Журнал "Information Security/ Информационная безопасность" #3, 2021

Основная идея VPN состоит в том, чтобы окружить сеть виртуальным пери- метром или, иными словами, "барьером", не пропускающим злоумышленников. Однако в современной децентрализо- ванной среде управлять подобной моде- лью становится все труднее. Далеко не всем пользователям сети необходим одинаковый уровень доступа. Например, администраторам и сторонним пользо- вателям (таким, как консультанты), вряд ли потребуется доступ к одним и тем же приложениям или понадобится одина- ковый уровень разрешений (на чтение, запись, управление и т.д.). VPN теряет актуальность по мере того, как организации переносят приложения из корпоративной сети в облака, при этом количество сотрудников, работаю- щих хотя бы часть времени удаленно, продолжает расти. Эти изменения ска- зываются на решении о необходимости использования VPN. Рассмотрим несколько сценариев, при которых традиционные VPN могут под- вести. Затем обратимся к новой модели безопасности, которая проще в управ- лении и предоставляет больше возмож- ностей для обеспечения безопасности сети. Ограничения VPN в отношении удаленного доступа к сети Многие организации уже поняли, что традиционных VPN и средств контроля доступа, предназначенных для защиты закрытого периметра, в современных условиях, когда преобладает удаленный доступ сотрудников ко внутренним ресур- сам компании, недостаточно. Корпоративные сети стремятся к децентрализации. Работа из дома (WFH) и необходимость доступа сторонних пользователей (например, консультантов и партнеров) приводят к тому, что запро- сы на удаленный доступ к сети поступают отовсюду. В условиях локальной архи- тектуры безопасности на основе пери- метра, где весь трафик проходит через центр обработки данных, это может при- вести к увеличению времени отклика и снижению производительности труда. Отсутствие контроля персональных устройств сотрудников в рамках концепции BYOD (использование персональных устройств в рабочих целях) Разрешение доступа с неуправляемых и не принадлежащих организации устройств означает, что доступ к вашей сети и активам осуществляется с неизвестных конечных точек, которые представляют собой фактор риска и могут оказаться зараженными вредо- носными программами. В подобной ситуации не всегда представляется воз- можным выявлять такие конечные точки и отслеживать их на предмет установки всех необходимых обновлений безопас- ности и устранения риска заражения. Взломав такое устройство, злоумыш- ленник с легкостью проникает в сеть. Отсутствие безопасного доступа к облачным приложениям Сетям VPN не хватает гибкости, столь необходимой в современных ИТ-средах. Их сложно разворачивать в облаке, и они, как правило, не в полной мере обеспечивают безопасный доступ к облачным приложениям и решениям "инфраструктура как услуга" (IaaS), таким как AWS, GCP, Azure. Чрезмерно широкие права доступа для третьих лиц Что касается сторонних пользовате- лей, то использование VPN может быть полностью запрещено правилами, кото- рые не позволяют устанавливать клиен- ты VPN на устройства людей, не являю- щихся сотрудниками компании. В случае отсутствия таких правил сторонним поль- зователям могут быть предоставлены широкие привилегии, позволяющие уста- новить клиент VPN и, таким образом, получить неоправданно высокий уровень доверия, что может упросить доступ к активам и конфиденциальной инфор- мации компании. Недостаточные возможности управления сетью или приложениями Модель безопасности на основе пери- метра, которую предлагает VPN, проста, но лишает вас и вашу группу безопас- ности гибкости в управлении. При использовании VPN не хватает деталь- ного контроля над рядом ключевых обла- стей, что создает множество проблем. Вот лишь некоторые из них: l управление авторизацией и доступом на уровне сети не позволяет органи- зовать детальный контроль; l потенциальный риск атаки через боко- вое перемещение и обнаружение кон- фиденциальных активов; l отсутствие централизованного управ- ления приложениями; l отсутствие встроенных в приложения элементов контроля над действиями пользователей (разрешения на чтение, запись, редактирование и т.д.). Альтернативы VPN В свое время, когда большинство пользователей находились в офисах, а почти все приложения размещались на локальных серверах, сети VPN были отличным решением. Однако сегодня безопасность данных находится под серьезной угрозой, поскольку хакеры знают, что, если они смогут обойти сетевую защиту, велика вероятность того, что они не встретят значительного сопротивления со сторо- 62 • ТЕХНОЛОГИИ От VPN к ZTNA – эволюция безопасной удаленной работы PN тормозит работу? Когда дело касается удаленного доступа к сети, приходится принимать ряд непростых решений. Однако все они сводятся к двум моментам: 1. Необходимость максимально упростить доступ для своих пользователей. 2. Максимальное усложнение доступа для посторонних лиц. До сих пор многие организации полагались на традиционную модель сетевой безопасности, ориентированную на защиту периметра, поэтому использовали виртуальные частные сети или VPN. V Сергей Забула, руководитель группы инженеров по работе с партнерами Check Point Software Technologies