Mivel az irodai dolgozók 69%-a a jelentések szerint személyes laptopját használja munkájához, és a szakértők előrejelzése szerint 2030-ra 50-80 millió irodai munkát végeznek majd távolról, a szervezetek erőforrásainak távoli hozzáférésének biztosítása létfontosságúvá vált. A távmunkások gyakran nyilvános hálózatokról férnek hozzá a vállalati erőforrásokhoz, vagy olyan eszközöket használnak, amelyek esetleg rosszindulatú szoftvereket tartalmaznak, ami hozzájárul ahhoz, hogy a vállalkozások 81%-a szenvedi el a rosszindulatú szoftverek valamely formája miatt bekövetkező végponti támadásokat, például az adatok megsértését és az érzékeny adatok kiszivárgását.
A két legelterjedtebb biztonságos hozzáférési megközelítés a VPN (virtuális magánhálózat) és a ZTNA (zero trust network access). A VPN egy központosított megközelítés, amely hitelesíti a felhasználókat, mielőtt az adatokat egy központi szerveren keresztül továbbítja a hálózatba. A ZTNA közvetlen, biztonságos hozzáférést biztosít a hálózaton belül a felhasználó által engedélyezett konkrét erőforrásokhoz.
Mi az a VPN?
A VPN egy olyan technológia, amely biztonságos, titkosított kapcsolatot hoz létre az interneten keresztül a felhasználó eszköze és egy hálózat között. A VPN adatbiztonsága az eszközökön és hálózatokon keresztül továbbított adatok titkosított alagutak létrehozásán alapul.
A VPN-eket eredetileg a Microsoft fejlesztette ki az 1990-es években, amikor bevezette a PPTP-t (Point-to-Point Tunneling Protocol). Az internet fejlődésével és a kibertámadások egyre kifinomultabbá válásával a VPN-ek használata a szervezetek és a magánszemélyek körében egyaránt megnőtt. A különböző vállalati alkalmazásokban szerves megoldást jelentenek, többek között a belső erőforrásokhoz való biztonságos távoli hozzáférés biztosításában, a fiókirodák és a központ összekapcsolásában, valamint az üzleti utazások során az adatvédelem fokozásában.
Hogyan működik egy VPN?
A VPN-ek a felhasználók hitelesítésével kezdik, hogy igazolják személyazonosságukat, általában jelszóval vagy kétfaktoros hitelesítéssel. Ezután a VPN-ügyfél és a kiszolgáló egy kézfogást hajt végre, egy olyan folyamatot, amely megerősíti az adatok titkosítási és visszafejtési módszerét egy olyan VPN-protokoll segítségével, mint az L2TP, az IKEv2 vagy az OpenVPN. A munkamenet során az adatcsomagok kapszulázásra kerülnek, és biztonságosan továbbítódnak a potenciálisan nem biztonságos hálózatokon keresztül.
A VPN-eknek két fő típusa van, a távoli hozzáférésű és a helyközi VPN-ek. A távoli hozzáférésű hálózatokat magánszemélyek használják távoli hálózatokhoz való csatlakozásra. A telephelyek közötti hálózatokat egész hálózatok összekapcsolására használják, biztonságos, titkosított kapcsolatot létrehozva több helyszín között.
A VPN-ek az egész hálózatra kiterjedő hozzáférést biztosítanak a hitelesített felhasználók számára. Ennek a megközelítésnek megvannak a maga hátrányai, mivel növeli a támadási felületet a fenyegető szereplők számára, ezért sok szervezetet arra késztetett, hogy szigorúbb megoldást keressen a hálózataihoz való biztonságos hozzáférés biztosítására.
Mi az a ZTNA?
A ZTNA a zéró bizalom elvén alapuló modern megoldás a biztonságos hálózati hozzáférés biztosítására. Egy ZTNA-hálózatban a csatlakoztatott eszköz alapértelmezés szerint nem megbízható. Nem tudhat más erőforrásokról, például alkalmazásokról és kiszolgálókról, csak azokról, amelyekhez való csatlakozásra jogosult. A ZTNA-ban a felhasználói hozzáférés engedélyezése az egyes eszközök biztonsági státuszának értékelése után történik, az azonosság, az eszközök állapota és a jogszabályi megfelelőség alapján.
A ZTNA növekvő népszerűségével a szervezetek a felhőalapú környezetekben a biztonságos hozzáférés kezelésének megbízható megoldásaként fogadták el. A feltételes hozzáférés, amely nem központi hálózaton keresztül irányítja az adatokat, kedvező megoldássá tette az elosztott csapatokkal rendelkező szervezetek számára.
Hogyan működik a ZTNA?
A ZTNA biztonsági modellje arra a feltételezésre épül, hogy nincs bizalom a hálózat peremén belül vagy kívül. Minden egyes felhasználót és eszközt külön-külön ellenőriz, mielőtt engedélyezné az egyes erőforrásokhoz való hozzáférést. Ez a folyamat magában foglalja a felhasználó személyazonosságának hitelesítését és az eszköz biztonsági helyzetének értékelését annak érdekében, hogy csak a megfelelő és engedélyezett eszközök számára biztosítsa a hozzáférést.
A ZTNA minden egyes hozzáférésnél folyamatosan kontextusfüggő biztonsági ellenőrzéseket végez, például értékeli a helyet, az eszköz állapotát és más kockázati mutatókat. A felhasználói ellenőrzés többféle technológiát használ, beleértve az MFA-t (többfaktoros hitelesítés) és az IAM-et (személyazonosság- és hozzáférés-kezelés). Az eszköz biztonságát különböző módszerekkel értékeli, például a rosszindulatú szoftverek ellenőrzésével, a legutóbbi biztonsági frissítések megerősítésével és a végpontvédelem aktiválásának biztosításával.
A legkisebb jogosultság elvének alkalmazásával a ZTNA csak az egyes munkamenetekhez szükséges erőforrásokhoz biztosít hozzáférést. Ez ellentétben áll a VPN-ekkel, amelyek teljes hálózati szegmensekhez biztosítanak hozzáférést, és ezzel potenciálisan nem létfontosságú alkalmazásokat és adatokat tesznek hozzáférhetővé a felhasználók számára.
A ZTNA megoldások előnyei
Biztonsági előnyök
A ZTNA csökkenti a támadási felületet azáltal, hogy csak a szükséges erőforrásokhoz biztosít hozzáférést. A biztonság megsértése esetén a házirendjei korlátozzák a támadó oldalirányú mozgását.
Javított felhasználói élmény
A felhasználók a ZTNA-n keresztül, minimális konfigurációval és anélkül, hogy speciális szoftverre lenne szükségük, saját eszközeikről biztonságosan hozzáférnek az alkalmazásokhoz. A ZTNA kontextusfüggő biztonsági ellenőrzésének biztonsági előnyei mellett a felhasználóknak nem kell minden egyes alkalmazást külön-külön újra hitelesíteniük.
Skálázhatóság
A ZTNA-t úgy tervezték, hogy jól illeszkedjen a felhő- és hibrid környezetekhez, megkönnyítve a rendszergazdák számára az alkalmazások hozzáadását vagy eltávolítását, valamint a felhasználók hozzáférési jogosultságainak módosítását.
Teljesítmény
A felhasználók közvetlenül csatlakoznak az alkalmazásokhoz anélkül, hogy egy központi szerverre irányítanák őket, ami alacsonyabb késleltetést és jobb teljesítményt eredményez. Ezzel a megközelítéssel elkerülhetők a szűk keresztmetszetek, amelyek a nagy hálózati forgalmú VPN-megoldásoknál időnként előfordulnak.
Továbbfejlesztett vezérlés
Az egyes felhasználók kapcsolatai feletti granuláris hozzáférés-szabályozás garantálja, hogy az egyes felhasználók milyen erőforrásokhoz férhetnek hozzá.
ZTNA vs VPN: Összehasonlítás
Biztonsági modell
- VPN: A felhasználókat csak egyszer hitelesítik, majd az egész hálózatra kiterjedő bizalom jön létre.
- ZTNA: Minden munkamenethez ellenőrzésre van szükség, a felhasználók és eszközök folyamatos, kontextuális hitelesítésére összpontosítva.
Granuláris hozzáférés-szabályozás
- VPN: A kapcsolat a felhasználók hitelesítését követően hozzáférést biztosít a teljes hálózathoz, ami növeli a támadási felületet és az adatszivárgás kockázatát.
- ZTNA: Részletes hozzáférést biztosít bizonyos alkalmazásokhoz vagy erőforrásokhoz a kontextusfüggő biztonsági irányelvek alapján.
Teljesítmény és skálázhatóság
- VPN: A felhasználók lassabb teljesítményt tapasztalhatnak nagy adatátvitelek és megnövekedett egyidejűleg csatlakozó felhasználók esetén. Az adatokat több szerveren keresztül egy adatközpontban lévő központi pontra irányítja, ami megnehezíti a felhőkörnyezetekkel való skálázást.
- ZTNA: A közvetlenül az alkalmazásokhoz való megközelítés kiküszöböli a központi kapcsolat szükségességét, és jobb teljesítményt nyújt, így felhőkörnyezetekben jobban skálázható megoldás.
Felhasználói élmény
- VPN: A végfelhasználóknak kliensszoftvert kell telepíteniük helyi gépeikre. A VPN-kliensek telepítése és konfigurálása sok felhasználó számára kihívást jelenthet. Emellett a nagy hálózati forgalom idején a lassabb kapcsolódási sebesség frusztrációhoz és alacsonyabb termelékenységhez vezethet.
- ZTNA: A bonyolultság nagy része a kezdeti beállításhoz kapcsolódik, amelyet az informatikai és felhőszakértők végeznek. Felhasználói szinten a kapcsolat zökkenőmentessé válik, amint a végfelhasználó hitelesítése megtörtént, ami gyorsabb és zökkenőmentes hozzáférést biztosít a szükséges alkalmazásokhoz.
Távoli munkaerő alkalmazkodóképessége
- VPN: A vállalati erőforrásokhoz való széleskörű hozzáférés nem biztos, hogy alkalmas egy dinamikus, bővíthető távoli munkaerő számára, amely több helyről csatlakozik a vállalat hálózataihoz.
- ZTNA: Alkalmas a távoli alkalmazottak hozzáférésének biztosítására úgy, hogy nincs szükség kliensalkalmazások telepítésére, és csak a szükséges erőforrásokhoz való hozzáférést teszi lehetővé.
Legfontosabb megfontolások a vállalkozások számára
Skálázhatóság
Az állandóan skálázhatóságra szoruló üzleti környezetek, például a SaaS, a fintech és a mesterséges intelligencia szolgáltatások számára a ZTNA alkalmasabb lehet a felhőkörnyezetekkel való skálázhatósága miatt.A VPN-ek további kihívásokat jelenthetnek ezekben a környezetekben, mivel folyamatos karbantartást és különböző készségekkel rendelkező szakértők rendelkezésre állását igénylik a kezelésükhöz.
Biztonság
Mivel a ZTNA minimalizálja a hálózaton belüli oldalirányú mozgást, ezért a BYOD-irányelvek megerősítésére és a harmadik fél hozzáférését lehetővé tevő rendszerek esetében ez az előnyben részesített megoldás. A ZTNA-megoldások újdonsága miatt azonban előfordulhat, hogy nem támogatják a régebbi rendszereket. Ilyen esetekben a VPN-ek előnyösebbek a régebbi alkalmazásokhoz való hozzáférés biztosítására.
Teljesítmény
A ZTNA kedvező megoldást jelenthet a különböző földrajzi helyeken elosztott csapatokkal rendelkező szervezetek számára. A Zero Trust Network Access vs. VPN esetében a decentralizált közvetlen hozzáférési modell alacsonyabb késleltetést és szűk keresztmetszetek elkerülését eredményezi.
Meglévő infrastruktúra
Egyes szervezetek nagymértékben fektetnek be a helyben lévő infrastruktúrába, speciális megfelelési követelmények vagy üzleti modelljük miatt. Az ilyen beruházások megkönnyítik a VPN-megoldás bevezetését, mivel a VPN üzemeltetéséhez és karbantartásához szükséges infrastruktúra jelen van, és a szervezet belső ellenőrzése alatt áll.
Következtetés
A távmunkavállalók és az elosztott csapatok számának gyors növekedése arra késztette a szervezeteket, hogy fontolóra vegyék a távoli hozzáférés biztonságának javítását. A ZTNA (zero-trust network access) és a VPN-ek a két legnépszerűbb távoli biztonságos hozzáférési megoldás. A szervezet igényeinek és az egyes megoldások működésének ismeretében megalapozott döntést hozhat arról, hogy melyiket építse be szervezetébe.
A MetaDefender IT Access™ a MetaDefender® Access Platform Secure hozzáférési modulja, amely bármilyen eszközről biztosítja a felhőalapú és a hagyományos alkalmazásokhoz való hozzáférés biztonságát. A SAML IdP integrációval és a Software Defined PerimeterrelSDP) ellátott Secure Cloud Access segítségével hálózata betarthatja a jogszabályi megfelelést, kihasználhatja a legkevésbé privilegizált modellt, és csökkentheti a hálózati támadási felületet. Tudja meg, hogyan javíthatja a MetaDefender IT Access a láthatóságot és hogyan akadályozhatja meg a jogosulatlan hálózati hozzáférést.
