contact us

Що таке доступ до мережі з нульовою довірою (TNA)?
Коли мова заходить про ІТ-мережі в організаціях, такого поняття, як довіра, не існує. Помітний перехід від локальної ІТ-інфраструктури до хмарних середовищ призвів до зміни протоколів безпеки. Оскільки на хмарній платформі практично все віртуальне, сувора перевірка всіх і вся тепер обов'язкова.

Що таке доступ до мережі з нульовою довірою (TNA)?

Модель нульової довіри не звучить образливо в ІТ-середовищі. В даний час це найважливіший принцип мережевої безпеки, враховуючи, що віддалена робота стала новою нормою, і споживачі віддають перевагу платформі електронної комерції. Велика залежність від онлайн-транзакцій також призвела до збільшення кількості кіберзлочинів в даний час в чотири рази в порівнянні з періодом до пандемії.

Тут ми розглянемо, як працює модель нульової довіри і як вона допомагає захистити ІТ-мережу.

Що таке безпека з нульовою довірою?

Модель ІТ-безпеки забезпечує сувору перевірку особистості кожного користувача і пристрої, які намагаються отримати доступ до приватної мережі. Перевірка стала важливою незалежно від того, чи знаходиться вона всередині або за межами периметра мережі. Мережевий доступ з нульовою довірою (TNA) є провідною технологією, що лежить в основі архітектури нульової довіри.

ZYNGA має схожість з SDR або програмно-визначеним параметром у своєму підході до контролю доступу. Підключені пристрої не знають про інші ресурси, таких як сервери, Додатки і т.д., в мережі, крім тих, до яких вони підключені. Це встановлює одне з'єднання між Користувачем і ресурсами, аналогічно тому, як дві людини обмінюються номерами телефонів, щоб зв'язатися один з одним. Тут замість телефонних номерів ZTNA використовує незареєстровані IP-адреси, служби та Додатки. Однак в tna з'єднання необхідно періодично перевіряти ще раз.

Безпека з нульовою довірою-це цілісний підхід до мережі, що використовує різні методи і принципи. Це протилежне традиційній ІТ-мережі, яка довіряє всім всередині мережі.

Система нульової довіри нікому не довіряє.

ZTNA проти VPN

Багато організацій використовують віртуальні приватні мережі (VPN) замість ZTNA для контролю доступу. У моделі VPN, як тільки користувачі входять в VPN, вони можуть отримати доступ до всієї мережі і всіх ресурсів в мережі. T називається моделлю замку і рову. З іншого боку, ZTNA дозволяє доступ тільки до певних запитаних додатків і не дозволяє доступ до даних і додатків за замовчуванням.

Принцип, що лежить в основі безпеки з нульовою довірою

Безперервний моніторинг і перевірка філософія політики нульової довіри, яка полягає в тому, щоб нікому не довіряти, передбачає, що зловмисники можуть перебувати як всередині мережі, так і за її межами. Таким чином, жодному пристрою або користувачеві не можна довіряти без перевірки особистості користувача і його привілеїв, а також ідентифікації пристрою в цілях безпеки. Час входу в систему і підключення періодично закінчується. Вони встановлюються після того, як користувачі та пристрої відновлять свої облікові дані.

  • Найменша привілей

Доступ з найменшими привілеями-це ще один принцип безпеки з нульовою довірою. Це дозволяє користувачам отримувати доступ тільки в тій мірі, в якій це дозволяють їх посадові обов'язки, і зводить до мінімуму їх доступ до конфіденційних даних в мережі.

Реалізація параметрів з найменшими привілеями для користувачів передбачає ретельне надання дозволів. Для цього принципу VPN не підходить, так як авторизація для входу в VPN забезпечує доступ до всієї підключеної мережі.

  • Доступ до управління пристроєм

Zero trust також здійснює суворий контроль доступу до пристроїв, крім контролю доступу користувачів. Системи нульової довіри відстежують пристрої, які намагаються отримати доступ до мережі, і гарантують, що кожен пристрій авторизовано. На додаток до цього він оцінює всі пристрої, щоб переконатися, що вони не скомпрометовані. Це знижує ймовірність атаки на мережу.

  • Мікросегментація

Мікросегментація-це процес, при якому периметри безпеки поділяються на невеликі зони для забезпечення роздільного доступу до різних частин мережі і розподілу ризиків безпеки.

  • Запобігає бічному переміщенню

Бічне переміщення в мережі розглядається, коли зловмисник переміщається всередину після отримання доступу до цієї мережі. Припустимо, виявлена точка входу зловмисника в мережу. У цьому випадку складно виявити бічний рух, оскільки зловмисник міг переміститися в різні частини мережі і скомпрометувати їх.

Нульова довіра розроблена таким чином, щоб вона могла стримувати зловмисників і запобігати їх бічний рух. Сегментація доступу з нульовою довірою і періодична перевірка гарантують, що зловмисник не зможе перейти до інших мікросегментах мережі.

Якщо виявлено присутність зловмисника, скомпрометований пристрій або обліковий запис користувача поміщаються в карантин і відключаються від подальшого доступу. Це різко контрастує з моделлю замку і рову. Тут бічне переміщення дозволяє зловмиснику не піддаватися впливу карантину вихідного скомпрометованого пристрою, оскільки воно, можливо, вже досягло інших частин мережі.

  • Багатофакторна аутентифікація (MFA)

МЗС є основною цінністю безпеки з нульовою довірою. Вимога більше одного підтвердження для аутентифікації користувача, наприклад пароля, недостатньо для отримання доступу.

Типовим застосуванням багатофакторної аутентифікації є 2-факторна або 2-факторна авторизація, яка використовується на онлайн-платформах. Крім введення пароля, користувачі, які вибирають 2FA для цих послуг, повинні також ввести одноразовий код доступу, відправлений на інший пристрій, наприклад мобільний телефон, щоб двічі підтвердити, що вони є одним і тим же користувачем.

Встановлення безпеки з нульовою довірою

Нульова довіра може здатися складною, але використовувати цю модель безпеки просто за наявності відповідного технологічного партнера, який може використовувати платформу SASE, що поєднує мережеві сервіси з вбудованим захистом з нульовою довірою для доступу користувачів і пристроїв.

ZTNA-на основі агента або служби

ZTNA, який є агентською базою, вимагає встановлення програмного забезпечення, яке називається "агентом", на всі кінцеві пристрої.

ZTNA, заснований на сервісі, є хмарним сервісом, а не кінцевим додатком. Не вимагає установки або використання агента.

Організації, які хочуть впровадити філософію Zero Trust, повинні подумати, яке рішення ZENA найкраще відповідає їхнім вимогам. Наприклад, якщо організація вважає, що зростаюча кількість керованих і некерованих пристроїв викликає занепокоєння, то ztna на основі агента є ефективним варіантом. З іншого боку, якщо основна увага приділяється блокуванню певних веб-додатків, то модель на основі послуг ідеальна.

Ще одна річ, яку слід враховувати, - це проста інтеграція ztna на основі служб з хмарними додатками, але з локальною інфраструктурою. Якщо мережевий трафік спрямовується з локальних кінцевих пристроїв на хмарні платформи, це може сильно вплинути на локальну інфраструктуру, надійність і продуктивність.

Висновок

Безпека з нульовою довірою була виявлена в 2010 році аналітикам Forrester Research Inc. Концепція була представлена, а пізніше Google впровадила безпеку з нульовою довірою в своїй мережі. Це призвело до більшої обізнаності та інтересу серед технічної спільноти. У 2019 році безпека з нульовою довірою була вказана в якості основного компонента рішень sase.