Poskytuje bezpečný prístup a zároveň zjednodušuje nasadenie a každodennú správu.

Skôr či neskôr, zero-trust network access (ZTNA) bude zohrávať v mnohých organizáciách veľkú úlohu.

Či už riešite okamžitý nárast počtu vzdialených používateľov, alebo sa chystáte prijať Secure Access Service Edge (SASE) framework, ZTNA bude čoraz dôležitejšou súčasťou vášho prostredia kybernetickej bezpečnosti.

Zákazníci nám hovoria, že nechcú na svojich koncových bodoch nasadzovať viacero agentov. Súčasne zostáva pre väčšinu organizácií pretrvávajúcou výzvou nedostatok pracovníkov v oblasti IT bezpečnosti. Preto Sophos ZTNA využíva existujúci ekosystém Sophos, aby sme našim zákazníkom zjednodušili nasadenie aj každodennú správu. Táto integrácia znižuje námahu administrátorov aj stopu zariadení – je to win:win.

Nastal čas pre túto technológiu

ZTNA sa v ostatnom čase dostala do centra pozornosti – a ja sa tomu nečudujem. IT čelí súhre výziev v oblasti zabezpečenia, kde môže pomôcť.

Všetko nasvedčuje tomu, že hybridná pracovná sila tu zrejme zostane. IT tímy budú musieť podporovať viac používateľov, ktorí potrebujú prístup k väčšiemu počtu aplikácií a údajov z väčšieho počtu miest mimo kamenných priestorov organizácie. A nielen domáce kancelárie, ale aj kaviarne a iné zdieľané priestory. Aj údaje sú čoraz častejšie uložené na viacerých miestach: v priestoroch, vo verejných a súkromných cloudoch a v aplikáciách založených na technológii SaaS.

Medzitým ransomvér v dohľadnej dobe nezmizne. Je to trvalá, všadeprítomná hrozba – a skutočnou výzvou je spôsob, akým sa šíri bočne po sieti. Nie je to len prvé zariadenie, ktoré sa stane rukojemníkom; aktéri ransomvéru hľadajú spôsoby, ako maximalizovať svoj vplyv. Napríklad kmeň Ryuk je známy tým, že sa šíri na aplikačné servery, radiče domén, terminálové servery a ďalšie. Obmedzenie širokého prístupu do siete pomáha zmierniť škody a škrtenie spôsobené ransomvérom.

V dôsledku toho sa organizácie snažia zabezpečiť hybridné pracovné modely a zároveň zmierniť potenciálne škody vyplývajúce z dôveryhodnosti každého jednotlivého zariadenia. ZTNA sa na to dokonale hodí.

Zjednodušený prístup – bez kľúčov od zámku

Zero-trust network access v zásade rieši problém, ako poskytnúť správnym používateľom a zariadeniam prístup k aplikáciám, ktoré potrebujú, bez toho, aby ste ich pustili na slobodu vo svojej sieti. Brána ZTNA poskytuje pomenovanej entite, používateľovi, diskrétny prístup k diskrétnej aplikácii.

Brána overuje tri veci: identitu používateľa, identitu zariadenia a stav zariadenia. A čo je dôležité, robí to zakaždým, pri každej požiadavke na reláciu – takže ak je zariadenie ukradnuté alebo infikované, prístup sa dá okamžite zrušiť.

Aby ste ešte viac znížili svoje riziko, môžete nastaviť granulárne zásady v štýle semaforu na základe úlohy používateľa, jeho potrieb a stavu overenia. Napríklad zariadenie v „červenom“ stave – pretože je infikované škodlivým softvérom – by mohlo mať obmedzený prístup ku všetkým aplikáciám okrem webovej stránky asistenčnej služby, čo umožní používateľovi obrátiť sa na pomoc alebo odstrániť problém.

Napríklad pri riešení VPN by koncový používateľ mohol musieť zistiť, ku ktorej bráne sa má pripojiť, obávať sa vyradenia zo siete, keď prejde z káblového na bezdrôtové pripojenie, a byť vyzvaný, aby sa zakaždým znovu overil.  Vďaka ZTNA sa všetky tieto zložitosti odohrávajú za scénou, čo výrazne zlepšuje používateľský zážitok.

Vďaka ZTNA stačí, aby koncový používateľ zadal svoje viacfaktorové overenie – za predpokladu, že ho máte povolené – a kontroly stavu zariadenia a overovanie identity tretích strán sú v podstate neviditeľné.

Presnejšie vymedzená úloha siete VPN

Zatiaľ čo IT tímy boli ešte vo fáze boja proti pandémii, používanie VPN prudko vzrástlo. To dáva zmysel – je to dôveryhodný spôsob poskytovania vzdialeného prístupu.

Po 18 mesiacoch však čoraz viac ľudí zvažuje, či ZTNA nie je lepšou odpoveďou na ich problém. A ak ide výlučne o pripojenie vzdialených používateľov a poskytovanie podpory pre moderné aplikácie (zvyčajne využívajúce protokoly TCP a UDP), mohla by byť vhodná veľkoobchodná náhrada.

Pre väčšinu organizácií však stále bude čas a miesto na použitie VPN riešenia. Možno budete chcieť napríklad prepojiť dve kancelárske siete alebo používať starší softvér s jeho proprietárnymi protokolmi. ZTNA ako také zvyčajne nenahradia VPN úplne; namiesto toho budú s najväčšou pravdepodobnosťou doplnkovými možnosťami vo vašom súbore nástrojov na zabezpečenie IT.

Podporujúce Secure Access Service Edge (SASE) 

Takáto je situácia v súčasnosti. Situácia je však čoraz zložitejšia, pretože existujú lokálne, verejné a súkromné cloudové aplikácie a aplikácie SaaS a používatelia sa pripájajú odkiaľkoľvek a používajú akýkoľvek druh zariadenia.

Aby to všetko dávalo zmysel, kybernetická bezpečnosť smeruje k ucelenejšiemu, centrálne riadenému ekosystémovému prístupu. A ZTNA – spolu so službami identity tretích strán, ktoré využíva – bude kľúčovým pilierom tohto rámca.

Pre túto myšlienku existuje niekoľko názvov; jedným z najpopulárnejších je Secure Access Service Edge (SASE). Je to rámec, ktorý využíva neprehľadné prostredie a umožňuje uplatňovať jednotné bezpečnostné politiky. Môžete sa sústrediť na udeľovanie prístupu a ochranu používateľov bez toho, aby ste sa museli starať o to, kde a ako umiestniť a konfigurovať spleť bodových riešení, ktoré to všetko zabezpečia. A je riadený cloudom, takže práca s kontrolou prevádzky menej zaťažuje vaše zariadenia kybernetickej bezpečnosti, čo vám uľahčuje škálovanie s novými používateľmi, aplikáciami a údajmi.

To výrazne zmení pracovné zaťaženie správcov IT. Bude menej behania okolo inštalovania záplat a nastavovania zásad na jednotlivých zariadeniach a koncových bodoch. Bude však veľmi dôležité pozornejšie sledovať aplikácie – a pochopiť, aký softvér vaša organizácia používa a prečo.

Existuje niekoľko základných kameňov, ktoré umožnia rámcom SASE uplatňovať politiky v celom vašom prostredí koherentným spôsobom. Jedným z nich je SD-WAN a ďalším je ZTNA. Predstavujeme si svet, v ktorom SASE poskytuje jednotnú politiku pre prístup a ochranu webu, prístup k súkromným aplikáciám, prístup k aplikáciám SaaS a všeobecnú ochranu a kontrolu sieťovej prevádzky.

Jednoduché by malo byť aj licencovanie a inštalácia

Pri všetkých týchto zmenách, s ktorými sa treba vyrovnať, potrebujú IT tímy a zabezpečenia voľnosť, aby mohli vymyslieť, ako čo najlepšie využiť ZTNA. Posledná vec, ktorú chcete, je, aby váš partner v oblasti kybernetickej bezpečnosti komplikoval veci viac, než je potrebné.

Preto v spoločnosti Sophos volíme iný prístup – a snažíme sa veci čo najviac zjednodušiť.

Hodnota ZTNA spočíva vo vašich používateľoch a aplikáciách, ku ktorým im umožňujete prístup, preto sú naše licencie založené len na počte používateľov. Naše brány nulovej dôveryhodnosti sú k dispozícii v konfiguráciách s vysokou dostupnosťou a v klastroch; nasadíte ich toľko, koľko chcete, ako chcete, bez akýchkoľvek nákladov.

Ak sa teda rozhodnete zmeniť architektúru svojho dátového centra, zmeniť svoje aplikácie alebo využiť existujúce technológie odolnosti prostredia, ako je napríklad clustering VMware, nemusíte sa obávať, že by ste boli ukrátení o peniaze.

ZTNA by sa malo dať aj jednoducho nasadiť. Preto používame rovnakého inštalačného agenta, ktorý je spoločný pre všetky naše produkty pre koncové body – či už ide o šifrovanie zariadení Sophos, alebo Intercept X. Ak už máte na svojich koncových bodoch stopu Sophos, nepotrebujete nič ďalšie; ZTNA stačí zaškrtnúť v platforme pre správu Sophos Central.

Koniec koncov, vaše súčasné výzvy sú dostatočne komplikované. ZTNA je tu preto, aby vám život uľahčil, nie skomplikoval.

Celkovo si myslím, že je to celkom skvelý súbor možností – a zatiaľ sa zdá, že používatelia v našom programe Early Access s tým súhlasia. Očakávame, že Sophos ZTNA bude všeobecne dostupný koncom roka 2021. Dovtedy sa poraďte so zástupcom spoločnosti Sophos a prediskutujte, ako môže Sophos ZTNA podporiť vašu organizáciu.

Sophos Rob AndrewsZdroj: Sophos
Rob Andrews

Autor článku: Rob Andrews

Rob je riaditeľom produktového manažmentu v spoločnosti Sophos a je zodpovedný za budovanie produktov novej generácie sieťovej bezpečnosti. Rob predtým pracoval v spoločnostiach Symantec, Blue Coat, Solera Networks, Sonicwall a Dell.

Vďaka takmer dvadsaťročným skúsenostiam v oblasti informačnej bezpečnosti a kybernetickej bezpečnosti Rob riadi smerovanie produktov tak, aby sa organizácie mohli chrániť pred protivníkmi a kybernetickými hrozbami. Rob je držiteľom viacerých priemyselných certifikátov vrátane ISC2 CISSP a ISACA CISM a má titul z Southern Methodist University.