ZTNA против VPN: в чем суть корпоративного подключения нового поколения

Чем отличается ZTNA от VPN?

VPN долгое время служили основным способом подключения удаленных пользователей к корпоративной сети. Эти решения строились вокруг идеи создания защищенного периметра — своего рода замкнутого контура, в котором приложения работали с пониженным уровнем безопасности. Это удобно и на первый взгляд «дешево», но основная проблема безопасности в том, что при подключении через VPN пользователь сразу получает доступ ко многим (всем) внутренним ресурсам — таким как файловые хранилища, CRM-системы, принтеры независимо от их уровня защиты. Мы сильно усложняем доступ в корпоративную сеть для посторонних пользователей (внешних нарушителей), но абсолютно не защищаемся от «внутренних».

ZTNA базируется на принципе нулевого доверия, все подключения защищаются так, как будто подключение происходит из максимально незащищенного места. Здесь больше нет автоматического доступа к корпоративным ресурсам — каждая сессия требует аутентификации и авторизации, доступ логируется (классическая схема ААА, но для каждого приложения). Даже если пользователь находится в офисе, ему не гарантирован доступ к ресурсам до тех пор, пока система не подтвердит его полномочия. Это делает ZTNA более гибким и безопасным решением по сравнению с традиционными VPN.

По сути, ZTNA можно рассматривать как своего рода эволюцию VPN. Оно позволяет подключаться не к сети в целом, а к конкретным приложениям, с дополнительной, настраиваемой проверкой безопасности на каждом этапе взаимодействия с целевой системой.

Как здесь обеспечивается безопасность?

Безопасность — ключевой аспект. Технология изначально предполагает шифрование всех соединений, но ее главное отличие в многофакторной аутентификации и других дополнительных механизмах защиты.

Современные решения ZTNA поддерживают интеграцию с различными источниками данных: Active Directory, LDAP, RADIUS, SAML и другими. Это позволяет настроить гибкие правила аутентификации в зависимости от различных факторов, например, местоположения пользователя. Например, если некий сотрудник всегда подключался из Москвы, а потом неожиданно зашел в систему из другой страны, система может запросить дополнительные подтверждения — токен или другой фактор.

Технология позволяет проводить всесторонний аудит подключения, отслеживать активность пользователей, анализировать их устройства и даже проверять наличие антивируса на компьютере, что помогает предотвратить проникновение с несанкционированных устройств.

Мы можем снять проблему безопасности с приложения и возложить ее на решение ZTNA, упростив таким образом задачу разработчикам. Единое специализированное решение ZTNA поддерживающе широкий набор провайдеров учетных записей, типов аутентификации и т.д., всегда будет безопаснее и более оптимально, чем внедрение такого в корпоративное приложение. Кроме того, «старые» приложения, оставшиеся без поддержки и обновления, с легкостью превращаются в защищенные.

Что можно публиковать с помощью ZTNA?

ZTNA — универсальная технология, способная работать с различными типами приложений. В первую очередь, речь идет о веб-приложениях, но с помощью ZTNA можно также подключать приложения, работающие по протоколу RDP, и любые другие решения, использующие IP-протоколы. ZTNA позволяет настроить туннелирование трафика для приложений с высоким уровнем безопасности. Например, если при подключении к определенному приложению требуется особый уровень защиты, система может запросить дополнительную аутентификацию или активировать режим логирования.

Практически любое корпоративное приложение можно адаптировать для работы через ZTNA, будь то внутренние системы или приложения, требующие внешнего доступа. Это делает технологию по-настоящему универсальной.

ZTNA — это для всех?

Несмотря на все преимущества, ZTNA не является универсальным решением и может кому-то не подойти. Например, если компания ищет способ обойти блокировки ВПН или настроить проксирование трафика, ZTNA не будет эффективной: она предназначена для обеспечения безопасности при доступе к корпоративным приложениям, но не является полноценным реверс-прокси или антивирусом. Это прежде всего технология для подключения к корпоративным приложениям, а не для широкого интернет-доступа.

Для задач, связанных с организацией сетевого взаимодействия в широком смысле, используются другие решения — например, широко известный IPsec или более современные гибкие технологии, такие как SD-WAN.

Еще один случай, когда ZTNA может быть неудобен — это доступ к публичным приложениям без аутентификации. Даже несмотря на то, что в современных решениях ZTNA присутствует реверс-прокси, балансировщики нагрузки или подмена сертификатов для сайтов, ZTNA не подходит, так как требует аутентификации каждого пользователя. 

Как внедрить ZTNA: главные моменты

ZTNA — это не просто замена VPN, а комплексное решение, требующее тщательной настройки и знания специфики приложений и процессов внутри организации— поэтому лучше доверить внедрение профессионалам, которые смогут адаптировать систему под ваши задачи и минимизировать возможные риски.

1. Тестовый пилот 

В целом я бы рекомендовал внедрение ZTNA начать с тестового пилотирования. Для успешного развертывания важно привлечь опытных интеграторов, таких как ICL Services, которые помогут компании понять все преимущества новой технологии, настроить ее под свои нужды выбрать правильные «сайзинг» для оптимизации затрат. Без достаточной экспертизы легко «просмотреть» и забраковать подходящие решения. Хороший интегратор поможет избавиться от «вендорлока» и предложить ряд решений, которые создадут целостную отказоустойчивую и безопасную систему.

2.  Планирование

К «пилотированию» важно подойти, имея на руках четкий план тестирования, в этом случае тестирование не затянется на бесконечное время и будет имеет четкий и понятный результат. Интегратор часто помогает составить такой план так как имеет богатый опыт.

К тестированию важно привлечь коллег всех уровней — инженеров, менеджеров, руководителей. У каждого отдела могут быть разные интересы и KPI, поэтому, важно учесть все интересы. То, что удобно «инженеру», может быть не удобно для бизнеса. Эта активность потребует менеджмента проекта, а опытный интегратор может предоставить эту экспертизу.

3. Оценка возможностей

Важно правильно и вовремя оценить свои силы и подумать о внедрении и обслуживании новой системы заранее. Новые технологии потребуют новой квалификации для текущего персонала. Сам процесс перехода на новую систему может оказаться болезненным для конечных пользователей и для снижения негативной реакции и последствий стоит выполнять переход в несколько волн.

Ступенчатый подход позволит вовремя внести корректировки в архитектуру, затронув минимальное количество пользователей. Ну а после внедрения наступает время поддержки решения с гарантированным SLA и выполнении гарантированных обязательств.

Что даст внедрение ZTNA?

Если смотреть в корень, ZTNA предотвращает действия злоумышленников и на уровне сетевого доступа к приложениям. Это комплексная защита, которая затрудняет работу хакеров и делает кибербезопасность более управляемой. И от внедрения ZTNA можно получить ряд преимуществ:

1. Мобильность

Большое преимущество ZTNA — в повышенной мобильности сотрудников и усиленной защите корпоративных данных. Теперь пользователи могут безопасно подключаться к приложениям из любой точки мира, не беспокоясь о компрометации данных. Для отдела безопасности предоставляется замечательная «видимость» всех событий, связанных с доступом в единой консоли.

2. Концепция нулевого доверия

Многие компании до сих пор полагаются на устаревшие VPN-решения, которые уязвимы для внутренних нарушений и взломов. ZTNA, напротив, строится на концепции нулевого доверия, которая защищает как от внешних, так и от внутренних угроз. Это значительно повышает общий уровень кибербезопасности бизнеса.

3. Снижение рисков

Помимо прочего, ZTNA значительно снижает риски неконтролируемого доступа к корпоративным приложениям, так как каждая сессия требует аутентификации и авторизации. Это делает технологию особенно эффективной в борьбе с атаками вроде man-in-the-middle, когда злоумышленники пытаются перехватить данные пользователя.

4. Защита от DDOS

Технология помогает защититься от DDoS-атак, перебора паролей и других методов взлома. За счет встроенных механизмов балансировки нагрузки и блокировки подозрительных попыток подключения, технология способна оперативно реагировать на любые угрозы. Специализированное приложение с единым интерфейсом всегда на шаг впереди «модулей безопасности» корпоративных приложений, ведь для разработчиков безопасность не является профильной активностью. Пусть каждый занимается своим делом — разработчики делают удобное приложение, а ZTNA займется защитой.

Также читайте на РБК.