מה זה גישת רשת אפס אמון (ZTNA)?

גישת רשת אפס אמון (ZTNA) חשובה מכיוון שהיא מתאימה לצורך ההולך וגדל לאבטחת סייבר גמישה וניתנת להתאמה במקום עבודה שמופץ יותר ויותר במציב את הדיגיטליות במקום הראשון.

להלן הסיבה לכך שהיא הפכה למסגרת קריטית:

הגנה מפני איומים מתפתחים. מודלי אבטחה מסורתיים, המעניקים גישה רחבה לרשת למשתמשים פנימיים, אינם מספיקים כנגד איומי הסייבר המתוחכמים של כיום, במיוחד איומים פנימיים או איומים הנובעים מאישורים שנחשפו לסכנה. ZTNA מניחה שאף ישות מהימנה מטבעה, ובכך היא מגבילה וקטורי תקיפה פוטנציאליים.

תמיכה עבור עבודה מרחוק ומשאבים מבוססי ענן. עם עליית העבודה מרחוק ואימוץ הענן, עסקים מתרחקים מרשתות מקומיות מסורתיות לתשתית היברידית או מבוססת ענן לחלוטין. ZTNA מספקת גישה מאובטחת למשאבים מכל מיקום, ואוכפת מדיניות אבטחה באופן עקבי בין סביבות מקומיות וסביבות ענן.

צמצום תנועה רוחבית במתקפות סייבר. בתרחיש של הפרת אבטחה, הגישה המחולקת למקטעים של ZTNA מונעת תנועה רוחבית על-ידי תוקפים ומגבילה את היקף הנזק הפוטנציאלי. מאחר שהגישה מוענקת רק על בסיס 'צריך לדעת', התוקפים מתקשים הרבה יותר לעבור בין מערכות ולקבל גישה לנכסים קריטיים.

ZTNA מספקת יתרונות רבים לעסקים, כולל:

אבטחה משופרת. המודל של ZTNA לזהות מתמשכת ואימות מכשיר, מפחית את הסיכון לגישה לא מורשית ומפחית איומים מפני אישורים שנחשפו לסכנה. על-ידי אימות כל ניסיון גישה בהתבסס על גורמים כגון זהות, מיקום ותקינות המכשיר, ZTNA מחזקת את מצב האבטחה הכולל וממזערת גישה לא מורשית.

בקרת גישה משופרת ומדיניות אכיפה. ZTNA מאפשרת לארגונים לאכוף מדיניות גישה פרטנית המבוססת על תפקידים. משתמשים מקבלים גישה רק ליישומים או למשאבים הדרושים להם, תוך צמצום הסיכויים לגישה בשוגג או מכוונת לנתונים רגישים. היא גם מפשטת את התאימות עם תקנות הגנה על נתונים ופרטיות על-ידי כך שהיא מוודאת שהגישה מוגבלת ורשומה.

צמצום שטח התקיפה. מאחר ש- ZTNA אינה חושפת את הרשת כולה למשתמש או למכשיר יחיד, היא מפחיתה באופן משמעותי את שטח התקיפה. רק משתמשים ומכשירים מורשים יכולים לגשת למשאבים ספציפיים, והם יכולים לגשת אליהם רק באמצעות חיבורים מאובטחים מוצפנים, דבר שמפחית את הסיכון להפרת נתונים או חשיפה בלתי מורשית.

מודלי אבטחה מסורתיים מסתמכים בעיקר על הרעיון של רשת פנימית "מהימנה" ורשת חיצונית "לא מהימנה", שמאובטחות על-ידי חומות אש ו- VPN. ההבדלים העיקריים בין גישת רשת אפס אמון (ZTNA) למודלים מסורתיים אלה כוללים:

מבוססת על היקף לעומת מבוססים זהות. אבטחה מסורתית מסתמכת על אבטחת היקף הרשת, בהנחה שהמשתמשים ברשת מהימנים. ZTNA מתייחסת לכל ניסיון גישה כניסיון שעשוי להיות מסוכן, ללא קשר למיקום, הדורש אימות זהות בכל פעם.

אמון משתמע לעומת אמון מפורש. במודלים מסורתיים, לאחר אימות, משתמשים מהימנים ולעתים קרובות מתקדמים ברשת עם הגבלה מעטה. עם זאת, ZTNA מיישמת את המיקרו-פילוח ואת הגישה הפחות מורשית כדי להגביל תנועה רוחבית ולהפחית את הסיכונים המשויכים לאישורים שנחשפו לסכנה.

