Новая технология удалённой работы. Что такое ZTNA и как с ним связаны VPN, Zero Trust, NAC, NGFW, SASE и SDP

BIS Journal №1(52)2024

1 апреля, 2024

Новая технология удалённой работы. Что такое ZTNA и как с ним связаны VPN, Zero Trust, NAC, NGFW, SASE и SDP

Хочу рассказать о самом современном способе удалённого подключения ваших сотрудников — о Zero Trust Network Access, сокращённо ZTNA. Но это не так-то просто. Однако, если разделить это словосочетание на две части — Zero Trust и Network Access, станет понятно, что это одна из разновидностей удалённого доступа к вашей сети, такая же, как и VPN. У технологии ZTNA такие грандиозные функции, что я рекомендую руководителям компаний направить своих сотрудников на её изучение или сразу нанять тех, кто в ней разбирается.

Чтобы дать полную картину, нужно рассказать про VPN, Zero Trust, NAC, NGFW, SASE и Software — Defined Perimeter (SDP). В конце этой статьи вы уже будете понимать, какой общей нитью связаны все эти термины. Хотя, собственно, зачем тянуть: эта нить — снижение рисков взлома вашей компании.

 

НАЧНЁМ С VPN…

VPN — это сокращение от Virtual Private Networks. Если перевести на русский — виртуальные частные сети. Уже из названия понятно, что основная идея заключается в создании собственной приватной сети поверх публичной сети Интернет. Цель — предоставить защищённый доступ к информации только доверенным лицам и устройствам через сеть Интернет. При этом мы хотим гарантировать конфиденциальность обрабатываемой, передаваемой и хранимой информации. Изначально VPN предназначался для объединения сетей вашей компании в различных точках страны или мира. Основывается VPN на работе семейства протоколов IPSEC между специальными шлюзами, установленными в каждом офисе компании. И такие подключения называются site-to-site VPN.

Есть вторая разновидность — удалённое подключение отдельных сотрудников к сети вашей компании. Этот тип подключения по-английски так и называется — Remote Access VPN. Он нужен в том случае, если вашим сотрудникам приходится (или хочется) работать из дома, аэропорта, кафе или отеля. Чтобы организовать удалённое подключение, нужны два компонента: клиент и сервер VPN. Таким образом, удалённый доступ сотрудников к сети компании предоставляет специальный клиент VPN, который устанавливается непосредственно на вашу операционную систему: Windows, MacOS, Linux или Android.

Ещё можно использовать встроенный в операционную систему VPN-клиент. В частности, такой клиент есть у Open VPN, у Cisco он называется AnyConnect, у Palo Alto Networks — GlobalProtect.

Работает это следующим образом: клиент VPN подключается к шлюзу VPN вашей компании, и все данные передаются в обе стороны в зашифрованном виде, чтобы гарантировать защиту от их прослушивания и подмены. Замечу, сегодня работа c включённым VPN-клиентом — это рекомендованный режим работы для работы с конфиденциальной информацией в публичных сетях, например, если вы подключились к публичному Wi-Fi в кафе или к гостевому Wi-Fi вашего офиса. Везде ваш трафик хотят прослушать хакеры, поэтому пользуйтесь VPN, чтобы не оставлять им ни одного шанса.

Сейчас для подключения к шлюзу VPN-сети стали использовать протокол TLS. Он позволяет избежать установки отдельного клиента, потому что клиентом является установленный у вас браузер. Вы заходите с помощью браузера в сеть своей компании через специальный шлюз TLS VPN.

Для аутентификации сотрудников и устройств в сетях VPN чаще всего используются пароли и сертификаты. В компаниях с высоким уровнем зрелости применяется двухфакторная аутентификация, например на основе одноразовых паролей и даже аппаратных токенов.

Подведём итог: Remote Access VPN предполагает наличие программных клиентов VPN, установленных на операционной системе ноутбука или смартфона и заранее подготовленных центральных шлюзов VPN, установленных на серверах компании, к которым эти клиенты VPN подключаются. Поверх созданного виртуального зашифрованного соединения между вашим компьютером или смартфоном передаются данные. Чаще всего основным алгоритмом шифрования является алгоритм AES с 256-битным ключом, в России — алгоритм ГОСТ.

 

ПЕРЕХОДИМ К ZERO TRUST

Переходим к Zero Trust, разбираемся, при чём тут NGFW, а заодно вспомним NAC.

В последние годы новой концепцией стал принцип нулевого доверия, по-английски Zero Trust. Здесь прослеживается аналогия с принципом минимальных привилегий, когда мы даём доступ ровно к той информации, которая сотруднику положена по работе, — и ничего лишнего. Этой концепции оказалось недостаточно — сейчас появилась новая угроза: от имени аккаунта сотрудника на его же компьютере спокойно может работать злоумышленник, причём уже внутри вашей сети. Поэтому, по мнению Джона Киндервага, изобретателя концепции Zero Trust, сегодня к действиям любого пользователя нужно относиться с подозрением и вводить дополнительные проверки. Для удалённых подключений чаще всего проверяется информация о местоположении сотрудника и о настройках его рабочего места. Для внутренних подключений сотрудников ещё и рекомендуются средства контроля их поведения и выявления аномалий, часто это класс продуктов NTA или UEBA.

Сегодня также проверяется, верно ли работает приложение, к которому человек получил доступ.

Именно в этом разница Zero Trust и принципа минимальных привилегий: мы непрерывно контролируем, что доступ до сих пор находится у того самого человека и к тому самому приложению.

Опишу всё на примерах. Допустим, ваша сеть сегментирована. Обычно в любой компании администраторы и их компьютеры находятся в одном сегменте, а прикладные сервисы — в другом. И вашим администраторам требуется подключаться к сети управления вашей компании, чтобы настраивать в ней различные сервисы. Политику доступа на эти сервера можно прописать тремя вариантами.

1-й вариант: политика доступа на самих серверах. Обычно это проверка логина и пароля на SSH- или RDP-сервисах и последующая выдача нужных прав доступа. Так вы обычно проходите в самолёт: стюардессы проверяют ваш посадочный талон и отправляют вас либо в эконом-, либо в бизнес-класс. Этот процесс называется авторизация.

2-й вариант: политика на сетевом оборудовании вашей компании. Обычно здесь архитекторы по безопасности применяют решения класса Network Access Control, или NAC. Устройства NAC дают вам доступ к какому-то конкретному сегменту сети, который выделяется при помощи технологии VLAN или обычной маски подсети. Само сетевое оборудование даёт доступ к нужному сегменту. Похожим образом в аэропортах вы проходите все контроли и получаете доступ в терминал. Заметьте, там у вас есть доступ ко всем выходам на посадку. Билет у вас, допустим, в Хабаровск, а вы можете пройти на рейс в Сочи. К счастью, здесь на выручку поспевает контроль доступа согласно первому варианту.

3-й вариант: политика доступа на межсетевом экране, разделяющем сеть администраторов и сеть управления. И тут появляется термин Zero Trust. Межсетевые экраны бывают нескольких типов и даже поколений. Если у вас межсетевой экран нового поколения, по-английски Next Generation Firewall (NGFW), то в нём одновременно работает множество интеллектуальных модулей, которые получают дополнительную информацию по каждому подключению в сеть. И поэтому Zero Trust обогащает новыми проверками наши старые политики доступа, реализованные на старых межсетевых экранах, как и было со времён царя Гороха. Самое важное, что в правилах доступа стало больше критериев. И называем мы этот новый вид контроля доступа Zero Trust, чтобы как-то отличать обычные старые правила по IP-адресам и портам от новых видов правил.

Какие же это новые критерии? Например, страна. Вы можете разрешить подключение только из России. Иными словами, если ваш админ будет подключаться к вашему VPN-шлюзу из Америки, к нему возникнут вопросики: «А чей-то он там делает?»

Второй пример: новым критерием правил NGFW стало конкретное приложение, к которому вы даёте доступ. Чуть-чуть расшифрую: вы даёте доступ не к порту tcp 3306, а к приложению MySQL, которое там работает. Если вдруг NGFW увидит, что там ходит другой трафик, опять появляются вопросики к админу: «Почему ты другой сервис повесил на этот порт?» Вот тут-то и проявляется отличие от принципа минимальных привилегий: мы не просто даём админу минимально точные доступы, мы проверяем, что тот сервис, к которому мы дали этот доступ, является тем самым сервисом, т. е. проверяем и админа, и сам сервис. Именно это считается высшим пилотажем в сегодняшнем мире информационной безопасности. Пользуйтесь Zero Trust!

Дополню третьим примером. Ещё одним критерием Zero Trust в современных NGFW будет проверка файлов. Если ваш сотрудник имеет доступ к файловому серверу компании и пытается выложить туда вредоносный код, хорошо бы проверять, какие файлы передаются туда и обратно, а идеально — не просто проверять их антивирусными сигнатурами, а помещать файлы в «песочницу», которая сможет выявить неизвестные ранее вредоносные файлы.

Здесь есть ещё одна важная вещь: для получения дополнительной информации о состоянии хоста на нём лучше иметь специальную программу-агент, которая бы собирала нужную информацию, перед тем как выдать доступ. Часть поставщиков использует сбор информации без агентов. Но, как правило, они не могут собрать столько же дополнительного контекста о подключении, как это может сделать агент на самом хосте. Такие агенты используются для реализации и NAC, и для Zero-Trust-доступа. Просматривается устойчивый тренд, что такие агенты сбора информации совмещают с клиентами VPN.

Часто спрашивают о разнице между Zero Trust на NGFW и NAC. Ключевое отличие: NGFW представляет доступ на уровне приложений, а NAC — на сетевом уровне. Иначе говоря, если NAC даст доступ в сегмент заражённому устройству, все устройства в том сегменте будут под угрозой. Использование NGFW устраняет этот риск.

Если продолжить аналогию с аэропортом, NAC даёт доступ ко всему терминалу и ко всем выходам, а NGFW — к конкретному выходу на самолёт.

 

ОБЪЕДИНЯЕМ VPN И ZERO TRUST, ПОЛУЧАЕМ ZTNA

Если раньше по VPN в сеть компании подключалось пять ответственных за информационную безопасность сотрудников, то сегодня — вся компания, а в ней может работать 10 000 сотрудников. И уровень ответственности большинства из них, простите, я оцениваю как нулевой.

Если безответственный человек подключается по VPN, может произойти всё что угодно: с его компьютера могут быть организованы атаки на компанию, на его компьютер может быть скачано что угодно и т. д. Поэтому следующим этапом развития информационной безопасности в организации стала проверка, а что же сейчас установлено и как оно настроено на компьютере или смартфоне сотрудника, который подключается к нам по VPN.

Должны быть требования необходимого минимума средств защиты и настроек для каждой операционной системы. Например, во многих организациях удалённый доступ разрешается только с устройств, где как минимум стоит антивирус с последними базами и загружены все обновления операционной системы, некоторым нужна системы защиты от утечек информации (DLP).

А что делать, если всего этого у человека нет? Ответ простой: не пускать, пока все требования политики не будут выполнены. Да, ещё нужно этому человеку рассказать, как эти требования выполнить: откуда скачать антивирус или EDR, как установить все обновления и т. д.

Если вам требуется управлять установкой софта и его настройками удалённо, применяйте решение класса Mobile Device Management (MDM).

Итак, система, которая даёт доступ вашим сотрудникам к сети удалённо, одновременно проверяя состояние этого устройства и постоянно контролируя его работу, называется Zero Trust Network Access. По сути, это набор вышеописанных технологий.

У компании Cisco данная функциональность встроена в клиент VPN под названием AnyConnect, она собирает информацию о хосте, которая у них называется posture.

У компании Palo Alto Networks данную функцию сбора информации о хосте тоже выполняет VPN-клиент — GlobalProtect; он собирает всё в файл в формате XML и отправляет на проверку на NGFW. Эта функция называется Host Information Profile.

У компании Fortinet данную функцию выполняет их хостовая защита EDR. Она собирает информацию о хосте и отправляет её на шлюз безопасности для проверки.

У компании Positive Technologies данную функцию проверки состояния хоста выполняет MaxPatrol EDR, он не даёт подключиться по VPN к сети, пока не будут выполнены все требования политики безопасности компании.

После того как вы подключились данными клиентами в сеть, вы уже можете работать с необходимым вам приложением, например RDP или SSH.

Часть поставщиков реализует доступ к внутренним приложениям через обратный HTTPS-прокси. Вы заходите на портал с помощью браузера и после аутентификации получаете доступ к заранее опубликованным приложениям, которые видны прямо из браузера. В этом случае клиент VPN не нужен. Получается, что и клиент RDP или SSH не нужен — вы работаете непосредственно из своего браузера. Такая реализация раньше часто использовалась в Microsoft TMG для публикации доступа к Outlook Web Access (OWA). А сегодня обратный прокси либо встраивают в NGFW, либо продают отдельно.

Прошу заметить, что вышеперечисленным технологиям ещё требуется внешний сервис, который хранит списки пользователей и проверяет их пароли или второй фактор. Часто для этого используются сервисы Microsoft Active Directory, OpenLDAP, RADIUS и TACACS+.

А для многофакторной аутентификации нужен ещё один внешний сервис. Это может быть облачный сервис, такой как OKTA или Multifactor.

 

ПОЧЕМУ ПОЯВИЛОСЬ SASE?

Мы разобрались в том, что ZTNA работает на основе технологий, встроенных в NGFW: VPN, Zero Trust и другие движки. Однако во время пандемии COVID выяснилось, что покупка аппаратного устройства имеет определённые недостатки:

  1. Долгая поставка. Если нужно реализовать удалённый доступ всем сотрудникам, быстро закупить оборудование очень сложно. Спасибо тем производителям, которые бесплатно выдавали виртуальные NGFW на 3 месяца во время пандемии.
  2. Ограничена по производительности. Если вы отправляете на удалённую работу ещё одно подразделение из 5000 человек, то текущий NGFW уже не справляется со всеми одновременными подключениями.
  3. Неоптимально расходуются каналы интернета. Если вашим сотрудникам из Владивостока нужно подключиться к Москве, а оттуда снова трафик идёт к серверам во Владивостоке. Это выглядит странно, поэтому приходится покупать ещё один NGFW ближе к сотрудникам, а это расходы на CAPEX и OPEX.

Что можно сделать, чтобы от этого избавиться?

Производители клонировали свои виртуальные NGFW и поместили их у облачных провайдеров по всему миру. Получилось, что нам сегодня предоставляются сотни доступных шлюзов VPN по всему миру, вы подключаетесь к ближайшему территориально и снижаете задержки. И это VPN, совмещённый с NGFW, т. е. вы получаете набор дополнительных проверок ваших сотрудников в любой точке мира. Сам облачный провайдер уже оптимально перенаправляет ваших сотрудников к ресурсам вашей компании по каналам, защищённым IPSEC. Вы можете узнать у поставщиков, как они минимизируют время подключения, задержки и потери к вашим сервисам. Часто подключения к разным шлюзам ещё и балансируются на основе технологии SD-WAN.

Эту технологию подключения ваших сотрудников через облачные сервисы в Gartner назвали Secure Access Service Edge, сокращённо SASE.

 

Уверен, вам нужно время, чтобы переосмыслить это описание современных технологий. Возможно, вы слышали и другие названия от различных производителей, однако идеологически и функционально все они будут подобны тем, что описаны выше. Например, термин Software — Defined Perimeter (SDP) — это то же самое, что и ZTNA. Причина в том, что коллеги в своём маркетинге фокусируются на том преимуществе технологии, что внутренние сервисы доступны только через VPN или через обратный HTTPS-прокси и не выставлены наружу. Действительно, именно для этого и были созданы VPN и ZTNA. Пользуйтесь ими, пожалуйста! И используйте двухфакторную аутентификацию!

 

Ссылка на видео-версию статьи

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

24.04.2024
У «Сбера» (и рынка?) будет свой SAP за «миллиарды рублей»
24.04.2024
В I квартале хакеры совершили более 19 млн атак на смартфоны россиян
24.04.2024
Минпромторг раздаёт деньги на отечественные решения
24.04.2024
Правительство одобрило ужесточение наказания за утечку ПДн
23.04.2024
В АП не поддержали поправки о штрафах за утечки ПДн
23.04.2024
Хакеры всё активнее DDoS-ят российскую отрасль энергетики
23.04.2024
Минпромторг начнёт выдавать баллы блокам питания?
23.04.2024
Microsoft — угроза для нацбезопасности? Бывает и такое
23.04.2024
РКН усиленно блокирует VPN-сервисы и рекламирующие их ресурсы
22.04.2024
Фишеры предлагают отменить «заявку на удаление Telegram»

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных