Что такое сетевой доступ по модели "Никому не доверяй" (ZTNA)?

Сетевой доступ по модели "Никому не доверяй" (ZTNA) важен, так как он соответствует растущей потребности в адаптируемой и устойчивой кибербезопасности в условиях распределенных цифровых рабочих пространств.

Вот почему это решение стало критически важной инфраструктурой:

Защита от новых угроз. Традиционные модели безопасности, которые предоставляют широкий сетевой доступ для внутренних пользователей, недостаточны для защиты от современных сложных киберугроз, особенно от внутренних угроз или угроз, связанных со скомпрометированными учетными данными. ZTNA предполагает, что ни один субъект не является доверенным по своей сути, ограничивая потенциальные направления атак.

Поддержка удаленной работы и облачных ресурсов. С ростом популярности удаленной работы и внедрением облачных технологий компании переходят от традиционных локальных сетей к гибридным или полностью облачным инфраструктурам. ZTNA обеспечивает безопасный доступ к ресурсам из любого расположения, последовательно применяя политики безопасности в локальных и облачных средах.

Устранение рисков бокового перемещения в кибератаках. В сценарии нарушения безопасности сегментированный доступ ZTNA предотвращает боковое перемещение злоумышленников, ограничивая область потенциального ущерба. Так как доступ предоставляется только в необходимом объеме, злоумышленникам гораздо сложнее перемещаться между системами и получать доступ к критически важным ресурсам.

ZTNA обеспечивает множество преимуществ для компаний, в том числе:

Усиленная безопасность. Модель непрерывной проверки удостоверений и устройств в рамках ZTNA снижает риск несанкционированного доступа и устраняет угрозы, связанные со скомпрометированными учетными данными. Проверяя каждую попытку доступа на основе таких факторов, как удостоверение, расположение и работоспособность устройства, ZTNA улучшает общее состояние безопасности и минимизирует несанкционированный доступ.

Улучшенное управление доступом и принудительное применение политик. ZTNA позволяет организациям применять детализированные политики доступа на основе ролей. Пользователям предоставляется доступ только к нужным им приложениям или ресурсам, что снижает вероятность случайного или намеренного доступа к конфиденциальным данным. Это также упрощает соответствие требованиям нормативов по защите данных конфиденциальности, обеспечивая ограниченный доступ с регистрацией в журналах.

Уменьшение направлений атак. Так как ZTNA не предоставляет доступ ко всей сети одному пользователю или устройству, это решение значительно сокращает направления атак. Только авторизованные пользователи и устройства могут получать доступ к определенным ресурсам, и они могут обращаться к ним только через безопасные зашифрованные подключения, что снижает риск нарушения безопасности данных или несанкционированного раскрытия.

Традиционные модели безопасности в основном полагаются на концепцию "доверенной" внутренней и "недоверенной" внешней сети, защищенной брандмауэрами и VPN. Основные различия между сетевым доступом по модели "Никому не доверяй" (ZTNA) и этими традиционными моделями:

На основе периметра и на основе удостоверений. Традиционные системы безопасности полагаются на защиту периметра сети, предполагая, что пользователи в сети являются доверенными. ZTNA рассматривает каждую попытку доступа как потенциально рискованную независимо от расположения, требуя каждый раз проходить проверку личности.

Неявное и явное доверие. В традиционных моделях после проверки подлинности пользователи становятся доверенными и часто перемещаются по сети в боковом направлении с минимальными ограничениями. Однако ZTNA реализует микросегментацию и доступ с минимальными правами, чтобы ограничить боковое перемещение и снизить риски, связанные со скомпрометированными учетными данными.

Статический и динамический контроль доступа. Устаревшие модели безопасности обычно используют статические правила, которые менее гибкие и часто являются устаревшими в современных средах. ZTNA использует динамические политики, которые адаптируются на основе факторов риска, поведения пользователей и других контекстных подсказок.