בקרה גישה סטטי לעומת דינמית. מודלי אבטחה מדור קודם כוללים בדרך כלל כללים סטטיים, שהם פחות גמישים, ולעתים קרובות מיושנים, בסביבות של כיום. ZTNA משתמשת במדיניות דינמית שמסתגלת בהתבסס על גורמי סיכון, אופן פעולה של משתמשים ורמזים הקשריים אחרים.

VPN לעומת גישה ישירה ומאובטחת. מודלים מסורתיים של קישוריות רשת משתמשים לעתים קרובות ברשתות VPN לגישה מרחוק, אשר יכולים להציג השהיה ומאתגרים את קנה המידה שלהם. פתרונות ZTNA מספקים גישה מאובטחת ישירות ליישומים מבלי לנתב את כל התעבורה דרך VPN, תוך שיפור הביצועים והדרגתיות.

גישת רשת אפס אמון (ZTNA) מהווה חלק ממסגרת יתרון שירות אבטחה ומשמשת לאבטחת גישה למשאבים פרטיים המוכללים בעקרונות אפס אמון שלך. בסביבת ZTNA, המשתמשים, המכשירים והיישומים חייבים להוכיח ברציפות את הלגיטימיות שלהם לפני שהם ניגשים למשאבים, ללא קשר למיקום שלהם בתוך הרשת או מחוצה לה. מכניקה תפעולית מרכזית כוללת:

ניהול זהויות וגישה. ZTNA מתחילה באימות זהות קפדני. כל משתמש או מכשיר חייב לאמת את זהותו, לעתים קרובות באמצעות אימות רב-גורמי (MFA), לפני קבלת גישה לכל יישום או משאב. פעולה זו מבטיחה שרק משתמשים לגיטימיים מזונים ומקבלים גישה.

מיקרו-פילוח. במקום להשתמש בהיקף רשת יחיד, ZTNA מחלקת את הרשת למקטעים קטנים ומבודדים יותר. כל מקטע מכיל משאבים או יישומים ספציפיים, דבר שמקשה על התוקפים לנוע באופן רוחבי ברשת אם הם פוגעים גורמים להפרה במקטע אחד.

גישה עם הרשאות מינימליות. לכל משתמש ומכשיר מוענקת גישה רק ליישומים או לנתונים הספציפיים הנחוצים לתפקידים שלהם, דבר המגביל את החשיפה הפוטנציאלית. גישת הרשאה מינימלית זו ממזערת את הסיכון של הפרות נתונים או גישה לא מורשית על-ידי הגבלת הגישה של כל חשבון שנחשף לסכנה.

גישה ברמת היישום. במקום להעניק גישה רחבה ברמת הרשת, ZTNA תומכת בחיבורים ספציפיים ליישום. משמעות הדבר היא שגם אם מכשיר קיבל גישה, הוא מתקשר רק עם האפליקציה או המשאב הספציפיים שהוא מורשה לגשת אליהם. היא מצמצמת עוד יותר את שטח התקיפה, מכיוון שלמשתמשים ולמכשירים אין ניראות או גישה לרשת כולה.

הערכת גישה מתמשכת. הערכה מתמשכת של אופן הפעולה של משתמשים ומכשירים היא רכיב מרכזי של ZTNA. הדבר כולל ניטור אחר דפוסי פעילות חריגים, מצב מכשיר (כגון אם עדכוני אבטחה מותקנים) ושינויים במיקום. כאשר מזוהות חריגות, ייתכן שהגישה תבוטל או שיידרש אימות נוסף.

רשת אפס אמון ממשיכה להתפתח כדי לטפל במורכבויות הגדלות של איומי סייבר מודרניים וסביבות עבודה מרוחקות. תחילה, ZTNA הציגה את עקרונות הליבה של אפס אמון על-ידי מתן גישה בהתבסס על זהות המשתמש ומצב אבטחת המכשיר במקום אמצעי הגנה היקפיים מסורתיים של הרשת. עם זאת, ככל שאיומי סייבר התפתחו, כך עלה הצורך בגישה מקיפה וסתגלנית יותר, שהוביל לפיתוח ההתקדמות ב- ZTNA, כולל:

בקרת גישה פרטנית ליישומים. ZTNA מספקת כעת בקרת גישה ברמת היישום, מעבר לגישה פשוטה ברשת או לגישה מבוססת IP. היא מבטיחה שלמשתמשים תהיה גישה רק ליישומים ולמשאבים הספציפיים הדרושים להם, וביישומים אלה, היא תגביל אותם לנתונים ולפעולות הספציפיים שהם מורשים לבצע.

הערכת אמון מתמשכת. ZTNA מסורתית מסתמכת בדרך כלל על הערכת אמון חד-פעמית בתחילת הפעלה. ZTNA מאמצת כעת מודל אמון רציף, והערכה דינמית של אופן הפעולה של המשתמשים והמכשירים במהלך ההפעלה. ניטור רציף עוזר לזהות חריגות או אופן פעולה מסוכן ולהגיב עליהן בזמן אמת.

מניעת איומים משולבת. ZTNA משלבת כעת יכולות מניעת איומים, כגון זיהוי תוכנות זדוניות, מניעת חדירות ובדיקות אבטחה אחרות, ישירות במודל הגישה. שכבת אבטחה פרואקטיבית זו עוזרת למנוע מהתוקפים לנוע בהמשך ברשת גם אם הם יזכו גישה ראשונית.

מודעות משופרת להקשר התקן ומכשיר. ZTNA עוברת כעת מעבר לאימות זהות המשתמש ומצב אבטחת המכשיר בלבד, תוך שילוב גורמים הקשריים יותר כגון דפוסי התנהגות משתמש, היסטוריית מכשירים וגורמים סביבתיים כגון מיקום גאוגרפי ומועד גישה. פעולה זו עוזרת ליצור פרופיל סיכון מדויק יותר עבור כל בקשת גישה.

יתרון שירות גישה מאובטחת (SASE) - קבל מידע על SASE, הרכיבים שלו והיתרונות עבור אבטחה עסקית.יתרון שירות גישה מאובטחת (SASE) הוא מסגרת אבטחת סייבר המשלבת את שירותי הרשת והאבטחה במודל מאוחד וטבעית בענן. היא שואפת לספק גישה מאובטחת למשתמשים ללא קשר למיקום שלהם על-ידי שילוב פונקציות אבטחה—כגון שערי אינטרנט מאובטחים, ברוקרים לאבטחת גישה בענן, חומת אש כשירות וגישת רשת אפס אמון—עם יכולות רשת בתחומים נרחבים. SASE מציע דרך מדרגית וגמישה לאבטח כוח עבודה מבוזרת, הצעה שימושית במיוחד בסביבות מודרניות שבהן עבודה מרחוק וסביבות מרובות ענן הן סטנדרטיות.

ZTNA היא רכיב מפתח במודל ה- SASE, המתמקד במיוחד בפקד גישה המבוסס על ארכיטקטורת אפס אמון. בעוד ש- ZTNA אוכפת פקדי גישה קפדניים ברמת היישום והמשאבים, SASE מרחיב טווח זה על-ידי מתן מודל אבטחה ורשת מקיף. למעשה, ZTNA היא רכיב קריטי של SASE, המתמקדת בניהול גישה משוכלל, בעוד ש- SASE משלב את ZTNA בתוך קבוצה גדולה יותר של כלי אבטחה כדי לספק הגנה מאוחדת מקצה לקצה ברחבי הרשת כולה.

פתרונות של גישת רשת אפס אמון (ZTNA) של Microsoft נועדו לספק גישה מאובטחת ליישומים ומשאבים, ללא קשר למיקום המשתמשים.


רכיב הליבה של גישה זו הוא גישה פרטית ל- Microsoft Entra, שמחליפה רשתות VPN מסורתיות. היא עוזרת להבטיח גישה מאובטחת לכל המשאבים והיישומים הפרטיים, למשתמשים בכל מקום, באמצעות פתרון ZTNA המתמקד בזהות. גישה פרטית ל- Microsoft Entra מאפשרת לך להחליף את ה- VPN מדור קודם שלך ב- ZTNA. מבלי לבצע שינויים ביישומים שלך, באפשרותך להרחיב פריטי מדיניות של גישה מותנית לרשת שלך באמצעות פקדי גישה המתמקדים בזהות ולאפשר כניסה יחידה (SSO) ואימות רב-גורמי (MFA) בכל היישומים והמשאבים הפרטיים. העובדים מקבלים חוויית גישה מהירה וחלקה שמע הרשת הפרטית העולמית של Microsoft.