciet vertrouwen op basis van netwerklocatie verwijdert en individuele middelen beschermt door middel van expliciete authenticatie en autorisatie. ZTNA is een manier om dat principe toe te passen, niet de hele Zero Trust-architectuur.

Na goedkeuring van een verzoek ontvangt de gebruiker een gecontroleerd pad naar de geautoriseerde bron. Niet-goedgekeurde systemen hoeven niet zichtbaar of routable te worden vanaf het eindpunt. Beleid kan ook herauthenticatie, beperkte toegang of sessie beëindiging activeren wanneer het risico verandert.

Zero Trust Remote Access vs VPN: Belangrijke Verschillen

Het verschil tussen ZTNA en VPN is architectonisch in plaats van eenvoudig technologisch. Een goed gesegmenteerde VPN kan zeer beperkend zijn, terwijl een slecht beheerde ZTNA-implementatie nog steeds overmatige toegang kan verlenen.

Criteria VPN Zero Trust remote access of ZTNA
Toegang doel Netwerk, subnet of servicebereik Specifieke applicatie, desktop of service
Primaire beleidscontext Routes, IP-adressen, groepen en firewallregels Identiteit, apparaat, bron en contextuele signalen
Netwerkzichtbaarheid Interne diensten kunnen bereikbaar worden na verbinding Ongeoorloofde bronnen kunnen onopgemerkt blijven
Gebruikersworkflow Tunnel opzetten, vervolgens de bron openen Vraag of start een goedgekeurd hulpmiddel direct
Beste pasvorm Netwerkniveau, legacy en site-naar-site toegang Toegang op applicatieniveau voor gebruikers en derden
Hoofdzakelijke operationele afweging Bekend maar kan breed en poortgericht worden. Granulair maar vereist applicatie- en identiteitsmapping

Beveiligingsmodel

Een traditionele VPN maakt zijn belangrijkste vertrouwensbeslissing wanneer de tunnel is opgezet. Moderne platforms kunnen die beslissing versterken met voorwaardelijke toegang, endpointcontroles en herauthenticatie, maar de sessie begint nog steeds door netwerkverbinding te bieden aan de gebruiker.

ZTNA neemt een meer op middelen gerichte benadering. Een geldig wachtwoord en een tweede factor bieden niet automatisch toegang tot elk intern systeem, omdat het beleid ook een beheerd apparaat, een goedgekeurde locatie, een specifieke gebruikersrol of een sessie met een lager risico kan vereisen voordat de gevraagde applicatie beschikbaar wordt gesteld.

Dit nauwere toegangsmodel ondersteunt het principe van de minste privileges en kan het aantal systemen dat blootgesteld wordt beperken als inloggegevens worden gestolen. Echter, ZTNA elimineert het risico van accountcompromittering niet, aangezien een aanvaller nog steeds misbruik kan maken van elke applicatie die de gecompromitteerde account is geautoriseerd om te openen.

Gebruikerservaring

VPN-gebruikers moeten vaak een client openen, wachten tot de tunnel is verbonden, authenticatieprompten voltooien en vervolgens de vereiste applicatie starten. Wanneer DNS-conflicten, split-tunnelingregels, onbetrouwbare lokale netwerken of verlopen clientconfiguraties problemen veroorzaken, kan dit resulteren in extra ondersteuningsverzoeken.

ZTNA kan dit proces vereenvoudigen door alleen goedgekeurde bronnen via een portal, browser of lichte client te presenteren. In plaats van eerst algemene netwerktoegang te ontvangen, kan de gebruiker de vereiste applicatie direct starten.

De ervaring hangt nog steeds af van de implementatie, aangezien sommige protocollen een endpoint-agent vereisen en sommige legacy-applicaties niet goed werken via een applicatieproxy. IT-teams zouden daarom vooraf moeten testen:

  • authenticatie
  • afdrukken
  • bestandenoverdracht
  • · klembordbedieningen
  • herverbinding gedrag

Netwerkblootstelling

Een VPN-gateway is een internetgerichte randservice, dus deze moet worden gepatcht, gemonitord en beschermd. Afhankelijk van de routes, segmentatie en firewallbeleid kan een verbonden gebruiker ook in staat zijn om interne adressen of services te ontdekken.

ZTNA kan deze blootstelling verminderen door een broker of handhavingspunt tussen de gebruiker en de applicatie te plaatsen. Dit geeft het eindpunt toegang tot de goedgekeurde bron zonder een algemene route naar het omringende netwerk te creëren.

Hoewel dit ontwerp laterale beweging moeilijker kan maken, moeten connectors, identiteitsproviders, gateways en applicatieservers nog steeds worden beveiligd. CISA-richtlijnen behandelt ook software voor externe toegang en randapparatuur als infrastructuur met hoge waarde die MFA, patching, logging en verminderde blootstelling vereist.

Prestaties

VPN-ontwerpen leiden vaak verkeer via een centrale gateway of datacenter, wat latentie kan toevoegen wanneer een externe gebruiker via het hoofdkantoor verbinding maakt om een cloud-gehoste applicatie te bereiken.

ZTNA kan een directere route naar de geautoriseerde applicatie bieden, vooral wanneer connectors of servicepunten dicht bij gebruikers en werklasten zijn verspreid. Desondanks hangt de prestaties nog steeds af van:

  • inspectie-eisen
  • providerarchitectuur
  • connectorplaatsing
  • internetkwaliteit

Een VPN kan efficiënt blijven voor interne datacenterwerkbelastingen of omgevingen met lokale concentrators. In plaats van aan te nemen dat één model altijd sneller is, moeten IT-teams de responstijden van applicaties en de stabiliteit van sessies in hun eigen omgeving vergelijken.

Beheer

Netwerkteams zijn al bekend met VPN-concentrators, routes, firewallregels en toegangscontrolelijsten, wat de implementatie gemakkelijker kan maken. Na verloop van tijd kunnen echter de machtigingen moeilijker te beoordelen worden naarmate groepen, subnetten en uitzonderingen zich ophopen.

ZTNA vereist een duidelijker overzicht van gebruikers, applicaties, apparaateisen en afhankelijkheden. Beheerders moeten definiëren wie elke bron nodig heeft, welke apparaten ze kunnen gebruiken en onder welke voorwaarden toegang moet worden verleend. Hoewel dit beleidswerk inspanning vergt, kan het toegangsevaluaties betekenisvoller maken omdat machtigingen direct aan zakelijke applicaties zijn gekoppeld.

Ongeacht welk model wordt gebruikt, hangt effectief beheer af van het toewijzen van een eigenaar aan elke bron, het documenteren van uitzonderingen en het regelmatig herzien van privileges. Geen van beide, VPN of ZTNA, blijft veilig zonder consistente operationele discipline.

Kosten

Een VPN kan de goedkopere optie zijn wanneer een organisatie al beschikt over compatibele firewall- of gateway-infrastructuur. De totale kosten kunnen echter nog steeds omvatten:

  • concentratorcapaciteit
  • hoge beschikbaarheid
  • klantenondersteuning
  • bandbreedte
  • segmentatiewerk
  • lopende regelonderhoud

ZTNA kan per-gebruiker abonnementen, identiteitsintegratie, eindpuntagenten, connectors en migratiewerk introduceren. Tegelijkertijd kan het de VPN-backhaul verminderen, de toegang voor aannemers vereenvoudigen en de kosten voor het ondersteunen van brede netwerkconnectiviteit verlagen.

Om deze reden zou de vergelijking zich moeten richten op de totale eigendomskosten in plaats van alleen de initiële productprijs. IT-teams moeten rekening houden met licentiekosten, infrastructuur, helpdesk-inspanningen, beleidsadministratie, risico op downtime en de kosten van het verlenen van meer toegang dan gebruikers daadwerkelijk nodig hebben.

Wanneer heeft een VPN nog zin?

Ondanks de verschuiving naar meer resourcespecifieke toegangsmodellen, blijft een VPN de juiste keuze wanneer gebruikers of systemen echt netwerkverbinding nodig hebben.

Het is vooral nuttig wanneer de vereiste meerdere protocollen, gedeelde infrastructuur of applicaties omvat die afhankelijk zijn van directe toegang tot interne netwerken.

Veelvoorkomende voorbeelden zijn onder andere:

  • Site-to-site connectiviteit tussen kantoren, datacenters of cloudnetwerken
  • Netwerkproblemen oplossen en pakketniveau-administratie
  • Toegang tot meerdere protocollen via een gecontroleerd infrastructuursegment
  • Legacy-applicaties die niet via een applicatiegateway kunnen worden gepubliceerd
  • Ontwikkeling, laboratorium- of rampenherstelomgevingen die brede connectiviteit vereisen
  • T tijdelijke toegang in omgevingen waar segmentatie en monitoring al volwassen zijn

Een VPN is daarom noch verouderd, noch inherent onveilig. De beveiliging hangt af van hoe zorgvuldig de verbinding is geconfigureerd en beheerd, inclusief beperkte routes, sterke authenticatie, regelmatige patching van de gateway en een duidelijke scheiding tussen standaardgebruikers en bevoorrechte beheerders.

