Контакты
Подписка 2025
Статьи по информационной безопасности

Почему технология Zero Trust важна для безопасности и производительности удаленного персонала?

Антон Тихонов, 31/08/21

В современных условиях трансформации бизнеса и роста числа удаленных сотрудников, которым требуется доступ к корпоративным ресурсам, в целях обеспечения безопасности организации необходимо следовать принципу нулевого доверия.

Автор: Антон Тихонов, технический менеджер решений McAfee Enterprise

Границы осуществления деятельности современной организации размываются, персонал становится все более распределенным. На фоне роста числа приложений, а также перемещения рабочих нагрузок и данных в облако специалисты по безопасности должны обеспечивать непрерывность бизнес-процессов, решая при этом целый ряд разнообразных задач и сложных вопросов.

В последнее десятилетие использование облачных приложений по модели "ПО как услуга" (SaaS) стало практически повсеместным, однако большинство организаций по-прежнему выполняют основной объем задач с помощью частных приложений, размещенных в ЦОД или средах IaaS ("инфраструктура как услуга"). Сегодня в качестве простого и быстрого решения для доступа удаленных пользователей к конфиденциальным внутренним программам и данным используются виртуальные частные сети (Virtual Private Networks, VPN). Однако, поскольку удаленная работа становится новой нормой, а организации переходят на преимущественно облачные развертывания, сети VPN с трудом справляются с задачей обеспечения надежных подключений внутри инфраструктур, для которых изначально они не были предназначены. В результате возникают проблемы с пропускной способностью, производительностью и масштабированием. Сети VPN также создают риск чрезмерной уязвимости данных, потому что любой удаленный пользователь с действительными логином и паролем может получить полный доступ к внутренней корпоративной сети и пользоваться всеми ее ресурсами.

Новое решение перечисленных выше задач – сетевой доступ с нулевым доверием (Zero Trust Network Access, ZTNA [1]). ZTNA запрещает доступ к частным приложениям без подтверждения личности пользователя, который может действовать как внутри корпоративного периметра, так и за его пределами. Кроме того, в отличие от подхода с чрезмерным "безусловным" уровнем доверия сетей VPN, решения ZTNA предоставляют прямой доступ к конкретным приложениям с минимальными привилегиями на основе данных авторизации пользователя.

Прямые подключения к приложениям

Решение ZTNA поддерживает простой доступ к частным приложениям в облаке или ЦОД. Этот подход исключает перенаправление трафика на корпоративные серверы, тем самым снижая сетевые задержки, улучшая пользовательский опыт и производительность сотрудников.

Четко обозначенные политики на основе данных идентификации

ZTNA дает возможность применить к частным приложениям детальные политики доступа, учитывающие личность пользователя и контекст обращения. Исключая безусловное доверие на основе нескольких факторов, таких как пользователи, устройства и сетевое расположение, решение ZTNA надежно защищает организации от внутренних и внешних угроз.

Доступ с минимальными привилегиями

Система ZTNA выполняет микросегментацию сетей для построения программно-определяемых периметров и предоставляет доступ с минимальными привилегиями не ко всей сети, а к конкретным приложениям. Это исключает чрезмерную доступность сервисов и несанкционированное обращение к данным. Микросегментация также значительно уменьшает площадь кибератак и предотвращает их горизонтальное распространение в случае взлома сети.

Маскировка приложений

ZTNA "прячет" частные приложения за защищенными шлюзами так, что для доступа к ним не придется открывать входящие порты брандмауэра. В результате создается виртуальная "теневая" сеть: ее приложения нельзя найти в публичном Интернете, поэтому они будут защищены от хищения данных, вредоносного ПО и DDoS-атак.

Достаточно ли защитить только доступ? А что насчет защиты данных?

