Spis treści

Wprowadzenie

Bezpieczny zdalny dostęp nie jest już wyborem między połączeniami szyfrowanymi a nieszyfrowanymi. Zarówno nowoczesne rozwiązania VPN, jak i Zero Trust w zakresie zdalnego dostępu mogą chronić dane w tranzycie. Ważniejsze pytanie brzmi, do czego użytkownik lub urządzenie ma dostęp po uwierzytelnieniu.

VPN często rozszerza łączność sieciową do zdalnego punktu końcowego. Zero Trust Network Access przyjmuje podejście skoncentrowane na zasobach, oceniając użytkownika, urządzenie, żądaną aplikację i aktualny kontekst przed przyznaniem dostępu. Dla wielu organizacji najlepszy projekt to nie całkowita wymiana, ale celowe rozdzielenie między dostępem do aplikacji a rzeczywistym dostępem do sieci.

Co to jest VPN?

A wirtualna sieć prywatna tworzy zaszyfrowany tunel między zdalnym urządzeniem a bramą VPN, która uwierzytelnia połączenie przed przekierowaniem zatwierdzonego ruchu do sieci prywatnych, podsieci lub usług.

Chociaż VPN nie musi zapewniać nieograniczonego dostępu, jego model operacyjny pozostaje zorientowany na sieć. Administratorzy mogą stosować:

  • uwierzytelnianie wieloskładnikowe
  • d certyfikaty urządzeń
  • zasady zapory ogniowej
  • segmentacja sieci
  • a listy kontroli dostępu

Jednak punkt końcowy zazwyczaj nadal otrzyma ścieżkę na poziomie IP do jednego lub więcej zasobów wewnętrznych.

Ponieważ ten model jest dobrze ugruntowany i obsługuje szeroki zakres protokołów, pozostaje przydatny, gdy administratorzy potrzebują szerokiego dostępu do infrastruktury, aplikacje zależą od wewnętrznego adresowania lub dwa miejsca muszą wymieniać ruch w sposób bezpieczny.

Główne ryzyko pojawia się, gdy uprawnienia VPN wykraczają poza to, co użytkownik rzeczywiście potrzebuje. Na przykład zdalny pracownik, który potrzebuje tylko jednej aplikacji księgowej, może nie potrzebować dostępu do całej podsieci finansowej.

Czym jest Zero Trust Remote Access (ZTNA)?

W powszechnym użyciu, zdalny dostęp Zero Trust zazwyczaj odnosi się do Zero Trust Network Access, czyli ZTNA. ZTNA ma zastosowanie Zasady Zero Trust do zdalnej łączności poprzez przyznanie dostępu do pojedynczej aplikacji, pulpitu lub usługi zamiast rozszerzania ogólnego dostępu do sieci.

Decyzja może uwzględniać kilka sygnałów:

  • Tożsamość użytkownika i rola
  • Własność urządzenia i postura bezpieczeństwa
  • Żądany zasób
  • Lokalizacja i czas dostępu
  • Siła uwierzytelnienia
  • Ryzyko sesji lub nietypowe zachowanie

NIST opisuje Zero Trust jako architektura, która eliminuje domyślne zaufanie oparte na lokalizacji sieciowej i chroni poszczególne zasoby poprzez wyraźną autoryzację i uwierzytelnianie. ZTNA jest jednym ze sposobów zastosowania tej zasady, a nie całą architekturą Zero Trust.

Po zatwierdzeniu żądania użytkownik otrzymuje kontrolowaną ścieżkę do autoryzowanego zasobu. Systemy, które nie zostały zatwierdzone, nie muszą być widoczne ani routowalne z punktu końcowego. Polityki mogą również wywołać ponowną autoryzację, ograniczony dostęp lub zakończenie sesji, gdy ryzyko się zmienia.

Zero Trust Remote Access vs VPN: Kluczowe różnice

Różnica między ZTNA a VPN ma charakter architektoniczny, a nie tylko technologiczny. Dobrze segmentowane VPN może być bardzo restrykcyjne, podczas gdy źle zarządzane wdrożenie ZTNA może nadal przyznawać nadmierny dostęp.

Kryterium VPN Zero Trust zdalny dostęp lub ZTNA
Dostęp do celu Sieć, podsieć lub zakres usługi Specyficzna aplikacja, pulpit lub usługa
Główny kontekst polityki Trasy, adresy IP, grupy i zasady zapory Tożsamość, urządzenie, zasób i sygnały kontekstowe
Widoczność sieci Usługi wewnętrzne mogą stać się dostępne po nawiązaniu połączenia. Nieautoryzowane zasoby mogą pozostać nieodkryte
Przepływ pracy użytkownika Utwórz tunel, a następnie otwórz zasób Zgłoś lub uruchom zatwierdzone zasoby bezpośrednio
Najlepsze dopasowanie Dostęp na poziomie sieci, dziedziczny i między witrynami Dostęp na poziomie aplikacji dla użytkowników i osób trzecich
Główna operacyjna wymiana Znajomy, ale może stać się szeroki i obciążony bramą Granularne, ale wymaga mapowania aplikacji i tożsamości

Model bezpieczeństwa

Tradycyjna sieć VPN podejmuje swoją główną decyzję o zaufaniu w momencie nawiązania tunelu. Nowoczesne platformy mogą wzmocnić tę decyzję poprzez dostęp warunkowy, kontrole punktów końcowych i ponowną autoryzację, ale sesja nadal zaczyna się od rozszerzenia łączności sieciowej do użytkownika.

ZTNA przyjmuje bardziej zorientowane na zasoby podejście. Ważne hasło i drugi czynnik nie zapewniają automatycznie dostępu do każdego wewnętrznego systemu, ponieważ polityka może również wymagać zarządzanego urządzenia, zatwierdzonej lokalizacji, określonej roli użytkownika lub sesji o niższym ryzyku przed udostępnieniem żądanej aplikacji.

Ten węższy model dostępu wspiera zasadę najmniejszych uprawnień i może ograniczyć liczbę systemów narażonych na ryzyko w przypadku kradzieży poświadczeń. Jednak ZTNA nie eliminuje ryzyka kompromitacji konta, ponieważ atakujący może nadal nadużywać każdej aplikacji, do której dostęp ma skompromitowane konto.

Doświadczenie użytkownika

Użytkownicy VPN często muszą otworzyć klienta, poczekać na połączenie tunelu, wypełnić monity uwierzytelniające, a następnie uruchomić wymaganą aplikację. Gdy konflikty DNS, zasady podziału tunelu, niestabilne lokalne sieci lub wygasłe konfiguracje klienta powodują problemy, skutkiem mogą być dodatkowe prośby o wsparcie.

ZTNA może uprościć ten proces, prezentując tylko zatwierdzone zasoby za pośrednictwem portalu, przeglądarki lub lekkiego klienta. Zamiast najpierw uzyskiwać ogólny dostęp do sieci, użytkownik może uruchomić wymagane aplikacje bezpośrednio.

Doświadczenie nadal zależy od wdrożenia, ponieważ niektóre protokoły wymagają agenta końcowego, a niektóre starsze aplikacje nie działają dobrze przez proxy aplikacji. Przed migracją zespoły IT powinny zatem przetestować:

  • uwierzytelnianie
  • drukowanie
  • transfer plików
  • · kontrola schowka
  • zachowanie ponownego połączenia

Ekspozycja sieciowa

Brama VPN to usługa brzegowa skierowana na internet, dlatego musi być aktualizowana, monitorowana i chroniona. W zależności od tras, segmentacji i polityki zapory, podłączony użytkownik może również być w stanie odkryć wewnętrzne adresy lub usługi.

ZTNA może zmniejszyć to narażenie, umieszczając broker lub punkt egzekucji pomiędzy użytkownikiem a aplikacją. Daje to punktowi końcowemu dostęp do zatwierdzonego zasobu bez tworzenia ogólnej trasy do otaczającej sieci.

Chociaż ten projekt może utrudnić ruch boczny, złącza, dostawcy tożsamości, bramy i serwery aplikacji nadal muszą być zabezpieczone. wytyczne CISA również traktuje oprogramowanie do zdalnego dostępu i urządzenia brzegowe jako infrastrukturę o wysokiej wartości, która wymaga MFA, łatania, rejestrowania i ograniczonej ekspozycji.

Wydajność

Projektowanie VPN często przesyła ruch przez centralną bramę lub centrum danych, co może wprowadzać opóźnienia, gdy zdalny użytkownik łączy się przez siedzibę, aby uzyskać dostęp do aplikacji hostowanej w chmurze.

ZTNA może oferować bardziej bezpośrednią ścieżkę do autoryzowanej aplikacji, szczególnie gdy łączniki lub punkty serwisowe są rozmieszczone blisko użytkowników i obciążeń. Mimo to wydajność nadal zależy od:

  • wymagania inspekcyjne
  • architektura dostawcy
  • umiejscowienie złącza
  • jakość internetu

VPN może pozostać wydajny w przypadku wewnętrznych obciążeń w centrach danych lub środowiskach z lokalnymi koncentratorami. Zamiast zakładać, że jeden model zawsze jest szybszy, zespoły IT powinny porównywać czasy odpowiedzi aplikacji i stabilność sesji w swoim własnym środowisku.

Zarządzanie

Zespoły sieciowe są już zaznajomione z koncentratorami VPN, trasami, zasadami zapory ogniowej i listami kontroli dostępu, co może ułatwić wdrożenie. Z biegiem czasu jednak uprawnienia mogą stać się trudniejsze do przeglądania, gdy grupy, podsieci i wyjątki się gromadzą.

ZTNA wymaga dokładniejszego inwentarza użytkowników, aplikacji, wymagań dotyczących urządzeń i zależności. Administratorzy muszą określić, kto potrzebuje każdego zasobu, z jakich urządzeń mogą korzystać i na jakich warunkach dostęp powinien być przyznawany. Chociaż praca nad tą polityką wymaga wysiłku, może sprawić, że przeglądy dostępu będą bardziej znaczące, ponieważ uprawnienia są bezpośrednio powiązane z aplikacjami biznesowymi.

Niezależnie od używanego modelu, skuteczne zarządzanie zależy od przypisania właściciela do każdego zasobu, dokumentowania wyjątków i regularnego przeglądania uprawnień. Ani VPN, ani ZTNA nie pozostają bezpieczne bez konsekwentnej dyscypliny operacyjnej.

Koszt

VPN może być tańszą opcją, gdy organizacja już posiada kompatybilną infrastrukturę zapory ogniowej lub bramy. Jednak całkowity koszt może nadal obejmować:

  • pojemność koncentratora
  • wysoka dostępność
  • wsparcie klienta
  • szerokość pasma
  • prace segmentacyjne
  • utrzymanie zasad w toku

ZTNA może wprowadzić subskrypcje na użytkownika, integrację tożsamości, agentów końcowych, konektory i prace migracyjne. Jednocześnie może zmniejszyć obciążenie VPN, uprościć dostęp dla wykonawców i obniżyć koszty wsparcia szerokiej łączności sieciowej.

Z tego powodu porównanie powinno koncentrować się na całkowitym koszcie posiadania, a nie tylko na początkowej cenie produktu. Zespoły IT powinny wziąć pod uwagę licencjonowanie, infrastrukturę, wysiłek pomocy technicznej, administrację polityką, ryzyko przestojów oraz koszt przyznawania większego dostępu, niż użytkownicy faktycznie potrzebują.

Kiedy VPN nadal ma sens?

Pomimo przejścia na bardziej specyficzne modele dostępu do zasobów, VPN wciąż pozostaje właściwym wyborem, gdy użytkownicy lub systemy rzeczywiście potrzebują łączności na poziomie sieci.

Jest to szczególnie przydatne, gdy wymaganie obejmuje wiele protokołów, wspólną infrastrukturę lub aplikacje, które zależą od bezpośredniego dostępu do sieci wewnętrznych.

Typowe przykłady obejmują:

  • Łączność między biurami, centrami danych lub sieciami chmurowymi
  • Rozwiązywanie problemów z siecią i administracja na poziomie pakietów
  • Dostęp do wielu protokołów w kontrolowanym segmencie infrastruktury
  • Aplikacje dziedziczone, które nie mogą być publikowane za pośrednictwem bramy aplikacji
  • Środowiska rozwoju, laboratoryjne lub odzyskiwania po awarii, które wymagają szerokiej łączności
  • T tymczasowy dostęp w środowiskach, w których segmentacja i monitorowanie są już dojrzałe

VPN nie jest zatem ani przestarzały, ani z natury niebezpieczny. Jego bezpieczeństwo zależy od tego, jak starannie skonfigurowane i zarządzane jest połączenie, w tym ograniczone trasy, silna autoryzacja, regularne aktualizacje bramy oraz wyraźny podział między standardowymi użytkownikami a uprzywilejowanymi administratorami.

Kiedy te kontrole są wprowadzone, a potrzeba biznesowa jest rzeczywiście związana z siecią, VPN może pozostać skutecznym i praktycznym rozwiązaniem dostępu zdalnego.

Kiedy Zero Trust jest lepszym wyborem?

ZTNA jest zazwyczaj silniejszym wyborem, gdy użytkownicy potrzebują dostępu do określonego zestawu aplikacji, a nie do szerszej sieci. Czyni to go szczególnie odpowiednim dla pracowników zdalnych, kontrahentów, partnerów i zewnętrznych zespołów wsparcia, których wymagania dotyczące dostępu można precyzyjnie opisać.

Na przykład polityka Zero Trust może pozwolić członkom grupy finansowej na dostęp do aplikacji księgowej w zatwierdzonych godzinach, pod warunkiem, że korzystają z zarządzanych urządzeń i uwierzytelniania wieloskładnikowego. Tego rodzaju zasada jest łatwiejsza do przeglądania niż szerokie uprawnienie przyznające dostęp do podsieci finansowej.

ZTNA jest również dobrze dopasowane do rozproszonych i zorientowanych na chmurę środowisk, w których aplikacje nie są już zlokalizowane za pojedynczym perymetrem biura. Umieszczając politykę tożsamości i zasobów w centrum decyzji o dostępie, model podąża za obciążeniem roboczym, a nie fizyczną granicą sieci.

Czy istnieje złoty środek?

Tak. Zamiast zmuszać każdy proces roboczy do korzystania z jednej technologii, wiele organizacji może używać ZTNA i VPN razem.

Standardowi pracownicy i kontrahenci mogą uzyskać dostęp na poziomie aplikacji za pośrednictwem ZTNA lub bezpiecznego portalu aplikacyjnego, podczas gdy administratorzy sieci zachowują ściśle kontrolowane połączenie VPN lub bramę dostępu uprzywilejowanego do zadań wymagających łączności na poziomie IP. Biura oddziałów mogą nadal korzystać z połączeń VPN site-to-site, a aplikacje starszej generacji mogą pozostać na ograniczonych trasach VPN, aż zostaną zmodernizowane lub opublikowane w węższym zakresie .

Stopniowe przejście jest zazwyczaj bezpieczniejsze niż nagła wymiana. Zespoły IT mogą opracować zdalne przepływy pracy, oddzielić wymagania na poziomie aplikacji od potrzeb na poziomie sieci, wzmocnić kontrole tożsamości, przetestować jedną zamkniętą aplikację i usunąć odpowiadającą trasę VPN dopiero po zweryfikowaniu nowej ścieżki dostępu.

Jak TSplus wpisuje się w obraz?

TSplus Advanced Security chroni serwery Windows i środowiska zdalnego dostępu. Zamiast zastępować VPN lub działać jako kompleksowa platforma Zero Trust Network Access, dodaje kontrolę na poziomie serwera, która może wzmocnić dowolny model dostępu.

Te kontrole mogą chronić serwery Windows za VPN, jednocześnie wprowadzając ograniczenia w oparciu o użytkowników, urządzenia, lokalizacje i czasy połączeń. Wspierają kilka zasad Zero Trust jako część szerszej architektury bezpieczeństwa.

Ochrona przed atakami typu Brute-Force i złośliwymi adresami IP

Usługi uwierzytelniania dostępne w Internecie są częstym celem ataków polegających na odgadywaniu haseł oraz zautomatyzowanych skanów sieciowych. Nasze rozwiązanie monitoruje nieudane próby logowania do systemu Windows i może automatycznie zablokować adres IP, z którego pochodzi próba, gdy zostanie osiągnięty skonfigurowany próg.

Ochrona adresów IP przed hakerami wzmacnia tę obronę poprzez utrzymywaną listę adresów związanych z złośliwym oprogramowaniem, botnetami, atakami online i innymi złośliwymi działaniami. Administratorzy mogą również zarządzać dozwolonymi i zablokowanymi adresami za pomocą reguł zapory, co pomaga zatrzymać niechciany ruch, zanim dotrze do narażonej usługi Windows.

Ograniczenia dostępu geograficznego i kontekstowego

Ochrona geograficzna pozwala administratorom kontrolować dostęp w zależności od kraju pochodzenia lub adresu IP. Mogą ograniczać połączenia do zatwierdzonych krajów, prywatnych adresów oraz konkretnych zakresów adresów IP znajdujących się na białej liście, co jest przydatne, gdy legalni użytkownicy łączą się z przewidywalnych lokalizacji.

Godziny pracy dodają oparte na czasie kontrole dla użytkowników i grup, umożliwiając administratorom definiowanie, kiedy sesje mogą być otwierane i ograniczając dostępność kont poza oczekiwanymi godzinami pracy. Zaufane urządzenia mogą dodatkowo ograniczyć połączenia do zatwierdzonych punktów końcowych, gdy metoda połączenia wspiera identyfikację urządzenia.

Te kontrole przypominają kontekstowe kontrole stosowane w strategiach Zero Trust. Jednak informacje o lokalizacji, czasie i urządzeniu powinny pozostać sygnałami wspierającymi, a nie ostatecznym dowodem na to, że połączenie jest godne zaufania.

Uprawnienia granularne i bezpieczne sesje

Nasze rozwiązanie obejmuje kontrolę uprawnień do przeglądania i zarządzania uprawnieniami użytkowników i grup. Administratorzy mogą ograniczać dostęp do plików, folderów, obiektów rejestru i drukarek na chronionym serwerze Windows.

Sesje zabezpieczone mogą następnie stosować różne poziomy bezpieczeństwa do konkretnych użytkowników i grup. Razem te funkcje ograniczają to, co połączone konto może uzyskać dostęp lub modyfikować po uwierzytelnieniu.

Podejście to na poziomie serwera z minimalnymi uprawnieniami może ograniczyć wpływ skompromitowanego konta. Jednak nie jest to równoważne z silnikiem polityki ZTNA, który zazwyczaj pośredniczy w dostępie do poszczególnych aplikacji lub usług przed nawiązaniem łączności sieciowej.

Ochrona przed ransomware

Nasze rozwiązanie monitoruje aktywność serwera w celu wykrywania zachowań związanych z ransomware. Łączy statyczne wskaźniki z analizą behawioralną, aby wykrywać podejrzaną aktywność plików i reagować, gdy zidentyfikowane zostanie potencjalne ransomware.

Ta ochrona jest szczególnie istotna, gdy zdalni użytkownicy mogą otwierać udostępnione dokumenty lub pisać do pamięci serwera. Ponieważ ważne konto może być nadal nadużywane do uruchamiania złośliwego oprogramowania, samo zabezpieczenie połączenia nie wystarczy.

Ochrona przed ransomware powinna zatem uzupełniać przetestowane kopie zapasowe offline, zarządzanie łatkami, ochronę punktów końcowych oraz procedury reagowania na incydenty, a nie je zastępować.

Kontrola zapory, Wydarzenia i powiadomienia

TSplus Advanced Security może egzekwować zasady blokowania za pomocą zapory systemu Windows lub jej zintegrowanej zapory. Administratorzy mogą blokować wrogie adresy, utrzymywać białe listy i przeglądać ograniczenia sieciowe z interfejsu Advanced Security.

Panel sterowania wyświetla również ostatnie zdarzenia związane z bezpieczeństwem, a konfigurowalne powiadomienia mogą informować administratorów za pomocą e-maila, SMS-a lub Microsoft Teams, gdy wystąpią wybrane zdarzenia. Razem te funkcje zapewniają wgląd w zablokowane połączenia i inne działania, które mogą wymagać zbadania.

Monitoring pozostaje kluczowe zarówno w środowiskach VPN, jak i Zero Trust. Kontrole zapobiegawcze mogą zmniejszyć ryzyko, ale zespoły IT muszą nadal przeglądać alerty, badać nietypowe zachowania i udoskonalać polityki w miarę zmiany wymagań dostępu.

Wniosek

Główna różnica między zaufaniem zerowym w dostępie zdalnym a VPN polega na zakresie i czasie zaufania. VPN zazwyczaj tworzy zaszyfrowaną ścieżkę sieciową po uwierzytelnieniu użytkownika lub urządzenia. ZTNA przyznaje dostęp do konkretnego zasobu po ocenie tożsamości, urządzenia i warunków kontekstowych.

VPN jest odpowiedni do połączeń między lokalizacjami, administracji siecią, protokołów dziedziczonych oraz obciążeń, które wymagają łączności na poziomie IP. ZTNA jest zazwyczaj lepiej dopasowane do pracowników, kontrahentów i partnerów, którzy potrzebują tylko wybranych aplikacji lub usług.

Wiele organizacji skorzysta na połączeniu dwóch podejść. Dostęp na poziomie aplikacji może zmierzać w kierunku ZTNA, podczas gdy ograniczone połączenia VPN pozostają dostępne dla przepływów pracy, które rzeczywiście wymagają dostępu do sieci. Niezależnie od wybranego modelu, silna autoryzacja, zasada najmniejszych uprawnień, segmentacja, wzmocnienie serwera i ciągłe monitorowanie pozostają niezbędne.

Dalsza lektura

back to top of the page icon