BIS Journal №4(51)2023

7 ноября, 2023

ZTNA vs VPN: антиподы или друзья

Стратегия ZTNA (Zero Trust Network Access) сейчас на слуху. Причём она довольно часто противопоставляется старым добрым технологиям VPN (Virtual Private Network). В качестве аргумента чаще всего приводится такое утверждение: в отличие от VPN, которые предоставляют полный доступ к локальной сети, решения на базе ZTNA предпочитают никому не доверять, разрешая доступ только к тем услугам или ресурсам, которые пользователи явно запросили. 

Кроме этого, бытует мнение, что у VPN неэффективная производительность: например, концентраторы VPN могут создавать узкие места, что приводит к снижению производительности, чрезмерной задержке в обменах информацией и тому подобным неприятностям. Порой настройка VPN — дорогая и трудоёмкая процедура, требующая больших усилий со стороны службы безопасности и самих пользователей. 

В общем, «переходите все на ZTNA, и будет вам счастье». Так ли это? Неужели пришло время списывать со счетов проверенный временем VPN? Давайте порассуждаем на эту тему.

 

А ЧТО ТАКОЕ ZTNA

В стратегии ZTNA доступ к ресурсам и приложениям предоставляется на основе строгой аутентификации и авторизации. Каждый пользователь и каждое устройство должны пройти проверку и авторизацию перед получением доступа к ресурсам. А сами пользователи и устройства имеют только те привилегии, которые необходимы для выполнения их конкретных задач. Всё это уменьшает вероятность несанкционированного доступа и помогает предотвратить вредоносные действия. 

Но, прежде чем говорить о ZTNA дальше, окунёмся в историю. Считается, что идея Zero Trust («нулевого доверия») была придумана в 2010 году аналитиком Forrester. При этом в России парадигма «доверенной среды» появилась лет на 25 раньше. Несмотря на противоположные названия, есть много объединяющих их критериев (разрешено только определённое ПО, процессы, определены ресурсы, к которым предоставляется доступ). 

Есть и отличия: главный тезис концепции «доверенной среды» — если мы сможем быть уверенными в надёжности (лояльности, доверенности) каждого элемента, нам не обязательно изолировать их в замкнутой среде. В силу принципа декомпозиции каждый элемент защищаемой информационной системы сам по себе может быть защищён, и в этом случае соединение их в единую информационную систему с помощью защищённых каналов позволит создать вокруг информации надёжную оболочку. 

«Доверенная среда» предполагает, что должно быть доверие:

  • к окружению системы;
  • к субъектам отношений;
  • к правилам и процедурам;
  • к аппаратной и программной платформе;
  • к выполняемым операциям;
  • к каналам передачи информации.

Достичь требуемого уровня доверия возможно, если обеспечивается:

  • локализация информационных ресурсов;
  • счётность субъектов и объекты доступа;
  • доверенность конфигурации и настройки;
  • целостность всех элементов;
  • подконтрольность всех действий;
  • логирование всех событий.

Иными словами, для реализации концепции «доверенной среды» в информационной системе должен быть создан специальный сегмент, имеющий защиту по всему периметру и не позволяющий постороннему бесконтрольно обращаться с информацией. Какой это будет сегмент: виртуальный, логический или аппаратный — не принципиально. Главное, чтобы посторонние не имели свободного доступа к информации. И таких сегментов в информационной системе может быть несколько.

Вернёмся к стратегии ZTNA. Она предполагает создание вокруг приложения или группы приложений логической границы доступа на основе идентификации и контекста, то есть учёта группы или роли пользователя, его IP-адреса, местоположения и временных ограничений. Цель ZTNA заключается в обеспечении безопасного доступа к ресурсам и приложениям в сети вне зависимости от расположения устройства или пользователя. Этот подход помогает ограничить возможности атак и снизить риски компрометации данных и систем. 

 

Стратегия ZTNA предполагает:

  • каждое устройство, пользователь и приложение должны быть проверены и авторизованы перед получением доступа к ресурсам в сети; нет доверия к устройству или пользователю на основе их сетевого положения или предыдущих разрешений;
  • сеть разделяется на отдельные микросегменты (микропериметры), где доступ к ресурсам и приложениям строго контролируется; каждое соединение и каждый запрос должны быть аутентифицированы и авторизованы на уровне микросегмента; это позволяет ограничить доступ к ресурсам только для необходимых пользователей и устройств и минимизировать поверхность атаки;
  • для получения доступа к ресурсам требуется не только пароль, но и учёт контекста, такого как атрибуты пользователя, идентификация устройства, контекст подключения и другие факторы.

В принципе, обе точки зрения говорят о схожих сущностях. Но традиционно «дьявол кроется в деталях».

С точки зрения «нулевого доверия» прежде всего требуется постоянный мониторинг и управление доступом и привилегиями пользователей, а также мониторинг всего трафика на предмет вредоносных действий. И здесь остаётся открытым вопрос доверия к конечному оборудованию пользователя.

С точки зрения «доверенной среды» требуется постоянный мониторинг конфигураций, настроек и целостности рабочих мест. То есть прежде всего — формирования доверия к компьютеру конкретного пользователя.

Ну а процедура идентификации — аутентификации — авторизации в обоих случаях является обязательной.

Обратите внимание на две весьма схожие сущности: в одном случае говорится о сегментировании сети (локализации обрабатываемой информации), в другом — о микросегментах (собственно локализации приложений). Это очень напоминает историю развития ядерной физики. Сначала Аристотель считал, что вещество состоит из четырёх элементов: огонь, вода, воздух, земля. Затем Демокрит выдвинул теорию атомного строения вещества, признавая неделимость атома. И только в ХХ веке появились составные атома: протоны, нейтроны, электроны. А затем уже мезоны, кварки и прочая «мелочь». Каждая степень познания атома определялась уровнем развития науки. Так что вполне вероятно, через некоторое время мы будем говорить не о микросегментировании сети, а о «наносегментах». Но сути это не изменит.

