За последние пару лет аббревиатура VPN прочно вошла в нашу жизнь. И если раньше эта технология была уделом «гиков» или только высокотехнологичных компаний, то сейчас этим пользуются практически все. Причина простая — удалёнка. С началом пандемии большинство компаний были вынуждены в срочном порядке «высаживать» сотрудников домой и организовать им удалённую работу.
Вскоре все осознали, что период удалёнки «немного» затянется (а у кого-то и вовсе стал стандартом) и, кроме быстрого развёртывания удалённого доступа, нужно ещё думать и о безопасности в условиях новой реальности. И этот вызов куда серьёзнее для любого ИБ-специалиста. Пользователи могут подключаться откуда угодно и с чего угодно. А если их учётная запись будет скомпрометирована, то под угрозой оказывается вся корпоративная сеть.
Все эти проблемы, конечно же, решаемы, и существует множество инструментов и классов средств защиты. На этой волне уже долгое время в ИБ-медиапространстве звучат такие термины, как RA VPN, ZTNA, 2FA, PAM и т. д. Неподготовленному человеку довольно трудно сразу разобраться во всех этих терминах. Что они означают, когда и как их применяют и в чём их преимущества? Чтобы расставить все точки над i, мы и создали эту небольшую статью. Помимо обзора этих технологий, мы также акцентируем внимание на доступных на сегодняшний день решениях, так как после февраля 2022 года выбор существенно уменьшился.
Remote Access VPN
VPN (Virtual Private Network) — виртуальная частная сеть, как пишут в «Википедии». Здесь важно сразу разделять две большие категории этого самого VPN:
Мы не сможем в рамках одной небольшой статьи рассмотреть оба варианта. Поэтому давай сконцентрируемся на особенностях RA VPN. И начнём, пожалуй, с вопроса: «А на чём раньше строили RA VPN?» Раньше — до февраля 2022-го. И тут есть несколько безоговорочных лидеров:
Также довольно большой популярностью пользовались решения Fortinet, Palo Alto и Check Point (последний до сих пор доступен на отечественном рынке).
С недавних пор рынок изменился, а потребность в RA VPN только растёт. Кто-то использует VPN исключительно для админов, кто-то и для обычных пользователей, предоставляя им доступ к корпоративным ресурсам. Какие же типовые требования традиционно предъявляли для решений по организации RA VPN?
Здесь важно понимать, что сам концепт RA VPN довольно стар и появился несколько десятков лет назад. В связи с этим традиционные требования уже не отвечают современным потребностям, так как существует ряд проблем:
Часть проблем удаётся решить, часть остаётся открытыми. К примеру, одним из наиболее важных дополнений к классическому RA VPN являются NAC-системы.
NAC
Network Access Control (NAC) — система, которая позволяет выполнять проверку рабочей станции перед подключением к корпоративной сети. NAC может работать как без специальных агентов (802.1х), так и с агентами. Второй вариант чаще всего применяется именно для RA VPN, когда перед подключением удалённого пользователя его компьютер может быть проверен на:
и т. д.
Сам концепт NAC существует очень давно, и решения данного класса применяются не только для RA VPN, но и для проводного/беспроводного доступа внутри корпоративной сети. Наиболее популярные решения:
На отечественном рынке выбор значительно меньше:
Несмотря на то что NAC-решения позволяют существенно повысить безопасность и управляемость удалённого доступа, всё же ещё остаются серьёзные проблемы:
Решить эти и многие другие проблемы можно в рамках ZTNA.
ZTNA
Zero Trust Network Access (ZTNA) — принцип нулевого доверия в сетевом доступе. Первое, что нужно здесь усвоить, — ZTNA — это не технология, это концепт. Причём этот концепт используется не только в рамках RA VPN, но и внутри корпоративных сетей, внутри баз данных, внутри микросервисных архитектур и т. д. Мы рассмотрим этот концепт в рамках задачи RA VPN.
Главная предпосылка зарождения ZTNA — уход от исключительно периметральной защиты к защите индивидуальных транзакций. Такой подход ещё называют SDP (software defined perimeter) или «программно определяемый периметр». Концепт ZTNA был сформулирован в далёком 2004 году в публикациях компании Forrester (да-да, не всё идёт от Gartner!).
Так как это концепт, разные компании могут по-разному реализовать данный принцип. Есть компании, которые внедряют ZTNA в рамках одного решения от одного вендора. Другие могут реализовать ZTNA на нескольких решениях. Главное, чтобы по итогу вы могли делать следующее:
1. Проверка пользователя
2. Проверка устройства
Так называемый постчуринг или комплаенс:
и т. д.
Если хост прошёл проверку, это не значит, что ему можно доверять. Его нужно всё время перепроверять!
3. Применение политики минимального доступа
Политика минимально необходимого доступа:
Один из принципов ZTNA: доступ к одному ресурсу не гарантирует доступ к другому. Авторизации подвергается каждое сетевое взаимодействие!
Если попробовать резюмировать, то получим, что ZTNA и RA VPN — это два разных подхода к обеспечению безопасного удалённого доступа к корпоративным ресурсам и информации. ZTNA реализует более гранулированный доступ, с контролем рабочих станций и сессий. RA VPN более простое решение по обеспечению удалённого доступа, на базе обычных сетевых взаимодействий.
Выбор между ZTNA и RA VPN зависит от конкретных потребностей вашей организации, уровня безопасности, масштабируемости и архитектурных предпочтений. Многие организации также могут рассматривать комбинированный подход, чтобы обеспечить максимальную безопасность и удобство для пользователей.
ZTNA на отечественном рынке
Как обстоят дела с RA VPN и ZTNA-решениями на отечественном рынке? Если коротко, пока не очень. После ухода зарубежных вендоров стало совершенно очевидно, что российские разработки нуждаются в очень серьёзной доработке под современные требования клиентов.
Давайте рассмотрим возможности наиболее заметных игроков рынка корпоративного сегмента на российском рынке (на сентябрь 2024 года):
«Континент» («Код Безопасности»):
UserGate:
Check Point:
Как видим, выбор невелик, но он всё же есть.
Заключение
Как уже было сказано, ZTNA — это всего лишь концепт без применения каких-то конкретных технологий. Этот концепт позволяет существенно повысить защищённость корпоративной сети, но не решает всех проблем. Надеюсь, мы сможем рассмотреть решения класса SASE в наших следующих статьях.
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных