BIS Journal №4(51)2023

7 ноября, 2023

ZTNA vs VPN: антиподы или друзья

Стратегия ZTNA (Zero Trust Network Access) сейчас на слуху. Причём она довольно часто противопоставляется старым добрым технологиям VPN (Virtual Private Network). В качестве аргумента чаще всего приводится такое утверждение: в отличие от VPN, которые предоставляют полный доступ к локальной сети, решения на базе ZTNA предпочитают никому не доверять, разрешая доступ только к тем услугам или ресурсам, которые пользователи явно запросили. 

Кроме этого, бытует мнение, что у VPN неэффективная производительность: например, концентраторы VPN могут создавать узкие места, что приводит к снижению производительности, чрезмерной задержке в обменах информацией и тому подобным неприятностям. Порой настройка VPN — дорогая и трудоёмкая процедура, требующая больших усилий со стороны службы безопасности и самих пользователей. 

В общем, «переходите все на ZTNA, и будет вам счастье». Так ли это? Неужели пришло время списывать со счетов проверенный временем VPN? Давайте порассуждаем на эту тему.

 

А ЧТО ТАКОЕ ZTNA

В стратегии ZTNA доступ к ресурсам и приложениям предоставляется на основе строгой аутентификации и авторизации. Каждый пользователь и каждое устройство должны пройти проверку и авторизацию перед получением доступа к ресурсам. А сами пользователи и устройства имеют только те привилегии, которые необходимы для выполнения их конкретных задач. Всё это уменьшает вероятность несанкционированного доступа и помогает предотвратить вредоносные действия. 

Но, прежде чем говорить о ZTNA дальше, окунёмся в историю. Считается, что идея Zero Trust («нулевого доверия») была придумана в 2010 году аналитиком Forrester. При этом в России парадигма «доверенной среды» появилась лет на 25 раньше. Несмотря на противоположные названия, есть много объединяющих их критериев (разрешено только определённое ПО, процессы, определены ресурсы, к которым предоставляется доступ). 

Есть и отличия: главный тезис концепции «доверенной среды» — если мы сможем быть уверенными в надёжности (лояльности, доверенности) каждого элемента, нам не обязательно изолировать их в замкнутой среде. В силу принципа декомпозиции каждый элемент защищаемой информационной системы сам по себе может быть защищён, и в этом случае соединение их в единую информационную систему с помощью защищённых каналов позволит создать вокруг информации надёжную оболочку. 

«Доверенная среда» предполагает, что должно быть доверие:

  • к окружению системы;
  • к субъектам отношений;
  • к правилам и процедурам;
  • к аппаратной и программной платформе;
  • к выполняемым операциям;
  • к каналам передачи информации.

Достичь требуемого уровня доверия возможно, если обеспечивается:

  • локализация информационных ресурсов;
  • счётность субъектов и объекты доступа;
  • доверенность конфигурации и настройки;
  • целостность всех элементов;
  • подконтрольность всех действий;
  • логирование всех событий.

Иными словами, для реализации концепции «доверенной среды» в информационной системе должен быть создан специальный сегмент, имеющий защиту по всему периметру и не позволяющий постороннему бесконтрольно обращаться с информацией. Какой это будет сегмент: виртуальный, логический или аппаратный — не принципиально. Главное, чтобы посторонние не имели свободного доступа к информации. И таких сегментов в информационной системе может быть несколько.

Вернёмся к стратегии ZTNA. Она предполагает создание вокруг приложения или группы приложений логической границы доступа на основе идентификации и контекста, то есть учёта группы или роли пользователя, его IP-адреса, местоположения и временных ограничений. Цель ZTNA заключается в обеспечении безопасного доступа к ресурсам и приложениям в сети вне зависимости от расположения устройства или пользователя. Этот подход помогает ограничить возможности атак и снизить риски компрометации данных и систем. 

 

Стратегия ZTNA предполагает:

  • каждое устройство, пользователь и приложение должны быть проверены и авторизованы перед получением доступа к ресурсам в сети; нет доверия к устройству или пользователю на основе их сетевого положения или предыдущих разрешений;
  • сеть разделяется на отдельные микросегменты (микропериметры), где доступ к ресурсам и приложениям строго контролируется; каждое соединение и каждый запрос должны быть аутентифицированы и авторизованы на уровне микросегмента; это позволяет ограничить доступ к ресурсам только для необходимых пользователей и устройств и минимизировать поверхность атаки;
  • для получения доступа к ресурсам требуется не только пароль, но и учёт контекста, такого как атрибуты пользователя, идентификация устройства, контекст подключения и другие факторы.

В принципе, обе точки зрения говорят о схожих сущностях. Но традиционно «дьявол кроется в деталях».

С точки зрения «нулевого доверия» прежде всего требуется постоянный мониторинг и управление доступом и привилегиями пользователей, а также мониторинг всего трафика на предмет вредоносных действий. И здесь остаётся открытым вопрос доверия к конечному оборудованию пользователя.

С точки зрения «доверенной среды» требуется постоянный мониторинг конфигураций, настроек и целостности рабочих мест. То есть прежде всего — формирования доверия к компьютеру конкретного пользователя.

Ну а процедура идентификации — аутентификации — авторизации в обоих случаях является обязательной.

Обратите внимание на две весьма схожие сущности: в одном случае говорится о сегментировании сети (локализации обрабатываемой информации), в другом — о микросегментах (собственно локализации приложений). Это очень напоминает историю развития ядерной физики. Сначала Аристотель считал, что вещество состоит из четырёх элементов: огонь, вода, воздух, земля. Затем Демокрит выдвинул теорию атомного строения вещества, признавая неделимость атома. И только в ХХ веке появились составные атома: протоны, нейтроны, электроны. А затем уже мезоны, кварки и прочая «мелочь». Каждая степень познания атома определялась уровнем развития науки. Так что вполне вероятно, через некоторое время мы будем говорить не о микросегментировании сети, а о «наносегментах». Но сути это не изменит.

 

СЛАБОЕ ЗВЕНО

Между тем во всех описаниях стратегии ZTNA, в отличие от концепции «доверенной среды», не упоминается об одном важном элементе. Посмотрите внимательно: есть удалённый (хотя не обязательно) пользователь, которого проверили со всем пристрастием. Компьютер его тоже опознали: идентифицировали и проверили все его параметры. А ещё есть микросегмент сети, в котором находится нужное пользователю приложение. 

Получаются две доверенные сущности. И тут встаёт вопрос: а как эти сущности взаимодействуют? По всей вероятности, здесь требуется какой-то защищённый (доверенный) канал, тем более что общение сущностей идёт через заранее агрессивную среду. 

На сегодня наиболее эффективным для этих целей признаётся шифрование. Но ведь не все приложения имеют криптографическую функцию. И тогда канал связи без криптографии оказывается самым слабым звеном защиты, которое сводит к нулю все старания по сегментированию, жёсткой идентификации, аутентификации пользователя и его устройства. 

Чтобы устранить эту брешь, строго следуя стратегии ZTNA, потребуется на границе каждого микросегмента ставить некое устройство, позволяющее обеспечить шифрованный обмен информацией между пользователем и выбранным приложением. 

А если пользователь использует несколько приложений или несколько пользователей из разных мест хотят задействовать одно и то же приложение, что делать? Представляете, насколько это усложнит систему?! А как организовать обмен ключевой информацией? И здесь по пути возникает ещё масса разных «как». Наверное, когда-то появятся технологии, позволяющие решить эту задачу со многими неизвестными, но пока такой технологии нет. 

Однако выход из этой ситуации есть. Надо построить «толстый» канал, защищённый криптографией, между пользователем и периметром сети, а уже дальше применять стратегию ZTNA. Ну а чем это отличается от классического VPN? Вот и получается, что одно без другого не даст желаемого результата.

 

ДОВЕРЯЙ, НО ПРОВЕРЯЙ

Для того чтобы обеспечить контекстную аутентификацию, вначале надо провести инвентаризацию удалённого компьютера, создать некий его профиль и в дальнейшем с регулярной периодичностью отслеживать его состояние, настройки, конфигурацию, целостность.

То есть необходимо в режиме реального времени проводить мониторинг:

  • ГДЕ находится компьютер;
  • КАК подключается компьютер;
  • ЧТО установлено на компьютере;
  • ЧТО запущено на компьютере;
  • ЧТО делает пользователь.

При этом средство мониторинга должно как минимум уметь контролировать:

  • геолокацию компьютера и структуру информационной сети;
  • состав программного и аппаратного обеспечения;
  • параметры настройки операционной системы, версионность, обновления;
  • наличие установленных средств защиты информации, их параметры и включенные компоненты защиты;
  • установку, настройку, актуальность программного обеспечения;
  • тип и состав подключённых USB-устройств;
  • запущенные в операционной системе процессы;
  • процедуры logon/logoff пользователей.

Сведения обо всех этих параметрах как раз и будут составлять профиль рабочего места. Но пассивное наблюдение вряд ли даст положительный эффект. Необходимо не только контролировать, но и иметь возможность управлять рабочим местом: уведомлять администратора безопасности об отклонениях, блокировать доступ в критических ситуациях или переводить компьютер в карантин. 

Однако и этого мало. Нужно правильно построить хранилище, в котором и должен храниться тот самый профиль рабочего места, с которым будет проводиться сравнение. Это и будет корень доверия. Естественно, что такое хранилище должно быть надёжно защищено и исключать всякую возможность изменения профилей. 

 

РЕЗЮМЕ

Применяя новые технологии в защите информации, не надо забывать и об уже проверенных и хорошо себя зарекомендовавших технологиях. Стратегия ZTNA не заменяет VPN, а наоборот, предполагает симбиоз этих технологий. 

И совокупность технологий, обеспечивающих реализацию стратегии ZTNA, по меньшей мере, но не ограничиваясь, должна позволять выполнять:

  • строгую (например, двухфакторную) аутентификацию;
  • мониторинг состояния и параметров компьютера пользователя;
  • мониторинг состояния и параметров СрЗИ, установленных на компьютере пользователя;
  • строгое разграничение полномочий пользователя (например, по мандатному принципу);
  • создание защищённых каналов связи (например, применение VPN);
  • возможность блокировки подключения компьютера пользователя к сети в случае нарушения установленной политики его использования.

 

Реклама АО «ДиалогНаука», ИНН: 7701102564 erid: LdtCKd8qC

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

22.04.2024
Фишеры предлагают отменить «заявку на удаление Telegram»
22.04.2024
В Минпромторге обсуждают возможные субсидии для российских вендоров
22.04.2024
Уникальный международный технологический форум THE TRENDS 2.0 поднимает флаг инноваций «снизу»
22.04.2024
Мишустин дал старт эксперименту с е-студенческими и е-зачётками
22.04.2024
Россия экспортирует «пластик» в Иран
22.04.2024
Proton Mail найдёт вас в даркнете. Но не бесплатно
19.04.2024
Банкиры просят продлить сроки импортозамещения «инософта»
19.04.2024
Россияне смогут получить ЭП за пределами страны
19.04.2024
В России появится консорциум по кибербезопасности ИИ
19.04.2024
Сразу несколько мессенджеров пропали из китайского App Store

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных