Введение
Безопасный удаленный доступ больше не является выбором между зашифрованными и незашифрованными соединениями. Как современные решения VPN, так и решения для удаленного доступа с нулевым доверием могут защищать данные в пути. Более важный вопрос заключается в том, к чему пользователь или устройство могут получить доступ после аутентификации.
VPN часто расширяет сетевое подключение к удаленной конечной точке. Доступ к сети с нулевым доверием использует ресурсно-ориентированный подход, оценивая пользователя, устройство, запрашиваемое приложение и текущий контекст перед предоставлением доступа. Для многих организаций наилучший дизайн не является полной заменой, а представляет собой целенаправленное разделение между доступом к приложениям и подлинным сетевым доступом.
Что такое VPN?
A виртуальная частная сеть создает зашифрованный туннель между удаленным устройством и VPN-шлюзом, который аутентифицирует соединение перед маршрутизацией одобренного трафика к частным сетям, подсетям или службам.
Хотя VPN не обязательно должен предоставлять неограниченный доступ, его операционная модель остается ориентированной на сеть. Администраторы могут применять:
- многофакторная аутентификация
- d сертификаты устройства
- правила брандмауэра
- сегментация сети
- а списки контроля доступа
Тем не менее, конечное устройство обычно все равно будет получать путь на уровне IP к одному или нескольким внутренним ресурсам.
Поскольку эта модель хорошо зарекомендовала себя и поддерживает широкий спектр протоколов, она остается полезной, когда администраторам нужен широкий доступ к инфраструктуре, приложения зависят от внутренней адресации или два сайта должны безопасно обмениваться трафиком.
Основной риск возникает, когда разрешения VPN выходят за рамки того, что на самом деле нужно пользователю. Например, удаленный сотрудник, которому нужно только одно бухгалтерское приложение, может не нуждаться в доступе ко всей финансовой подсети.
Что такое Zero Trust Remote Access (ZTNA)?
В общем употреблении удаленный доступ с нулевым доверием обычно относится к доступу к сети с нулевым доверием, или ZTNA. ZTNA применяется Принципы нулевой доверия к удаленному подключению, предоставляя доступ к отдельному приложению, рабочему столу или службе вместо расширения общего сетевого доступа.
Решение может учитывать несколько сигналов:
- Идентификация пользователя и роль
- Владение устройством и уровень безопасности
- Запрашиваемый ресурс
- Местоположение и время доступа
- Сила аутентификации
- Риск сессии или необычное поведение
NIST описывает Нулевая доверие как архитектура, которая устраняет неявное доверие на основе сетевого местоположения и защищает отдельные ресурсы с помощью явной аутентификации и авторизации. ZTNA — это один из способов применения этого принципа, а не вся архитектура Zero Trust.
После одобрения запроса пользователь получает контролируемый доступ к авторизованному ресурсу. Неодобренные системы не должны становиться видимыми или маршрутизируемыми с конечного устройства. Политики также могут инициировать повторную аутентификацию, ограниченный доступ или завершение сеанса, когда риск изменяется.
Доступ к удаленным ресурсам с нулевым доверием против VPN: ключевые различия
Разница между ZTNA и VPN является архитектурной, а не просто технологической. Хорошо сегментированный VPN может быть очень ограничительным, в то время как плохо управляемое развертывание ZTNA все еще может предоставлять чрезмерный доступ.
| Критерий | VPN | Доступ к удаленным ресурсам с нулевым доверием или ZTNA |
|---|---|---|
| Целевая доступность | Сеть, подсеть или диапазон услуг | Специфическое приложение, рабочий стол или служба |
| Основной контекст политики | Маршруты, IP-адреса, группы и правила брандмауэра | Идентичность, устройство, ресурс и контекстные сигналы |
| Сетевое видение | Внутренние службы могут стать доступными после подключения | Неодобренные ресурсы могут оставаться недоступными для обнаружения |
| Пользовательский рабочий процесс | Установите туннель, затем откройте ресурс | Запросите или запустите одобренный ресурс напрямую |
| Лучшее соответствие | Сетевой уровень, устаревший и доступ между сайтами | Доступ на уровне приложений для пользователей и третьих лиц |
| Основной операционный компромисс | Знакомый, но может стать широким и перегруженным шлюзами | Гранулярный, но требует сопоставления приложений и идентичностей |
Модель безопасности
Традиционный VPN принимает основное решение о доверии, когда туннель установлен. Современные платформы могут усилить это решение с помощью условного доступа, проверки конечных точек и повторной аутентификации, но сессия все равно начинается с расширения сетевого подключения к пользователю.
ZTNA принимает более ориентированный на ресурсы подход. Действительный пароль и второй фактор не предоставляют автоматически доступ ко всем внутренним системам, поскольку политика также может требовать управляемое устройство, одобренное местоположение, конкретную роль пользователя или сессию с более низким риском перед тем, как сделать запрашиваемое приложение доступным.
Эта более узкая модель доступа поддерживает принцип наименьших привилегий и может ограничить количество систем, к которым есть доступ, если учетные данные украдены. Однако ZTNA не устраняет риск компрометации учетной записи, поскольку злоумышленник все равно может злоупотребить любым приложением, к которому имеет доступ скомпрометированная учетная запись.
Пользовательский опыт
Пользователям VPN часто необходимо открыть клиент, дождаться подключения туннеля, завершить запросы на аутентификацию и затем запустить необходимое приложение. Когда конфликты DNS, правила разделенного туннелирования, нестабильные локальные сети или истекшие конфигурации клиента вызывают проблемы, это может привести к дополнительным запросам на поддержку.
ZTNA может упростить этот процесс, предоставляя только одобренные ресурсы через портал, браузер или легкий клиент. Вместо того чтобы сначала получать общий доступ к сети, пользователь может запустить необходимое приложение напрямую.
Опыт все еще зависит от реализации, так как некоторые протоколы требуют агента на конечном устройстве, а некоторые устаревшие приложения не работают хорошо через прокси-приложение. Поэтому перед миграцией ИТ-команды должны протестировать:
- аутентификация
- печать
- файловый обмен
- · управление буфером обмена
- поведение повторного подключения
Сетевое воздействие
VPN-шлюз является службой на границе интернета, поэтому его необходимо обновлять, контролировать и защищать. В зависимости от маршрутов, сегментации и политики брандмауэра подключенный пользователь также может обнаружить внутренние адреса или службы.
ZTNA может снизить этот риск, разместив брокера или контрольную точку между пользователем и приложением. Это предоставляет конечной точке доступ к одобренному ресурсу без создания общего маршрута в окружающую сеть.
Хотя этот дизайн может усложнить боковое перемещение, соединители, поставщики идентификации, шлюзы и серверы приложений все еще нуждаются в защите. Руководство CISA также рассматривает программное обеспечение для удаленного доступа и крайние устройства как высокоценную инфраструктуру, требующую MFA, обновлений, ведения журналов и снижения уязвимости.
Производительность
Дизайны VPN часто передают трафик через центральный шлюз или дата-центр, что может добавить задержку, когда удаленный пользователь подключается через головной офис для доступа к облачному приложению.
ZTNA может предложить более прямой путь к авторизованному приложению, особенно когда соединители или точки обслуживания распределены близко к пользователям и рабочим нагрузкам. Тем не менее, производительность все еще зависит от:
- требования к инспекции
- архитектура провайдера
- расположение соединителя
- качество интернета
VPN может оставаться эффективным для внутренних нагрузок в дата-центрах или в средах с локальными концентраторами. Вместо того чтобы предполагать, что одна модель всегда быстрее, ИТ-команды должны сравнивать время отклика приложений и стабильность сеансов в своей среде.
Управление
Сетевые команды уже знакомы с VPN-концентраторами, маршрутами, правилами брандмауэра и списками контроля доступа, что может облегчить развертывание. Со временем, однако, разрешения могут стать труднее для проверки по мере накопления групп, подсетей и исключений.
ZTNA требует более четкого учета пользователей, приложений, требований к устройствам и зависимостей. Администраторы должны определить, кто нуждается в каждом ресурсе, какие устройства они могут использовать и при каких условиях доступ должен быть предоставлен. Хотя эта работа по политике требует усилий, она может сделать проверки доступа более значимыми, поскольку разрешения напрямую связаны с бизнес-приложениями.
Какой бы модель ни использовалась, эффективное управление зависит от назначения владельца для каждого ресурса, документирования исключений и регулярного пересмотра привилегий. Ни VPN, ни ZTNA не остаются безопасными без постоянной операционной дисциплины.
Стоимость
VPN может быть менее дорогим вариантом, когда организация уже имеет совместимую инфраструктуру брандмауэра или шлюза. Однако общая стоимость все равно может включать:
- емкость концентратора
- высокая доступность
- клиентская поддержка
- ширина канала
- сегментация работы
- текущая поддержка правил
ZTNA может ввести подписки на пользователя, интеграцию идентификации, агенты конечных устройств, коннекторы и работы по миграции. В то же время это может снизить нагрузку на VPN, упростить доступ подрядчиков и уменьшить стоимость поддержки широкого сетевого подключения.
