Przedefiniowanie Zero Trust Network Access: zero zaufania dla sieci korporacyjnej

Chociaż zastąpienie VPN i bezpieczny dostęp zdalny to często podstawowy przypadek zastosowania rozwiązania Zero Trust Network Access (ZTNA), jest to tylko część historii. Obecnie wiele organizacji zwraca się ku powszechnie znanym funkcjom ZTNA – egzekwowaniu dostępu o najniższych uprawnieniach, maskowaniu zasobów i mikrosegmentacji – aby zabezpieczyć cały dostęp do sieci, w tym do sieci lokalnych, IoT/OT, sieci WAN i kampusowych.

Ponieważ debata na temat powrotu do biura i pracy zdalnej toczy się na całym świecie, jest jeszcze zbyt wcześnie, aby stwierdzić, gdzie ostatecznie wszystko się rozstrzygnie. Nie jest jednak zbyt wcześnie, aby stwierdzić, że hybrydowe modele pracy pozostaną w przewidywalnej przyszłości. Oznacza to, że nadszedł czas, aby w pełni rozszerzyć korzyści płynące z zasady Zero Trust na całą sieć firmową.

Pomyśl o tym: Dlaczego nie chciałbyś wdrożyć korzyści ZTNA na każdym urządzeniu i użytkowniku, który łączy się z Twoją siecią? Dlaczego nie chcielibyście uwierzytelniania skoncentrowanego na tożsamości i ujednoliconej polityki bezpieczeństwa dla kontroli dostępu do sieci? I dlaczego nie chcieliby Państwo uwolnić swojego zespołu ds. bezpieczeństwa od złożoności zarządzania różnymi rozwiązaniami kontroli dostępu do sieci?

Koniec z NAC dla kontroli dostępu do sieci

Dla specjalistów ds. bezpieczeństwa IT kontrola dostępu do sieci oznacza dwie różne rzeczy. Po pierwsze, jest to definicja ich pracy … ochrona sieci i zasobów organizacji poprzez egzekwowanie silnej kontroli dostępu użytkowników i urządzeń. Następnie istnieje formalny termin branżowy Network Access Control lub NAC … produkt przeznaczony do tego, co sugeruje nazwa, kontrolowania dostępu do sieci.

Duże przedsiębiorstwa stosują NAC do ochrony swoich sieci kampusowych, co było w porządku, gdy większość pracowników przebywała w biurze. Ale teraz użytkownicy poza siecią działają poza ochroną NAC. Wymaga to od administratorów zarządzania dwoma różnymi modelami zabezpieczeń sieciowych i doprowadzenia do ich wzajemnego połączenia. Tak więc, przy hybrydowych pracownikach, jak na ironię, systemy NAC nie są w stanie osiągnąć pełnej kontroli dostępu do sieci.

Wady NAC: Jednorazowy, sprzętowy, nieelastyczny, drogi, złożony

NAC został zaprojektowany do ochrony fizycznej sieci lokalnej, czyli granicy, jak to było znane 10 lat temu. Obecnie jest on nie tylko skomplikowany do wdrożenia, ale również stosunkowo mało efektywny, biorąc pod uwagę wysokie wykorzystanie hostingu w chmurze oraz fakt, że użytkownicy i sieć korporacyjna mogą być wszędzie. Co więcej, główną przeszkodą we wdrożeniu NAC jest wymagany sprzęt. Jest to inwestycja CAPEX, a gdy sprzęt jest w niedoborze, w niektórych przypadkach czas realizacji wynosi ponad rok.

Dodatkowo, systemy NAC nie rozciągają się na chmurę i nie dodają żadnej wartości dla zdalnych użytkowników. W rzeczywistości, silosowe systemy NAC i VPN wprowadzają złożoność zarządzania polityką, co często prowadzi do powstania szeroko otwartych sieci, umożliwiając ruch boczny. Wymaganie od zespołów IT i bezpieczeństwa zarządzania politykami dostępu unikalnymi dla VPN, NAC i obciążeń w chmurze jest absolutnym koszmarem. Złożoność jest wrogiem bezpieczeństwa, a NAC nie robi nam tutaj żadnej przysługi.

Szczerze mówiąc, świat, któremu miały służyć rozwiązania NAC już nie istnieje i muszą one zostać wycofane z budżetu CISO … prawdopodobnie jest to mile widziany pomysł, biorąc pod uwagę wysoką cenę i niekompletną naturę większości wdrożeń NAC.

Nadszedł czas na: ZTNA wszędzie

Wymaganie od zespołów ds. bezpieczeństwa zarządzania różnymi architekturami kontroli dostępu do sieci i niezliczoną ilością narzędzi to zbyt wiele. Biorąc pod uwagę konsolidację, organizacje powinny poważnie rozważyć zastąpienie NAC przez ZTNA. Twoja odpowiedź może brzmieć: „Co? Dlaczego?!” Ale, jeśli myślisz, że Zero Trust Network Access jest tylko zamiennikiem VPN dla zdalnego dostępu, pomyśl jeszcze raz. Tak, ZTNA odegrał dużą rolę w odwróceniu się od ryzykownych VPN podczas pandemii, jednak udowodniono, że ZTNA z powodzeniem rozwiązuje znacznie więcej niż tylko dostęp zdalny, w tym zabezpiecza dostęp do chmury i sieci korporacyjnych.

W rzeczywistości, na początku tego roku Gartner opublikował raport wprowadzający ideę uniwersalnego ZTNA lub ZTNA wszędzie. Nasza odpowiedź jest prosta … „GŁOSIĆ!” Idea jest prosta i coś, co Appgate wzmacnia i demonstruje od lat, osiągając to dla wielu dużych, złożonych sieci korporacyjnych przedsiębiorstw i oddziałów.

Wszystkie rozwiązania ZTNA nie są tworzone jednakowo

Chociaż ZTNA wszędzie jest atrakcyjna, nie wszystkie rozwiązania ZTNA mogą poradzić sobie z podwójnym obowiązkiem tworzenia sieci zdalnych i kampusowych. W swoim raporcie Gartner zidentyfikował kilka problemów, które mogą dotyczyć ograniczonego rozwiązania ZTNA, takich jak:

  • Brak wsparcia dla protokołów
  • Zabezpieczanie urządzeń bezklienckich, takich jak IoT
  • Brak wsparcia dla dwukierunkowych reguł bezpieczeństwa

Ponadto, ponieważ wiele rozwiązań ZTNA opiera się na chmurowych zabezpieczeniach, przyjęcie takiego rozwiązania w środowisku sieciowym wprowadza opóźnienia, wymagając, aby ruch podążał trasą „spinki”. Warto również zauważyć, że niemal natychmiastowe przejście do całkowicie zdalnych pracowników w 2020 r. spowodowało, że przedsiębiorstwa zaczęły się wahać. Niektóre z nich w pośpiechu wybierały dostawców ZTNA, skupiając się na takich przypadkach użycia jak zdalny dostęp lub zabezpieczenie aplikacji internetowych. Teraz stoją przed nimi wyzwania związane z zabezpieczeniem dostępu w całej sieci dla pracowników terenowych, starszych aplikacji i protokołów innych niż HTTP.

Na szczęście istnieje jedno rozwiązanie ZTNA, które odpowiada na wszystkie przypadki użycia: Appgate SDP. W szczególności nie polega ono na proxy dla konkretnych narzędzi, takich jak SSH czy FTP; zamiast tego obsługuje natywnie protokoły takie jak TCP, a także UDP, GRE, ICMP, AH i inne. Na płaszczyźnie kontrolnej może sięgać w głąb lub na zewnątrz sieci, więc reguły bezpieczeństwa mogą być kierowane w górę lub w dół, lub w obie strony. Nie wspominając o tym, że obsługuje urządzenia bez użytkowników i klastry Kubernetes, plus architektura Appgate SDP obejmuje bezpośredni dostęp … nie jest wymagany hairpinning lub routing w chmurze.

Co ważniejsze, Appgate SDP zapewnia to samo doświadczenie dla twoich użytkowników i administratorów, niezależnie od tego, czy są zdalni, czy lokalni, i niezależnie od tego, czy zasoby są na miejscu, w chmurze lub gdzieś pomiędzy. Appgate SDP umożliwia szybkie wdrożenie pojedynczej, opartej na oprogramowaniu architektury, która jest niezależna od sieci i nakłada się na istniejące sieci. Pozwala to na wdrożenie koncepcji Gartnera dotyczącej uniwersalnego ZTNA … lub jak my to lubimy nazywać, ZTNA wszędzie, dla każdego użytkownika, każdego zasobu, każdej lokalizacji. Mówiąc wprost, jest to pojedyncze rozwiązanie dostępu typu „Zero Trust” dla wszystkich użytkowników, urządzeń i obciążeń roboczych obejmujących nowoczesną definicję sieci korporacyjnej.

Na podstawie artykułu ze strony Appgate.