Какво представлява мрежовият достъп със Zero Trust (ZTNA)?

Мрежовият достъп със Zero Trust (ZTNA) е важен, защото съответства на нарастващата нужда от адаптивна и устойчива киберсигурност на все по-разпределеното и дигитално работно място.

Ето защо той се е превърнал в критична рамка:

Защита срещу развиващите се заплахи. Традиционните модели за защита, които предоставят широк достъп до мрежата на вътрешни потребители, са недостатъчни срещу съвременните сложни киберзаплахи, особено вътрешни заплахи или заплахите, произтичащи от компрометирани удостоверения. ZTNA приема, че никоя структура не е изначално надеждна, което ограничава потенциалните вектори на атаки.

Поддръжка на дистанционна работа и ресурси в облака. С нарастването на дистанционната работа и приемането на облачни услуги фирмите преминават от традиционни локални мрежи към хибридни или изцяло облачни инфраструктури. ZTNA осигурява защитен достъп до ресурси от всяко място, като прилага последователно правила за защита в локални и облачни среди.

Смекчаване на страничното движение при кибератаки. При сценарий на пробив в защитата сегментираният достъп на ZTNA предотвратява страничното движение на нападателите, като ограничава обхвата на потенциалните щети. Тъй като достъпът се предоставя само въз основа на принципа „необходимост да се знае“, за нападателите е много по-трудно да се движат между системите и да получат достъп до критични активи.

ZTNA предоставя многобройни ползи за бизнеса, включително:

Повишена защита. Моделът на ZTNA за непрекъсната проверка на самоличността и устройствата намалява риска от неупълномощен достъп и смекчава заплахите от компрометирани идентификационни данни. Като проверява всеки опит за достъп въз основа на фактори като самоличност, местоположение и изправност на устройството, ZTNA укрепва цялостната позиция по отношение на защитата и свежда до минимум неупълномощения достъп.

Подобрено управление на достъпа и налагане на правила. ZTNA позволява на организациите да налагат компонентни правила за достъп, базирани на роли. На потребителите се предоставя достъп само до необходимите им приложения или ресурси, което намалява вероятността от случаен или умишлен достъп до чувствителни данни. Той също така опростява съответствието с разпоредбите за защита на данните и неприкосновеността на поверителността, като гарантира, че достъпът е ограничен и регистриран.

Намалена повърхност на атака. Тъй като ZTNA не излага цялата мрежа на отделен потребител или устройство, той значително намалява повърхността на атака. Само упълномощени потребители и устройства имат достъп до определени ресурси и то само чрез защитени, криптирани връзки, което намалява риска от изтичане на данни или неупълномощено ниво на уязвимост.

Традиционните модели за защита разчитат предимно на концепцията за "надеждна" вътрешна мрежа и "ненадеждна" външна мрежа, защитени със защитни стени и VPN мрежи. Основните разлики между мрежовия достъп със Zero Trust (ZTNA) и тези традиционни модели включват:

Базирани на периметъра спрямо базирани на самоличността. Традиционната защита се основава на защита на периметъра на мрежата, като се предполага, че потребителите в мрежата са надеждни. ZTNA третира всеки опит за достъп като потенциално рисков, независимо от местоположението, като изисква проверка на самоличността всеки път.

Неявно спрямо изрично доверие. При традиционните модели, след като бъдат удостоверени, потребителите се ползват с доверие и често се движат в мрежата без особени ограничения. ZTNA обаче прилага микросегментиране и достъп с най-малки права, за да ограничи страничното движение и да намали рисковете, свързани с компрометирани идентификационни данни.

Статично спрямо динамично управление на достъпа. Старите модели за защита обикновено имат статични правила, които са по-малко гъвкави и често са остарели в съвременните среди. ZTNA използва динамични правила, които се адаптират въз основа на рискови фактори, поведение на потребителя и други контекстни сигнали.

VPN спрямо директен, защитен достъп. Традиционните модели за мрежова свързаност често използват VPN мрежи за отдалечен достъп, които могат да доведат до закъснение и са трудни за мащабиране. Решенията за ZTNA осигуряват защитен достъп директно до приложенията, без да маршрутизират целия трафик през VPN, като подобряват производителността и мащабируемостта.

Мрежовият достъп със Zero Trust (ZTNA) е част от предпазната рамка за защита (SSE) и се използва за осигуряване на достъп до частни ресурси, изградени на принципите на Zero Trust. В среда на ZTNA потребителите, устройствата и приложенията трябва непрекъснато да доказват своята легитимност, преди да получат достъп до ресурси, независимо от местоположението им в мрежата или извън нея. Основните оперативни механизми включват:

Управление на самоличности и достъп. ZTNA започва със строга проверка на самоличността. Всеки потребител или устройство трябва да удостовери самоличността си, често чрез многофакторно удостоверяване (MFA), преди да получи достъп до което и да е приложение или ресурс. Това гарантира, че само легитимните потребители се идентифицират и получават достъп.

Микросегментиране. Вместо да разчита на един периметър на мрежата, ZTNA разделя мрежата на по-малки, изолирани сегменти. Всеки сегмент съдържа специфични ресурси или приложения, което затруднява преместването на нападателите в мрежата, ако те компрометират един сегмент.

Достъп с най-малко привилегии. На всеки потребител и устройство се предоставя достъп само до конкретните приложения или данни, необходими за изпълнение на техните функции, като се ограничава потенциалното излагане на риск. Този подход на най-малките привилегии свежда до минимум риска от изтичане на данни или неупълномощен достъп чрез ограничаване на достъпа до всеки един компрометиран акаунт.

Достъп на ниво приложение. Вместо да предоставя широк достъп на мрежово ниво, ZTNA поддържа специфични за приложението връзки. Това означава, че дори ако на дадено устройство е предоставен достъп, то комуникира само с конкретното приложение или ресурс, до които е упълномощено да има достъп. Това допълнително намалява повърхността на атаки, тъй като потребителите и устройствата нямат видимост или достъп до цялата мрежа.

Непрекъснат анализ на достъпа. Непрекъснатият анализ на поведението на потребителите и устройствата е основен компонент на ZTNA. Това включва наблюдение на всякакви необичайни модели на активност, състояние на устройството (например дали са инсталирани актуализации за защита) и промени в местоположението. При откриване на аномалии достъпът може да бъде отнет или да се изисква допълнително удостоверяване.

Мрежата на Zero Trust продължава да се развива, за да отговори на нарастващата сложност на съвременните киберзаплахи и отдалечените работни среди. Първоначално ZTNA въведе основните принципи на Zero Trust, като осигури достъп въз основа на самоличността на потребителя и състоянието на устройството, а не на традиционните защити на периметъра на мрежата. С развитието на киберзаплахите обаче се появи и необходимостта от по-всеобхватен и адаптивен подход, което доведе до развитието на постиженията в областта на ZTNA, включително:

Компонентно управление на достъпа до приложения. ZTNA вече осигурява по-подробен управление на достъпа на ниво приложение, като излиза извън рамките на простия мрежов или IP-базиран достъп. Той гарантира, че потребителите имат достъп само до конкретните приложения и ресурси, от които се нуждаят, и в рамките на тези приложения ги ограничава до конкретните данни и операции, които са упълномощени да извършват.

Непрекъснато оценяване на доверието. Традиционният достъп ZTNA обикновено се основава на еднократна оценка на доверието в началото на сесията. ZTNA вече използва непрекъснат модел на доверие, като оценява динамично поведението на потребителя и устройството по време на сесията. Непрекъснатото наблюдение помага да се откриват и реагира на аномалии или рисково поведение в реално време.

Интегрирано предотвратяване на заплахи. ZTNA вече интегрира възможностите за предотвратяване на заплахи, като откриване на злонамерен софтуер, предотвратяване на проникване и други проверки за защита, директно в модела за достъп. Този проактивен слой за защита помага на нападателите да не се придвижват в мрежата, дори ако получат първоначален достъп.

Подобрена осведоменост за контекста на потребителя и устройството. ZTNA вече не се ограничава само до проверка на самоличността на потребителя и състоянието на устройството, а включва повече контекстни фактори, като модели на поведение на потребителя, история на устройството и фактори на околната среда, като геопозициониране и време на достъп. Това помага да се създаде по-точен рисков профил за всяко искане за достъп.

Предпазна рамка за защитен достъп (SASE) е рамка за киберсигурност, която съчетава работа в мрежа и услуги за защита в единен модел, базиран на облака. Тя има за цел да осигури защитен достъп на потребителите, независимо от тяхното местоположение, чрез интегриране на функции за защита, като защитени уеб шлюзове, брокери за защита при достъп до облака, защитна стена като услуга и мрежов достъп със Zero Trust, с възможности за работа в широкообхватна мрежа. SASE предлага мащабируем и гъвкав начин за защита на разпределената работна сила, особено полезен в съвременните среди, където отдалечената работа и средите с множество облаци са стандарт.

ZTNA е ключов компонент в рамките на модела SASE, насочен конкретно към управлението на достъпа, основан на архитектурата Zero Trust. Докато ZTNA налага строго управление на достъпа на ниво приложения и ресурси, SASE разширява този обхват, като предоставя цялостен модел за защита и работа в мрежа. По същество ZTNA е критичен елемент на SASE, който се фокусира върху управлението на достъпа с фини граници, докато SASE включва ZTNA в по-голям набор от инструменти за защита, за да осигури единна защита от край до край в цялата мрежа.

Решенията на Microsoft за мрежов достъп със Zero Trust (ZTNA) са предназначени за осигуряване на защитен достъп до приложения и ресурси, независимо от местоположението на потребителите.


Основният компонент на този подход е Личен достъп чрез Microsoft Entra, който замества традиционните VPN мрежи. Той помага за защитата на достъпа до всички частни приложения и ресурси за потребителите навсякъде с решението ZTNA, ориентирано към самоличността. „Личен достъп чрез Microsoft Entra“ ви позволява да замените досегашната си VPN мрежа със ZTNA. Без да правите никакви промени в приложенията си, можете да разширите правилата за условен достъп до мрежата си, като използвате ориентирано към самоличност управление на достъпа и активирате еднократното влизане (SSO) и многофакторното удостоверяване (MFA) във всички частни приложения и ресурси. Чрез глобалната частна мрежа на Microsoft служителите получават бърза и безпроблемна среда за достъп, която балансира защитата с продуктивността.