Контакты
Подписка 2024

Почему технология Zero Trust важна для безопасности и производительности удаленного персонала?

Антон Тихонов, 31/08/21

В современных условиях трансформации бизнеса и роста числа удаленных сотрудников, которым требуется доступ к корпоративным ресурсам, в целях обеспечения безопасности организации необходимо следовать принципу нулевого доверия.

Автор: Антон Тихонов, технический менеджер решений McAfee Enterprise

Границы осуществления деятельности современной организации размываются, персонал становится все более распределенным. На фоне роста числа приложений, а также перемещения рабочих нагрузок и данных в облако специалисты по безопасности должны обеспечивать непрерывность бизнес-процессов, решая при этом целый ряд разнообразных задач и сложных вопросов.

В последнее десятилетие использование облачных приложений по модели "ПО как услуга" (SaaS) стало практически повсеместным, однако большинство организаций по-прежнему выполняют основной объем задач с помощью частных приложений, размещенных в ЦОД или средах IaaS ("инфраструктура как услуга"). Сегодня в качестве простого и быстрого решения для доступа удаленных пользователей к конфиденциальным внутренним программам и данным используются виртуальные частные сети (Virtual Private Networks, VPN). Однако, поскольку удаленная работа становится новой нормой, а организации переходят на преимущественно облачные развертывания, сети VPN с трудом справляются с задачей обеспечения надежных подключений внутри инфраструктур, для которых изначально они не были предназначены. В результате возникают проблемы с пропускной способностью, производительностью и масштабированием. Сети VPN также создают риск чрезмерной уязвимости данных, потому что любой удаленный пользователь с действительными логином и паролем может получить полный доступ к внутренней корпоративной сети и пользоваться всеми ее ресурсами.

Новое решение перечисленных выше задач – сетевой доступ с нулевым доверием (Zero Trust Network Access, ZTNA [1]). ZTNA запрещает доступ к частным приложениям без подтверждения личности пользователя, который может действовать как внутри корпоративного периметра, так и за его пределами. Кроме того, в отличие от подхода с чрезмерным "безусловным" уровнем доверия сетей VPN, решения ZTNA предоставляют прямой доступ к конкретным приложениям с минимальными привилегиями на основе данных авторизации пользователя.

Прямые подключения к приложениям

Решение ZTNA поддерживает простой доступ к частным приложениям в облаке или ЦОД. Этот подход исключает перенаправление трафика на корпоративные серверы, тем самым снижая сетевые задержки, улучшая пользовательский опыт и производительность сотрудников.

Четко обозначенные политики на основе данных идентификации

ZTNA дает возможность применить к частным приложениям детальные политики доступа, учитывающие личность пользователя и контекст обращения. Исключая безусловное доверие на основе нескольких факторов, таких как пользователи, устройства и сетевое расположение, решение ZTNA надежно защищает организации от внутренних и внешних угроз.

Доступ с минимальными привилегиями

Система ZTNA выполняет микросегментацию сетей для построения программно-определяемых периметров и предоставляет доступ с минимальными привилегиями не ко всей сети, а к конкретным приложениям. Это исключает чрезмерную доступность сервисов и несанкционированное обращение к данным. Микросегментация также значительно уменьшает площадь кибератак и предотвращает их горизонтальное распространение в случае взлома сети.

Маскировка приложений

ZTNA "прячет" частные приложения за защищенными шлюзами так, что для доступа к ним не придется открывать входящие порты брандмауэра. В результате создается виртуальная "теневая" сеть: ее приложения нельзя найти в публичном Интернете, поэтому они будут защищены от хищения данных, вредоносного ПО и DDoS-атак.

Достаточно ли защитить только доступ? А что насчет защиты данных?

Хотя решения ZTNA часто представляют как замену VPN, у большинства из них есть тот же недостаток, что и у виртуальных частных сетей, – отсутствие контроля данных и учета рисков. Системы ZTNA первого поколения были полностью сосредоточены на решении задачи доступа, а средства защиты данных и предотвращения угроз в них не предусматривались. Поскольку повсеместный контроль данных и оценка рисков являются ключевыми характеристиками фреймворка SASE, этот недостаток очень существенен, особенно если учесть объемы трафика, которым обмениваются пользователи и частные приложения.

Кроме того, поскольку сотрудники все чаще используют для работы персональные устройства с подключением через небезопасные удаленные сети, значительно увеличивается поверхность угроз – риск уязвимости и утечки конфиденциальных данных – из-за отсутствия инструментов защиты конечных устройств, облака и сети.

Для устранения этих проблем необходимо усовершенствовать решения ZTNA, усилив возможности доступа с нулевым доверием функциями централизованного мониторинга и оценки безопасности устройств, а также интегрированными средствами защиты данных и предотвращения угроз.


  1. https://www.mcafee.com/enterprise/en-us/security-awareness/cloud/what-is-ztna.html 
Темы:Защита сетейZero TrustZTNAЖурнал "Информационная безопасность" №4, 2021

Форум ITSEC 2024:
информационная и
кибербезопасность России
Москва | 15-16 октября 2024

Посетить
Обзоры. Спец.проекты. Исследования
Персональные данные в 2025 году: новые требования и инструменты. Что нужно знать бизнесу о защите ПДн?
Получите комментарии экспертов на ITSEC 2024
Статьи по той же темеСтатьи по той же теме

  • Чем NDR лучше, чем NTA?
    Станислав Грибанов, руководитель продукта “Гарда NDR”, группа компаний “Гарда”
    В 2024 г. NTA – устаревший класс решений в области анализа сетевого трафика во всем мире, кроме России, где под этой аббревиатурой подразумеваются другая функциональность. Как бы то ни было, направление NTA у международных вендоров либо закрыто, либо эволюционировало в класс NDR. Возникает закономерный вопрос, какие задачи решает NDR, и чем он, собственно, отличается от NTA?
  • И снова про ZeroTrust: реализуема ли концепция без защиты периметра?
    Вячеслав Половинко, Руководитель направления собственных продуктов АМТ-ГРУП
    Чем точно не является концепция ZeroTrust, и как создать предпосылки для ее использования
  • UserGate 7.0: новые возможности NGFW и экосистемы
    Компания UserGate объявила о релизе седьмой, существенно переработанной, версии собственной операционной системы, которая является основой для экосистемы UserGate SUMMA с флагманским продуктом UserGate NGFW во главе.
  • Технологический обзор российского рынка NGFW
    Дмитрий Хомутов, директор компании “Айдеко”
    Посмотрим правде в глаза: переходить с зарубежных Enterprise-продуктов на российские зачастую аналогично пересаживанию с иномарки на российский автомобиль
  • Семь раз проверь: Zero Trust и аутентификация
    Дмитрий Грудинин, системный архитектор компании “Аванпост”
    Основной обязательный элемент Zero Trust – процесс аутентификации. Именно он помогает достоверно определять, кто пытается получить доступ к данным
  • 8 принципов построения архитектуры безопасности в парадигме Zero Trust
    Виталий Даровских, менеджер по продукту Efros ACS компании “Газинформсервис”
    Внедрение Efros ACS и Efros CI поможет в реализации сразу четырех из восьми принципов ZT

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
15 октября | Форум ITSEC Защищенный удаленный доступ: как обеспечить контроль работы внешних сотрудников
Узнайте на ITSEC 2024!

More...
Обзоры. Исследования. Спец.проекты
Защита АСУ ТП и объектов КИИ: готовимся к 2025 году
Жми, чтобы участвовать

More...