Контакты
Подписка 2021
МЕНЮ
Контакты
Подписка

От VPN к ZTNA – эволюция безопасной удаленной работы

Сергей Забула, 29/07/21

VPN тормозит работу? Когда дело касается удаленного доступа к сети, приходится принимать ряд непростых решений. Однако все они сводятся к двум моментам:

  1. Необходимость максимально упростить доступ для своих пользователей.
  2. Максимальное усложнение доступа для посторонних лиц.

До сих пор многие организации полагались на традиционную модель сетевой безопасности, ориентированную на защиту периметра, поэтому использовали виртуальные частные сети или VPN.

Автор: Сергей Забула, руководитель группы инженеров по работе с партнерами Check Point Software Technologies

Основная идея VPN состоит в том, чтобы окружить сеть виртуальным периметром или, иными словами, "барьером", не пропускающим злоумышленников. Однако в современной децентрализованной среде управлять подобной моделью становится все труднее. Далеко не всем пользователям сети необходим одинаковый уровень доступа. Например, администраторам и сторонним пользователям (таким, как консультанты), вряд ли потребуется доступ к одним и тем же приложениям или понадобится одинаковый уровень разрешений (на чтение, запись, управление и т.д.).

VPN теряет актуальность по мере того, как организации переносят приложения из корпоративной сети в облака, при этом количество сотрудников, работающих хотя бы часть времени удаленно, продолжает расти. Эти изменения сказываются на решении о необходимости использования VPN.

Рассмотрим несколько сценариев, при которых традиционные VPN могут подвести. Затем обратимся к новой модели безопасности, которая проще в управлении и предоставляет больше возможностей для обеспечения безопасности сети.

Ограничения VPN в отношении удаленного доступа к сети

Многие организации уже поняли, что традиционных VPN и средств контроля доступа, предназначенных для защиты закрытого периметра, в современных условиях, когда преобладает удаленный доступ сотрудников ко внутренним ресурсам компании, недостаточно.

Корпоративные сети стремятся к децентрализации. Работа из дома (WFH) и необходимость доступа сторонних пользователей (например, консультантов и партнеров) приводят к тому, что запросы на удаленный доступ к сети поступают отовсюду. В условиях локальной архитектуры безопасности на основе периметра, где весь трафик проходит через центр обработки данных, это может привести к увеличению времени отклика и снижению производительности труда.

Отсутствие контроля персональных устройств сотрудников в рамках концепции BYOD (использование персональных устройств в рабочих целях)

Разрешение доступа с неуправляемых и не принадлежащих организации устройств означает, что доступ к вашей сети и активам осуществляется с неизвестных конечных точек, которые представляют собой фактор риска и могут оказаться зараженными вредоносными программами. В подобной ситуации не всегда представляется возможным выявлять такие конечные точки и отслеживать их на предмет установки всех необходимых обновлений безопасности и устранения риска заражения. Взломав такое устройство, злоумышленник с легкостью проникает в сеть.

Отсутствие безопасного доступа к облачным приложениям

Сетям VPN не хватает гибкости, столь необходимой в современных ИТ-средах. Их сложно разворачивать в облаке, и они, как правило, не в полной мере обеспечивают безопасный доступ к облачным приложениям и решениям "инфраструктура как услуга" (IaaS), таким как AWS, GCP, Azure.

Чрезмерно широкие права доступа для третьих лиц

Что касается сторонних пользователей, то использование VPN может быть полностью запрещено правилами, которые не позволяют устанавливать клиенты VPN на устройства людей, не являющихся сотрудниками компании. В случае отсутствия таких правил сторонним пользователям могут быть предоставлены широкие привилегии, позволяющие установить клиент VPN и, таким образом, получить неоправданно высокий уровень доверия, что может упросить доступ к активам и конфиденциальной информации компании.

Недостаточные возможности управления сетью или приложениями

Модель безопасности на основе периметра, которую предлагает VPN, проста, но лишает вас и вашу группу безопасности гибкости в управлении. При использовании VPN не хватает детального контроля над рядом ключевых областей, что создает множество проблем. Вот лишь некоторые из них:

  • управление авторизацией и доступом на уровне сети не позволяет организовать детальный контроль;
  • потенциальный риск атаки через боковое перемещение и обнаружение конфиденциальных активов;
  • отсутствие централизованного управления приложениями;
  • отсутствие встроенных в приложения элементов контроля над действиями пользователей (разрешения на чтение, запись, редактирование и т.д.).

Альтернативы VPN

В свое время, когда большинство пользователей находились в офисах, а почти все приложения размещались на локальных серверах, сети VPN были отличным решением.

Однако сегодня безопасность данных находится под серьезной угрозой, поскольку хакеры знают, что, если они смогут обойти сетевую защиту, велика вероятность того, что они не встретят значительного сопротивления со стороны внутренних систем. Использование VPN и брандмауэров может породить чрезмерную уверенность в уровне сетевой безопасности.

По прогнозу Gartner [1], к 2023 г. до 60% предприятий откажутся от VPN в пользу другой архитектуры – сетевого доступа с нулевым доверием, или ZTNA.

Эпоха нулевого доверия и ZTNA

Проблемы, связанные с VPN, помогли осознать потребность в модели безопасности, которая не будет позволять доверенным пользователям свободно перемещаться по корпоративной сети. Удовлетворить эту потребность призвана модель безопасности нулевого доверия (Zero Trust) – концепция, первоначально предложенная компанией Forrester.