 

СЛАБОЕ ЗВЕНО

Между тем во всех описаниях стратегии ZTNA, в отличие от концепции «доверенной среды», не упоминается об одном важном элементе. Посмотрите внимательно: есть удалённый (хотя не обязательно) пользователь, которого проверили со всем пристрастием. Компьютер его тоже опознали: идентифицировали и проверили все его параметры. А ещё есть микросегмент сети, в котором находится нужное пользователю приложение. 

Получаются две доверенные сущности. И тут встаёт вопрос: а как эти сущности взаимодействуют? По всей вероятности, здесь требуется какой-то защищённый (доверенный) канал, тем более что общение сущностей идёт через заранее агрессивную среду. 

На сегодня наиболее эффективным для этих целей признаётся шифрование. Но ведь не все приложения имеют криптографическую функцию. И тогда канал связи без криптографии оказывается самым слабым звеном защиты, которое сводит к нулю все старания по сегментированию, жёсткой идентификации, аутентификации пользователя и его устройства. 

Чтобы устранить эту брешь, строго следуя стратегии ZTNA, потребуется на границе каждого микросегмента ставить некое устройство, позволяющее обеспечить шифрованный обмен информацией между пользователем и выбранным приложением. 

А если пользователь использует несколько приложений или несколько пользователей из разных мест хотят задействовать одно и то же приложение, что делать? Представляете, насколько это усложнит систему?! А как организовать обмен ключевой информацией? И здесь по пути возникает ещё масса разных «как». Наверное, когда-то появятся технологии, позволяющие решить эту задачу со многими неизвестными, но пока такой технологии нет. 

Однако выход из этой ситуации есть. Надо построить «толстый» канал, защищённый криптографией, между пользователем и периметром сети, а уже дальше применять стратегию ZTNA. Ну а чем это отличается от классического VPN? Вот и получается, что одно без другого не даст желаемого результата.

 

ДОВЕРЯЙ, НО ПРОВЕРЯЙ

Для того чтобы обеспечить контекстную аутентификацию, вначале надо провести инвентаризацию удалённого компьютера, создать некий его профиль и в дальнейшем с регулярной периодичностью отслеживать его состояние, настройки, конфигурацию, целостность.

То есть необходимо в режиме реального времени проводить мониторинг:

  • ГДЕ находится компьютер;
  • КАК подключается компьютер;
  • ЧТО установлено на компьютере;
  • ЧТО запущено на компьютере;
  • ЧТО делает пользователь.

При этом средство мониторинга должно как минимум уметь контролировать:

  • геолокацию компьютера и структуру информационной сети;
  • состав программного и аппаратного обеспечения;
  • параметры настройки операционной системы, версионность, обновления;
  • наличие установленных средств защиты информации, их параметры и включенные компоненты защиты;
  • установку, настройку, актуальность программного обеспечения;
  • тип и состав подключённых USB-устройств;
  • запущенные в операционной системе процессы;
  • процедуры logon/logoff пользователей.

Сведения обо всех этих параметрах как раз и будут составлять профиль рабочего места. Но пассивное наблюдение вряд ли даст положительный эффект. Необходимо не только контролировать, но и иметь возможность управлять рабочим местом: уведомлять администратора безопасности об отклонениях, блокировать доступ в критических ситуациях или переводить компьютер в карантин. 

Однако и этого мало. Нужно правильно построить хранилище, в котором и должен храниться тот самый профиль рабочего места, с которым будет проводиться сравнение. Это и будет корень доверия. Естественно, что такое хранилище должно быть надёжно защищено и исключать всякую возможность изменения профилей. 

 

РЕЗЮМЕ

Применяя новые технологии в защите информации, не надо забывать и об уже проверенных и хорошо себя зарекомендовавших технологиях. Стратегия ZTNA не заменяет VPN, а наоборот, предполагает симбиоз этих технологий. 

И совокупность технологий, обеспечивающих реализацию стратегии ZTNA, по меньшей мере, но не ограничиваясь, должна позволять выполнять:

  • строгую (например, двухфакторную) аутентификацию;
  • мониторинг состояния и параметров компьютера пользователя;
  • мониторинг состояния и параметров СрЗИ, установленных на компьютере пользователя;
  • строгое разграничение полномочий пользователя (например, по мандатному принципу);
  • создание защищённых каналов связи (например, применение VPN);
  • возможность блокировки подключения компьютера пользователя к сети в случае нарушения установленной политики его использования.

 

Реклама АО «ДиалогНаука», ИНН: 7701102564 erid: LdtCKd8qC

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

29.11.2023
«Мы рассчитывали, что наши крупнейшие цифровые платформы успеют…»
29.11.2023
Софт для управления разработкой подорожал до 3 млн рублей
29.11.2023
Мошенники активно используют карусель инфоповодов и техник для обмана граждан
29.11.2023
Количество жертв кибермошенников в «Чёрную пятницу» увеличилось
28.11.2023
Хакеры провели почти 290 тысяч успешных атак на клиентов банков
28.11.2023
«Тинькофф» запретил сотрудникам работать из других стран. Но есть исключения
28.11.2023
300 млрд рублей к 2027 году. В России появится акселератор для вывода игр за рубеж
28.11.2023
До 2030 года Россия потратит 25 млрд рублей на развитие кибербеза
28.11.2023
Клиенты банков теперь смогут переводить средства за рубеж через СБП
28.11.2023
Чёрная пятница — чёрный декабрь. Solar AURA — о мошенничестве в период распродаж

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных