Obsah

Úvod

Bezpečný vzdialený prístup už nie je voľbou medzi šifrovanými a nešifrovanými pripojeniami. Moderné riešenia VPN a Zero Trust vzdialeného prístupu môžu chrániť dáta počas prenosu. Dôležitejšou otázkou je, čo môže používateľ alebo zariadenie dosiahnuť po autentifikácii.

VPN často rozširuje sieťové pripojenie na vzdialený koncový bod. Prístup k sieti s nulovou dôverou prijíma prístup zameraný na zdroje, hodnotí používateľa, zariadenie, požadovanú aplikáciu a aktuálny kontext pred udelením prístupu. Pre mnohé organizácie je najlepším návrhom nie úplná náhrada, ale zámerné rozdelenie medzi prístupom k aplikáciám a skutočným prístupom k sieti.

Čo je VPN?

[A] A virtuálna privátna sieť vytvára šifrovaný tunel medzi vzdialeným zariadením a VPN bránou, ktorá autentifikuje pripojenie pred smerovaním schváleného prenosu do súkromných sietí, podsietí alebo služieb.

Aj keď VPN nemusí poskytovať neobmedzený prístup, jeho prevádzkový model zostáva orientovaný na sieť. Správcovia môžu aplikovať:

  • viacfaktorová autentifikácia
  • d certifikáty zariadení
  • pravidlá firewallu
  • segmentácia siete
  • a prístupové kontrolné zoznamy

Avšak, koncový bod zvyčajne stále dostane cestu na úrovni IP k jednému alebo viacerým interným zdrojom.

Pretože je tento model dobre zavedený a podporuje širokú škálu protokolov, zostáva užitočný, keď administrátori potrebujú široký prístup k infraštruktúre, aplikácie závisia od interného adresovania alebo keď si dve lokality musia bezpečne vymieňať prevádzku.

Hlavné riziko vzniká, keď povolenia VPN presahujú to, čo používateľ skutočne potrebuje. Napríklad vzdialený zamestnanec, ktorý potrebuje iba jednu účtovnú aplikáciu, nemusí potrebovať prístup k celému finančnému subnetu.

Čo je Zero Trust Remote Access (ZTNA)?

V bežnom používaní sa vzdialený prístup s nulovou dôverou zvyčajne vzťahuje na prístup k sieti s nulovou dôverou, alebo ZTNA. ZTNA sa uplatňuje Princípy Zero Trust k vzdialenej konektivite poskytnutím prístupu k jednotlivým aplikáciám, desktopu alebo službe namiesto rozšírenia všeobecného prístupu k sieti.

Rozhodnutie môže zohľadniť niekoľko signálov:

  • Identita a úloha používateľa
  • Vlastníctvo zariadenia a bezpečnostná pozícia
  • Požadovaný zdroj
  • Miesto a čas prístupu
  • Sila autentifikácie
  • Riziko relácie alebo nezvyčajné správanie

NIST popisuje Nulová dôvera ako architektúra, ktorá odstraňuje implicitnú dôveru založenú na umiestnení v sieti a chráni jednotlivé zdroje prostredníctvom explicitnej autentifikácie a autorizácie. ZTNA je jedným spôsobom, ako aplikovať tento princíp, nie celá architektúra Zero Trust.

Po schválení žiadosti používateľ získa kontrolovanú cestu k autorizovanému zdroju. Neschválené systémy nemusia byť viditeľné alebo smerovateľné z koncového bodu. Politiky môžu tiež spustiť opätovnú autentifikáciu, obmedzený prístup alebo ukončenie relácie, keď sa riziko zmení.

Zero Trust Remote Access vs VPN: Kľúčové rozdiely

Rozdiel medzi ZTNA a VPN je architektonický skôr než len technologický. Dobre segmentovaná VPN môže byť veľmi obmedzujúca, zatiaľ čo zle spravovaná implementácia ZTNA môže stále poskytovať nadmerný prístup.

Kritérium VPN Zero Trust vzdialený prístup alebo ZTNA
Prístup k cieľu Sieť, podsieť alebo rozsah služby Špecifická aplikácia, desktop alebo služba
Primárny kontext politiky Trasy, IP adresy, skupiny a pravidlá firewallu Identita, zariadenie, zdroj a kontextové signály
Viditeľnosť siete Interné služby môžu byť prístupné po pripojení Neschválené zdroje môžu zostať neobjavené
Používateľský tok Vytvorte tunel, potom otvorte zdroj Požiadajte alebo spustite schválený zdroj priamo
Najlepšie prispôsobenie Prístup na úrovni siete, dedičný a prístup medzi lokalitami Prístup na úrovni aplikácie pre používateľov a tretie strany
Hlavný operačný kompromis Známy, ale môže sa stať širokým a ťažkým na bránu. Granulárne, ale vyžaduje mapovanie aplikácií a identít

Bezpečnostný model

Tradičné VPN robí svoje hlavné rozhodnutie o dôvere, keď je tunel vytvorený. Moderné platformy môžu toto rozhodnutie posilniť podmieneným prístupom, kontrolami koncových bodov a opätovnou autentifikáciou, ale relácia sa stále začína rozšírením sieťovej konektivity pre používateľa.

ZTNA pristupuje k problematike s väčším dôrazom na zdroje. Platné heslo a druhý faktor automaticky neposkytujú prístup ku každému internému systému, pretože politika môže tiež vyžadovať spravované zariadenie, schválenú lokalitu, konkrétnu používateľskú rolu alebo reláciu s nižším rizikom pred sprístupnením požadovanej aplikácie.

Tento užší model prístupu podporuje minimálne oprávnenia a môže obmedziť počet systémov, ktoré sú vystavené, ak sú poverenia ukradnuté. Avšak ZTNA neodstraňuje riziko kompromitácie účtu, pretože útočník môže stále zneužívať akúkoľvek aplikáciu, na ktorú má kompromitovaný účet oprávnenie.

Používateľská skúsenosť

Používatelia VPN často potrebujú otvoriť klienta, počkať na pripojenie tunela, dokončiť výzvy na autentifikáciu a potom spustiť požadovanú aplikáciu. Keď DNS konflikty, pravidlá rozdeleného tunelovania, nestabilné miestne siete alebo vypršané konfigurácie klienta spôsobujú problémy, výsledkom môžu byť ďalšie požiadavky na podporu.

ZTNA môže zjednodušiť tento proces tým, že prostredníctvom portálu, prehliadača alebo ľahkého klienta predstaví iba schválené zdroje. Namiesto toho, aby najprv získal všeobecný prístup k sieti, môže používateľ spustiť požadovanú aplikáciu priamo.

Skúsenosť stále závisí od implementácie, pretože niektoré protokoly vyžadujú agenta na koncových bodoch a niektoré staršie aplikácie nefungujú dobre cez aplikačný proxy. Pred migráciou by preto IT tímy mali otestovať:

  • autentifikácia
  • tlačenie
  • prenos súborov
  • · ovládanie schránky
  • správanie pri opätovnom pripojení

Expozícia siete

VPN brána je služba na okraji internetu, takže musí byť aktualizovaná, monitorovaná a chránená. V závislosti od trás, segmentácie a politiky firewallu môže pripojený používateľ tiež získať prístup k interným adresám alebo službám.

ZTNA môže znížiť toto vystavenie umiestnením brokera alebo vynucovacieho bodu medzi používateľa a aplikáciu. To poskytuje koncovému bodu prístup k schválenému zdroju bez vytvorenia všeobecnej cesty do okolitých sietí.

Aj keď tento dizajn môže sťažiť bočné pohyby, konektory, poskytovatelia identity, brány a aplikačné servery je stále potrebné zabezpečiť. CISA usmernenia tiež považuje softvér na vzdialený prístup a okrajové zariadenia za infraštruktúru s vysokou hodnotou, ktorá vyžaduje MFA, opravy, protokolovanie a zníženú expozíciu.

Výkon

VPN dizajny často prenášajú prevádzku cez centrálny bránu alebo dátové centrum, čo môže pridať latenciu, keď sa vzdialený používateľ pripojí cez centrálu, aby dosiahol aplikáciu hostovanú v cloude.

ZTNA môže ponúknuť priamejšiu cestu k autorizovanej aplikácii, najmä keď sú konektory alebo servisné body rozmiestnené blízko používateľov a pracovných záťaží. Napriek tomu výkon stále závisí od:

  • požiadavky na inšpekciu
  • architektúra poskytovateľa
  • umiestnenie konektora
  • kvalita internetu

VPN môže zostať efektívny pre interné pracovné zaťaženia v dátových centrách alebo prostrediach s lokálnymi koncentrátormi. Namiesto predpokladu, že jeden model je vždy rýchlejší, by IT tímy mali porovnať časy odozvy aplikácií a stabilitu relácií vo svojom vlastnom prostredí.

Manažment

Sieťové tímy sú už oboznámené s VPN koncentrátormi, trasami, pravidlami firewallu a zoznamami prístupových práv, čo môže uľahčiť nasadenie. V priebehu času sa však oprávnenia môžu stať ťažšie na preskúmanie, keď sa hromadia skupiny, podsiete a výnimky.

ZTNA vyžaduje jasnejší prehľad používateľov, aplikácií, požiadaviek na zariadenia a závislostí. Správcovia musia definovať, kto potrebuje každý zdroj, ktoré zariadenia môžu používať a za akých podmienok by mal byť prístup povolený. Hoci táto práca na politike si vyžaduje úsilie, môže spraviť revízie prístupov významnejšími, pretože oprávnenia sú priamo mapované na obchodné aplikácie.

Akýkoľvek model sa používa, efektívne riadenie závisí od priradenia vlastníka k každému zdroju, dokumentovania výnimiek a pravidelného preskúmavania oprávnení. Ani VPN, ani ZTNA nie sú bezpečné bez konzistentnej prevádzkovej disciplíny.

Náklady

VPN môže byť lacnejšou možnosťou, keď organizácia už vlastní kompatibilnú infraštruktúru firewallu alebo brány. Celkové náklady však môžu stále zahŕňať:

  • kapacita koncentrátora
  • vysoká dostupnosť
  • podpora klientov
  • šírka pásma
  • segmentačná práca
  • prebiehajúca údržba pravidiel

ZTNA môže zaviesť predplatné na používateľa, integráciu identity, agenty koncových bodov, konektory a migračné práce. Zároveň môže znížiť VPN prenos, zjednodušiť prístup dodávateľov a znížiť náklady na podporu širokej sieťovej konektivity.

Z tohto dôvodu by sa porovnanie malo zamerať na celkové náklady na vlastníctvo, a nie len na počiatočnú cenu produktu. IT tímy by mali zvážiť licencovanie, infraštruktúru, úsilie helpdesku, správu politík, riziko prestojov a náklady na poskytnutie väčšieho prístupu, ako skutočne potrebujú používatelia.

Kedy má VPN stále zmysel?

Napriek posunu smerom k modelom prístupu špecifickým pre zdroje zostáva VPN správnou voľbou, keď používatelia alebo systémy skutočne potrebujú konektivitu na úrovni siete.

Je to obzvlášť užitočné, keď požiadavka zahŕňa viacero protokolov, zdieľanú infraštruktúru alebo aplikácie, ktoré závisia od priameho prístupu k interným sieťam.

Bežné príklady zahŕňajú:

  • Konektivita medzi kanceláriami, dátovými centrami alebo cloudovými sieťami
  • Riešenie problémov v sieti a správa na úrovni paketov
  • Prístup k viacerým protokolom v rámci kontrolovaného segmentu infraštruktúry
  • Dedičstvo aplikácií, ktoré nemožno publikovať prostredníctvom aplikačného brány
  • Vývojové, laboratórne alebo prostredia na obnovu po havárii, ktoré vyžadujú široké pripojenie
  • T dočasný prístup v prostrediach, kde je segmentácia a monitorovanie už vyspelé

VPN nie je preto ani zastaraný, ani inherentne nebezpečný. Jeho bezpečnosť závisí od toho, ako starostlivo je pripojenie nakonfigurované a spravované, vrátane obmedzených trás, silnej autentifikácie, pravidelného aktualizovania brány a jasného oddelenia medzi štandardnými používateľmi a privilegovanými administrátormi.

Keď sú tieto kontroly zavedené a obchodná potreba je skutočne orientovaná na sieť, môže VPN zostať efektívnym a praktickým riešením pre vzdialený prístup.

Kedy je Zero Trust lepšou voľbou?

ZTNA je zvyčajne silnejšou voľbou, keď používatelia potrebujú prístup k definovanému súboru aplikácií skôr než k širšej sieti. To ho robí obzvlášť vhodným pre vzdialených zamestnancov, dodávateľov, partnerov a externé podporné tímy, ktorých požiadavky na prístup môžu byť presne popísané.

Napríklad politika Zero Trust môže umožniť členom finančnej skupiny prístup k účtovnej aplikácii počas schválených hodín, za predpokladu, že používajú spravované zariadenia a viacfaktorovú autentifikáciu. Tento typ pravidla je jednoduchšie skontrolovať ako široké povolenie, ktoré poskytuje prístup k finančnej podsieti.

ZTNA je tiež dobre prispôsobená distribuovaným a cloudovým prostrediam, kde aplikácie už nie sú umiestnené za jedným kancelárskym perimetróm. Umiestnením identity a politiky zdrojov do centra rozhodovania o prístupe model sleduje pracovnú záťaž skôr než fyzickú sieťovú hranicu.

Existuje nejaký stredný spôsob?

Áno. Namiesto toho, aby nútili každý pracovný tok cez jednu technológiu, môžu mnohé organizácie používať ZTNA a VPN spolu.

Štandardní zamestnanci a dodávatelia môžu získať prístup na úrovni aplikácie prostredníctvom ZTNA alebo zabezpečeného aplikačného portálu, zatiaľ čo sieťoví administrátori si zachovávajú prísne kontrolovaný VPN alebo privilegovaný prístupový bránu pre úlohy, ktoré vyžadujú pripojenie na úrovni IP. Pobočky môžu naďalej používať VPN medzi lokalitami a staršie aplikácie môžu zostať na obmedzených VPN trasách, kým nebudú modernizované alebo publikované užšie .

Fázový prechod je zvyčajne bezpečnejší ako náhle nahradenie. IT tímy môžu vytvoriť vzdialené pracovné postupy, oddeliť požiadavky na úrovni aplikácie od potrieb na úrovni siete, posilniť kontroly identity, pilotovať jednu uzavretú aplikáciu a odstrániť zodpovedajúcu VPN trasu až po overení novej prístupovej cesty.

Ako zapadá TSplus do obrazu?

TSplus Advanced Security chráni servery Windows a prostredia vzdialeného prístupu. Namiesto toho, aby nahradil VPN alebo pôsobil ako kompletná platforma pre Zero Trust Network Access, pridáva ovládacie prvky na úrovni servera, ktoré môžu posilniť ktorýkoľvek prístupový model.

Tieto ovládacie prvky môžu chrániť servery Windows za VPN, pričom pridávajú obmedzenia na základe používateľov, zariadení, lokalít a časov pripojenia. Podporujú niekoľko princípov Zero Trust ako súčasť širšej bezpečnostnej architektúry.

Ochrana pred útokmi hrubou silou a zlomyseľnými IP adresami

Internetové autentifikačné služby sú častými cieľmi útokov na uhádnutie hesla a automatizovaných skenovaní sietí. Naše riešenie monitoruje neúspešné pokusy o prihlásenie do systému Windows a môže automaticky zablokovať pôvodnú IP adresu, ak sa dosiahne nastavený prah.

Ochrana IP pred hackermi posilňuje túto obranu udržiavaným zoznamom adries spojených s malvérom, botnetmi, online útokmi a inou škodlivou činnosťou. Správcovia môžu tiež spravovať povolené a blokované adresy prostredníctvom pravidiel firewallu, čo pomáha zastaviť nežiaduci prenos predtým, ako dosiahne vystavenú službu Windows.

Geografické a kontextové obmedzenia prístupu

Geografická ochrana umožňuje administrátorom kontrolovať prístup podľa krajiny pôvodu alebo IP adresy. Môžu obmedziť pripojenia na schválené krajiny, súkromné adresy a konkrétne biele zoznamy IP rozsahov, čo je užitočné, keď sa legitímni používatelia pripájajú z predvídateľných miest.

Pracovné hodiny pridávajú časové obmedzenia pre používateľov a skupiny, čo umožňuje administrátorom definovať, kedy môžu byť relácie otvorené a znížiť dostupnosť účtov mimo očakávaných pracovných období. Dôveryhodné zariadenia môžu ďalej obmedziť pripojenia na schválené koncové body, keď metóda pripojenia podporuje identifikáciu zariadenia.

Tieto kontroly pripomínajú kontextové kontroly používané v stratégiách Zero Trust. Avšak informácie o polohe, čase a zariadení by mali zostať podpornými signálmi, nie definitívnym dôkazom, že je pripojenie dôveryhodné.

Granulárne oprávnenia a zabezpečené relácie

Naše riešenie zahŕňa kontrolu oprávnení na preskúmanie a správu oprávnení používateľov a skupín. Správcovia môžu obmedziť prístup k súborom, priečinkom, objektom registra a tlačiarňam na chránenom serveri Windows.

Bezpečné relácie môžu potom aplikovať rôzne úrovne zabezpečenia na konkrétnych používateľov a skupiny. Spoločne tieto funkcie znižujú to, k čomu má pripojený účet prístup alebo čo môže upravovať po autentifikácii.

Tento prístup na úrovni servera s minimálnymi oprávneniami môže obmedziť dopad kompromitovaného účtu. Nie je však ekvivalentný motoru politiky ZTNA, ktorý zvyčajne sprostredkováva prístup k jednotlivým aplikáciám alebo službám pred nadviazaním sieťového pripojenia.

Ochrana pred vydieracím softvérom

Naše riešenie monitoruje aktivitu servera na správanie spojené s ransomvérom. Kombinuje statické indikátory s behaviorálnou analýzou na detekciu podozrivej aktivity súborov a reaguje, keď je identifikovaný potenciálny ransomvér.

Táto ochrana je obzvlášť relevantná, keď môžu vzdialení používatelia otvárať zdieľané dokumenty alebo zapisovať na serverové úložisko. Pretože platný účet môže byť stále zneužitý na spustenie škodlivého softvéru, zabezpečenie pripojenia samo o sebe nestačí.

Ochrana pred ransomvérom by preto mala dopĺňať testované offline zálohy, správu záplat, ochranu koncových bodov a postupy reakcie na incidenty, namiesto toho, aby ich nahrádzala.

Ovládanie firewallu, udalosti a upozornenia

TSplus Advanced Security môžu vynucovať pravidlá blokovania prostredníctvom Windows Firewall alebo jeho integrovaného firewallu. Správcovia môžu blokovať nepriateľské adresy, udržiavať biele zoznamy a preskúmavať obmedzenia siete z rozhrania Advanced Security.

Nástenka tiež zobrazuje nedávne bezpečnostné udalosti, zatiaľ čo konfigurovateľné upozornenia môžu informovať administrátorov prostredníctvom e-mailu, SMS alebo Microsoft Teams, keď sa vyskytnú vybrané udalosti. Spoločne tieto funkcie poskytujú prehľad o zablokovaných pripojeniach a inej aktivite, ktorá môže vyžadovať vyšetrovanie.

Monitoring zostáva nevyhnutné v prostrediach VPN aj Zero Trust. Preventívne kontroly môžu znížiť riziko, ale IT tímy musia naďalej prehodnocovať upozornenia, vyšetrovať nezvyčajné správanie a zdokonaľovať politiky, keď sa požiadavky na prístup menia.

Záver

Hlavný rozdiel medzi Zero Trust vzdialeným prístupom a VPN je rozsah a načasovanie dôvery. VPN zvyčajne vytvára šifrovanú sieťovú cestu po overení používateľa alebo zariadenia. ZTNA poskytuje prístup k konkrétnemu zdroju po vyhodnotení identity, zariadenia a kontextových podmienok.

VPN zostáva vhodný pre pripojenia medzi lokalitami, správu siete, staršie protokoly a pracovné zaťaženia, ktoré vyžadujú pripojenie na úrovni IP. ZTNA je zvyčajne lepšie prispôsobená zamestnancom, dodávateľom a partnerom, ktorí potrebujú iba vybrané aplikácie alebo služby.

Mnohé organizácie budú mať prospech z kombinovania týchto dvoch prístupov. Prístup na úrovni aplikácie sa môže posunúť smerom k ZTNA, zatiaľ čo obmedzené pripojenia VPN zostanú k dispozícii pre pracovné toky, ktoré skutočne vyžadujú prístup k sieti. Bez ohľadu na to, ktorý model je zvolený, silná autentifikácia, minimálne oprávnenie, segmentácia, zabezpečenie servera a nepretržité monitorovanie zostávajú nevyhnutné.

Ďalšie čítanie

back to top of the page icon