Модель нулевого доверия, одобренная такими влиятельными организациями, как Министерство обороны США [2], работает по принципу "Никогда не доверяй, всегда проверяй". Таким образом, эта модель позволяет реализовать сценарий, при котором необходимый минимум прав доступа к нужному приложению в нужной роли при каждой попытке доступа получают только соответствующие лица. В идеале при этом доступны встроенные в сами приложения элементы контроля, а также возможность отслеживания деятельности пользователей после входа в систему.

Модель Zero Trust – это скорее образ мышления или новая парадигма, нежели конкретный инструмент. Принцип нулевого доверия не реализуется как отдельное решение. Модель нулевого доверия обладает такими особенностями, как:

  • принцип ограниченного доступа на уровне отдельных приложений;
  • аутентификация каждого отдельного устройства и пользователя независимо от того, где они находятся;
  • признание сложного характера современных сетей и отсутствие допущений иного.
Модель нулевого доверия сложно развернуть, но тем не менее рано или поздно большинство организаций перейдут на нее. В документе Министерства обороны США [3] поясняется, что "модель Zero Trust допускается внедрять постепенно, группа за группой или приложение за приложением, но при этом всегда следует учитывать удобство работы для конечных пользователей".

Грамотный подбор инструментов поможет значительно упростить и ускорить переход на архитектуру с нулевым доверием.

Аналитическая компания Gartner расширила концепцию нулевого доверия, определив архитектуру под названием "Сетевой доступ с нулевым доверием" (Zero Trust Network Access, ZTNA). Компания дает следующее определение ZTNA [4]: "Сетевой доступ с нулевым доверием (ZTNA) – это продукт или услуга, которые создают вокруг приложения или группы приложений логическую границу доступа на основе идентификации и контекста".

Проще говоря, службы ZTNA заменяют разрешения сетевого уровня разрешениями для конкретных приложений. При этом применяется контроль доступа на основе идентификационной информации и контекстная аутентификация, то есть учитываются группы пользователей или роли, многофакторная аутентификация, IP-адреса, местоположения и временные ограничения.

Приложения невозможно обнаружить, а доступ осуществляется через брокер доверия и ограничен четко заданной группой объектов

На практике это может быть реализовано в облачном решении ZTNA-as-a-service (ZTNA как услуга), которое делает сеть невидимой из общедоступного сегмента Интернета. По сути, такое решение выступает в роли облачной демилитаризованной зоны, которая "скрывает" центр обработки данных. Брокер доверия разрешает или запрещает доступ к определенным приложениям в каждом конкретном случае.

Прежде чем разрешить доступ, брокер доверия проверяет личность, контекст и права доступа каждого пользователя, а также делает невозможным боковое перемещение в другие области сети

При предоставлении доступа только к запрошенному ресурсу исключается риск атаки через боковое перемещение, поскольку пользователи видят только те приложения, доступ к которым им разрешен. Все остальные приложения оказываются скрыты для них (например, посредством персонализированного портала, на котором доступны только те приложения, к которым имеет доступ конкретный пользователь).

Это позволяет скрыть приложения от сторонних наблюдателей и значительно уменьшить поверхность атаки

Существует множество причин ускорить переход к модели нулевого доверия. Компании уже испытывают проблемы с сетью VPN по мере роста и перехода в гибридные и облачные среды, особенно когда работа из дома стала обычным делом. Не исключено, что многие уже размышляют над переходом на модель нулевого доверия из соображений безопасности и соответствия требованиям, чтобы обеспечить максимальную защиту активов организации.

Переход от сетевого доступа к доступу на уровне приложений

Одним из инструментов, который может облегчить переход к модели нулевого доверия и современной сетевой среде, является Harmony Connect Remote Access [6] от Check Point. Инструмент Harmony Connect Remote Access, который входит в решение Check Point на базе подхода SASE (Secure Access Service Edge) – Check Point Harmony Connect, призван устранить ограничения существующих инфраструктур, предоставляя достойную альтернативу VPN, позволяющую реализовать следующее:

  • переход от физического к логическому периметру доступа;
  • аутентификацию и авторизацию при каждой попытке доступа;
  • поддержку концепции BYOD и доступа для сторонних пользователей;
  • сокрытие центра обработки данных и сети (снижение риска бокового смещения и DDoS-атак путем сокрытия сети и всех ресурсов, к которым явно не предоставлен доступ, с использованием облачного брокера доверия);
  • определение и применение разрешений в рамках приложений (управление политиками не только на уровне приложения, но и на уровне запросов и команд, включая, например, разрешения на чтение, запись, администрирование и т.д.);
  • полный контроль активности пользователей (централизованный журнал аудита с возможностью интеграции SIEM позволяет всегда знать, какие приложения запускал тот или иной пользователь, какие действия он выполнял, а также поддерживает дополнительную возможность записи сеансов).

  1. https://www.gartner.com/en/documents/3999828-2021-strategic-roadmap-for-sase-convergence 
  2. https://www.defense.gov/Explore/News/Article/Article/2431541/covid-related-telework-accelerates-disas-zero-trust-adoption/ 
  3. https://www.ncbi.nlm.nih.gov/pmc/articles/PMC7972065/ 
  4. https://www.gartner.com/en/information-technology/glossary/zero-trust-network-access-ztna- 
  5. https://www.checkpoint.com/harmony/connect-sase/clientless-remote-access/vpn-replacement/ 
Темы:Защита сетейЖурнал "Информационная безопасность" №3, 2021Zero Trust

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2021
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ

More...