Wanneer deze controles zijn ingesteld en de zakelijke behoefte echt netwerkgericht is, kan een VPN een effectieve en praktische oplossing voor externe toegang blijven.

Wanneer is Zero Trust de betere keuze?

ZTNA is meestal de sterkere keuze wanneer gebruikers toegang nodig hebben tot een gedefinieerde set applicaties in plaats van het bredere netwerk. Dit maakt het bijzonder geschikt voor externe medewerkers, aannemers, partners en externe ondersteuningsteams wiens toegangsvereisten nauwkeurig kunnen worden beschreven.

Bijvoorbeeld, een Zero Trust-beleid kan leden van de financiële groep toestaan om de boekhoudapplicatie te openen tijdens goedgekeurde uren, op voorwaarde dat ze beheerde apparaten en multifactor-authenticatie gebruiken. Dit type regel is gemakkelijker te beoordelen dan een brede toestemming die toegang verleent tot het financiële subnet.

ZTNA is ook goed geschikt voor gedistribueerde en cloud-georiënteerde omgevingen waar applicaties niet langer achter een enkele kantoorperimeter zijn geplaatst. Door identiteit en resourcebeleid centraal te stellen in de toegangsbeslissing, volgt het model de werklast in plaats van een fysieke netwerkgrens.

Is er een middenweg?

Ja. In plaats van elke workflow door één enkele technologie te dwingen, kunnen veel organisaties ZTNA en VPN samen gebruiken.

Standaardmedewerkers en aannemers kunnen applicatieniveau-toegang krijgen via ZTNA of een veilig applicatieportaal, terwijl netwerkbeheerders een strikt gecontroleerde VPN of een toegangspoort met privileges behouden voor taken die IP-niveau connectiviteit vereisen. Filialen kunnen site-to-site VPN's blijven gebruiken, en legacy-applicaties kunnen op beperkte VPN-routes blijven totdat ze worden gemoderniseerd of nauwkeuriger gepubliceerd .

Een gefaseerde overgang is meestal veiliger dan een plotselinge vervanging. IT-teams kunnen externe workflows uitvinden, de vereisten op applicatieniveau scheiden van de behoeften op netwerkniveau, identiteitscontroles versterken, één afgebakende applicatie testen en de bijbehorende VPN-route pas verwijderen nadat het nieuwe toegangspad is gevalideerd.

Hoe past TSplus in het plaatje?

TSplus Geavanceerde Beveiliging beschermt Windows-servers en omgevingen voor externe toegang. In plaats van een VPN te vervangen of als een compleet Zero Trust Network Access-platform te fungeren, voegt het serverniveau-controles toe die elk toegangmodel kunnen versterken.

Deze controles kunnen Windows-servers achter een VPN beschermen terwijl ze beperkingen toevoegen op basis van gebruikers, apparaten, locaties en verbindingstijden. Ze ondersteunen verschillende Zero Trust-principes als onderdeel van een bredere beveiligingsarchitectuur.

Brute-Force en Kwaadaardige IP Bescherming

Internetgerichte authenticatiediensten zijn frequente doelwitten voor wachtwoordgokaanvallen en geautomatiseerde netwerkscans. Onze oplossing monitort mislukte Windows-aanmeldpogingen en kan automatisch het oorspronklijke IP-adres op de zwarte lijst plaatsen zodra de geconfigureerde drempel is bereikt.

Hacker IP-bescherming versterkt deze verdediging met een onderhouden lijst van adressen die geassocieerd zijn met malware, botnets, online aanvallen en andere kwaadaardige activiteiten. Beheerders kunnen ook toegestane en geblokkeerde adressen beheren via firewallregels, wat helpt om ongewenst verkeer te stoppen voordat het een blootgestelde Windows-service bereikt.

Geografische en contextuele toegangsbeperkingen

Geografische bescherming stelt beheerders in staat om de toegang te controleren op basis van het land of IP-adres van herkomst. Ze kunnen verbindingen beperken tot goedgekeurde landen, privé-adressen en specifiek goedgekeurde IP-reeksen, wat nuttig is wanneer legitieme gebruikers verbinding maken vanuit voorspelbare locaties.

