Журнал "Information Security/ Информационная безопасность" #4, 2021
• 33 ЗАЩИТА СЕТЕЙ www.itsec.ru Границы осуществления деятельности современной организации размываются, персонал становится все более распре- деленным. На фоне роста числа прило- жений, а также перемещения рабочих нагрузок и данных в облако специалисты по безопасности должны обеспечивать непрерывность бизнес-процессов, решая при этом целый ряд разнообразных задач и сложных вопросов. В последнее десятилетие использо- вание облачных приложений по модели "ПО как услуга" (SaaS) стало практи- чески повсеместным, однако большин- ство организаций по-прежнему выпол- няют основной объем задач с помощью частных приложений, размещенных в ЦОД или средах IaaS ("инфраструк- тура как услуга"). Сегодня в качестве простого и быстрого решения для досту- па удаленных пользователей к конфи- денциальным внутренним программам и данным используются виртуальные частные сети (Virtual Private Networks, VPN). Однако, поскольку удаленная работа становится новой нормой, а организации переходят на преиму- щественно облачные развертывания, сети VPN с трудом справляются с зада- чей обеспечения надежных подключе- ний внутри инфраструктур, для которых изначально они не были предназначе- ны. В результате возникают проблемы с пропускной способностью, произво- дительностью и масштабированием. Сети VPN также создают риск чрез- мерной уязвимости данных, потому что любой удаленный пользователь с дей- ствительными логином и паролем может получить полный доступ к внут- ренней корпоративной сети и пользо- ваться всеми ее ресурсами. Новое решение перечисленных выше задач – сетевой доступ с нулевым доверием (Zero Trust Network Access, ZTNA 1 ). ZTNA запрещает доступ к част- ным приложениям без подтверждения личности пользователя, который может действовать как внутри корпоративного периметра, так и за его пределами. Кроме того, в отличие от подхода с чрезмерным "безусловным" уровнем доверия сетей VPN, решения ZTNA предоставляют прямой доступ к кон- кретным приложениям с минимальными привилегиями на основе данных авто- ризации пользователя. Прямые подключения к приложениям Решение ZTNA поддерживает простой доступ к частным приложениям в облаке или ЦОД. Этот подход исключает пере- направление трафика на корпоративные серверы, тем самым снижая сетевые задержки, улучшая пользовательский опыт и производительность сотрудников. Четко обозначенные политики на основе данных идентификации ZTNA дает возможность применить детальные политики доступа к частным приложениям, учитывающие личность пользователя и контекст обращения. Исключая безусловное доверие на основе нескольких факторов, таких как пользова- тели, устройства и сетевое расположение, решение ZTNA надежно защищает орга- низации от внутренних и внешних угроз. Доступ с минимальными привилегиями Система ZTNA выполняет микросег- ментацию сетей для построения про- граммно-определяемых периметров и предоставляет доступ с минималь- ными привилегиями не ко всей сети, а к конкретным приложениям. Это исключает чрезмерную доступность сервисов и несанкционированное обра- щение к данным. Микросегментация также значительно уменьшает площадь кибератак и предотвращает их гори- зонтальное распространение в случае взлома сети. Маскировка приложений ZTNA "прячет" частные приложения за защищенными шлюзами так, что для доступа к ним не придется открывать входящие порты брандмауэра. В резуль- тате создается виртуальная "теневая" сеть: ее приложения нельзя найти в пуб- личном Интернете, поэтому они будут защищены от хищения данных, вредо- носного ПО и DDoS-атак. Достаточно ли защитить только доступ? А что насчет защиты данных? Хотя решения ZTNA часто представ- ляют как замену VPN, у большинства из них есть тот же недостаток, что и у вир- туальных частных сетей, – отсутствие контроля данных и учета рисков. Систе- мы ZTNA первого поколения были пол- ностью сосредоточены на решении зада- чи доступа, а средства защиты данных и предотвращения угроз в них не пред- усматривались. Поскольку повсеместный контроль данных и оценка рисков являются ключевыми характеристиками фреймворка SASE, этот недостаток очень существенен, особенно если учесть объемы трафика, которым обме- ниваются пользователи и частные при- ложения. Кроме того, поскольку сотрудники все чаще используют для работы персо- нальные устройства с подключением через небезопасные удаленные сети, значительно увеличивается поверхность угроз – риск уязвимости и утечки кон- фиденциальных данных – из-за отсут- ствия инструментов защиты конечных устройств, облака и сети. Для устранения этих проблем необхо- димо усовершенствовать решения ZTNA, усилив возможности доступа с нулевым доверием функциями централизованного мониторинга и оценки безопасности устройств, а также интегрированными средствами защиты данных и пред- отвращения угроз. l Почему технология Zero Trust важна для безопасности и производительности удаленного персонала? современных условиях трансформации бизнеса и роста числа удаленных сотрудников, которым требуется доступ к корпоративным ресурсам, в целях обеспечения безопасности организации необходимо следовать принципу нулевого доверия. В Антон Тихонов, технический менеджер решений McAfee Enterprise Ваше мнение и вопросы присылайте по адресу is@groteck.ru 1 https://www.mcafee.com/enterprise/en-us/security-awareness/cloud/what-is-ztna.html
Made with FlippingBook
RkJQdWJsaXNoZXIy Mzk4NzYw