บทนำ
การเข้าถึงระยะไกลที่ปลอดภัยไม่ใช่ทางเลือกอีกต่อไประหว่างการเชื่อมต่อที่เข้ารหัสและไม่เข้ารหัส โซลูชันการเข้าถึงระยะไกล VPN สมัยใหม่และ Zero Trust ทั้งคู่สามารถปกป้องข้อมูลในระหว่างการส่ง ข้อถามที่สำคัญกว่าคือผู้ใช้หรืออุปกรณ์สามารถเข้าถึงอะไรได้บ้างหลังจากการตรวจสอบสิทธิ์
VPN มักขยายการเชื่อมต่อเครือข่ายไปยังจุดสิ้นสุดระยะไกล Zero Trust Network Access ใช้แนวทางที่มุ่งเน้นทรัพยากร โดยประเมินผู้ใช้ อุปกรณ์ แอปพลิเคชันที่ร้องขอ และบริบทปัจจุบันก่อนที่จะอนุญาตการเข้าถึง สำหรับองค์กรหลายแห่ง การออกแบบที่ดีที่สุดไม่ใช่การเปลี่ยนแปลงทั้งหมด แต่เป็นการแบ่งแยกอย่างตั้งใจระหว่างการเข้าถึงแอปพลิเคชันและการเข้าถึงเครือข่ายที่แท้จริง
VPN คืออะไร?
[A] ไม่สามารถแปลได้ เครือข่ายส่วนตัวเสมือน สร้างอุโมงค์ที่เข้ารหัสระหว่างอุปกรณ์ระยะไกลและเกตเวย์ VPN ซึ่งทำการตรวจสอบความถูกต้องของการเชื่อมต่อก่อนที่จะส่งข้อมูลที่ได้รับอนุญาตไปยังเครือข่ายส่วนตัว ซับเน็ต หรือบริการต่างๆ
แม้ว่า VPN จะไม่จำเป็นต้องให้การเข้าถึงที่ไม่มีข้อจำกัด แต่โมเดลการทำงานของมันยังคงมุ่งเน้นที่เครือข่าย ผู้ดูแลระบบสามารถใช้:
- การตรวจสอบสิทธิ์หลายปัจจัย
- d ใบรับรองอุปกรณ์
- กฎไฟร์วอลล์
- การแบ่งเครือข่าย
- เอา รายการควบคุมการเข้าถึง
อย่างไรก็ตาม จุดสิ้นสุดมักจะยังคงได้รับเส้นทางในระดับ IP ไปยังทรัพยากรภายในหนึ่งหรือมากกว่า
เนื่องจากโมเดลนี้มีความเป็นที่ยอมรับและรองรับโปรโตคอลที่หลากหลาย จึงยังคงมีประโยชน์เมื่อผู้ดูแลระบบต้องการการเข้าถึงโครงสร้างพื้นฐานที่กว้างขวาง แอปพลิเคชันขึ้นอยู่กับการกำหนดที่อยู่ภายใน หรือสองไซต์ต้องการแลกเปลี่ยนข้อมูลอย่างปลอดภัย
ความเสี่ยงหลักเกิดขึ้นเมื่อสิทธิ์ VPN ขยายเกินกว่าที่ผู้ใช้ต้องการจริงๆ ตัวอย่างเช่น พนักงานระยะไกลที่ต้องการเพียงแค่แอปพลิเคชันบัญชีหนึ่งอาจไม่จำเป็นต้องเข้าถึงทั้งซับเน็ตการเงิน
Zero Trust Remote Access (ZTNA) คืออะไร?
ในการใช้งานทั่วไป การเข้าถึงระยะไกลแบบ Zero Trust มักหมายถึงการเข้าถึงเครือข่ายแบบ Zero Trust หรือ ZTNA ZTNA ใช้ได้ หลักการ Zero Trust การเชื่อมต่อระยะไกลโดยการอนุญาตการเข้าถึงแอปพลิเคชันเดี่ยว เดสก์ท็อป หรือบริการแทนที่จะขยายการเข้าถึงเครือข่ายทั่วไป
การตัดสินใจสามารถพิจารณาสัญญาณหลายประการ:
- ตัวตนและบทบาทของผู้ใช้
- ความเป็นเจ้าของอุปกรณ์และสถานะความปลอดภัย
- ทรัพยากรที่ร้องขอ
- สถานที่และเวลาที่เข้าถึง
- ความแข็งแกร่งของการตรวจสอบสิทธิ์
- ความเสี่ยงของเซสชันหรือพฤติกรรมที่ไม่ปกติ
NIST อธิบาย ศูนย์เชื่อถือ เป็นสถาปัตยกรรมที่ลบความเชื่อถือโดยปริยายตามตำแหน่งเครือข่ายและปกป้องทรัพยากรแต่ละรายการผ่านการตรวจสอบและการอนุญาตที่ชัดเจน ZTNA เป็นวิธีหนึ่งในการนำหลักการนั้นไปใช้ ไม่ใช่สถาปัตยกรรม Zero Trust ทั้งหมด
หลังจากที่คำขอได้รับการอนุมัติ ผู้ใช้จะได้รับเส้นทางที่ควบคุมไปยังทรัพยากรที่ได้รับอนุญาต ระบบที่ไม่ได้รับการอนุมัติไม่จำเป็นต้องมองเห็นหรือสามารถกำหนดเส้นทางจากจุดสิ้นสุด นโยบายอาจกระตุ้นให้มีการตรวจสอบสิทธิ์ใหม่ การเข้าถึงที่จำกัด หรือการสิ้นสุดเซสชันเมื่อความเสี่ยงเปลี่ยนแปลง
การเข้าถึงระยะไกลแบบ Zero Trust vs VPN: ความแตกต่างที่สำคัญ
ความแตกต่างระหว่าง ZTNA และ VPN คือด้านสถาปัตยกรรมมากกว่าด้านเทคโนโลยีเพียงอย่างเดียว VPN ที่มีการแบ่งส่วนที่ดีสามารถมีข้อจำกัดสูง ในขณะที่การใช้งาน ZTNA ที่มีการควบคุมไม่ดีอาจยังคงให้การเข้าถึงที่มากเกินไป
| เกณฑ์ | VPN | การเข้าถึงระยะไกลแบบ Zero Trust หรือ ZTNA |
|---|---|---|
| เข้าถึงเป้าหมาย | เครือข่าย, ช่วงย่อยหรือช่วงบริการ | แอปพลิเคชันเฉพาะ, เดสก์ท็อปหรือบริการ |
| นโยบายหลัก | เส้นทาง, ที่อยู่ IP, กลุ่มและกฎไฟร์วอลล์ | เอกลักษณ์ อุปกรณ์ ทรัพยากร และสัญญาณบริบท |
| การมองเห็นเครือข่าย | บริการภายในอาจสามารถเข้าถึงได้หลังจากการเชื่อมต่อ | ทรัพยากรที่ไม่ได้รับอนุมัติสามารถยังคงไม่ถูกค้นพบ |
| การทำงานของผู้ใช้ | สร้างอุโมงค์ จากนั้นเปิดทรัพยากร | ขอหรือเปิดใช้งานทรัพยากรที่ได้รับการอนุมัติโดยตรง |
| เหมาะสมที่สุด | การเข้าถึงระดับเครือข่าย, แบบเก่าและแบบไซต์ต่อไซต์ | การเข้าถึงระดับแอปพลิเคชันสำหรับผู้ใช้และบุคคลที่สาม |
| การแลกเปลี่ยนทางการดำเนินงานหลัก | คุ้นเคยแต่สามารถกลายเป็นกว้างขวางและมีเกตเวย์มากมาย | ละเอียดแต่ต้องการการแมพปิ้งแอปพลิเคชันและตัวตน |
โมเดลความปลอดภัย
VPN แบบดั้งเดิมจะทำการตัดสินใจเรื่องความเชื่อมั่นหลักเมื่ออุโมงค์ถูกสร้างขึ้น แพลตฟอร์มสมัยใหม่สามารถเสริมสร้างการตัดสินใจนั้นด้วยการเข้าถึงตามเงื่อนไข การตรวจสอบจุดสิ้นสุด และการตรวจสอบตัวตนใหม่ แต่เซสชันยังคงเริ่มต้นโดยการขยายการเชื่อมต่อเครือข่ายไปยังผู้ใช้
ZTNA ใช้แนวทางที่มุ่งเน้นทรัพยากรมากขึ้น รหัสผ่านที่ถูกต้องและปัจจัยที่สองไม่ได้ให้การเข้าถึงระบบภายในทุกระบบโดยอัตโนมัติ เนื่องจากนโยบายอาจต้องการอุปกรณ์ที่จัดการแล้ว สถานที่ที่ได้รับการอนุมัติ บทบาทผู้ใช้เฉพาะ หรือเซสชันที่มีความเสี่ยงต่ำกว่าก่อนที่จะทำให้แอปพลิเคชันที่ร้องขอพร้อมใช้งาน
โมเดลการเข้าถึงที่แคบกว่านี้สนับสนุนการเข้าถึงตามสิทธิขั้นต่ำและสามารถจำกัดจำนวนระบบที่เปิดเผยหากข้อมูลประจำตัวถูกขโมย อย่างไรก็ตาม ZTNA ไม่ได้กำจัดความเสี่ยงจากการถูกแฮ็กบัญชี เนื่องจากผู้โจมตีอาจยังคงใช้ประโยชน์จากแอปพลิเคชันใด ๆ ที่บัญชีที่ถูกแฮ็กได้รับอนุญาตให้เปิดได้
ประสบการณ์ผู้ใช้
ผู้ใช้ VPN มักต้องเปิดไคลเอนต์ รอให้อุโมงค์เชื่อมต่อ เสร็จสิ้นการตรวจสอบสิทธิ์ และจากนั้นเปิดแอปพลิเคชันที่ต้องการ เมื่อเกิดปัญหาจากความขัดแย้งของ DNS กฎการแบ่งอุโมงค์ เครือข่ายท้องถิ่นที่ไม่เสถียร หรือการกำหนดค่าของไคลเอนต์ที่หมดอายุ ผลลัพธ์อาจเป็นคำขอสนับสนุนเพิ่มเติม
ZTNA สามารถทำให้กระบวนการนี้ง่ายขึ้นโดยการนำเสนอเฉพาะทรัพยากรที่ได้รับการอนุมัติผ่านพอร์ทัล เบราว์เซอร์ หรือไคลเอนต์ที่มีน้ำหนักเบา แทนที่จะได้รับการเข้าถึงเครือข่ายทั่วไปก่อน ผู้ใช้สามารถเปิดแอปพลิเคชันที่ต้องการได้โดยตรง
ประสบการณ์ยังขึ้นอยู่กับการนำไปใช้ เนื่องจากโปรโตคอลบางตัวต้องการเอเจนต์ที่จุดสิ้นสุด และแอปพลิเคชันเก่าบางตัวไม่ทำงานได้ดีผ่านพร็อกซีแอปพลิเคชัน ดังนั้นก่อนที่จะทำการย้าย ทีม IT ควรทดสอบ
- การตรวจสอบสิทธิ์
- การพิมพ์
- การถ่ายโอนไฟล์
- · การควบคุมคลิปบอร์ด
- พฤติกรรมการเชื่อมต่อใหม่
การเปิดเผยเครือข่าย
เกตเวย์ VPN เป็นบริการขอบที่เผชิญกับอินเทอร์เน็ต ดังนั้นจึงต้องมีการอัปเดต ตรวจสอบ และป้องกัน ขึ้นอยู่กับเส้นทาง การแบ่งส่วน และนโยบายไฟร์วอลล์ที่มีอยู่ ผู้ใช้ที่เชื่อมต่ออาจสามารถค้นพบที่อยู่หรือบริการภายในได้เช่นกัน
ZTNA สามารถลดการเปิดเผยนี้ได้โดยการวางตัวกลางหรือจุดบังคับระหว่างผู้ใช้และแอปพลิเคชัน ซึ่งจะทำให้จุดสิ้นสุดเข้าถึงทรัพยากรที่ได้รับการอนุมัติโดยไม่สร้างเส้นทางทั่วไปเข้าสู่เครือข่ายรอบข้าง
แม้ว่าการออกแบบนี้อาจทำให้การเคลื่อนที่ด้านข้างยากขึ้น แต่ตัวเชื่อม ผู้ให้บริการระบุตัวตน เกตเวย์ และเซิร์ฟเวอร์แอปพลิเคชันยังคงต้องได้รับการรักษาความปลอดภัย คำแนะนำของ CISA ยังถือว่าซอฟต์แวร์การเข้าถึงระยะไกลและอุปกรณ์ขอบเป็นโครงสร้างพื้นฐานที่มีมูลค่าสูงซึ่งต้องการ MFA, การแพตช์, การบันทึก และการลดการเปิดเผย.
ประสิทธิภาพ
การออกแบบ VPN มักจะส่งข้อมูลกลับผ่านเกตเวย์กลางหรือศูนย์ข้อมูล ซึ่งอาจเพิ่มความล่าช้าเมื่อผู้ใช้ระยะไกลเชื่อมต่อผ่านสำนักงานใหญ่เพื่อเข้าถึงแอปพลิเคชันที่โฮสต์ในคลาวด์
ZTNA อาจเสนอเส้นทางที่ตรงไปยังแอปพลิเคชันที่ได้รับอนุญาต โดยเฉพาะเมื่อมีการกระจายตัวเชื่อมต่อหรือจุดบริการใกล้กับผู้ใช้และภาระงาน อย่างไรก็ตาม ประสิทธิภาพยังคงขึ้นอยู่กับ:
- ข้อกำหนดการตรวจสอบ
- สถาปัตยกรรมผู้ให้บริการ
- การวางตัวเชื่อม
- คุณภาพอินเทอร์เน็ต
VPN สามารถยังคงมีประสิทธิภาพสำหรับการทำงานภายในศูนย์ข้อมูลหรือสภาพแวดล้อมที่มีตัวรวมสัญญาณในท้องถิ่น แทนที่จะสมมติว่าโมเดลหนึ่งจะเร็วกว่าเสมอ ทีม IT ควรเปรียบเทียบเวลาตอบสนองของแอปพลิเคชันและความเสถียรของเซสชันในสภาพแวดล้อมของตนเอง
การจัดการ
ทีมเครือข่ายคุ้นเคยกับ VPN concentrators, เส้นทาง, กฎไฟร์วอลล์ และรายการควบคุมการเข้าถึง ซึ่งสามารถทำให้การติดตั้งง่ายขึ้น อย่างไรก็ตามเมื่อเวลาผ่านไป สิทธิ์อาจกลายเป็นเรื่องยากที่จะตรวจสอบเมื่อกลุ่ม, ซับเน็ต และข้อยกเว้นสะสมมากขึ้น
ZTNA ต้องการการจัดทำรายการผู้ใช้ แอปพลิเคชัน ความต้องการของอุปกรณ์ และความสัมพันธ์ที่ชัดเจนมากขึ้น ผู้ดูแลระบบต้องกำหนดว่าใครต้องการทรัพยากรแต่ละอย่าง อุปกรณ์ใดที่พวกเขาสามารถใช้ และภายใต้เงื่อนไขใดที่การเข้าถึงควรได้รับอนุญาต แม้ว่าการทำงานตามนโยบายนี้จะต้องใช้ความพยายาม แต่ก็สามารถทำให้การตรวจสอบการเข้าถึงมีความหมายมากขึ้น เนื่องจากสิทธิ์จะถูกแมพโดยตรงกับแอปพลิเคชันทางธุรกิจ
ไม่ว่าโมเดลใดจะถูกใช้ การจัดการที่มีประสิทธิภาพขึ้นอยู่กับการมอบหมายเจ้าของให้กับแต่ละทรัพยากร การบันทึกข้อยกเว้น และการตรวจสอบสิทธิ์อย่างสม่ำเสมอ ทั้ง VPN และ ZTNA จะไม่ปลอดภัยหากไม่มีวินัยในการดำเนินงานที่สม่ำเสมอ
ค่าใช้จ่าย
VPN อาจเป็นตัวเลือกที่มีค่าใช้จ่ายน้อยกว่าเมื่อองค์กรมีโครงสร้างพื้นฐานไฟร์วอลล์หรือเกตเวย์ที่เข้ากันได้อยู่แล้ว อย่างไรก็ตาม ค่าใช้จ่ายโดยรวมยังสามารถรวมถึง:
- ความจุของคอนเซนเทรเตอร์
- ความพร้อมใช้งานสูง
- การสนับสนุนลูกค้า
- แบนด์วิธ
- การทำงานแบ่งส่วน
- การบำรุงรักษากฎอย่างต่อเนื่อง
ZTNA อาจแนะนำการสมัครสมาชิกต่อผู้ใช้ การรวมตัวตน ตัวแทนจุดสิ้นสุด ตัวเชื่อมต่อ และการทำงานการโยกย้าย ในขณะเดียวกันก็สามารถลดการส่งข้อมูลกลับของ VPN ทำให้การเข้าถึงของผู้รับเหมาเรียบง่ายขึ้น และลดต้นทุนในการสนับสนุนการเชื่อมต่อเครือข่ายที่กว้างขวาง
ด้วยเหตุนี้ การเปรียบเทียบควรเน้นที่ต้นทุนรวมในการเป็นเจ้าของมากกว่าราคาผลิตภัณฑ์เริ่มต้นเพียงอย่างเดียว ทีม IT ควรพิจารณาเรื่องการอนุญาตใช้งาน โครงสร้างพื้นฐาน ความพยายามในการช่วยเหลือผู้ใช้ การบริหารนโยบาย ความเสี่ยงจากการหยุดทำงาน และต้นทุนในการให้สิทธิ์การเข้าถึงมากกว่าที่ผู้ใช้ต้องการจริง ๆ
เมื่อไหร่ที่ VPN ยังมีความหมายอยู่?
แม้ว่าจะมีการเปลี่ยนไปสู่โมเดลการเข้าถึงที่เฉพาะเจาะจงมากขึ้น แต่ VPN ยังคงเป็นตัวเลือกที่ถูกต้องเมื่อผู้ใช้หรือระบบต้องการการเชื่อมต่อระดับเครือข่ายอย่างแท้จริง
มันมีประโยชน์โดยเฉพาะเมื่อความต้องการเกี่ยวข้องกับหลายโปรโตคอล โครงสร้างพื้นฐานที่ใช้ร่วมกัน หรือแอปพลิเคชันที่ขึ้นอยู่กับการเข้าถึงโดยตรงไปยังเครือข่ายภายใน
ตัวอย่างทั่วไป ได้แก่:
- การเชื่อมต่อแบบไซต์ต่อไซต์ระหว่างสำนักงาน ศูนย์ข้อมูล หรือเครือข่ายคลาวด์
- การแก้ไขปัญหาเครือข่ายและการจัดการระดับแพ็กเก็ต
- การเข้าถึงหลายโปรโตคอลผ่านส่วนโครงสร้างพื้นฐานที่ควบคุม
- แอปพลิเคชันเก่าที่ไม่สามารถเผยแพร่ผ่านเกตเวย์แอปพลิเคชันได้
- การพัฒนา สภาพแวดล้อมห้องปฏิบัติการหรือการกู้คืนจากภัยพิบัติที่ต้องการการเชื่อมต่อที่กว้างขวาง
- ที การเข้าถึงชั่วคราวในสภาพแวดล้อมที่การแบ่งส่วนและการตรวจสอบมีความก้าวหน้าแล้ว
VPN จึงไม่ล้าสมัยหรือไม่ปลอดภัยโดยธรรมชาติ ความปลอดภัยของมันขึ้นอยู่กับการกำหนดค่าและการจัดการการเชื่อมต่ออย่างรอบคอบ รวมถึงเส้นทางที่จำกัด การตรวจสอบสิทธิ์ที่เข้มงวด การอัปเดตแพตช์เกตเวย์อย่างสม่ำเสมอ และการแยกที่ชัดเจนระหว่างผู้ใช้ทั่วไปและผู้ดูแลระบบที่มีสิทธิพิเศษ
เมื่อมีการควบคุมเหล่านี้อยู่และความต้องการทางธุรกิจมีลักษณะเป็นเครือข่ายอย่างแท้จริง VPN สามารถเป็นโซลูชันการเข้าถึงระยะไกลที่มีประสิทธิภาพและใช้งานได้จริง
เมื่อไหร่ที่ Zero Trust เป็นทางเลือกที่ดีกว่า?
ZTNA มักจะเป็นตัวเลือกที่แข็งแกร่งกว่าเมื่อผู้ใช้ต้องการเข้าถึงชุดแอปพลิเคชันที่กำหนดไว้แทนที่จะเป็นเครือข่ายที่กว้างขึ้น ซึ่งทำให้เหมาะสมโดยเฉพาะสำหรับพนักงานระยะไกล ผู้รับเหมา คู่ค้า และทีมสนับสนุนภายนอกที่ความต้องการในการเข้าถึงสามารถอธิบายได้อย่างชัดเจน
นโยบาย Zero Trust อาจอนุญาตให้สมาชิกของกลุ่มการเงินเข้าถึงแอปพลิเคชันบัญชีในช่วงเวลาที่ได้รับอนุมัติ โดยต้องใช้อุปกรณ์ที่จัดการและการตรวจสอบหลายปัจจัย ประเภทของกฎนี้ง่ายต่อการตรวจสอบมากกว่าการอนุญาตทั่วไปที่ให้เข้าถึงซับเน็ตการเงิน
ZTNA ยังเหมาะสมกับสภาพแวดล้อมที่กระจายและมุ่งเน้นไปที่คลาวด์ ซึ่งแอปพลิเคชันไม่อยู่หลังขอบเขตสำนักงานเดียวอีกต่อไป โดยการวางนโยบายด้านตัวตนและทรัพยากรไว้ที่ศูนย์กลางของการตัดสินใจในการเข้าถึง โมเดลนี้จะติดตามภาระงานแทนที่จะเป็นขอบเขตเครือข่ายทางกายภาพ
มีจุดกึ่งกลางหรือไม่?
ใช่ แทนที่จะบังคับให้ทุกกระบวนการทำงานผ่านเทคโนโลยีเดียว หลายองค์กรสามารถใช้ ZTNA และ VPN ร่วมกันได้
พนักงานมาตรฐานและผู้รับเหมาต่างสามารถเข้าถึงระดับแอปพลิเคชันผ่าน ZTNA หรือพอร์ทัลแอปพลิเคชันที่ปลอดภัย ในขณะที่ผู้ดูแลระบบเครือข่ายยังคงรักษา VPN ที่ควบคุมอย่างเข้มงวดหรือเกตเวย์การเข้าถึงที่มีสิทธิพิเศษสำหรับงานที่ต้องการการเชื่อมต่อระดับ IP สำนักงานสาขาสามารถใช้ VPN แบบไซต์ต่อไซต์ต่อไปได้ และแอปพลิเคชันเก่าสามารถยังคงอยู่ในเส้นทาง VPN ที่จำกัดจนกว่าจะมีการปรับปรุงหรือ เผยแพร่ในลักษณะที่แคบลง .
การเปลี่ยนแปลงแบบค่อยเป็นค่อยไปมักจะปลอดภัยกว่าการเปลี่ยนแปลงอย่างกะทันหัน ทีม IT สามารถสร้างกระบวนการทำงานระยะไกล แยกความต้องการในระดับแอปพลิเคชันออกจากความต้องการในระดับเครือข่าย เสริมสร้างการควบคุมตัวตน ทดลองใช้งานแอปพลิเคชันที่มีการควบคุม และลบเส้นทาง VPN ที่เกี่ยวข้องก็ต่อเมื่อได้ตรวจสอบเส้นทางการเข้าถึงใหม่แล้ว
TSplus เข้ากับภาพได้อย่างไร?
TSplus Advanced Security ปกป้องเซิร์ฟเวอร์ Windows และสภาพแวดล้อมการเข้าถึงระยะไกล แทนที่จะเปลี่ยน VPN หรือทำหน้าที่เป็นแพลตฟอร์มการเข้าถึงเครือข่ายแบบ Zero Trust ที่สมบูรณ์ มันเพิ่มการควบคุมระดับเซิร์ฟเวอร์ที่สามารถเสริมสร้างโมเดลการเข้าถึงใด ๆ ได้
การควบคุมเหล่านี้สามารถปกป้องเซิร์ฟเวอร์ Windows ที่อยู่เบื้องหลัง VPN ในขณะที่เพิ่มข้อจำกัดตามผู้ใช้ อุปกรณ์ สถานที่ และเวลาการเชื่อมต่อ พวกเขาสนับสนุนหลักการ Zero Trust หลายประการเป็นส่วนหนึ่งของสถาปัตยกรรมความปลอดภัยที่กว้างขึ้น
การป้องกัน IP ที่เป็นอันตรายและการโจมตีแบบ Brute-Force
บริการการตรวจสอบที่เข้าถึงจากอินเทอร์เน็ตมักเป็นเป้าหมายของการโจมตีด้วยการเดารหัสผ่านและการสแกนเครือข่ายอัตโนมัติ โซลูชันของเราตรวจสอบความพยายามในการเข้าสู่ระบบ Windows ที่ล้มเหลวและสามารถเพิ่มที่อยู่ IP ที่มาของการโจมตีลงในรายการดำเนินการโดยอัตโนมัติเมื่อถึงเกณฑ์ที่กำหนด
การป้องกัน IP ของแฮกเกอร์เสริมสร้างการป้องกันนี้ด้วยรายการที่ดูแลอยู่ซึ่งมีที่อยู่ที่เกี่ยวข้องกับมัลแวร์, บอทเน็ต, การโจมตีออนไลน์ และกิจกรรมที่เป็นอันตรายอื่น ๆ ผู้ดูแลระบบยังสามารถจัดการที่อยู่ที่อนุญาตและถูกบล็อกผ่านกฎไฟร์วอลล์ ซึ่งช่วยหยุดการจราจรที่ไม่ต้องการก่อนที่จะถึงบริการ Windows ที่เปิดเผย
ข้อจำกัดการเข้าถึงทางภูมิศาสตร์และบริบท
การป้องกันทางภูมิศาสตร์ช่วยให้ผู้ดูแลระบบสามารถควบคุมการเข้าถึงตามประเทศหรือที่อยู่ IP ที่มาของการเชื่อมต่อได้ พวกเขาสามารถจำกัดการเชื่อมต่อไปยังประเทศที่ได้รับการอนุมัติ ที่อยู่ส่วนตัว และช่วงที่อยู่ IP ที่ได้รับการอนุญาตเฉพาะ ซึ่งมีประโยชน์เมื่อผู้ใช้ที่ถูกต้องตามกฎหมายเชื่อมต่อจากสถานที่ที่คาดเดาได้
เวลาทำงานเพิ่มการควบคุมตามเวลาให้กับผู้ใช้และกลุ่ม โดยอนุญาตให้ผู้ดูแลระบบกำหนดว่าเมื่อใดที่เซสชันสามารถเปิดได้และลดความพร้อมใช้งานของบัญชีในช่วงเวลาที่ไม่คาดคิด อุปกรณ์ที่เชื่อถือได้สามารถจำกัดการเชื่อมต่อไปยังจุดสิ้นสุดที่ได้รับการอนุมัติเมื่อวิธีการเชื่อมต่อสนับสนุนการระบุอุปกรณ์
การตรวจสอบเหล่านี้มีลักษณะคล้ายกับการควบคุมบริบทที่ใช้ในกลยุทธ์ Zero Trust อย่างไรก็ตาม ข้อมูลเกี่ยวกับสถานที่ เวลา และอุปกรณ์ควรเป็นสัญญาณสนับสนุนแทนที่จะเป็นหลักฐานที่ชัดเจนว่าการเชื่อมต่อนั้นเชื่อถือได้
การอนุญาตแบบละเอียดและเซสชันที่ปลอดภัย
โซลูชันของเรามีการควบคุมสิทธิ์สำหรับการตรวจสอบและจัดการสิทธิ์ของผู้ใช้และกลุ่ม ผู้ดูแลระบบสามารถจำกัดการเข้าถึงไฟล์ โฟลเดอร์ วัตถุในรีจิสทรี และเครื่องพิมพ์บนเซิร์ฟเวอร์ Windows ที่ได้รับการป้องกัน
เซสชันที่ปลอดภัยสามารถนำไปใช้ระดับความปลอดภัยที่แตกต่างกันกับผู้ใช้และกลุ่มเฉพาะได้ ฟีเจอร์เหล่านี้ช่วยลดสิ่งที่บัญชีที่เชื่อมต่อสามารถเข้าถึงหรือแก้ไขหลังจากการตรวจสอบสิทธิ์
วิธีการลดสิทธิ์ในระดับเซิร์ฟเวอร์นี้สามารถจำกัดผลกระทบจากบัญชีที่ถูกบุกรุก อย่างไรก็ตาม มันไม่เทียบเท่ากับเครื่องยนต์นโยบาย ZTNA ซึ่งโดยปกติจะเป็นตัวกลางในการเข้าถึงแอปพลิเคชันหรือบริการแต่ละรายการก่อนที่จะสร้างการเชื่อมต่อเครือข่าย
การป้องกัน Ransomware
โซลูชันของเราตรวจสอบกิจกรรมของเซิร์ฟเวอร์เพื่อพฤติกรรมที่เกี่ยวข้องกับแรนซัมแวร์ มันรวมตัวชี้วัดแบบคงที่เข้ากับการวิเคราะห์พฤติกรรมเพื่อตรวจจับกิจกรรมไฟล์ที่น่าสงสัยและตอบสนองเมื่อมีการระบุแรนซัมแวร์ที่อาจเกิดขึ้น
การป้องกันนี้มีความสำคัญโดยเฉพาะเมื่อผู้ใช้ระยะไกลสามารถเปิดเอกสารที่แชร์หรือเขียนไปยังพื้นที่จัดเก็บของเซิร์ฟเวอร์ได้ เนื่องจากบัญชีที่ถูกต้องยังสามารถถูกนำไปใช้ในทางที่ผิดเพื่อเรียกใช้ซอฟต์แวร์ที่เป็นอันตราย การรักษาความปลอดภัยการเชื่อมต่อเพียงอย่างเดียวจึงไม่เพียงพอ
การป้องกันแรนซัมแวร์จึงควรเสริมการสำรองข้อมูลออฟไลน์ที่ผ่านการทดสอบ การจัดการแพตช์ การป้องกันจุดสิ้นสุด และขั้นตอนการตอบสนองต่อเหตุการณ์ แทนที่จะมาแทนที่พวกเขา
การควบคุมไฟร์วอลล์, เหตุการณ์และการแจ้งเตือน
TSplus Advanced Security สามารถบังคับใช้กฎการบล็อกผ่าน Windows Firewall หรือไฟร์วอลล์ที่รวมอยู่ด้วย ผู้ดูแลระบบสามารถบล็อกที่อยู่ที่เป็นอันตราย รักษารายการที่อนุญาต และตรวจสอบข้อจำกัดของเครือข่ายจากส่วนติดต่อ Advanced Security
แดชบอร์ดยังแสดงเหตุการณ์ด้านความปลอดภัยล่าสุด ขณะที่การแจ้งเตือนที่ปรับแต่งได้สามารถแจ้งผู้ดูแลระบบทางอีเมล, SMS หรือ Microsoft Teams เมื่อเกิดเหตุการณ์ที่เลือกไว้ ฟีเจอร์เหล่านี้ช่วยให้มองเห็นการเชื่อมต่อที่ถูกบล็อกและกิจกรรมอื่น ๆ ที่อาจต้องการการตรวจสอบ
การตรวจสอบยังคงมีความสำคัญในทั้งสภาพแวดล้อม VPN และ Zero Trust การควบคุมเชิงป้องกันสามารถลดความเสี่ยงได้ แต่ทีม IT ต้องยังคงตรวจสอบการแจ้งเตือน สืบสวนพฤติกรรมที่ผิดปกติ และปรับปรุงนโยบายเมื่อความต้องการในการเข้าถึงเปลี่ยนแปลง
สรุป
ความแตกต่างหลักระหว่างการเข้าถึงระยะไกลแบบ Zero Trust และ VPN คือขอบเขตและช่วงเวลาของความไว้วางใจ VPN มักสร้างเส้นทางเครือข่ายที่เข้ารหัสหลังจากตรวจสอบผู้ใช้หรืออุปกรณ์ ZTNA จะอนุญาตการเข้าถึงทรัพยากรเฉพาะหลังจากประเมินตัวตน อุปกรณ์ และเงื่อนไขตามบริบท
VPN ยังคงเหมาะสมสำหรับการเชื่อมต่อระหว่างไซต์ การบริหารจัดการเครือข่าย โปรโตคอลเก่าและภาระงานที่ต้องการการเชื่อมต่อระดับ IP. ZTNA โดยทั่วไปเหมาะสมกว่าสำหรับพนักงาน ผู้รับเหมา และพันธมิตรที่ต้องการเฉพาะแอปพลิเคชันหรือบริการที่เลือกเท่านั้น.
หลายองค์กรจะได้รับประโยชน์จากการรวมสองวิธีนี้ การเข้าถึงระดับแอปพลิเคชันสามารถก้าวไปสู่ ZTNA ในขณะที่การเชื่อมต่อ VPN ที่จำกัดยังคงมีให้สำหรับการทำงานที่ต้องการการเข้าถึงเครือข่ายจริง ๆ ไม่ว่าจะเลือกโมเดลใด การตรวจสอบสิทธิ์ที่เข้มงวด สิทธิ์ขั้นต่ำ การแบ่งส่วน การเสริมความแข็งแกร่งของเซิร์ฟเวอร์ และการตรวจสอบอย่างต่อเนื่องยังคงเป็นสิ่งจำเป็น