Giới thiệu
Truy cập từ xa an toàn không còn là sự lựa chọn giữa các kết nối được mã hóa và không được mã hóa. Cả giải pháp VPN hiện đại và truy cập từ xa Zero Trust đều có thể bảo vệ dữ liệu trong quá trình truyền tải. Câu hỏi quan trọng hơn là người dùng hoặc thiết bị có thể truy cập gì sau khi xác thực.
Một VPN thường mở rộng khả năng kết nối mạng đến một điểm cuối từ xa. Truy cập mạng Zero Trust áp dụng cách tiếp cận tập trung vào tài nguyên, đánh giá người dùng, thiết bị, ứng dụng được yêu cầu và ngữ cảnh hiện tại trước khi cấp quyền truy cập. Đối với nhiều tổ chức, thiết kế tốt nhất không phải là một sự thay thế hoàn toàn mà là một sự phân chia có chủ đích giữa truy cập ứng dụng và truy cập mạng thực sự.
VPN là gì?
[A] Một mạng riêng ảo tạo một đường hầm mã hóa giữa một thiết bị từ xa và một cổng VPN, xác thực kết nối trước khi định tuyến lưu lượng được phê duyệt đến các mạng riêng, các subnet hoặc dịch vụ.
Mặc dù VPN không nhất thiết phải cung cấp quyền truy cập không giới hạn, nhưng mô hình hoạt động của nó vẫn hướng đến mạng. Các quản trị viên có thể áp dụng:
- xác thực đa yếu tố
- d chứng chỉ thiết bị
- quy tắc tường lửa
- phân đoạn mạng
- a danh sách kiểm soát truy cập
Tuy nhiên, điểm cuối thường vẫn sẽ nhận được một đường dẫn cấp IP đến một hoặc nhiều tài nguyên nội bộ.
Bởi vì mô hình này đã được thiết lập tốt và hỗ trợ nhiều giao thức, nó vẫn hữu ích khi các quản trị viên cần truy cập hạ tầng rộng rãi, các ứng dụng phụ thuộc vào địa chỉ nội bộ, hoặc hai địa điểm cần trao đổi lưu lượng một cách an toàn.
Rủi ro chính phát sinh khi quyền VPN mở rộng vượt quá những gì người dùng thực sự cần. Ví dụ, một nhân viên làm việc từ xa chỉ cần một ứng dụng kế toán có thể không cần truy cập vào toàn bộ mạng tài chính.
Zero Trust Remote Access (ZTNA) là gì?
Trong cách sử dụng thông thường, truy cập từ xa Zero Trust thường đề cập đến Truy cập Mạng Zero Trust, hoặc ZTNA. ZTNA áp dụng Nguyên tắc Zero Trust để kết nối từ xa bằng cách cấp quyền truy cập vào một ứng dụng, máy tính để bàn hoặc dịch vụ cụ thể thay vì mở rộng quyền truy cập mạng chung.
Quyết định có thể xem xét một số tín hiệu:
- Danh tính người dùng và vai trò
- Quyền sở hữu thiết bị và tư thế bảo mật
- Tài nguyên đã yêu cầu
- Địa điểm và thời gian truy cập
- Mức độ xác thực
- Rủi ro phiên hoặc hành vi bất thường
NIST mô tả Không tin tưởng tuyệt đối như một kiến trúc loại bỏ niềm tin ngầm dựa trên vị trí mạng và bảo vệ các tài nguyên cá nhân thông qua xác thực và ủy quyền rõ ràng. ZTNA là một cách để áp dụng nguyên tắc đó, không phải toàn bộ kiến trúc Zero Trust.
Sau khi yêu cầu được phê duyệt, người dùng nhận được một đường dẫn được kiểm soát đến tài nguyên được ủy quyền. Các hệ thống không được phê duyệt không cần phải trở nên hiển thị hoặc có thể định tuyến từ điểm cuối. Các chính sách cũng có thể kích hoạt xác thực lại, hạn chế quyền truy cập hoặc kết thúc phiên khi rủi ro thay đổi.
Zero Trust Remote Access so với VPN: Sự khác biệt chính
Sự khác biệt giữa ZTNA và VPN là về kiến trúc chứ không chỉ đơn thuần là công nghệ. Một VPN được phân đoạn tốt có thể rất hạn chế, trong khi một triển khai ZTNA được quản lý kém vẫn có thể cấp quyền truy cập quá mức.
| Tiêu chí | VPN | Truy cập từ xa Zero Trust hoặc ZTNA |
|---|---|---|
| Truy cập mục tiêu | Mạng, dải con hoặc dải dịch vụ | Ứng dụng cụ thể, máy tính để bàn hoặc dịch vụ |
| Bối cảnh chính sách chính | Các tuyến đường, địa chỉ IP, nhóm và quy tắc tường lửa | Danh tính, thiết bị, tài nguyên và tín hiệu ngữ cảnh |
| Tính khả thi của mạng | Dịch vụ nội bộ có thể trở nên khả dụng sau khi kết nối. | Tài nguyên không được phê duyệt có thể vẫn không bị phát hiện. |
| Luồng công việc của người dùng | Thiết lập đường hầm, sau đó mở tài nguyên | Yêu cầu hoặc khởi động một tài nguyên đã được phê duyệt trực tiếp |
| Phù hợp nhất | Truy cập cấp mạng, di sản và từ site đến site | Truy cập cấp ứng dụng cho người dùng và bên thứ ba |
| Thỏa hiệp chính trong hoạt động | Quen thuộc nhưng có thể trở nên rộng rãi và nặng về cổng. | Chi tiết nhưng yêu cầu phải có bản đồ ứng dụng và danh tính |
Mô hình bảo mật
Một VPN truyền thống đưa ra quyết định tin cậy chính khi đường hầm được thiết lập. Các nền tảng hiện đại có thể củng cố quyết định đó bằng cách sử dụng truy cập có điều kiện, kiểm tra điểm cuối và xác thực lại, nhưng phiên làm việc vẫn bắt đầu bằng cách mở rộng khả năng kết nối mạng cho người dùng.
ZTNA áp dụng cách tiếp cận tập trung vào tài nguyên hơn. Một mật khẩu hợp lệ và yếu tố thứ hai không tự động cung cấp quyền truy cập vào mọi hệ thống nội bộ, vì chính sách cũng có thể yêu cầu một thiết bị được quản lý, một vị trí được phê duyệt, một vai trò người dùng cụ thể hoặc một phiên làm việc có rủi ro thấp hơn trước khi cung cấp ứng dụng được yêu cầu.
Mô hình truy cập hẹp hơn này hỗ trợ quyền tối thiểu và có thể giới hạn số lượng hệ thống bị lộ nếu thông tin đăng nhập bị đánh cắp. Tuy nhiên, ZTNA không loại bỏ rủi ro bị xâm phạm tài khoản, vì kẻ tấn công vẫn có thể lạm dụng bất kỳ ứng dụng nào mà tài khoản bị xâm phạm được phép mở.
Trải nghiệm người dùng
Người dùng VPN thường cần mở một ứng dụng khách, chờ kết nối đường hầm, hoàn thành các yêu cầu xác thực và sau đó khởi động ứng dụng cần thiết. Khi xung đột DNS, quy tắc phân tách đường hầm, mạng cục bộ không ổn định hoặc cấu hình khách hết hạn gây ra vấn đề, kết quả có thể là các yêu cầu hỗ trợ bổ sung.
ZTNA có thể đơn giản hóa quy trình này bằng cách chỉ trình bày các tài nguyên được phê duyệt thông qua một cổng, trình duyệt hoặc ứng dụng khách nhẹ. Thay vì nhận quyền truy cập mạng chung trước, người dùng có thể khởi động ứng dụng cần thiết trực tiếp.
Trải nghiệm vẫn phụ thuộc vào việc triển khai, vì một số giao thức yêu cầu một tác nhân đầu cuối và một số ứng dụng kế thừa không hoạt động tốt qua một proxy ứng dụng. Do đó, trước khi di chuyển, các nhóm CNTT nên thử nghiệm:
- xác thực
- in ấn
- chuyển file
- · các điều khiển clipboard
- hành vi kết nối lại
Phơi bày mạng
Một cổng VPN là một dịch vụ biên hướng ra internet, vì vậy nó phải được vá, giám sát và bảo vệ. Tùy thuộc vào các tuyến đường, phân đoạn và chính sách tường lửa hiện có, một người dùng kết nối cũng có thể phát hiện ra các địa chỉ hoặc dịch vụ nội bộ.
ZTNA có thể giảm thiểu sự tiếp xúc này bằng cách đặt một trung gian hoặc điểm thực thi giữa người dùng và ứng dụng. Điều này cho phép điểm cuối truy cập vào tài nguyên đã được phê duyệt mà không tạo ra một lộ trình chung vào mạng xung quanh.
Mặc dù thiết kế này có thể làm cho việc di chuyển ngang trở nên khó khăn hơn, nhưng các bộ kết nối, nhà cung cấp danh tính, cổng và máy chủ ứng dụng vẫn cần được bảo mật. Hướng dẫn CISA cũng coi phần mềm truy cập từ xa và các thiết bị biên là cơ sở hạ tầng có giá trị cao cần MFA, vá lỗi, ghi nhật ký và giảm thiểu tiếp xúc.
Hiệu suất
Thiết kế VPN thường chuyển tiếp lưu lượng qua một cổng trung tâm hoặc trung tâm dữ liệu, điều này có thể làm tăng độ trễ khi một người dùng từ xa kết nối qua trụ sở chính để truy cập một ứng dụng được lưu trữ trên đám mây.
ZTNA có thể cung cấp một con đường trực tiếp hơn đến ứng dụng được ủy quyền, đặc biệt khi các kết nối hoặc điểm dịch vụ được phân phối gần với người dùng và khối lượng công việc. Tuy nhiên, hiệu suất vẫn phụ thuộc vào:
- các yêu cầu kiểm tra
- kiến trúc nhà cung cấp
- vị trí kết nối
- chất lượng internet
Một VPN có thể duy trì hiệu quả cho các khối lượng công việc trong trung tâm dữ liệu nội bộ hoặc các môi trường có bộ tập trung địa phương. Thay vì giả định rằng một mô hình luôn nhanh hơn, các nhóm CNTT nên so sánh thời gian phản hồi ứng dụng và độ ổn định phiên trong môi trường của họ.
Quản lý
Các nhóm mạng đã quen thuộc với các bộ tập trung VPN, các tuyến đường, quy tắc tường lửa và danh sách kiểm soát truy cập, điều này có thể làm cho việc triển khai trở nên dễ dàng hơn. Tuy nhiên, theo thời gian, các quyền có thể trở nên khó xem xét hơn khi các nhóm, subnet và ngoại lệ tích lũy.
ZTNA yêu cầu một danh sách rõ ràng hơn về người dùng, ứng dụng, yêu cầu thiết bị và các phụ thuộc. Các quản trị viên phải xác định ai cần mỗi tài nguyên, thiết bị nào họ có thể sử dụng và trong điều kiện nào quyền truy cập nên được cấp. Mặc dù công việc chính sách này đòi hỏi nỗ lực, nhưng nó có thể làm cho việc xem xét quyền truy cập trở nên có ý nghĩa hơn vì các quyền được ánh xạ trực tiếp đến các ứng dụng kinh doanh.
Dù mô hình nào được sử dụng, việc quản lý hiệu quả phụ thuộc vào việc chỉ định một người sở hữu cho mỗi tài nguyên, ghi chép các ngoại lệ và xem xét quyền truy cập một cách thường xuyên. Cả VPN lẫn ZTNA đều không an toàn nếu không có kỷ luật vận hành nhất quán.
Chi phí
Một VPN có thể là lựa chọn ít tốn kém hơn khi một tổ chức đã sở hữu hạ tầng tường lửa hoặc cổng tương thích. Tuy nhiên, tổng chi phí vẫn có thể bao gồm:
- công suất bộ tập trung
- tính sẵn sàng cao
- hỗ trợ khách hàng
- băng thông
- công việc phân đoạn
- bảo trì quy tắc đang diễn ra
ZTNA có thể giới thiệu các gói đăng ký theo người dùng, tích hợp danh tính, tác nhân điểm cuối, bộ kết nối và công việc di chuyển. Đồng thời, nó có thể giảm bớt băng thông VPN, đơn giản hóa quyền truy cập của nhà thầu và giảm chi phí hỗ trợ kết nối mạng rộng.
Vì lý do này, sự so sánh nên tập trung vào tổng chi phí sở hữu thay vì chỉ giá sản phẩm ban đầu. Các đội ngũ CNTT nên xem xét giấy phép, hạ tầng, nỗ lực hỗ trợ, quản lý chính sách, rủi ro thời gian ngừng hoạt động và chi phí cấp quyền truy cập nhiều hơn mức người dùng thực sự cần.
Khi nào VPN vẫn có ý nghĩa?
Mặc dù có xu hướng chuyển sang các mô hình truy cập cụ thể hơn về tài nguyên, VPN vẫn là lựa chọn đúng đắn khi người dùng hoặc hệ thống thực sự cần kết nối ở cấp độ mạng.
Nó đặc biệt hữu ích khi yêu cầu liên quan đến nhiều giao thức, hạ tầng chia sẻ hoặc các ứng dụng phụ thuộc vào việc truy cập trực tiếp vào các mạng nội bộ.
Các ví dụ phổ biến bao gồm:
- Kết nối giữa các văn phòng, trung tâm dữ liệu hoặc mạng đám mây
- Khắc phục sự cố mạng và quản trị cấp gói
- Truy cập vào nhiều giao thức qua một phân đoạn hạ tầng được kiểm soát
- Các ứng dụng kế thừa không thể được phát hành thông qua cổng ứng dụng
- Môi trường phát triển, phòng thí nghiệm hoặc phục hồi sau thảm họa cần kết nối rộng rãi
- T truy cập tạm thời trong các môi trường mà phân đoạn và giám sát đã trưởng thành
VPN do đó không lỗi thời cũng không tự nó không an toàn. Bảo mật của nó phụ thuộc vào cách cấu hình và quản lý kết nối một cách cẩn thận, bao gồm các tuyến đường hạn chế, xác thực mạnh, cập nhật thường xuyên cổng và phân tách rõ ràng giữa người dùng tiêu chuẩn và quản trị viên có quyền hạn.
Khi các biện pháp kiểm soát này được thực hiện và nhu cầu kinh doanh thực sự hướng đến mạng, một VPN có thể vẫn là một giải pháp truy cập từ xa hiệu quả và thực tiễn.
Khi nào Zero Trust là sự lựa chọn tốt hơn?
ZTNA thường là lựa chọn mạnh mẽ hơn khi người dùng cần truy cập vào một tập hợp ứng dụng xác định thay vì mạng lưới rộng hơn. Điều này làm cho nó đặc biệt phù hợp cho nhân viên làm việc từ xa, nhà thầu, đối tác và các nhóm hỗ trợ bên ngoài có yêu cầu truy cập có thể được mô tả một cách chính xác.
Ví dụ, một chính sách Zero Trust có thể cho phép các thành viên của nhóm tài chính truy cập ứng dụng kế toán trong giờ đã được phê duyệt, với điều kiện họ sử dụng các thiết bị được quản lý và xác thực đa yếu tố. Loại quy tắc này dễ dàng hơn để xem xét so với một quyền truy cập rộng rãi cho phép truy cập vào subnet tài chính.
ZTNA cũng rất phù hợp với các môi trường phân tán và định hướng đám mây, nơi các ứng dụng không còn nằm sau một ranh giới văn phòng duy nhất. Bằng cách đặt chính sách danh tính và tài nguyên ở trung tâm của quyết định truy cập, mô hình này theo dõi khối lượng công việc thay vì một ranh giới mạng vật lý.
Có một điểm chung nào không?
Có. Thay vì buộc mọi quy trình làm việc thông qua một công nghệ duy nhất, nhiều tổ chức có thể sử dụng ZTNA và VPN cùng nhau.
Nhân viên tiêu chuẩn và nhà thầu có thể nhận quyền truy cập cấp ứng dụng thông qua ZTNA hoặc một cổng ứng dụng an toàn, trong khi các quản trị viên mạng giữ một VPN được kiểm soát chặt chẽ hoặc cổng truy cập đặc quyền cho các nhiệm vụ yêu cầu kết nối cấp IP. Các văn phòng chi nhánh có thể tiếp tục sử dụng VPN kết nối giữa các trang, và các ứng dụng kế thừa có thể vẫn trên các tuyến VPN hạn chế cho đến khi chúng được hiện đại hóa hoặc được xuất bản một cách hẹp hơn .
Một quá trình chuyển đổi từng bước thường an toàn hơn so với việc thay thế đột ngột. Các nhóm CNTT có thể phát triển các quy trình làm việc từ xa, tách biệt các yêu cầu ở cấp độ ứng dụng khỏi các nhu cầu ở cấp độ mạng, củng cố các kiểm soát danh tính, thử nghiệm một ứng dụng được kiểm soát và chỉ xóa đường dẫn VPN tương ứng sau khi xác thực được đường dẫn truy cập mới.
TSplus phù hợp với bức tranh như thế nào?
TSplus Advanced Security bảo vệ các máy chủ Windows và môi trường truy cập từ xa. Thay vì thay thế một VPN hoặc hoạt động như một nền tảng Truy cập Mạng Không Tin Cậy hoàn chỉnh, nó bổ sung các kiểm soát cấp máy chủ có thể tăng cường bất kỳ mô hình truy cập nào.
Các điều khiển này có thể bảo vệ các máy chủ Windows phía sau một VPN trong khi thêm các hạn chế dựa trên người dùng, thiết bị, vị trí và thời gian kết nối. Chúng hỗ trợ một số nguyên tắc Zero Trust như một phần của kiến trúc bảo mật rộng hơn.
Bảo vệ chống lại IP độc hại và tấn công Brute-Force
Các dịch vụ xác thực hướng ra Internet thường là mục tiêu của các cuộc tấn công đoán mật khẩu và quét mạng tự động. Giải pháp của chúng tôi giám sát các nỗ lực đăng nhập Windows không thành công và có thể tự động đưa địa chỉ IP nguồn vào danh sách đen khi đạt đến ngưỡng đã cấu hình.
Bảo vệ IP của Hacker củng cố sự phòng thủ này với một danh sách duy trì các địa chỉ liên quan đến phần mềm độc hại, botnet, tấn công trực tuyến và các hoạt động độc hại khác. Các quản trị viên cũng có thể quản lý các địa chỉ được phép và bị chặn thông qua các quy tắc tường lửa, giúp ngăn chặn lưu lượng không mong muốn trước khi nó đến một dịch vụ Windows bị lộ.
Hạn chế truy cập theo địa lý và ngữ cảnh
Bảo vệ địa lý cho phép quản trị viên kiểm soát quyền truy cập theo quốc gia hoặc địa chỉ IP xuất phát. Họ có thể giới hạn các kết nối đến các quốc gia được phê duyệt, địa chỉ riêng và các dải IP được đưa vào danh sách trắng cụ thể, điều này rất hữu ích khi người dùng hợp pháp kết nối từ các vị trí có thể dự đoán.
Giờ làm việc thêm các điều khiển dựa trên thời gian cho người dùng và nhóm, cho phép quản trị viên xác định khi nào các phiên có thể được mở và giảm khả năng truy cập tài khoản ngoài các khoảng thời gian làm việc dự kiến. Thiết bị tin cậy có thể hạn chế thêm các kết nối đến các điểm cuối được phê duyệt khi phương thức kết nối hỗ trợ xác định thiết bị.
Những kiểm tra này giống như các kiểm soát ngữ cảnh được sử dụng trong các chiến lược Zero Trust. Tuy nhiên, thông tin về vị trí, thời gian và thiết bị nên giữ vai trò là các tín hiệu hỗ trợ thay vì bằng chứng xác định rằng một kết nối là đáng tin cậy.
Quyền truy cập chi tiết và Phiên làm việc an toàn
Giải pháp của chúng tôi bao gồm các kiểm soát quyền để xem xét và quản lý quyền của người dùng và nhóm. Các quản trị viên có thể hạn chế quyền truy cập vào các tệp, thư mục, đối tượng registry và máy in trên máy chủ Windows được bảo vệ.
Các phiên làm việc an toàn sau đó có thể áp dụng các mức độ bảo mật khác nhau cho người dùng và nhóm cụ thể. Cùng nhau, những tính năng này giảm thiểu những gì một tài khoản đã kết nối có thể truy cập hoặc sửa đổi sau khi xác thực.
Cách tiếp cận quyền hạn tối thiểu ở cấp máy chủ này có thể hạn chế tác động của một tài khoản bị xâm phạm. Tuy nhiên, nó không tương đương với một động cơ chính sách ZTNA, thường làm trung gian truy cập vào các ứng dụng hoặc dịch vụ riêng lẻ trước khi thiết lập kết nối mạng.
Bảo vệ chống Ransomware
Giải pháp của chúng tôi giám sát hoạt động của máy chủ để phát hiện hành vi liên quan đến ransomware. Nó kết hợp các chỉ số tĩnh với phân tích hành vi để phát hiện hoạt động tệp đáng ngờ và phản ứng khi ransomware tiềm năng được xác định.
Bảo vệ này đặc biệt quan trọng khi người dùng từ xa có thể mở tài liệu chia sẻ hoặc ghi vào bộ nhớ máy chủ. Bởi vì một tài khoản hợp lệ vẫn có thể bị lạm dụng để chạy phần mềm độc hại, việc bảo mật kết nối một mình là không đủ.
Bảo vệ chống ransomware do đó nên bổ sung cho các bản sao lưu ngoại tuyến đã được kiểm tra, quản lý bản vá, bảo vệ điểm cuối và các quy trình phản ứng sự cố thay vì thay thế chúng.
Kiểm soát Tường lửa, Sự kiện và Cảnh báo
TSplus Advanced Security có thể thực thi các quy tắc chặn thông qua Tường lửa Windows hoặc tường lửa tích hợp của nó. Các quản trị viên có thể chặn các địa chỉ thù địch, duy trì danh sách trắng và xem xét các hạn chế mạng từ giao diện Bảo mật Nâng cao.
Bảng điều khiển cũng hiển thị các sự kiện bảo mật gần đây, trong khi các cảnh báo có thể cấu hình có thể thông báo cho các quản trị viên qua email, SMS hoặc Microsoft Teams khi các sự kiện được chọn xảy ra. Cùng nhau, những tính năng này cung cấp cái nhìn về các kết nối bị chặn và các hoạt động khác có thể cần điều tra.
Giám sát vẫn là điều cần thiết trong cả môi trường VPN và Zero Trust. Các biện pháp kiểm soát phòng ngừa có thể giảm thiểu rủi ro, nhưng các nhóm CNTT phải tiếp tục xem xét các cảnh báo, điều tra hành vi bất thường và tinh chỉnh các chính sách khi yêu cầu truy cập thay đổi.
Kết luận
Sự khác biệt chính giữa truy cập từ xa Zero Trust và VPN là phạm vi và thời điểm của sự tin cậy. VPN thường tạo ra một đường dẫn mạng được mã hóa sau khi xác thực người dùng hoặc thiết bị. ZTNA cấp quyền truy cập vào một tài nguyên cụ thể sau khi đánh giá danh tính, thiết bị và các điều kiện ngữ cảnh.
VPN vẫn phù hợp cho các kết nối giữa các trang, quản lý mạng, các giao thức cũ và khối lượng công việc yêu cầu kết nối ở cấp độ IP. ZTNA thường phù hợp hơn cho nhân viên, nhà thầu và đối tác chỉ cần các ứng dụng hoặc dịch vụ được chọn.
Nhiều tổ chức sẽ hưởng lợi từ việc kết hợp hai phương pháp này. Truy cập ở cấp độ ứng dụng có thể tiến tới ZTNA, trong khi các kết nối VPN hạn chế vẫn có sẵn cho các quy trình làm việc thực sự cần truy cập mạng. Dù mô hình nào được chọn, xác thực mạnh, quyền hạn tối thiểu, phân đoạn, tăng cường máy chủ và giám sát liên tục vẫn là cần thiết.