Стратегия ZTNA (Zero Trust Network Access) сейчас на слуху. Причём она довольно часто противопоставляется старым добрым технологиям VPN (Virtual Private Network). В качестве аргумента чаще всего приводится такое утверждение: в отличие от VPN, которые предоставляют полный доступ к локальной сети, решения на базе ZTNA предпочитают никому не доверять, разрешая доступ только к тем услугам или ресурсам, которые пользователи явно запросили.
Кроме этого, бытует мнение, что у VPN неэффективная производительность: например, концентраторы VPN могут создавать узкие места, что приводит к снижению производительности, чрезмерной задержке в обменах информацией и тому подобным неприятностям. Порой настройка VPN — дорогая и трудоёмкая процедура, требующая больших усилий со стороны службы безопасности и самих пользователей.
В общем, «переходите все на ZTNA, и будет вам счастье». Так ли это? Неужели пришло время списывать со счетов проверенный временем VPN? Давайте порассуждаем на эту тему.
А ЧТО ТАКОЕ ZTNA
В стратегии ZTNA доступ к ресурсам и приложениям предоставляется на основе строгой аутентификации и авторизации. Каждый пользователь и каждое устройство должны пройти проверку и авторизацию перед получением доступа к ресурсам. А сами пользователи и устройства имеют только те привилегии, которые необходимы для выполнения их конкретных задач. Всё это уменьшает вероятность несанкционированного доступа и помогает предотвратить вредоносные действия.
Но, прежде чем говорить о ZTNA дальше, окунёмся в историю. Считается, что идея Zero Trust («нулевого доверия») была придумана в 2010 году аналитиком Forrester. При этом в России парадигма «доверенной среды» появилась лет на 25 раньше. Несмотря на противоположные названия, есть много объединяющих их критериев (разрешено только определённое ПО, процессы, определены ресурсы, к которым предоставляется доступ).
Есть и отличия: главный тезис концепции «доверенной среды» — если мы сможем быть уверенными в надёжности (лояльности, доверенности) каждого элемента, нам не обязательно изолировать их в замкнутой среде. В силу принципа декомпозиции каждый элемент защищаемой информационной системы сам по себе может быть защищён, и в этом случае соединение их в единую информационную систему с помощью защищённых каналов позволит создать вокруг информации надёжную оболочку.
«Доверенная среда» предполагает, что должно быть доверие:
Достичь требуемого уровня доверия возможно, если обеспечивается:
Иными словами, для реализации концепции «доверенной среды» в информационной системе должен быть создан специальный сегмент, имеющий защиту по всему периметру и не позволяющий постороннему бесконтрольно обращаться с информацией. Какой это будет сегмент: виртуальный, логический или аппаратный — не принципиально. Главное, чтобы посторонние не имели свободного доступа к информации. И таких сегментов в информационной системе может быть несколько.
Вернёмся к стратегии ZTNA. Она предполагает создание вокруг приложения или группы приложений логической границы доступа на основе идентификации и контекста, то есть учёта группы или роли пользователя, его IP-адреса, местоположения и временных ограничений. Цель ZTNA заключается в обеспечении безопасного доступа к ресурсам и приложениям в сети вне зависимости от расположения устройства или пользователя. Этот подход помогает ограничить возможности атак и снизить риски компрометации данных и систем.
Стратегия ZTNA предполагает:
В принципе, обе точки зрения говорят о схожих сущностях. Но традиционно «дьявол кроется в деталях».
С точки зрения «нулевого доверия» прежде всего требуется постоянный мониторинг и управление доступом и привилегиями пользователей, а также мониторинг всего трафика на предмет вредоносных действий. И здесь остаётся открытым вопрос доверия к конечному оборудованию пользователя.
С точки зрения «доверенной среды» требуется постоянный мониторинг конфигураций, настроек и целостности рабочих мест. То есть прежде всего — формирования доверия к компьютеру конкретного пользователя.
Ну а процедура идентификации — аутентификации — авторизации в обоих случаях является обязательной.
Обратите внимание на две весьма схожие сущности: в одном случае говорится о сегментировании сети (локализации обрабатываемой информации), в другом — о микросегментах (собственно локализации приложений). Это очень напоминает историю развития ядерной физики. Сначала Аристотель считал, что вещество состоит из четырёх элементов: огонь, вода, воздух, земля. Затем Демокрит выдвинул теорию атомного строения вещества, признавая неделимость атома. И только в ХХ веке появились составные атома: протоны, нейтроны, электроны. А затем уже мезоны, кварки и прочая «мелочь». Каждая степень познания атома определялась уровнем развития науки. Так что вполне вероятно, через некоторое время мы будем говорить не о микросегментировании сети, а о «наносегментах». Но сути это не изменит.
СЛАБОЕ ЗВЕНО
Между тем во всех описаниях стратегии ZTNA, в отличие от концепции «доверенной среды», не упоминается об одном важном элементе. Посмотрите внимательно: есть удалённый (хотя не обязательно) пользователь, которого проверили со всем пристрастием. Компьютер его тоже опознали: идентифицировали и проверили все его параметры. А ещё есть микросегмент сети, в котором находится нужное пользователю приложение.
Получаются две доверенные сущности. И тут встаёт вопрос: а как эти сущности взаимодействуют? По всей вероятности, здесь требуется какой-то защищённый (доверенный) канал, тем более что общение сущностей идёт через заранее агрессивную среду.
На сегодня наиболее эффективным для этих целей признаётся шифрование. Но ведь не все приложения имеют криптографическую функцию. И тогда канал связи без криптографии оказывается самым слабым звеном защиты, которое сводит к нулю все старания по сегментированию, жёсткой идентификации, аутентификации пользователя и его устройства.
Чтобы устранить эту брешь, строго следуя стратегии ZTNA, потребуется на границе каждого микросегмента ставить некое устройство, позволяющее обеспечить шифрованный обмен информацией между пользователем и выбранным приложением.
А если пользователь использует несколько приложений или несколько пользователей из разных мест хотят задействовать одно и то же приложение, что делать? Представляете, насколько это усложнит систему?! А как организовать обмен ключевой информацией? И здесь по пути возникает ещё масса разных «как». Наверное, когда-то появятся технологии, позволяющие решить эту задачу со многими неизвестными, но пока такой технологии нет.
Однако выход из этой ситуации есть. Надо построить «толстый» канал, защищённый криптографией, между пользователем и периметром сети, а уже дальше применять стратегию ZTNA. Ну а чем это отличается от классического VPN? Вот и получается, что одно без другого не даст желаемого результата.
ДОВЕРЯЙ, НО ПРОВЕРЯЙ
Для того чтобы обеспечить контекстную аутентификацию, вначале надо провести инвентаризацию удалённого компьютера, создать некий его профиль и в дальнейшем с регулярной периодичностью отслеживать его состояние, настройки, конфигурацию, целостность.
То есть необходимо в режиме реального времени проводить мониторинг:
При этом средство мониторинга должно как минимум уметь контролировать:
Сведения обо всех этих параметрах как раз и будут составлять профиль рабочего места. Но пассивное наблюдение вряд ли даст положительный эффект. Необходимо не только контролировать, но и иметь возможность управлять рабочим местом: уведомлять администратора безопасности об отклонениях, блокировать доступ в критических ситуациях или переводить компьютер в карантин.
Однако и этого мало. Нужно правильно построить хранилище, в котором и должен храниться тот самый профиль рабочего места, с которым будет проводиться сравнение. Это и будет корень доверия. Естественно, что такое хранилище должно быть надёжно защищено и исключать всякую возможность изменения профилей.
РЕЗЮМЕ
Применяя новые технологии в защите информации, не надо забывать и об уже проверенных и хорошо себя зарекомендовавших технологиях. Стратегия ZTNA не заменяет VPN, а наоборот, предполагает симбиоз этих технологий.
И совокупность технологий, обеспечивающих реализацию стратегии ZTNA, по меньшей мере, но не ограничиваясь, должна позволять выполнять:
Реклама АО «ДиалогНаука», ИНН: 7701102564 erid: LdtCKd8qC
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных