Vzdálený přístup pomocí VPN je základem většiny sítí a poskytuje bezpečný vzdálený přístup k systémům a zdrojům v síti.
Zero trust network access (ZTNA) lze shrnout do čtyř slov: ničemu nevěřit a vše ověřovat. Řešení je založeno na principu, že jakékoli připojení k vaší síti by mělo být automaticky považováno za nepřátelské, dokud není ověřeno, autorizováno a není mu udělen přístup ke zdrojům.
S virtuální privátní sítí (VPN) poskytujete široký přístup k síti. Se ZTNA poskytujete přístup ke konkrétní aplikaci.
Tradiční vzdálený přístup VPN vs. ZTNA
Mezi VPN a ZTNA existuje několik rozdílů:
Důvěra
Díky VPN pro vzdálený přístup jsou uživatelé důvěryhodní s širokým přístupem ke zdrojům, což může představovat vážná bezpečnostní rizika.
ZTNA zachází s každým uživatelem a zařízením individuálně, takže jsou zpřístupněny pouze zdroje, ke kterým má uživatel a zařízení povolen přístup. Místo poskytnutí úplné svobody pohybu po síti jsou mezi uživatelem a konkrétní bránou vytvořeny jednotlivé tunely pro aplikaci, ke které mají pouze oprávnění přístupu.
Stav zařízení
VPN nemá povědomí o zdravotním stavu připojovaného zařízení. Pokud se kompromitované zařízení připojí přes VPN, může to ovlivnit zbytek sítě.
ZTNA integruje shodu a stav zařízení do zásad přístupu, což vám dává možnost vyloučit nevyhovující, infikované nebo kompromitované systémy z přístupu k podnikovým aplikacím a datům. To výrazně snižuje riziko krádeže nebo úniku dat.
Vzdálená připojení
Vzdálený přístup pomocí VPN poskytuje jediný bod přítomnosti v síti, což může potenciálně způsobit neefektivní backhauling provozu z více míst, datových center nebo aplikací.
ZTNA funguje stejně dobře a bezpečně z jakéhokoli místa, kde se připojíte. Domov, hotel, kavárna nebo kancelář. Správa připojení je bezpečná a transparentní bez ohledu na to, kde se uživatel a zařízení nachází.
ZTNA je také skvělý způsob, jak zajistit lepší kontroly zabezpečení během relací protokolu RDP (Remote Desktop Protocol). Mezi známé problémy s RDP patří odhalené výchozí porty, žádná podpora pro vícefaktorové ověřování (MFA), široký přístup k síti a samozřejmě zranitelnosti zabezpečení. Zranitelnosti serveru RDP a omylem otevřená připojení RDP mohou útočníci přímo zneužít, aby se pomocí těchto exploitů identifikovali jako důvěryhodní uživatelé RDP. Se ZTNA by se s takovými uživateli zacházelo jako s nepřátelskými funkcemi ověřování ZTNA.
Viditelnost
VPN nerozumí provozu a způsobům využití, které usnadňuje, což ztěžuje viditelnost a aktivity uživatelů.
Vzhledem k tomu, že přístup ZTNA je mikrosegmentovaný, může nabídnout lepší přehled o aktivitě aplikace. Díky tomu je mnohem snazší monitorování stavu aplikace, plánování kapacity, správa licencí a audit.
Uživatelská zkušenost
Klienti VPN se vzdáleným přístupem jsou proslulí tím, že nabízejí špatné uživatelské prostředí, zvyšují latenci nebo negativně ovlivňují výkon, trpí problémy s konektivitou a obecně představují zátěž pro helpdesk.
ZTNA poskytuje koncovým uživatelům bezproblémovou a bezproblémovou zkušenost automatickým navazováním bezpečných připojení na vyžádání. To vše se děje v zákulisí, takže většina uživatelů ani nebude vědět o řešení ZTNA, které pomáhá chránit jejich data.
Správa
Klienti VPN se vzdáleným přístupem se obtížně nastavují, nasazují, registrují nové uživatele a vyřazují z provozu odcházející uživatele. VPN je také náročná na správu na straně firewallu nebo brány, zejména s více uzly, pravidly přístupu k firewallu, správou IP, toky provozu a směrováním. Mnohokrát je to práce na plný úvazek.
Řešení ZTNA se mnohem snadněji nasazuje a spravuje. Rychle se přizpůsobí v měnících se prostředích s přibývajícími a odcházejícími uživateli, aplikacemi a zařízeními – díky tomu je každodenní správa rychlá.
Na co si dát pozor při výběru řešení ZTNA?
Při porovnávání řešení ZTNA od různých dodavatelů nezapomeňte vzít v úvahu tyto důležité možnosti:
Doručováno z cloudu, spravováno z cloudu
Cloudová správa nabízí ohromné výhody: možnost rychlého zprovoznění, omezenou infrastrukturu pro správu, snadné nasazení a registraci a okamžitý a bezpečný přístup odkudkoli na jakémkoli zařízení.
Integrace s vašimi dalšími bezpečnostními řešeními
Zatímco většina řešení ZTNA může fungovat perfektně jako samostatné produkty, řešení, které je integrováno s vašimi dalšími bezpečnostními produkty, jako jsou firewally a koncové body, přináší výhody. Společná integrovaná konzole pro správu cloudu může snížit časovou náročnost školení a každodenní režii správy.
Uživatelské a manažerské zkušenosti
Ujistěte se, že řešení, o kterém uvažujete, nabízí znalost koncového uživatele a snadnou správu. Vzhledem k tomu, že více uživatelů pracuje na dálku, je registrace a efektivní nastavení zařízení zásadní, pokud jde o to, aby byli noví uživatelé co nejrychleji produktivní.
Nezapomeňte věnovat pozornost tomu, jak je agent ZTNA nasazen a jak snadné je přidávat nové uživatele do zásad. Ujistěte se také, že řešení, do kterého investujete, nabízí koncovým uživatelům plynulý a bezproblémový provoz. Měl by také poskytovat přehled o aktivitě aplikace, aby vám pomohl být proaktivní při identifikaci špičkového zatížení, kapacity, využití licencí, a dokonce i problémů s aplikacemi.
Sophos ZTNA
Řešení Sophos ZTNA bylo od začátku navrženo tak, aby umožňovalo snadný, integrovaný a bezpečný přístup k síti s nulovou důvěryhodností.
Je doručován z cloudu, spravován z cloudu a integrován do Sophos Central, nejdůvěryhodnější platformy pro kybernetickou bezpečnost na světě. Ze Sophos Central můžete nejen spravovat ZTNA, ale také své Sophos firewally, koncové body, ochranu serverů, mobilní zařízení, cloudové zabezpečení, ochranu e-mailů a mnoho dalšího.
Sophos ZTNA je také jedinečný v tom, že se integruje s koncovými body Sophos Firewall a Sophos Intercept X a sdílí stav zařízení v reálném čase mezi firewallem, zařízením, ZTNA a Sophos Central, aby automaticky reagoval na hrozby nebo nevyhovující zařízení. Funguje jako nepřetržitý správce, automaticky omezuje přístup a izoluje napadené systémy, dokud nejsou vyčištěny.
(Zdroj: https://news.sophos.com/en-us/2022/05/20/zero-trust-network-access-ztna-versus-remote-access-vpn/)