İçindekiler

Giriş

Güvenli uzaktan erişim artık şifreli ve şifresiz bağlantılar arasında bir seçim değil. Hem modern VPN hem de Zero Trust uzaktan erişim çözümleri, verileri iletim sırasında koruyabilir. Daha önemli soru, bir kullanıcının veya cihazın kimlik doğrulamasından sonra neye erişebileceğidir.

VPN genellikle ağ bağlantısını uzaktaki bir uç noktaya uzatır. Sıfır Güven Ağı Erişimi, erişim vermeden önce kullanıcıyı, cihazı, talep edilen uygulamayı ve mevcut durumu değerlendiren kaynak merkezli bir yaklaşım benimser. Birçok kuruluş için en iyi tasarım, toplam bir değişim değil, uygulama erişimi ile gerçek ağ erişimi arasında kasıtlı bir ayrım yapmaktır.

VPN nedir?

[A] Bir sanallaştırılmış özel ağ uzaktan bir cihaz ile bir VPN geçidi arasında şifreli bir tünel oluşturur; bu geçit, onaylı trafiği özel ağlara, alt ağlara veya hizmetlere yönlendirmeden önce bağlantıyı kimlik doğrulaması yapar.

Bir VPN'nin sınırsız erişim sağlaması gerekmese de, işletim modeli ağ odaklı kalır. Yöneticiler uygulayabilir:

  • çok faktörlü kimlik doğrulama
  • d cihaz sertifikaları
  • güvenlik duvarı kuralları
  • ağ segmentasyonu
  • a erişim kontrol listeleri

Yine de, uç nokta genellikle bir veya daha fazla iç kaynağa IP düzeyinde bir yol alır.

Bu model iyi bir şekilde kurulmuş olduğundan ve geniş bir protokol yelpazesini desteklediğinden, yöneticilerin geniş altyapı erişimine ihtiyaç duyduğu, uygulamaların dahili adreslemeye bağımlı olduğu veya iki sitenin trafiği güvenli bir şekilde değiştirmesi gerektiği durumlarda faydalı olmaya devam etmektedir.

Ana risk, VPN izinlerinin kullanıcının gerçekten ihtiyaç duyduğu şeylerin ötesine geçtiğinde ortaya çıkar. Örneğin, yalnızca bir muhasebe uygulamasına ihtiyaç duyan bir uzaktan çalışan, tüm finans alt ağına erişime ihtiyaç duymayabilir.

Sıfır Güven Uzaktan Erişim (ZTNA) nedir?

Genel kullanımda, Sıfır Güven uzaktan erişim genellikle Sıfır Güven Ağ Erişimi'ni veya ZTNA'yı ifade eder. ZTNA uygulanır Sıfır Güven ilkeleri bireysel bir uygulamaya, masaüstüne veya hizmete erişim vererek uzaktan bağlantı sağlamaya, genel ağ erişimini genişletmek yerine.

Karar birkaç sinyali dikkate alabilir:

  • Kullanıcı kimliği ve rolü
  • Cihaz sahipliği ve güvenlik durumu
  • Talep edilen kaynak
  • Erişim yeri ve zamanı
  • Kimlik doğrulama gücü
  • Oturum riski veya olağandışı davranış

NIST tanımlar. Sıfır Güven ağ konumuna dayalı örtük güveni ortadan kaldıran ve bireysel kaynakları açık kimlik doğrulama ve yetkilendirme yoluyla koruyan bir mimari olarak. ZTNA, bu ilkeyi uygulamanın bir yoludur, tüm Zero Trust mimarisi değildir.

Onaylanan bir talep sonrasında, kullanıcı yetkilendirilmiş kaynağa kontrollü bir erişim alır. Onaylanmamış sistemlerin uç noktadan görünür veya yönlendirilebilir hale gelmesi gerekmez. Politikalara göre risk değiştiğinde yeniden kimlik doğrulama, kısıtlı erişim veya oturum sonlandırma tetiklenebilir.

Sıfır Güven Uzaktan Erişim vs VPN: Ana Farklar

ZTNA ile VPN arasındaki fark, basitçe teknolojik olmaktan ziyade mimaridir. İyi bir şekilde segmentlere ayrılmış bir VPN oldukça kısıtlayıcı olabilirken, kötü yönetilen bir ZTNA dağıtımı hala aşırı erişim sağlayabilir.

Kriter VPN Sıfır Güven uzaktan erişim veya ZTNA
Erişim hedefi Ağ, alt ağ veya hizmet aralığı Belirli uygulama, masaüstü veya hizmet
Ana politika bağlamı Rotalar, IP adresleri, gruplar ve güvenlik duvarı kuralları Kimlik, cihaz, kaynak ve bağlamsal sinyaller
Ağ görünürlüğü Bağlantıdan sonra dahili hizmetlere erişilebilir hale gelebilir. Onaylanmamış kaynaklar keşfedilemez durumda kalabilir.
Kullanıcı iş akışı Tünel kurun, ardından kaynağı açın. Onaylı bir kaynağı doğrudan talep edin veya başlatın
En iyi uyum Ağ düzeyinde, eski ve site-siteden erişim Kullanıcılar ve üçüncü taraflar için uygulama düzeyinde erişim
Ana operasyonel ticaret dengesi Tanıdık ama genişleyebilir ve geçit ağırlıklı hale gelebilir. Granüler ama uygulama ve kimlik eşleştirmesi gerektirir

Güvenlik modeli

Geleneksel bir VPN, tünel kurulduğunda ana güven kararını verir. Modern platformlar, bu kararı koşullu erişim, uç nokta kontrolleri ve yeniden kimlik doğrulama ile güçlendirebilir, ancak oturum hala kullanıcıya ağ bağlantısını genişleterek başlar.

ZTNA, daha fazla kaynak odaklı bir yaklaşım benimser. Geçerli bir şifre ve ikinci faktör, her iç sisteme otomatik olarak erişim sağlamaz, çünkü politika ayrıca yönetilen bir cihaz, onaylı bir konum, belirli bir kullanıcı rolü veya talep edilen uygulamanın kullanılabilir hale gelmeden önce daha düşük riskli bir oturum gerektirebilir.

Bu daha dar erişim modeli, en az ayrıcalığı destekler ve kimlik bilgileri çalındığında maruz kalan sistem sayısını sınırlayabilir. Ancak, ZTNA hesap ele geçirme riskini ortadan kaldırmaz, çünkü bir saldırgan, ele geçirilen hesabın yetkilendirildiği herhangi bir uygulamayı hala kötüye kullanabilir.

Kullanıcı deneyimi

VPN kullanıcıları genellikle bir istemci açmak, tünelin bağlanmasını beklemek, kimlik doğrulama istemlerini tamamlamak ve ardından gerekli uygulamayı başlatmak zorundadır. DNS çakışmaları, bölünmüş tünel kuralları, kararsız yerel ağlar veya süresi dolmuş istemci yapılandırmaları sorunlara neden olduğunda, sonuç ek destek talepleri olabilir.

ZTNA, bu süreci yalnızca onaylı kaynakları bir portal, tarayıcı veya hafif istemci aracılığıyla sunarak basitleştirebilir. Kullanıcı, önce genel ağ erişimi almak yerine gerekli uygulamayı doğrudan başlatabilir.

Deneyim hala uygulamaya bağlıdır, çünkü bazı protokoller bir uç nokta ajanı gerektirir ve bazı eski uygulamalar bir uygulama proxy'si üzerinden iyi çalışmaz. Bu nedenle, göç etmeden önce BT ekipleri test etmelidir:

  • kimlik doğrulama
  • baskı
  • dosya transferi
  • · panoya kontrolleri
  • yeniden bağlantı davranışı

Ağ maruziyeti

Bir VPN geçidi, internete açık bir kenar hizmetidir, bu nedenle yamanmalı, izlenmeli ve korunmalıdır. Mevcut rotalara, segmentasyona ve güvenlik duvarı politikasına bağlı olarak, bağlı bir kullanıcı iç adresleri veya hizmetleri keşfedebilir.

ZTNA, kullanıcı ile uygulama arasında bir broker veya uygulama noktası yerleştirerek bu maruziyeti azaltabilir. Bu, uç noktanın onaylı kaynağa erişimini sağlar ve çevredeki ağa genel bir yol oluşturmaz.

Bu tasarım yan hareketi daha zor hale getirebilir, ancak bağlantı noktaları, kimlik sağlayıcıları, geçitler ve uygulama sunucularının hala güvence altına alınması gerekmektedir. CISA rehberliği uzaktan erişim yazılımlarını ve kenar cihazlarını MFA, yamanlama, günlükleme ve azaltılmış maruz kalma gerektiren yüksek değerli altyapı olarak da ele alır.

Performans

VPN tasarımları genellikle trafiği merkezi bir geçit veya veri merkezi üzerinden geri yönlendirir, bu da bir uzaktan kullanıcının merkezi ofis üzerinden bulut barındırılan bir uygulamaya bağlandığında gecikme ekleyebilir.

ZTNA, yetkilendirilmiş uygulamaya daha doğrudan bir yol sunabilir, özellikle de bağlantı noktaları veya hizmet noktaları kullanıcılar ve iş yüklerine yakın dağıtıldığında. Yine de, performans hala şuna bağlıdır:

  • denetim gereksinimleri
  • sağlayıcı mimarisi
  • bağlayıcı yerleştirme
  • internet kalitesi

Bir VPN, dahili veri merkezi iş yükleri veya yerel konsantratörlere sahip ortamlarda verimli kalabilir. Bir modelin her zaman daha hızlı olduğunu varsaymak yerine, BT ekipleri kendi ortamlarında uygulama yanıt sürelerini ve oturum kararlılığını karşılaştırmalıdır.

Yönetim

Ağ ekipleri, dağıtımı kolaylaştırabilecek VPN konsantratörleri, yönler, güvenlik duvarı kuralları ve erişim kontrol listeleri ile zaten tanıdıklar. Ancak zamanla, gruplar, alt ağlar ve istisnalar biriktiği için izinlerin gözden geçirilmesi daha zor hale gelebilir.

ZTNA, kullanıcıların, uygulamaların, cihaz gereksinimlerinin ve bağımlılıklarının daha net bir envanterini gerektirir. Yöneticiler, her kaynağa kimin ihtiyaç duyduğunu, hangi cihazları kullanabileceklerini ve erişimin hangi koşullar altında verilmesi gerektiğini tanımlamalıdır. Bu politika çalışması çaba gerektirse de, izinlerin doğrudan iş uygulamalarına haritalandığı için erişim incelemelerini daha anlamlı hale getirebilir.

Hangi model kullanılırsa kullanılsın, etkili yönetim, her kaynağa bir sahip atamaya, istisnaları belgelemeye ve ayrıcalıkları düzenli olarak gözden geçirmeye bağlıdır. Ne VPN ne de ZTNA, tutarlı bir operasyon disiplini olmadan güvenli kalır.

Maliyet

Bir VPN, bir kuruluşun zaten uyumlu bir güvenlik duvarı veya geçit altyapısına sahip olduğu durumlarda daha az maliyetli bir seçenek olabilir. Ancak, toplam maliyet hala şunları içerebilir:

  • koncentratör kapasitesi
  • yüksek kullanılabilirlik
  • müşteri desteği
  • bant genişliği
  • segmentasyon çalışması
  • devam eden kural bakımı

ZTNA, kullanıcı başına abonelikler, kimlik entegrasyonu, uç nokta ajanları, bağlantı noktaları ve göç çalışmaları getirebilir. Aynı zamanda, VPN geri yüklemesini azaltabilir, yüklenici erişimini basitleştirebilir ve geniş ağ bağlantısını desteklemenin maliyetini düşürebilir.

Bu nedenle, karşılaştırmanın yalnızca başlangıç ürün fiyatına odaklanmak yerine toplam sahip olma maliyetine odaklanması gerekir. BT ekipleri, lisanslama, altyapı, yardım masası çabası, politika yönetimi, kesinti riski ve kullanıcıların gerçekten ihtiyaç duyduğundan daha fazla erişim sağlama maliyetini dikkate almalıdır.

VPN Ne Zaman Hala Mantıklıdır?

Kullanıcılar veya sistemler gerçekten ağ düzeyinde bağlantıya ihtiyaç duyduğunda, daha kaynak-spesifik erişim modellerine doğru bir hareket olmasına rağmen, bir VPN doğru seçim olmaya devam etmektedir.

Birden fazla protokol, paylaşılan altyapı veya dahili ağlara doğrudan erişime bağımlı uygulamalar gerektiren durumlarda özellikle faydalıdır.

Yaygın örnekler şunlardır:

  • Ofisler, veri merkezleri veya bulut ağları arasında site-to-site bağlantı
  • Ağ sorun giderme ve paket düzeyinde yönetim
  • Kontrol edilen bir altyapı segmenti üzerinden birden fazla protokole erişim
  • Uygulama geçidi aracılığıyla yayımlanamayan eski uygulamalar
  • Geniş bağlantı gerektiren geliştirme, laboratuvar veya felaket kurtarma ortamları
  • T bölümlendirme ve izleme zaten olgunlaşmış ortamlarda geçici erişim

Bir VPN bu nedenle ne modası geçmiş ne de doğası gereği güvensizdir. Güvenliği, bağlantının ne kadar dikkatli bir şekilde yapılandırıldığına ve yönetildiğine bağlıdır; bu, kısıtlı yollar, güçlü kimlik doğrulama, düzenli geçit yamanması ve standart kullanıcılar ile ayrıcalıklı yöneticiler arasında net bir ayrım içerir.

Bu kontroller uygulandığında ve iş ihtiyacı gerçekten ağ odaklı olduğunda, bir VPN etkili ve pratik bir uzaktan erişim çözümü olarak kalabilir.

Sıfır Güven Ne Zaman Daha İyi Bir Seçimdir?

ZTNA, kullanıcıların daha geniş ağa değil, tanımlanmış bir uygulama setine erişim ihtiyaç duyduğunda genellikle daha güçlü bir seçimdir. Bu, uzaktan çalışanlar, yükleniciler, ortaklar ve erişim gereksinimleri tam olarak tanımlanabilen dış destek ekipleri için özellikle uygundur.

Örneğin, bir Zero Trust politikası, finans grubunun üyelerinin onaylı saatler içinde muhasebe uygulamasına erişmesine izin verebilir, sağlanan şartla yönetilen cihazlar ve çok faktörlü kimlik doğrulama kullanmalarıdır. Bu tür bir kural, finans alt ağına erişim izni veren geniş bir izni gözden geçirmekten daha kolaydır.

ZTNA, uygulamaların artık tek bir ofis sınırının arkasında yer almadığı dağıtılmış ve bulut odaklı ortamlara da iyi uyum sağlar. Erişim kararının merkezine kimlik ve kaynak politikasını yerleştirerek, model fiziksel bir ağ sınırından ziyade iş yükünü takip eder.

Orta bir yol var mı?

Evet. Her iş akışını tek bir teknoloji üzerinden zorlamak yerine, birçok kuruluş ZTNA ve VPN'i birlikte kullanabilir.

Standart çalışanlar ve yükleniciler, ZTNA veya güvenli bir uygulama portalı aracılığıyla uygulama düzeyinde erişim alabilirken, ağ yöneticileri IP düzeyinde bağlantı gerektiren görevler için sıkı bir şekilde kontrol edilen bir VPN veya ayrıcalıklı erişim geçidi bulundurur. Şube ofisleri site-to-site VPN'leri kullanmaya devam edebilir ve eski uygulamalar modernize edilene kadar kısıtlı VPN yollarında kalabilir. daha dar bir şekilde yayımlandı .

Aşamalı bir geçiş genellikle ani bir değişimden daha güvenlidir. BT ekipleri uzaktan iş akışları oluşturabilir, uygulama düzeyindeki gereksinimleri ağ düzeyindeki ihtiyaçlardan ayırabilir, kimlik kontrollerini güçlendirebilir, bir kapsayıcı uygulamayı pilot olarak deneyebilir ve yeni erişim yolunu doğruladıktan sonra ilgili VPN rotasını kaldırabilir.

TSplus Bu Resme Nasıl Uygun?

TSplus Gelişmiş Güvenlik Windows sunucularını ve uzaktan erişim ortamlarını korur. Bir VPN'i değiştirmek veya tam bir Zero Trust Network Access platformu olarak hareket etmek yerine, her iki erişim modelini güçlendirebilecek sunucu düzeyinde kontroller ekler.

Bu kontroller, kullanıcılar, cihazlar, konumlar ve bağlantı sürelerine dayalı kısıtlamalar eklerken, bir VPN'in arkasındaki Windows sunucularını koruyabilir. Daha geniş bir güvenlik mimarisinin parçası olarak birkaç Sıfır Güven ilkesini desteklerler.

Brute-Force ve Kötü Amaçlı IP Koruması

Internet'e açık kimlik doğrulama hizmetleri, şifre tahmin saldırıları ve otomatik ağ taramaları için sık hedeflerdir. Çözümümüz, başarısız Windows oturum açma girişimlerini izler ve yapılandırılmış eşik aşıldığında, kaynak IP adresini otomatik olarak kara listeye alabilir.

Hacker IP Koruması, kötü amaçlı yazılımlar, botnetler, çevrimiçi saldırılar ve diğer kötü niyetli faaliyetlerle ilişkilendirilmiş adreslerin güncellenmiş bir listesini tutarak bu savunmayı güçlendirir. Yöneticiler ayrıca, istenmeyen trafiğin açığa çıkmış bir Windows hizmetine ulaşmadan önce durdurulmasına yardımcı olmak için güvenlik duvarı kuralları aracılığıyla izin verilen ve engellenen adresleri yönetebilir.

Coğrafi ve Bağlamsal Erişim Kısıtlamaları

Coğrafi Koruma, yöneticilerin erişimi kaynak ülkeye veya IP adresine göre kontrol etmelerini sağlar. Onlar, onaylı ülkelere, özel adreslere ve özellikle beyaz listeye alınmış IP aralıklarına bağlantıları sınırlayabilirler; bu, meşru kullanıcıların tahmin edilebilir konumlardan bağlandığında faydalıdır.

Çalışma Saatleri, kullanıcılar ve gruplar için zaman tabanlı kontroller ekler, yöneticilerin oturumların ne zaman açılabileceğini tanımlamasına ve beklenen çalışma süreleri dışında hesap kullanılabilirliğini azaltmasına olanak tanır. Güvenilir Cihazlar, bağlantı yöntemi cihaz kimliğini desteklediğinde onaylı uç noktalara bağlantıları daha da sınırlayabilir.

Bu kontroller, Sıfır Güven stratejilerinde kullanılan bağlamsal kontrolleri andırmaktadır. Ancak, konum, zaman ve cihaz bilgisi, bir bağlantının güvenilir olduğunu kanıtlayan kesin bir delil yerine destekleyici sinyaller olarak kalmalıdır.

Ayrıntılı İzinler ve Güvenli Oturumlar

Çözümümüz, kullanıcı ve grup ayrıcalıklarını gözden geçirme ve yönetme için izin kontrollerini içerir. Yöneticiler, korunan Windows sunucusundaki dosyalara, klasörlere, kayıt defteri nesnelerine ve yazıcılara erişimi kısıtlayabilir.

Güvenli Oturumlar, belirli kullanıcılar ve gruplar için farklı güvenlik seviyeleri uygulayabilir. Birlikte, bu özellikler, bir bağlı hesabın kimlik doğrulamasından sonra erişebileceği veya değiştirebileceği şeyleri azaltır.

Bu sunucu düzeyindeki en az ayrıcalık yaklaşımı, ele geçirilmiş bir hesabın etkisini sınırlayabilir. Ancak, bu genellikle ağ bağlantısı kurulmadan önce bireysel uygulamalara veya hizmetlere erişimi aracılık eden bir ZTNA politika motoruna eşdeğer değildir.

Fidye Yazılımı Koruma

Çözümümüz, fidye yazılımı ile ilişkili davranışlar için sunucu etkinliğini izler. Şüpheli dosya etkinliğini tespit etmek ve potansiyel fidye yazılımı belirlendiğinde yanıt vermek için statik göstergeleri davranışsal analizle birleştirir.

Bu koruma, uzaktan kullanıcıların paylaşılan belgeleri açabileceği veya sunucu depolamasına yazabileceği durumlarda özellikle önemlidir. Geçerli bir hesabın hala kötü amaçlı yazılımları çalıştırmak için kötüye kullanılabileceği nedeniyle, bağlantıyı güvence altına almak tek başına yeterli değildir.

Ransomware koruması bu nedenle, bunların yerini almak yerine, test edilmiş çevrimdışı yedeklemeleri, yaman yönetimini, uç nokta korumasını ve olay müdahale prosedürlerini tamamlamalıdır.

Güvenlik Duvarı Kontrolleri, Olaylar ve Uyarılar

TSplus Gelişmiş Güvenlik Windows Güvenlik Duvarı veya entegre güvenlik duvarı aracılığıyla engelleme kurallarını uygulayabilir. Yöneticiler, düşmanca adresleri engelleyebilir, beyaz listeyi sürdürebilir ve Ağ Güvenliği arayüzünden ağ kısıtlamalarını gözden geçirebilir.

Gösterge paneli ayrıca son güvenlik olaylarını görüntülerken, yapılandırılabilir uyarılar, seçilen olaylar gerçekleştiğinde yöneticileri e-posta, SMS veya Microsoft Teams ile bilgilendirebilir. Birlikte, bu özellikler engellenen bağlantılar ve araştırma gerektirebilecek diğer etkinlikler hakkında görünürlük sağlar.

İzleme, hem VPN hem de Sıfır Güven ortamlarında hayati önem taşımaktadır. Önleyici kontroller riski azaltabilir, ancak BT ekipleri, erişim gereksinimleri değiştikçe uyarıları gözden geçirmeye, olağandışı davranışları araştırmaya ve politikaları geliştirmeye devam etmelidir.

Sonuç

Sıfır Güven uzaktan erişim ile bir VPN arasındaki temel fark, güvenin kapsamı ve zamanlamasıdır. Bir VPN genellikle bir kullanıcı veya cihazı kimlik doğruladıktan sonra şifreli bir ağ yolu oluşturur. ZTNA, kimlik, cihaz ve bağlamsal koşulları değerlendirerek belirli bir kaynağa erişim izni verir.

Bir VPN, site-to-site bağlantılar, ağ yönetimi, eski protokoller ve IP düzeyinde bağlantı gerektiren iş yükleri için uygundur. ZTNA genellikle yalnızca belirli uygulamalara veya hizmetlere ihtiyaç duyan çalışanlar, yükleniciler ve ortaklar için daha uygundur.

Birçok kuruluş, iki yaklaşımın birleştirilmesinden fayda sağlayacaktır. Uygulama düzeyinde erişim ZTNA'ya doğru ilerleyebilirken, kısıtlı VPN bağlantıları gerçekten ağ erişimi gerektiren iş akışları için mevcut kalmaya devam etmektedir. Hangi model seçilirse seçilsin, güçlü kimlik doğrulama, en az ayrıcalık, segmentasyon, sunucu sertleştirme ve sürekli izleme gerekli olmaya devam etmektedir.

Daha fazla okuma

back to top of the page icon