Sophos. Zero Trust Network Access (ZTNA) εναντίον Remote Access VPN
Η τεχνολογία απομακρυσμένης πρόσβασης VPN μας έχει εξυπηρετήσει μέχρι σήμερα πολύ καλά, αλλά η πρόσφατη αύξηση στην υϊοθέτηση του μοντέλου της τηλεργασίας έχει ρίξει άπλετο φως στους περιορισμούς αυτής της γερασμένης τεχνολογίας.
Το VPN αποτελεί βασικό στοιχείο των περισσότερων δικτύων εδώ και δεκαετίες, παρέχοντας μια ασφαλή μέθοδο για απομακρυσμένη πρόσβαση σε συστήματα και πόρους στο -εταιρικό- δίκτυο. Ωστόσο, η τεχνολογία του εικονικού ιδιωτικού δικτύου (VPN, Virtual Private Network) αναπτύχθηκε για να μιμείται την εμπειρία του να βρίσκεστε στο γραφείο σας. Μόλις εισέλθετε, έχετε ευρεία πρόσβαση στα πάντα.
Η δικτυακή πρόσβαση μηδενικής εμπιστοσύνης (ZTNA) από την άλλη, μπορεί να συνοψιστεί σε τέσσερις λέξεις: μην εμπιστεύεσαι τίποτα, επαλήθευε τα πάντα. Βασίζεται στην αρχή ότι οποιαδήποτε σύνδεση στο δίκτυό σας θα πρέπει να αντιμετωπίζεται ως εχθρική έως ότου πιστοποιηθεί, εξουσιοδοτηθεί και εκχωρηθεί πρόσβαση σε πόρους.
Με απλά λόγια: με την εικονική ιδιωτική δικτύωση (VPN) παρέχεται ευρεία πρόσβαση στο δίκτυο. Με το ZTNA, παρέχεται συγκεκριμένη πρόσβαση σε συγκεκριμένες εφαρμογές.
Παραδοσιακή απομακρυσμένη πρόσβαση VPN έναντι ZTNA
Υπάρχουν αρκετές διαφορές μεταξύ της παραδοσιακής τεχνολογίας απομακρυσμένης πρόσβασης VPN και της τεχνολογίας ZTNA. Ακολουθούν ορισμένες σημαντικές διαφορές, που καλύπτουν την εμπιστοσύνη, την υγεία της συσκευής, τη διαχείριση κ.ά.
Εμπιστοσύνη
Με την απομακρυσμένη πρόσβαση μέσω VPN, οι χρήστες απολαμβάνουν απεριόριστη εμπιστοσύνη έχοντας ευρεία πρόσβαση σε πόρους, γεγονός που μπορεί να δημιουργήσει σοβαρούς κινδύνους για την ασφάλεια.
Η τεχνολογία ZTNA από την άλλη αντιμετωπίζει κάθε χρήστη και συσκευή ξεχωριστά, έτσι ώστε διαθέσιμοι να είναι απολύτως μόνο οι πόροι στους οποίους επιτρέπεται να έχουν πρόσβαση ο χρήστης και η συσκευή. Αντί να παρέχεται στους χρήστες πλήρης ελευθερία κινήσεων στο δίκτυο, καθιερώνονται μεμονωμένες σήραγγες μεταξύ του χρήστη και της συγκεκριμένης πύλης (gateway) για την εφαρμογή στην οποία εξουσιοδοτήθηκαν να έχουν πρόσβαση – και τίποτα περισσότερο.
Υγεία συσκευής
Το VPN δεν έχει επίγνωση της κατάστασης της υγείας μίας συσκευής που συνδέεται. Αν μία παραβιασμένη ή μολυσμένη συσκευή συνδεθεί στο δίκτυο μέσω VPN θα μπορούσε να επηρεαστεί και το υπόλοιπο δίκτυο.
Το ZTNA ενσωματώνει τη συμμόρφωση και την υγεία της συσκευής στις πολιτικές πρόσβασης και επομένως σας παρέχει τη δυνατότητα να επιλέξετε να αποκλείσετε μη συμμορφούμενα, μολυσμένα ή παραβιασμένα συστήματα από την πρόσβαση σε εταιρικές εφαρμογές και δεδομένα. Και αυτό μειώνει σημαντικά τον κίνδυνο κλοπής ή διαρροής δεδομένων.
Απομακρυσμένες συνδέσεις
Η τεχνολογία απομακρυσμένης πρόσβασης VPN παρέχει ένα μοναδικό σημείο-παρουσίας στο δίκτυο, κάτι που ενδεχομένως μπορεί να σημαίνει αναποτελεσματικό backhauling της κίνησης των δεδομένων από πολλές τοποθεσίες, κέντρα δεδομένων ή εφαρμογές μέσω της σήραγγας απομακρυσμένης πρόσβασης VPN.
Το ZTNA από την άλλη λειτουργεί εξίσου καλά και με ασφάλεια από οποιοδήποτε σημείο σύνδεσης, είτε πρόκειται για σπίτι, για ξενοδοχείο, για καφετέρια ή για γραφείο. Η διαχείριση της σύνδεσης είναι ασφαλής και διαφανής ανεξάρτητα από το τον τόπο που βρίσκονται ο χρήστης και η συσκευή, καθιστώντας την εμπειρία απρόσκοπτη ανεξάρτητα από το πού εργάζεται ο χρήστης.
Το ZTNA είναι επίσης ένας πολύ καλός τρόπος για να διασφαλίσετε μεγαλύτερους ελέγχους ασφαλείας κατά τη διάρκεια των συνεδριών Remote Desktop Protocol (RDP). Στις γνωστές προκλήσεις όσον αφορά το RDP περιλαμβάνονται οι εκτεθειμένες προεπιλεγμένες θύρες, η ανύπαρκτη υποστήριξη για έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA), η χωρίς περιορισμούς, ευρεία πρόσβαση στο δίκτυο και φυσικά οι διάφορες ευπάθειες και τα κενά ασφαλείας. Οι ευπάθειες του διακομιστή RDP και οι λανθασμένα ανοικτές συνδέσεις RDP είναι άμεσα αξιοποιήσιμες από τους εισβολείς, οι οποίοι χρησιμοποιούν τέτοια exploits για να αυτοπροσδιοριστούν ως αξιόπιστοι χρήστες RDP. Με το ZTNA, τέτοιοι χρήστες θα αντιμετωπίζονταν ως εχθρικοί από τα χαρακτηριστικά ελέγχου ταυτότητας που διαθέτει.
Ορατότητα
Το VPN δεν γνωρίζει την κίνηση και τα μοτίβα χρήσης που διευκολύνει, καθιστώντας την ορατότητα στη δραστηριότητα των χρηστών και στη χρήση των εφαρμογών αρκετά δυσκολότερη.
Δεδομένου ότι η πρόσβαση ZTNA είναι «μικρο-τμηματοποιημένη» (micro-segmented) μπορεί να προσφέρει αυξημένη ορατότητα στη δραστηριότητα των εφαρμογών. Κάτι τέτοιο καθιστά την παρακολούθηση της κατάστασης των εφαρμογών, τον προγραμματισμό της χωρητικότητας και τη διαχείριση και τον έλεγχο της αδειοδότησης πολύ ευκολότερη.
Εμπειρία χρήσης
Οι clients VPN είναι διαβόητοι για την κακή εμπειρία χρήσης που προσφέρουν, προσθέτοντας υστέρηση ή επηρεάζοντας αρνητικά την απόδοση, δημιουργώντας προβλήματα συνδεσιμότητας και γενικά επιβαρύνοντας το τμήμα υποστήριξης (helpdesk).
Το ZTNA παρέχει μία εμπειρία χρήσης χωρίς τριβές και απρόσκοπτη, καθιερώνοντας αυτομάτως ασφαλείς συνδέσεις κατά απαίτηση. Και όλα τα παραπάνω, παρασκηνιακά, οπότε και οι περισσότεροι χρήστες δεν θα αντιλαμβάνονται καν την ύπαρξη της λύσης ZTNA που βοηθά στην προστασία των δεδομένων τους.
Διαχείριση
Οι clients VPN είναι δύσκολοι στη ρύθμιση και στο deployment καθώς και στην εγγραφή νέων χρηστών ή στην απεγγραφή/ παροπλισμό των χρηστών που αποχωρούν από την εταιρεία κ.ά.
Το VPN είναι επίσης δύσκολο στη διαχείριση του σε επίπεδο τείχους προστασίας ή πύλης (gateway), ειδικά στην περίπτωση της ύπαρξης πολλαπλών nodes, κανόνων πρόσβασης firewall, διαχείρισης πολλαπλών IP, ροών κίνησης δεδομένων και της δρομολόγησης. Σύντομα, η ρύθμιση του VPN μετατρέπεται σε δουλειά πλήρους απασχόλησης.
Οι λύσεις ZTNA είναι συχνά πολύ πιο απλές, λιτές και εύκολες στο deployment και στη διαχείριση. Επίσης, είναι πιο ευέλικτες σε περιβάλλοντα που αλλάζουν γρήγορα όπου οι χρήστες, οι εφαρμογές και οι συσκευές έρχονται και φεύγουν – καθιστώντας την καθημερινή διαχείριση γρήγορη και ανώδυνη.
Τι να αναζητήσετε σε μια λύση ZTNA
Φροντίστε να λάβετε υπόψη σας τις παρακάτω σημαντικές δυνατότητες και χαρακτηριστικά όταν συγκρίνετε λύσεις ZTNA από διαφορετικούς προμηθευτές:
Cloud–delivered, cloud–managed
Η διαχείριση στο cloud προσφέρει τεράστια πλεονεκτήματα: δυνατότητα άμεσης ενεργοποίησης και λειτουργίας, ελαχιστοποιημένη υποδομή διαχείρισης, εύκολο deployment και enrollment και άμεση και ασφαλή πρόσβαση από οπουδήποτε χρησιμοποιώντας οποιαδήποτε συσκευή.
Ενσωμάτωση με άλλες λύσεις κυβερνοασφαλείας
Την ώρα που οι περισσότερες λύσεις ZTNA μπορούν να λειτουργήσουν τέλεια ως αυτόνομα προϊόντα, υπάρχουν σημαντικά οφέλη από την ύπαρξη μιας λύσης στενά ενσωματωμένης με άλλα προϊόντα κυβερνοασφαλείας, όπως είναι τα τείχη προστασίας (firewalls) και οι λύσεις προστασίας endpoint. Μια ενιαία, κοινή κονσόλα διαχείρισης στο cloud μπορεί να σας βοηθήσει στη μείωση του χρόνου εκπαίδευσης και της καθημερινής επιβάρυνσης όσον αφορά το έργο της διαχείρισης.
Μπορεί επίσης να παρέχει μοναδικές πληροφορίες για τα διάφορα προϊόντα ασφάλειας πληροφορικής που διαθέτετε, ειδικά αν μεταξύ τους μοιράζονται τηλεμετρία. Αυτό μπορεί να ενισχύσει δραματικά την ασφάλεια και να προσφέρει δυνατότητα ανταπόκρισης σε πραγματικό χρόνο όταν μια παραβιασμένη συσκευή ή κάποια απειλή εισέρχεται στο δίκτυο.
Εμπειρία χρήσης και διαχείρισης
Βεβαιωθείτε ότι η λύση που εξετάζετε προσφέρει τόσο μία εξαιρετική εμπειρία για τον τελικό χρήστη όσο και εύκολη διοίκηση και διαχείριση. Με περισσότερους χρήστες να εργάζονται εξ αποστάσεως, η εγγραφή και η αποτελεσματική ρύθμιση των συσκευών είναι κρίσιμης σημασίας όταν ο στόχος είναι να γίνουν όσο το δυνατόν ταχύτερα παραγωγικοί οι νέοι χρήστες.
Φροντίστε να δώσετε προσοχή στον τρόπου που γίνεται deployment ένας agent ZTNA καθώς και στο πόσο εύκολο είναι να προσθέσετε νέους χρήστες στις πολιτικές. Βεβαιωθείτε επίσης ότι η λύση στην οποία επενδύετε προσφέρει μια ομαλή εμπειρία χρήσης χωρίς τριβές για τους τελικούς χρήστες. Θα πρέπει επίσης να παρέχεται ορατότητα στις δραστηριότητες των εφαρμογών για να σας βοηθήσει να λαμβάνετε αποφάσεις και να ενεργείτε προληπτικά όσον αφορά το μέγιστο φορτίο, τη χωρητικότητα, την χρήση της άδειας ή ακόμα και σε ζητήματα με τις εφαρμογές.
Sophos ZTNA
Το Sophos ZTNA έχει εξ αρχής σχεδιαστεί για να καθιστά τη δικτυακή πρόσβαση μηδενικής εμπιστοσύνης εύκολη, ολοκληρωμένη και ασφαλή.
Είναι cloud-delivered και cloud-managed και ενσωματώνεται στο Sophos Central, την πλέον αξιόπιστη πλατφόρμα κυβερνοασφάλειας στον κόσμο. Από το Sophos Central, μπορείτε όχι μόνο να διαχειριστείτε το ZTNA, αλλά και τα τείχη προστασίας, τις λύσεις endpoint, τις λύσεις προστασίας διακομιστών, τις φορητές συσκευές σας, την ασφάλεια σας στο cloud, την προστασία ηλεκτρονικού ταχυδρομείου και πολλά άλλα.
Το Sophos ZTNA είναι επίσης μοναδικό στο ότι ενσωματώνεται στενά με τις προστατευμένες τόσο από το Sophos Firewall όσο και από το Sophos Intercept X τερματικές συσκευές για την κοινοχρησία δεδομένων και πληροφοριών για την υγεία των συσκευών σε πραγματικό χρόνο μεταξύ του τείχους προστασίας, των συσκευών, του ZTNA και του Sophos Central για αυτόματη απόκριση σε απειλές ή μη συμβατές συσκευές. Λειτουργεί σαν ένας εικοσιτετράωρος διαχειριστής, περιορίζοντας αυτόματα την πρόσβαση και απομονώνοντας τα παραβιασμένα συστήματα μέχρι να «καθαριστούν».
Οι πελάτες της Sophos συμφωνούν ότι τα οφέλη εξοικονόμησης χρόνου από μια πλήρως ενσωματωμένη λύση κυβερνοασφάλειας της Sophos είναι τεράστια. Λένε ότι η χρήση της σουίτας προϊόντων της Sophos μαζί για τον αυτόματο καθορισμό και την ανταπόκριση σε απειλές μοιάζει σαν να διπλασιάζεται σε μέλη η ομάδα πληροφορικής τους. Φυσικά, το Sophos ZTNA μπορεί να συνεργαστεί με προϊόντα ασφαλείας οποιουδήποτε άλλου προμηθευτή, αλλά αυτό που το καθιστά μοναδικό είναι στο να συνεργάζεται καλύτερα με το υπόλοιπο οικοσύστημα της Sophos για να παρέχει απτά, πραγματικά οφέλη στην ορατότητα, στην προστασία και στην απόκριση.
Επισκεφτείτε το Sophos.com/ZTNA για να μάθετε περισσότερα ή δοκιμάστε το μόνοι σας.
Πηγή: Sophos