Хочу рассказать о самом современном способе удалённого подключения ваших сотрудников — о Zero Trust Network Access, сокращённо ZTNA. Но это не так-то просто. Однако, если разделить это словосочетание на две части — Zero Trust и Network Access, станет понятно, что это одна из разновидностей удалённого доступа к вашей сети, такая же, как и VPN. У технологии ZTNA такие грандиозные функции, что я рекомендую руководителям компаний направить своих сотрудников на её изучение или сразу нанять тех, кто в ней разбирается.
Чтобы дать полную картину, нужно рассказать про VPN, Zero Trust, NAC, NGFW, SASE и Software — Defined Perimeter (SDP). В конце этой статьи вы уже будете понимать, какой общей нитью связаны все эти термины. Хотя, собственно, зачем тянуть: эта нить — снижение рисков взлома вашей компании.
НАЧНЁМ С VPN…
VPN — это сокращение от Virtual Private Networks. Если перевести на русский — виртуальные частные сети. Уже из названия понятно, что основная идея заключается в создании собственной приватной сети поверх публичной сети Интернет. Цель — предоставить защищённый доступ к информации только доверенным лицам и устройствам через сеть Интернет. При этом мы хотим гарантировать конфиденциальность обрабатываемой, передаваемой и хранимой информации. Изначально VPN предназначался для объединения сетей вашей компании в различных точках страны или мира. Основывается VPN на работе семейства протоколов IPSEC между специальными шлюзами, установленными в каждом офисе компании. И такие подключения называются site-to-site VPN.
Есть вторая разновидность — удалённое подключение отдельных сотрудников к сети вашей компании. Этот тип подключения по-английски так и называется — Remote Access VPN. Он нужен в том случае, если вашим сотрудникам приходится (или хочется) работать из дома, аэропорта, кафе или отеля. Чтобы организовать удалённое подключение, нужны два компонента: клиент и сервер VPN. Таким образом, удалённый доступ сотрудников к сети компании предоставляет специальный клиент VPN, который устанавливается непосредственно на вашу операционную систему: Windows, MacOS, Linux или Android.
Ещё можно использовать встроенный в операционную систему VPN-клиент. В частности, такой клиент есть у Open VPN, у Cisco он называется AnyConnect, у Palo Alto Networks — GlobalProtect.
Работает это следующим образом: клиент VPN подключается к шлюзу VPN вашей компании, и все данные передаются в обе стороны в зашифрованном виде, чтобы гарантировать защиту от их прослушивания и подмены. Замечу, сегодня работа c включённым VPN-клиентом — это рекомендованный режим работы для работы с конфиденциальной информацией в публичных сетях, например, если вы подключились к публичному Wi-Fi в кафе или к гостевому Wi-Fi вашего офиса. Везде ваш трафик хотят прослушать хакеры, поэтому пользуйтесь VPN, чтобы не оставлять им ни одного шанса.
Сейчас для подключения к шлюзу VPN-сети стали использовать протокол TLS. Он позволяет избежать установки отдельного клиента, потому что клиентом является установленный у вас браузер. Вы заходите с помощью браузера в сеть своей компании через специальный шлюз TLS VPN.
Для аутентификации сотрудников и устройств в сетях VPN чаще всего используются пароли и сертификаты. В компаниях с высоким уровнем зрелости применяется двухфакторная аутентификация, например на основе одноразовых паролей и даже аппаратных токенов.
Подведём итог: Remote Access VPN предполагает наличие программных клиентов VPN, установленных на операционной системе ноутбука или смартфона и заранее подготовленных центральных шлюзов VPN, установленных на серверах компании, к которым эти клиенты VPN подключаются. Поверх созданного виртуального зашифрованного соединения между вашим компьютером или смартфоном передаются данные. Чаще всего основным алгоритмом шифрования является алгоритм AES с 256-битным ключом, в России — алгоритм ГОСТ.
ПЕРЕХОДИМ К ZERO TRUST
Переходим к Zero Trust, разбираемся, при чём тут NGFW, а заодно вспомним NAC.
В последние годы новой концепцией стал принцип нулевого доверия, по-английски Zero Trust. Здесь прослеживается аналогия с принципом минимальных привилегий, когда мы даём доступ ровно к той информации, которая сотруднику положена по работе, — и ничего лишнего. Этой концепции оказалось недостаточно — сейчас появилась новая угроза: от имени аккаунта сотрудника на его же компьютере спокойно может работать злоумышленник, причём уже внутри вашей сети. Поэтому, по мнению Джона Киндервага, изобретателя концепции Zero Trust, сегодня к действиям любого пользователя нужно относиться с подозрением и вводить дополнительные проверки. Для удалённых подключений чаще всего проверяется информация о местоположении сотрудника и о настройках его рабочего места. Для внутренних подключений сотрудников ещё и рекомендуются средства контроля их поведения и выявления аномалий, часто это класс продуктов NTA или UEBA.
Сегодня также проверяется, верно ли работает приложение, к которому человек получил доступ.
Именно в этом разница Zero Trust и принципа минимальных привилегий: мы непрерывно контролируем, что доступ до сих пор находится у того самого человека и к тому самому приложению.
Опишу всё на примерах. Допустим, ваша сеть сегментирована. Обычно в любой компании администраторы и их компьютеры находятся в одном сегменте, а прикладные сервисы — в другом. И вашим администраторам требуется подключаться к сети управления вашей компании, чтобы настраивать в ней различные сервисы. Политику доступа на эти сервера можно прописать тремя вариантами.
1-й вариант: политика доступа на самих серверах. Обычно это проверка логина и пароля на SSH- или RDP-сервисах и последующая выдача нужных прав доступа. Так вы обычно проходите в самолёт: стюардессы проверяют ваш посадочный талон и отправляют вас либо в эконом-, либо в бизнес-класс. Этот процесс называется авторизация.
2-й вариант: политика на сетевом оборудовании вашей компании. Обычно здесь архитекторы по безопасности применяют решения класса Network Access Control, или NAC. Устройства NAC дают вам доступ к какому-то конкретному сегменту сети, который выделяется при помощи технологии VLAN или обычной маски подсети. Само сетевое оборудование даёт доступ к нужному сегменту. Похожим образом в аэропортах вы проходите все контроли и получаете доступ в терминал. Заметьте, там у вас есть доступ ко всем выходам на посадку. Билет у вас, допустим, в Хабаровск, а вы можете пройти на рейс в Сочи. К счастью, здесь на выручку поспевает контроль доступа согласно первому варианту.
3-й вариант: политика доступа на межсетевом экране, разделяющем сеть администраторов и сеть управления. И тут появляется термин Zero Trust. Межсетевые экраны бывают нескольких типов и даже поколений. Если у вас межсетевой экран нового поколения, по-английски Next Generation Firewall (NGFW), то в нём одновременно работает множество интеллектуальных модулей, которые получают дополнительную информацию по каждому подключению в сеть. И поэтому Zero Trust обогащает новыми проверками наши старые политики доступа, реализованные на старых межсетевых экранах, как и было со времён царя Гороха. Самое важное, что в правилах доступа стало больше критериев. И называем мы этот новый вид контроля доступа Zero Trust, чтобы как-то отличать обычные старые правила по IP-адресам и портам от новых видов правил.
Какие же это новые критерии? Например, страна. Вы можете разрешить подключение только из России. Иными словами, если ваш админ будет подключаться к вашему VPN-шлюзу из Америки, к нему возникнут вопросики: «А чей-то он там делает?»
Второй пример: новым критерием правил NGFW стало конкретное приложение, к которому вы даёте доступ. Чуть-чуть расшифрую: вы даёте доступ не к порту tcp 3306, а к приложению MySQL, которое там работает. Если вдруг NGFW увидит, что там ходит другой трафик, опять появляются вопросики к админу: «Почему ты другой сервис повесил на этот порт?» Вот тут-то и проявляется отличие от принципа минимальных привилегий: мы не просто даём админу минимально точные доступы, мы проверяем, что тот сервис, к которому мы дали этот доступ, является тем самым сервисом, т. е. проверяем и админа, и сам сервис. Именно это считается высшим пилотажем в сегодняшнем мире информационной безопасности. Пользуйтесь Zero Trust!
Дополню третьим примером. Ещё одним критерием Zero Trust в современных NGFW будет проверка файлов. Если ваш сотрудник имеет доступ к файловому серверу компании и пытается выложить туда вредоносный код, хорошо бы проверять, какие файлы передаются туда и обратно, а идеально — не просто проверять их антивирусными сигнатурами, а помещать файлы в «песочницу», которая сможет выявить неизвестные ранее вредоносные файлы.
Здесь есть ещё одна важная вещь: для получения дополнительной информации о состоянии хоста на нём лучше иметь специальную программу-агент, которая бы собирала нужную информацию, перед тем как выдать доступ. Часть поставщиков использует сбор информации без агентов. Но, как правило, они не могут собрать столько же дополнительного контекста о подключении, как это может сделать агент на самом хосте. Такие агенты используются для реализации и NAC, и для Zero-Trust-доступа. Просматривается устойчивый тренд, что такие агенты сбора информации совмещают с клиентами VPN.
Часто спрашивают о разнице между Zero Trust на NGFW и NAC. Ключевое отличие: NGFW представляет доступ на уровне приложений, а NAC — на сетевом уровне. Иначе говоря, если NAC даст доступ в сегмент заражённому устройству, все устройства в том сегменте будут под угрозой. Использование NGFW устраняет этот риск.
Если продолжить аналогию с аэропортом, NAC даёт доступ ко всему терминалу и ко всем выходам, а NGFW — к конкретному выходу на самолёт.
ОБЪЕДИНЯЕМ VPN И ZERO TRUST, ПОЛУЧАЕМ ZTNA
Если раньше по VPN в сеть компании подключалось пять ответственных за информационную безопасность сотрудников, то сегодня — вся компания, а в ней может работать 10 000 сотрудников. И уровень ответственности большинства из них, простите, я оцениваю как нулевой.
Если безответственный человек подключается по VPN, может произойти всё что угодно: с его компьютера могут быть организованы атаки на компанию, на его компьютер может быть скачано что угодно и т. д. Поэтому следующим этапом развития информационной безопасности в организации стала проверка, а что же сейчас установлено и как оно настроено на компьютере или смартфоне сотрудника, который подключается к нам по VPN.
Должны быть требования необходимого минимума средств защиты и настроек для каждой операционной системы. Например, во многих организациях удалённый доступ разрешается только с устройств, где как минимум стоит антивирус с последними базами и загружены все обновления операционной системы, некоторым нужна системы защиты от утечек информации (DLP).
А что делать, если всего этого у человека нет? Ответ простой: не пускать, пока все требования политики не будут выполнены. Да, ещё нужно этому человеку рассказать, как эти требования выполнить: откуда скачать антивирус или EDR, как установить все обновления и т. д.
Если вам требуется управлять установкой софта и его настройками удалённо, применяйте решение класса Mobile Device Management (MDM).
Итак, система, которая даёт доступ вашим сотрудникам к сети удалённо, одновременно проверяя состояние этого устройства и постоянно контролируя его работу, называется Zero Trust Network Access. По сути, это набор вышеописанных технологий.
У компании Cisco данная функциональность встроена в клиент VPN под названием AnyConnect, она собирает информацию о хосте, которая у них называется posture.
У компании Palo Alto Networks данную функцию сбора информации о хосте тоже выполняет VPN-клиент — GlobalProtect; он собирает всё в файл в формате XML и отправляет на проверку на NGFW. Эта функция называется Host Information Profile.
У компании Fortinet данную функцию выполняет их хостовая защита EDR. Она собирает информацию о хосте и отправляет её на шлюз безопасности для проверки.
У компании Positive Technologies данную функцию проверки состояния хоста выполняет MaxPatrol EDR, он не даёт подключиться по VPN к сети, пока не будут выполнены все требования политики безопасности компании.
После того как вы подключились данными клиентами в сеть, вы уже можете работать с необходимым вам приложением, например RDP или SSH.
Часть поставщиков реализует доступ к внутренним приложениям через обратный HTTPS-прокси. Вы заходите на портал с помощью браузера и после аутентификации получаете доступ к заранее опубликованным приложениям, которые видны прямо из браузера. В этом случае клиент VPN не нужен. Получается, что и клиент RDP или SSH не нужен — вы работаете непосредственно из своего браузера. Такая реализация раньше часто использовалась в Microsoft TMG для публикации доступа к Outlook Web Access (OWA). А сегодня обратный прокси либо встраивают в NGFW, либо продают отдельно.
Прошу заметить, что вышеперечисленным технологиям ещё требуется внешний сервис, который хранит списки пользователей и проверяет их пароли или второй фактор. Часто для этого используются сервисы Microsoft Active Directory, OpenLDAP, RADIUS и TACACS+.
А для многофакторной аутентификации нужен ещё один внешний сервис. Это может быть облачный сервис, такой как OKTA или Multifactor.
ПОЧЕМУ ПОЯВИЛОСЬ SASE?
Мы разобрались в том, что ZTNA работает на основе технологий, встроенных в NGFW: VPN, Zero Trust и другие движки. Однако во время пандемии COVID выяснилось, что покупка аппаратного устройства имеет определённые недостатки:
Что можно сделать, чтобы от этого избавиться?
Производители клонировали свои виртуальные NGFW и поместили их у облачных провайдеров по всему миру. Получилось, что нам сегодня предоставляются сотни доступных шлюзов VPN по всему миру, вы подключаетесь к ближайшему территориально и снижаете задержки. И это VPN, совмещённый с NGFW, т. е. вы получаете набор дополнительных проверок ваших сотрудников в любой точке мира. Сам облачный провайдер уже оптимально перенаправляет ваших сотрудников к ресурсам вашей компании по каналам, защищённым IPSEC. Вы можете узнать у поставщиков, как они минимизируют время подключения, задержки и потери к вашим сервисам. Часто подключения к разным шлюзам ещё и балансируются на основе технологии SD-WAN.
Эту технологию подключения ваших сотрудников через облачные сервисы в Gartner назвали Secure Access Service Edge, сокращённо SASE.
Уверен, вам нужно время, чтобы переосмыслить это описание современных технологий. Возможно, вы слышали и другие названия от различных производителей, однако идеологически и функционально все они будут подобны тем, что описаны выше. Например, термин Software — Defined Perimeter (SDP) — это то же самое, что и ZTNA. Причина в том, что коллеги в своём маркетинге фокусируются на том преимуществе технологии, что внутренние сервисы доступны только через VPN или через обратный HTTPS-прокси и не выставлены наружу. Действительно, именно для этого и были созданы VPN и ZTNA. Пользуйтесь ими, пожалуйста! И используйте двухфакторную аутентификацию!
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных