Контакты
Подписка 2022
МЕНЮ
Контакты
Подписка

Почему технология Zero Trust важна для безопасности и производительности удаленного персонала?

Антон Тихонов, 31/08/21

В современных условиях трансформации бизнеса и роста числа удаленных сотрудников, которым требуется доступ к корпоративным ресурсам, в целях обеспечения безопасности организации необходимо следовать принципу нулевого доверия.

Автор: Антон Тихонов, технический менеджер решений McAfee Enterprise

Границы осуществления деятельности современной организации размываются, персонал становится все более распределенным. На фоне роста числа приложений, а также перемещения рабочих нагрузок и данных в облако специалисты по безопасности должны обеспечивать непрерывность бизнес-процессов, решая при этом целый ряд разнообразных задач и сложных вопросов.

В последнее десятилетие использование облачных приложений по модели "ПО как услуга" (SaaS) стало практически повсеместным, однако большинство организаций по-прежнему выполняют основной объем задач с помощью частных приложений, размещенных в ЦОД или средах IaaS ("инфраструктура как услуга"). Сегодня в качестве простого и быстрого решения для доступа удаленных пользователей к конфиденциальным внутренним программам и данным используются виртуальные частные сети (Virtual Private Networks, VPN). Однако, поскольку удаленная работа становится новой нормой, а организации переходят на преимущественно облачные развертывания, сети VPN с трудом справляются с задачей обеспечения надежных подключений внутри инфраструктур, для которых изначально они не были предназначены. В результате возникают проблемы с пропускной способностью, производительностью и масштабированием. Сети VPN также создают риск чрезмерной уязвимости данных, потому что любой удаленный пользователь с действительными логином и паролем может получить полный доступ к внутренней корпоративной сети и пользоваться всеми ее ресурсами.

Новое решение перечисленных выше задач – сетевой доступ с нулевым доверием (Zero Trust Network Access, ZTNA [1]). ZTNA запрещает доступ к частным приложениям без подтверждения личности пользователя, который может действовать как внутри корпоративного периметра, так и за его пределами. Кроме того, в отличие от подхода с чрезмерным "безусловным" уровнем доверия сетей VPN, решения ZTNA предоставляют прямой доступ к конкретным приложениям с минимальными привилегиями на основе данных авторизации пользователя.

Прямые подключения к приложениям

Решение ZTNA поддерживает простой доступ к частным приложениям в облаке или ЦОД. Этот подход исключает перенаправление трафика на корпоративные серверы, тем самым снижая сетевые задержки, улучшая пользовательский опыт и производительность сотрудников.

Четко обозначенные политики на основе данных идентификации

ZTNA дает возможность применить к частным приложениям детальные политики доступа, учитывающие личность пользователя и контекст обращения. Исключая безусловное доверие на основе нескольких факторов, таких как пользователи, устройства и сетевое расположение, решение ZTNA надежно защищает организации от внутренних и внешних угроз.

Доступ с минимальными привилегиями

Система ZTNA выполняет микросегментацию сетей для построения программно-определяемых периметров и предоставляет доступ с минимальными привилегиями не ко всей сети, а к конкретным приложениям. Это исключает чрезмерную доступность сервисов и несанкционированное обращение к данным. Микросегментация также значительно уменьшает площадь кибератак и предотвращает их горизонтальное распространение в случае взлома сети.

Маскировка приложений

ZTNA "прячет" частные приложения за защищенными шлюзами так, что для доступа к ним не придется открывать входящие порты брандмауэра. В результате создается виртуальная "теневая" сеть: ее приложения нельзя найти в публичном Интернете, поэтому они будут защищены от хищения данных, вредоносного ПО и DDoS-атак.

Достаточно ли защитить только доступ? А что насчет защиты данных?

Хотя решения ZTNA часто представляют как замену VPN, у большинства из них есть тот же недостаток, что и у виртуальных частных сетей, – отсутствие контроля данных и учета рисков. Системы ZTNA первого поколения были полностью сосредоточены на решении задачи доступа, а средства защиты данных и предотвращения угроз в них не предусматривались. Поскольку повсеместный контроль данных и оценка рисков являются ключевыми характеристиками фреймворка SASE, этот недостаток очень существенен, особенно если учесть объемы трафика, которым обмениваются пользователи и частные приложения.

Кроме того, поскольку сотрудники все чаще используют для работы персональные устройства с подключением через небезопасные удаленные сети, значительно увеличивается поверхность угроз – риск уязвимости и утечки конфиденциальных данных – из-за отсутствия инструментов защиты конечных устройств, облака и сети.

Для устранения этих проблем необходимо усовершенствовать решения ZTNA, усилив возможности доступа с нулевым доверием функциями централизованного мониторинга и оценки безопасности устройств, а также интегрированными средствами защиты данных и предотвращения угроз.


  1. https://www.mcafee.com/enterprise/en-us/security-awareness/cloud/what-is-ztna.html 
Темы:Защита сетейZero TrustZTNAЖурнал "Информационная безопасность" №4, 2021

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2021
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ

More...