Хотя решения ZTNA часто представляют как замену VPN, у большинства из них есть тот же недостаток, что и у виртуальных частных сетей, – отсутствие контроля данных и учета рисков. Системы ZTNA первого поколения были полностью сосредоточены на решении задачи доступа, а средства защиты данных и предотвращения угроз в них не предусматривались. Поскольку повсеместный контроль данных и оценка рисков являются ключевыми характеристиками фреймворка SASE, этот недостаток очень существенен, особенно если учесть объемы трафика, которым обмениваются пользователи и частные приложения.

Кроме того, поскольку сотрудники все чаще используют для работы персональные устройства с подключением через небезопасные удаленные сети, значительно увеличивается поверхность угроз – риск уязвимости и утечки конфиденциальных данных – из-за отсутствия инструментов защиты конечных устройств, облака и сети.

Для устранения этих проблем необходимо усовершенствовать решения ZTNA, усилив возможности доступа с нулевым доверием функциями централизованного мониторинга и оценки безопасности устройств, а также интегрированными средствами защиты данных и предотвращения угроз.

  1. https://www.mcafee.com/enterprise/en-us/security-awareness/cloud/what-is-ztna.html 
Темы:Защита сетейZero TrustZTNAЖурнал "Информационная безопасность" №4, 2021

Программа мероприятий
для руководителей и специалистов
по защите информации
Посетить
Кибербезопасность
Форум ITSEC 2025 (весна) для AppSec, Security Champions, DevOps-инженеров, тестировщиков, специалистов по ИБ
Участвуйте 3-4 июня →
Статьи по той же темеСтатьи по той же теме

  • Новые возможности Ideco NGFW в 2025 году
    Российский рынок NGFW очень активно развивается, разработчики стремятся адаптировать свои продукты под запросы заказчиков, добавляя востребованную функциональность. Важным фактором становится скорость внедрения новых возможностей, которая зачастую играет ключевую роль в конкурентной гонке за симпатии заказчиков.
  • Чем NDR лучше, чем NTA?
    Станислав Грибанов, руководитель продукта “Гарда NDR”, группа компаний “Гарда”
    В 2024 г. NTA – устаревший класс решений в области анализа сетевого трафика во всем мире, кроме России, где под этой аббревиатурой подразумеваются другая функциональность. Как бы то ни было, направление NTA у международных вендоров либо закрыто, либо эволюционировало в класс NDR. Возникает закономерный вопрос, какие задачи решает NDR, и чем он, собственно, отличается от NTA?
  • И снова про ZeroTrust: реализуема ли концепция без защиты периметра?
    Вячеслав Половинко, Руководитель направления собственных продуктов АМТ-ГРУП
    Чем точно не является концепция ZeroTrust, и как создать предпосылки для ее использования
  • UserGate 7.0: новые возможности NGFW и экосистемы
    Компания UserGate объявила о релизе седьмой, существенно переработанной, версии собственной операционной системы, которая является основой для экосистемы UserGate SUMMA с флагманским продуктом UserGate NGFW во главе.
  • Технологический обзор российского рынка NGFW
    Дмитрий Хомутов, директор компании “Айдеко”
    Посмотрим правде в глаза: переходить с зарубежных Enterprise-продуктов на российские зачастую аналогично пересаживанию с иномарки на российский автомобиль
  • Семь раз проверь: Zero Trust и аутентификация
    Дмитрий Грудинин, системный архитектор компании “Аванпост”
    Основной обязательный элемент Zero Trust – процесс аутентификации. Именно он помогает достоверно определять, кто пытается получить доступ к данным

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
Защиту СУБД и данных обсудим на ITSEC 2025
Посетите 3-4 июня →

More...
ТБ Форум 2025
4 июня | Форум ITSEC 2025 Доверенные корпоративные репозитории
Жми, чтобы участвовать

More...
 
КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
 
 

ПОСЕТИТЬ МЕРОПРИЯТИЯ

Подписка

Мы в соцсетях

Copyright © 2025, ООО "ГРОТЕК"