5 ключевых различий между VPN и решением для сетевого доступа с «нулевым доверием» Alphabyte ZTNA

Блог Alphabyte

Создание безопасной рабочей среды современного предприятия, как правило, включает в себя запуск VPN-сервера или использования облачной версии виртуальных частных сетей (VPN).

Однако зарекомендовавшая себя за 25 лет технология VPN сегодня не так эффективна, как раньше. Активное использование облачных сервисов, работа сотрудников на “удаленке” стирает четкую границу между внутренним сегментом и внешним миром и снижает безопасность, основанную только на контроле периметра. Взлом удаленного пользователя, подключенного по VPN, предоставляет злоумышленникам слишком много возможностей.

Новые вызовы рождают новые решения. Популярность набирает технология ZTNA, сетевого доступа с «нулевым доверием». Принцип «нулевого доверия» ZTNA работает просто: запрещает всем и каждому доступ к ресурсу, если нет явного разрешения. При этом неважно, находятся пользователь и объект запроса внутри периметра или за его пределами. Роль границы сети берут на себя не аппаратные средства, а программные модули, отвечающие за аутентификацию пользователя и авторизацию соединения.

Быть ZTNA в компании или нет – решать директору по IT. Мы расскажем об основных отличиях решения ZTNA от классического корпоративного VPN на примере Alphabyte ZTNA.

Ключевое различие Alphabyte ZTNA и VPN заключается в необходимости изменить базовый подход к информационной безопасности в сети.

Больше нет безопасной зоны, любой запрос на обмен данными, даже исходящий от легитимного аккаунта, может быть частью атаки злоумышленников, нацеленных на взлом IT-инфраструктуры, кражу конфиденциальных данных или денег с банковского счета.

Отказ от концепции доверенного сегмента и защиты периметра означает переход к децентрализованной модели управления сетью и поднимает вопрос об изменении политик безопасности. Это накладывает обязательство на руководство IT, так как представляет собой долгосрочный проект, в ходе которого подвергаются инвентаризации все имеющиеся информационные активы, оборудование, ПО, сервисы, а также пересматриваются и оптимизируются существующие права и разрешения.

Внедрение сетевого доступа с «нулевым доверием» часто дополняет проекты по развертыванию программно-управляемых сетей SD-WAN и платформы, объединяющей интеллектуальное управление трафиком с пограничными сервисами безопасности (SASE).

Подход, при котором исключается фактор периметра, приводит к отказу от понятия «вход в сеть». Классическому VPN необходимы имя пользователя и пароль для подключения, в продвинутом случае используется двухфакторная аутентификация. После ее прохождения удаленный пользователь «входит в сеть» и получает полный доступ к ресурсам на сетевом уровне. Дальнейшие разрешения определяются исключительно настройками искомого сервиса или приложения.

Каждый запрос на обмен данными в инфраструктуре ZTNA рассматривается как угроза безопасности. ZTNA проверяет, является ли пользователь тем, за кого он себя выдает, и имеются ли у него права на этот запрос. Только в случае положительного результата обеих проверок разрешается обмен данными.

Отсутствие доверенной зоны предотвращает горизонтальное распространение атаки даже в случае проникновения злоумышленников в сеть организации.

Локальная архитектура безопасности на основе периметра и использование VPN для создания защищенных каналов связи предполагает, что трафик от пользователей, подключенных удаленно, проходит через VPN сервер. Увеличение числа одновременно подключающихся пользователей приводит к увеличению времени отклика и замедлению работы.

Для доступа к ресурсам компании через VPN требуется загрузить и настроить VPN-клиент. Сотрудник также должен не забывать подключаться к VPN каждый раз, когда он хочет использовать эти ресурсы.

С Alphabyte ZTNA бесперебойная работа и обмен данными обеспечивается за счет автоматической установки безопасных соединений. Логин и пароль используются только для первого входа. При включенном решении ZTNA необходимые проверочные процедуры происходят в фоновом режиме незаметно для пользователя.

При этом облачные сервера Alphabyte размещены на площадках крупнейших провайдеров в разных регионах от Калининграда до Владивостока, что позволяет иметь минимальную задержку, несмотря на проверку подлинности и авторизацию при каждом обращении к ресурсу.

В решении используется современный коммуникационный протокол WireGuard, который не только проще в настройке, но и обгоняет другие технологии по скорости работы.

Выполнение рабочих задач может потребовать доступа к ресурсам компании для внешних пользователей, партнеров или подрядчиков. Часто в организациях использование VPN в таких случаях запрещено, так как подключение создает несоразмерные риски безопасности. Взломав устройство, на защищенность которого компания не может повлиять, злоумышленник с легкостью проникает в корпоративную сеть. Это позволяет вредоносным программам и другим киберугрозам получить прямой доступ к чувствительным данным и ресурсам.

Решение Alphabyte ZTNA обрабатывает каждый запрос на обмен данными с учетом актуальной на текущий момент информации, требует подтверждения подлинности пользователя и авторизации доступа, поэтому позволяет более гибко настраивать доступ для внешних пользователей. Разрешения, выданные на уровне приложений, снижают вероятность проникновения злоумышленников в сеть через подрядчиков. Функционал включает ограничение прав доступа по времени и исключает сохранение привилегий у сторонних пользователей после завершения сотрудничества или проекта.

Alphabyte ZTNA упрощает масштабирование и обновление IT-инфраструктуры. Наглядное и простое управление правами доступа на основе пользовательского контекста облегчает процесс добавления новых разрешений, удаления неактуальных полномочий, а также позволяет менять привилегии сотрудников, чьи потребности возросли или уменьшились из-за смены рабочих задач, без создания дополнительных рисков информационной безопасности.