Software-defined perimeter (SDP) i wirtualna sieć prywatna (VPN) to dwa podejścia do bezpiecznego dostępu, które organizacje próbują porównywać obok siebie. Jednak w przypadku oceny SDP i VPN różnice są znaczące. Dzieje się tak dlatego, że nowoczesne SDP oferuje wiele korzyści w porównaniu z technologią VPN, która nie zmieniła się od czasu jej powstania prawie 30 lat temu, kiedy istniały granice firm, zasoby mieściły się w budynkach, a ludzie pracowali głównie w biurach.
Nastąpiły znaczące zmiany w sposobie prowadzenia globalnego biznesu oraz w tym, co składa się na dzisiejszą infrastrukturę IT. To świat bez granic, w którym użytkownicy mogą być wszędzie, a zasoby również znajdują się wszędzie – w hybrydowych ekosystemach. Jeśli dodamy do tego nieustannie pojawiające się zagrożenia… staje się jasne, że kontrola zdalnego dostępu w postaci niezabezpieczonych sieci VPN stwarza ryzyko, rozszerza powierzchnię ataku i utrudnia produktywność.
SDP vs VPN: Niedoskonałości technologii VPN
Sieci VPN nie zostały zaprojektowane z myślą o zabezpieczeniu hybrydowej infrastruktury IT lub hybrydowych pracowników, a ich okres świetności już dawno minął. W rzeczywistości kilka amerykańskich agencji rządowych, w tym Agencja Bezpieczeństwa Narodowego (NSA), wydały ostrzeżenia dotyczące wad sieci VPN. Do tego dochodzą bóle głowy administracji, ponieważ sieci VPN mogą być skalowane tylko przy użyciu większej ilości sprzętu (fizycznego lub wirtualnego), co oznacza poważne inwestycje kapitałowe i czasowe.
Dodatkowe niedociągnięcia VPN obejmują:
- Odsłonięte porty: Aktorzy zagrożeń mogą dostać się do środka za pomocą popularnych narzędzi hakerskich, aby łatwo znaleźć i odpytać VPN, odkryć producenta i wersję oprogramowania
- Nadmiernie uprzywilejowany dostęp: Sieci VPN są zależne od zbyt skomplikowanych reguł, aby zapobiec ruchowi bocznemu
- Niezdolność do dynamicznego skalowania: Sieci VPN muszą być zaprojektowane tak, aby pomieścić określoną liczbę zdalnych użytkowników i nie mogą dynamicznie skalować się, aby obsłużyć wahania liczby użytkowników
- Ograniczona przepustowość: typowa sieć VPN osiąga maksimum poniżej 1Gbps, co zwiększa koszty i złożoność
- Scentralizowana architektura: użytkownicy korzystający z sieci VPN są kierowani do miejsc docelowych na zapleczu za pośrednictwem sieci rozległej (WAN) … co zwiększa opóźnienia i problemy z wydajnością, frustruje użytkowników i tworzy skomplikowane zależności routingu
Jaka jest odpowiedź? Software-defined perimeter (SDP), termin używany zamiennie z Zero Trust Network Access (ZTNA). SDP nie tylko upraszcza i wzmacnia bezpieczeństwo zdalnego dostępu, ale może być również stosowane we wszystkich przypadkach bezpiecznego dostępu w przedsiębiorstwie, w tym w połączeniach użytkownik-zasoby i zasoby-zasoby.
Przejdźmy teraz do dyskusji na temat SDP i VPN.
SDP vs. VPN: Wprowadzenie
Organizacje używają VPN, czyli wirtualnej sieci prywatnej, aby połączyć pracowników pracujących zdalnie z prywatną, wewnętrzną siecią firmy poprzez zaszyfrowany „tunel” pomiędzy urządzeniami pracowników a siecią. Dzięki VPN użytkownicy zdalni mogą uzyskać dostęp do zasobów tak, jakby byli w biurze. Jednak VPN jest zbudowany na przestarzałym modelu bezpieczeństwa: „najpierw połącz, potem uwierzytelnij”. Wymaga to otwartych portów nasłuchujących połączeń przychodzących, które mogą być łatwo znalezione podczas fazy rozpoznania przez atakujących. Sieci VPN opierają się na słabych środkach uwierzytelniania, takich jak hasła, które są często słabe, wielokrotnie używane i łatwe do wykorzystania za pomocą inżynierii społecznej, brute force lub dostępne do kupienia. Ponadto segmentacja przy użyciu VPN jest zbyt skomplikowana i często prowadzi do szeroko otwartego, nadmiernie uprzywilejowanego dostępu do nieusankcjonowanych ruchów bocznych. I wreszcie, technologia VPN jest związana ze sprzętem i statyczna, co sprawia, że w szybko zmieniających się i dynamicznych środowiskach informatycznych jest ona wyizolowana.
SDP decentralizuje kontrolę bezpieczeństwa i przenosi ją z warstwy sieciowej do warstwy aplikacji, dynamicznie tworząc połączenia typu „jeden do jednego” pomiędzy użytkownikami a zasobami, do których mają dostęp. Software-defined perimeter i ZTNA są zbudowane na sprawdzonym, bardziej bezpiecznym modelu Zero Trust „najpierw uwierzytelnij, potem połącz”, który tworzy zindywidualizowane granice dla każdego użytkownika, umożliwiając bardziej precyzyjną kontrolę dostępu. Architektura definiowana programowo i podejście oparte na interfejsie API uwalniają duży potencjał automatyzacji i skalowalności w dzisiejszych dynamicznych środowiskach IT.
SDP vs. VPN: Jak działa SDP?
Najpierw zapoznajmy się z podstawowymi elementami architektury SDP (Software-defined Perimeter). Warto zauważyć, że najlepsze rozwiązania SDP mogą być wdrażane w modelu opartym na chmurze lub samodzielnie, w zależności od preferencji organizacji.
- Kontroler: Kontroler jest mózgiem systemu. Definiuje polityki bezpieczeństwa weryfikując zaufanie przy użyciu danych tożsamości, kontekście i ryzyku, na podstawie których następnie przyznaje odpowiednie uprawnienia.
- Bramy: To tutaj polityki z kontrolera są egzekwowane i znajdują się wszędzie tam, gdzie zasoby muszą być chronione.
- Klienci: Klienci są tym, z czym użytkownicy końcowi wchodzą w interakcję, aby najpierw ustanowić zaufanie poprzez kontroler, a następnie połączyć się z ich zaufanymi zasobami z odpowiednimi uprawnieniami.
Należy zauważyć, że kontroler i brama są całkowicie ukryte przed ciekawskimi oczami dzięki technologii zwanej autoryzacją pojedynczego pakietu (SPA). Oznacza to, że nie ma widocznych portów, dopóki użytkownik nie zostanie uwierzytelniony, zaufany i nie uzyska uprawnień.
Korzystając z SPA, kontroler uwierzytelnia użytkownika lub urządzenie u dostawcy tożsamości w celu zatwierdzenia uprawnień i dodatkowo sprawdza kontekst towarzyszący żądaniu, wykorzystując ocenę ryzyka jako kryteria ustanowienia, ograniczenia lub odebrania dostępu.
Po ustanowieniu zaufania i przy użyciu SPA, kontroler dostarcza aktualne uprawnienie do klienta, a następnie do bramy w celu uzyskania dostępu do właściwych zasobów. Nazywa się to uprawnieniem na żywo, ponieważ w przypadku zmiany kontekstu lub ryzyka uprawnienia mogą być dostosowywane w czasie rzeczywistym. Następnie brama sprawdza, czy przypisany token nie został naruszony i generuje pojedynczy segment, co oznacza, że użytkownik/urządzenie uzyskał zaufany dostęp do określonych zasobów. Cała reszta pozostaje niewidoczna.
SDP vs. VPN: Bezpieczeństwo Zero Trust i jego związek z SDP
W ostatnich latach bezpieczeństwo Zero Trust stało się popularnym podejściem do bezpieczeństwa danych, nie bez powodu. Tradycyjne rozwiązania bezpieczeństwa, takie jak VPN, zakładają, że wszystkie urządzenia w sieci mogą być zaufane. Jednak w dzisiejszym połączonym świecie nie może być tak dłużej. Zabezpieczenie Zero Trust, zbudowane na zasadzie najmniejszego uprzywilejowania, przyjmuje postawę „domyślnie, odmawiaj” i zakłada, że wszystkie urządzenia nie są zaufane, dopóki nie zostanie zweryfikowane. Zero Trust Network Access i architektura SDP zostały stworzone w celu egzekwowania zasad Zero Trust, zapewniając przedsiębiorstwom następujące korzyści w zakresie bezpieczeństwa:
- Wszystkie zasoby są niewidoczne dla nieuwierzytelnionych i nieupoważnionych osób
- Tożsamość, kontekst, postawa wobec ryzyka związanego z urządzeniem oraz telemetria ryzyka pochodząca ze zintegrowanych systemów, takich jak platformy Threat Intelligence i rozwiązania Endpoint Protection, zapewniają, że do sieci trafiają właściwi użytkownicy i urządzenia.
- Bezpieczny dostęp w odpowiednim momencie jest zapewniany po zweryfikowaniu zaufania i jest ograniczony do segmentowanych zasobów na podstawie drobnych uprawnień.
Dlaczego Appgate SDP jest liderem w dziedzinie bezpiecznego dostępu do sieci Zero Trust (ZTNA)
Appgate SDP zapewnia wiodący w branży dostęp sieciowy (ZTNA) do wszystkiego, z dowolnego miejsca i przez każdego. Wymaga uwierzytelnienia użytkowników w oparciu o tożsamość i parametry kontekstowe, takie jak rola, czas, data, lokalizacja i stan urządzenia, przed umożliwieniem dostępu do zasobów przedsiębiorstwa … aby zapobiec nieusankcjonowanemu ruchowi bocznemu. Ponadto, opatentowana przez Appgate SDP technologia SPA ukrywa najcenniejsze zasoby przy użyciu technik kryptograficznych, aby jeszcze bardziej chronić sieć przed szeregiem potencjalnych ataków.
Współpracując z istniejącym ekosystemem bezpieczeństwa w celu egzekwowania zasad Zero Trust, Appgate SDP posiada pojedynczy punkt decyzyjny polityki, który kontroluje dostęp w całym ekosystemie IT Twojej organizacji. Ponadto, wyjątkowe strategiczne technologie i integracje API oznaczają, że mniej jest zgrywania i wymieniania, a więcej rozszerzania i optymalizacji w celu wzmocnienia i uproszczenia kontroli dostępu poprzez wykorzystanie istniejących systemów i danych. Obejmuje to możliwość rozszerzenia istniejących inwestycji w technologię VPN.
Na podstawie artykułu ze strony firmy Appgate.