В современных условиях трансформации бизнеса и роста числа удаленных сотрудников, которым требуется доступ к корпоративным ресурсам, в целях обеспечения безопасности организации необходимо следовать принципу нулевого доверия.
Автор: Антон Тихонов, технический менеджер решений McAfee Enterprise
Границы осуществления деятельности современной организации размываются, персонал становится все более распределенным. На фоне роста числа приложений, а также перемещения рабочих нагрузок и данных в облако специалисты по безопасности должны обеспечивать непрерывность бизнес-процессов, решая при этом целый ряд разнообразных задач и сложных вопросов.
В последнее десятилетие использование облачных приложений по модели "ПО как услуга" (SaaS) стало практически повсеместным, однако большинство организаций по-прежнему выполняют основной объем задач с помощью частных приложений, размещенных в ЦОД или средах IaaS ("инфраструктура как услуга"). Сегодня в качестве простого и быстрого решения для доступа удаленных пользователей к конфиденциальным внутренним программам и данным используются виртуальные частные сети (Virtual Private Networks, VPN). Однако, поскольку удаленная работа становится новой нормой, а организации переходят на преимущественно облачные развертывания, сети VPN с трудом справляются с задачей обеспечения надежных подключений внутри инфраструктур, для которых изначально они не были предназначены. В результате возникают проблемы с пропускной способностью, производительностью и масштабированием. Сети VPN также создают риск чрезмерной уязвимости данных, потому что любой удаленный пользователь с действительными логином и паролем может получить полный доступ к внутренней корпоративной сети и пользоваться всеми ее ресурсами.
Новое решение перечисленных выше задач – сетевой доступ с нулевым доверием (Zero Trust Network Access, ZTNA [1]). ZTNA запрещает доступ к частным приложениям без подтверждения личности пользователя, который может действовать как внутри корпоративного периметра, так и за его пределами. Кроме того, в отличие от подхода с чрезмерным "безусловным" уровнем доверия сетей VPN, решения ZTNA предоставляют прямой доступ к конкретным приложениям с минимальными привилегиями на основе данных авторизации пользователя.
Решение ZTNA поддерживает простой доступ к частным приложениям в облаке или ЦОД. Этот подход исключает перенаправление трафика на корпоративные серверы, тем самым снижая сетевые задержки, улучшая пользовательский опыт и производительность сотрудников.
ZTNA дает возможность применить к частным приложениям детальные политики доступа, учитывающие личность пользователя и контекст обращения. Исключая безусловное доверие на основе нескольких факторов, таких как пользователи, устройства и сетевое расположение, решение ZTNA надежно защищает организации от внутренних и внешних угроз.
Система ZTNA выполняет микросегментацию сетей для построения программно-определяемых периметров и предоставляет доступ с минимальными привилегиями не ко всей сети, а к конкретным приложениям. Это исключает чрезмерную доступность сервисов и несанкционированное обращение к данным. Микросегментация также значительно уменьшает площадь кибератак и предотвращает их горизонтальное распространение в случае взлома сети.
ZTNA "прячет" частные приложения за защищенными шлюзами так, что для доступа к ним не придется открывать входящие порты брандмауэра. В результате создается виртуальная "теневая" сеть: ее приложения нельзя найти в публичном Интернете, поэтому они будут защищены от хищения данных, вредоносного ПО и DDoS-атак.
Хотя решения ZTNA часто представляют как замену VPN, у большинства из них есть тот же недостаток, что и у виртуальных частных сетей, – отсутствие контроля данных и учета рисков. Системы ZTNA первого поколения были полностью сосредоточены на решении задачи доступа, а средства защиты данных и предотвращения угроз в них не предусматривались. Поскольку повсеместный контроль данных и оценка рисков являются ключевыми характеристиками фреймворка SASE, этот недостаток очень существенен, особенно если учесть объемы трафика, которым обмениваются пользователи и частные приложения.
Кроме того, поскольку сотрудники все чаще используют для работы персональные устройства с подключением через небезопасные удаленные сети, значительно увеличивается поверхность угроз – риск уязвимости и утечки конфиденциальных данных – из-за отсутствия инструментов защиты конечных устройств, облака и сети.
Для устранения этих проблем необходимо усовершенствовать решения ZTNA, усилив возможности доступа с нулевым доверием функциями централизованного мониторинга и оценки безопасности устройств, а также интегрированными средствами защиты данных и предотвращения угроз.