Werktijden voegt tijdgebaseerde controles toe voor gebruikers en groepen, waardoor beheerders kunnen definiëren wanneer sessies mogen worden geopend en de beschikbaarheid van accounts buiten verwachte werktijden kan worden verminderd. Vertrouwde apparaten kunnen verdere beperkingen opleggen aan verbindingen met goedgekeurde eindpunten wanneer de verbindingsmethode apparaatsidentificatie ondersteunt.

Deze controles lijken op de contextuele controles die worden gebruikt in Zero Trust-strategieën. Echter, locatie-, tijd- en apparaatinformatie moeten ondersteunende signalen blijven in plaats van definitief bewijs dat een verbinding betrouwbaar is.

Granulaire machtigingen en veilige sessies

Onze oplossing omvat toegangscontroles voor het beoordelen en beheren van gebruikers- en groepsprivileges. Beheerders kunnen de toegang tot bestanden, mappen, registerobjecten en printers op de beschermde Windows-server beperken.

Veilige sessies kunnen vervolgens verschillende beveiligingsniveaus toepassen op specifieke gebruikers en groepen. Samen verminderen deze functies wat een verbonden account kan openen of wijzigen na authenticatie.

Deze server-niveau benadering van het minste privilege kan de impact van een gecompromitteerd account beperken. Het is echter niet gelijk aan een ZTNA-beleidsengine, die normaal gesproken toegang tot individuele applicaties of diensten bemiddelt voordat netwerkverbinding wordt gemaakt.

Ransomware Bescherming

Onze oplossing monitort serveractiviteit voor gedrag dat geassocieerd is met ransomware. Het combineert statische indicatoren met gedragsanalyse om verdachte bestandsactiviteit te detecteren en te reageren wanneer potentiële ransomware wordt geïdentificeerd.

Deze bescherming is bijzonder relevant wanneer externe gebruikers gedeelde documenten kunnen openen of naar serveropslag kunnen schrijven. Omdat een geldig account nog steeds kan worden misbruikt om kwaadaardige software uit te voeren, is het alleen beveiligen van de verbinding niet genoeg.

Ransomwarebescherming zou daarom de geteste offline back-ups, patchbeheer, endpointbescherming en procedures voor incidentrespons moeten aanvullen in plaats van ze te vervangen.

Firewallcontroles, gebeurtenissen en waarschuwingen

TSplus Geavanceerde Beveiliging kan blokkeringregels afdwingen via de Windows Firewall of de geïntegreerde firewall. Beheerders kunnen vijandige adressen blokkeren, whitelists onderhouden en netwerkbeperkingen bekijken vanuit de Advanced Security-interface.

Het dashboard toont ook recente beveiligingsgebeurtenissen, terwijl configureerbare waarschuwingen beheerders via e-mail, SMS of Microsoft Teams kunnen informeren wanneer geselecteerde gebeurtenissen zich voordoen. Samen bieden deze functies inzicht in geblokkeerde verbindingen en andere activiteiten die mogelijk onderzoek vereisen.

Monitoring blijft essentieel in zowel VPN- als Zero Trust-omgevingen. Preventieve controles kunnen het risico verminderen, maar IT-teams moeten alerts blijven beoordelen, ongebruikelijk gedrag onderzoeken en beleid verfijnen naarmate de toegangsvereisten veranderen.

Conclusie

Het centrale verschil tussen Zero Trust remote access en een VPN is de reikwijdte en timing van vertrouwen. Een VPN creëert meestal een versleuteld netwerkpad na het authenticeren van een gebruiker of apparaat. ZTNA verleent toegang tot een specifieke bron na het evalueren van identiteit, apparaat en contextuele voorwaarden.

Een VPN blijft geschikt voor site-to-site verbindingen, netwerkbeheer, legacy-protocollen en workloads die IP-niveau connectiviteit vereisen. ZTNA is over het algemeen beter geschikt voor werknemers, aannemers en partners die alleen geselecteerde applicaties of diensten nodig hebben.

Veel organisaties zullen profiteren van het combineren van de twee benaderingen. Toegang op applicatieniveau kan verschuiven naar ZTNA, terwijl beperkte VPN-verbindingen beschikbaar blijven voor workflows die echt netwerktoegang vereisen. Welk model ook wordt gekozen, sterke authenticatie, het principe van de minste privilege, segmentatie, serververharding en continue monitoring blijven noodzakelijk.

Verder lezen

back to top of the page icon