По этой причине сравнение должно сосредоточиться на общей стоимости владения, а не только на начальной цене продукта. ИТ-команды должны учитывать лицензирование, инфраструктуру, усилия службы поддержки, администрирование политик, риск простоя и стоимость предоставления большего доступа, чем пользователи на самом деле нуждаются.
Когда VPN все еще имеет смысл?
Несмотря на переход к более специфичным моделям доступа к ресурсам, VPN по-прежнему остается правильным выбором, когда пользователям или системам действительно требуется подключение на уровне сети.
Это особенно полезно, когда требование включает в себя несколько протоколов, общую инфраструктуру или приложения, которые зависят от прямого доступа к внутренним сетям.
Распространенные примеры включают:
- Связь между офисами, дата-центрами или облачными сетями
- Устранение неполадок сети и администрирование на уровне пакетов
- Доступ к нескольким протоколам через контролируемый сегмент инфраструктуры
- Унаследованные приложения, которые не могут быть опубликованы через шлюз приложений
- Разработка, лабораторные или среды восстановления после катастроф, которые требуют широкой связи
- Т временный доступ в средах, где сегментация и мониторинг уже развиты
VPN, таким образом, не является устаревшим и не является по своей сути небезопасным. Его безопасность зависит от того, насколько тщательно настроено и управляется соединение, включая ограниченные маршруты, надежную аутентификацию, регулярное обновление шлюза и четкое разделение между стандартными пользователями и привилегированными администраторами.
Когда эти меры приняты, и потребность бизнеса действительно ориентирована на сеть, VPN может оставаться эффективным и практичным решением для удаленного доступа.
Когда нулевое доверие является лучшим выбором?
ZTNA обычно является более предпочтительным выбором, когда пользователям нужен доступ к определенному набору приложений, а не к более широкой сети. Это делает его особенно подходящим для удаленных сотрудников, подрядчиков, партнеров и внешних команд поддержки, чьи требования к доступу можно точно описать.
Например, политика нулевого доверия может позволить членам финансовой группы получать доступ к бухгалтерскому приложению в утвержденные часы, при условии, что они используют управляемые устройства и многофакторную аутентификацию. Этот тип правила легче проверить, чем широкое разрешение на доступ к финансовой подсети.
ZTNA также хорошо подходит для распределенных и облачно-ориентированных сред, где приложения больше не находятся за пределами одного офисного периметра. Помещая политику идентификации и ресурсов в центр решения о доступе, модель следует за рабочей нагрузкой, а не за физической границей сети.
Есть ли золотая середина?
Да. Вместо того чтобы заставлять каждый рабочий процесс проходить через одну технологию, многие организации могут использовать ZTNA и VPN вместе.
Стандартные сотрудники и подрядчики могут получать доступ на уровне приложений через ZTNA или безопасный портал приложений, в то время как сетевые администраторы сохраняют строго контролируемый VPN или шлюз привилегированного доступа для задач, требующих подключения на уровне IP. Филиалы могут продолжать использовать VPN-соединения между сайтами, а устаревшие приложения могут оставаться на ограниченных маршрутах VPN до тех пор, пока они не будут модернизированы или опубликовано более узко .
Постепенный переход обычно безопаснее, чем внезапная замена. ИТ-команды могут разрабатывать удаленные рабочие процессы, отделять требования на уровне приложений от потребностей на уровне сети, усиливать контроль идентификации, тестировать одно ограниченное приложение и удалять соответствующий маршрут VPN только после проверки нового пути доступа.
Как TSplus вписывается в картину?
TSplus Advanced Security защищает серверы Windows и среды удаленного доступа. Вместо замены VPN или функционирования как полноценная платформа доступа с нулевым доверием, она добавляет серверные уровневые контроли, которые могут укрепить любую модель доступа.
Эти средства управления могут защитить серверы Windows за VPN, добавляя ограничения на основе пользователей, устройств, местоположений и времени подключения. Они поддерживают несколько принципов нулевого доверия в рамках более широкой архитектуры безопасности.
Защита от грубой силы и вредоносных IP
Службы аутентификации, доступные через интернет, часто становятся мишенью для атак на угадывание паролей и автоматических сетевых сканирований. Наше решение отслеживает неудачные попытки входа в Windows и может автоматически заносить в черный список исходящий IP-адрес, как только будет достигнут установленный порог.
Защита IP от хакеров усиливает эту защиту с помощью поддерживаемого списка адресов, связанных с вредоносным ПО, ботнетами, онлайн-атаками и другой злонамеренной деятельностью. Администраторы также могут управлять разрешенными и заблокированными адресами через правила брандмауэра, что помогает остановить нежелательный трафик до того, как он достигнет открытой службы Windows.
Географические и контекстуальные ограничения доступа
Географическая защита позволяет администраторам контролировать доступ в зависимости от страны или IP-адреса, откуда происходит подключение. Они могут ограничивать соединения с одобренными странами, частными адресами и конкретно внесенными в белый список диапазонами IP, что полезно, когда законные пользователи подключаются из предсказуемых мест.
Часы работы добавляют временные ограничения для пользователей и групп, позволяя администраторам определять, когда сессии могут быть открыты, и снижать доступность учетных записей вне ожидаемых рабочих периодов. Доверенные устройства могут дополнительно ограничивать подключения к одобренным конечным точкам, когда метод подключения поддерживает идентификацию устройства.
Эти проверки напоминают контекстные управления, используемые в стратегиях нулевого доверия. Однако информация о местоположении, времени и устройстве должна оставаться вспомогательными сигналами, а не окончательным доказательством того, что соединение надежно.
Гранулярные разрешения и безопасные сеансы
Наше решение включает в себя контроль разрешений для просмотра и управления правами пользователей и групп. Администраторы могут ограничивать доступ к файлам, папкам, объектам реестра и принтерам на защищенном сервере Windows.
Безопасные сеансы могут затем применять различные уровни безопасности к конкретным пользователям и группам. Вместе эти функции уменьшают то, к чему подключенная учетная запись может получить доступ или что она может изменить после аутентификации.
Этот подход на уровне сервера с наименьшими привилегиями может ограничить влияние скомпрометированной учетной записи. Однако он не эквивалентен движку политики ZTNA, который обычно управляет доступом к отдельным приложениям или услугам перед установлением сетевого соединения.
Защита от программ-вымогателей
Наше решение отслеживает активность сервера на предмет поведения, связанного с программами-вымогателями. Оно сочетает статические индикаторы с поведенческим анализом для обнаружения подозрительной активности файлов и реагирует, когда потенциальное программное обеспечение-вымогатель идентифицируется.
Эта защита особенно актуальна, когда удаленные пользователи могут открывать общие документы или записывать данные на серверное хранилище. Поскольку действительная учетная запись все еще может быть использована для запуска вредоносного программного обеспечения, одной лишь защиты соединения недостаточно.
Защита от программ-вымогателей должна, следовательно, дополнять проверенные офлайн-резервные копии, управление обновлениями, защиту конечных точек и процедуры реагирования на инциденты, а не заменять их.
Контроль брандмауэра, События и Уведомления
TSplus Advanced Security может применять правила блокировки через брандмауэр Windows или его встроенный брандмауэр. Администраторы могут блокировать враждебные адреса, поддерживать белые списки и просматривать сетевые ограничения из интерфейса Advanced Security.
Панель управления также отображает недавние события безопасности, в то время как настраиваемые уведомления могут уведомлять администраторов по электронной почте, SMS или Microsoft Teams, когда происходят выбранные события. Вместе эти функции обеспечивают видимость заблокированных соединений и другой активности, которая может потребовать расследования.
Мониторинг остается важным как в средах VPN, так и в средах Zero Trust. Профилактические меры могут снизить риски, но ИТ-команды должны продолжать проверять уведомления, расследовать необычное поведение и уточнять политики по мере изменения требований к доступу.
Заключение
Центральное различие между удаленным доступом Zero Trust и VPN заключается в объеме и времени доверия. VPN обычно создает зашифрованный сетевой путь после аутентификации пользователя или устройства. ZTNA предоставляет доступ к конкретному ресурсу после оценки идентичности, устройства и контекстуальных условий.
VPN по-прежнему подходит для соединений "сайт-сайт", администрирования сети, устаревших протоколов и рабочих нагрузок, которые требуют подключения на уровне IP. ZTNA, как правило, лучше подходит для сотрудников, подрядчиков и партнеров, которым нужны только определенные приложения или услуги.
Многие организации получат выгоду от сочетания двух подходов. Доступ на уровне приложений может перейти к ZTNA, в то время как ограниченные VPN-соединения останутся доступными для рабочих процессов, которые действительно требуют сетевого доступа. Какой бы модель ни была выбрана, сильная аутентификация, минимальные привилегии, сегментация, жесткость серверов и непрерывный мониторинг остаются необходимыми.