VPN и прямой безопасный доступ. Традиционные модели сетевых подключений часто используют VPN для удаленного доступа, что может привести к задержкам и сложностям масштабирования. Решения ZTNA обеспечивают безопасный доступ непосредственно к приложениям, не направляя весь трафик через VPN, что улучшает производительность и масштабируемость.

Сетевой доступ по модели "Никому не доверяй" (ZTNA) является частью платформы Security Service Edge и используется для защиты доступа к частным ресурсам на основе принципов "Никому не доверяй". В среде ZTNA пользователи, устройства и приложения должны постоянно подтверждать свою законность перед доступом к ресурсам, независимо от их расположения внутри или вне сети. Основные операционные механизмы:

Система управления идентификацией и доступом. ZTNA начинается со строгой проверки личности. Перед получением доступа к приложению или ресурсу каждый пользователь или устройство должны пройти проверку подлинности своего удостоверения, часто с помощью многофакторной проверки подлинности (MFA). Это гарантирует, что только законные пользователи будут идентифицированы и получат доступ.

Микросегментация. Вместо того чтобы полагаться на один периметр сети, ZTNA делит сеть на более мелкие изолированные сегменты. Каждый сегмент содержит определенные ресурсы или приложения, что затрудняет боковое перемещение злоумышленников по сети в случае компрометации одного сегмента.

Доступ по принципу предоставления минимальных прав. Каждому пользователю и устройству предоставляется доступ только к определенным приложениям или данным, необходимым для их ролей, что ограничивает потенциальную подверженность риску. Этот подход с предоставлением минимальных прав минимизирует риск нарушения безопасности данных или несанкционированного доступа, ограничивая доступ любой скомпрометированной учетной записи к содержимому.

Доступ на уровне приложения. Вместо того чтобы предоставлять широкий доступ на уровне сети, ZTNA поддерживает подключения для конкретных приложений. Это означает, что даже если устройству предоставлен доступ, оно взаимодействует только с определенным приложением или ресурсом, к которому ему разрешен доступ. Это дополнительно сокращает направления атак, так как пользователи и устройства не видят всю сеть или не могут получить доступ ко всей сети.

Непрерывная оценка доступа. Непрерывная оценка поведения пользователей и устройств является центральным компонентом ZTNA. Сюда относится мониторинг любых необычных шаблонов действий, состояния устройств (например, установки обновлений для системы безопасности) и изменений в расположении. При обнаружении аномалий доступ может быть отозван или могут требоваться дополнительные проверки подлинности.

Сеть с моделью "Никому не доверяй" продолжает развиваться для устранения все более сложных современных киберугроз и обслуживания сред удаленной работы. Изначально решение ZTNA внедрило основные принципы "Никому не доверяй" путем предоставления доступа на основе удостоверений пользователей и состояния устройств вместо использования традиционных мер защиты периметра сети. Однако по мере развития киберугроз потребовался более комплексный и адаптивный подход, что привело к разработке улучшений в ZTNA, в том числе:

Детализированный контроль доступа к приложениям. ZTNA теперь предоставляет более детализированный контроль доступа на уровне приложения, выходя за пределы простого сетевого или IP-доступа. Это гарантирует, что пользователи получают доступ только к конкретным приложениям и ресурсам, которые им требуются, а в этих приложениях они ограничиваются определенными данными и операциями, которые им разрешено выполнять.

Непрерывная оценка доверия. Традиционное решение ZTNA обычно опиралось на однократную оценку доверия в начале сеанса. Теперь ZTNA принимает модель непрерывного доверия, динамически оценивая поведение пользователей и устройств во время сеанса. Непрерывный мониторинг помогает обнаруживать аномалии и рискованные действия и реагировать на них в режиме реального времени.

Интегрированное предотвращение угроз. Теперь ZTNA интегрирует возможности предотвращения угроз, например обнаружение вредоносных программ, предотвращение вторжений и другие проверки безопасности, непосредственно в модель доступа. Этот упреждающий уровень безопасности помогает предотвратить дальнейшее боковое перемещение злоумышленников в сети, даже если они получат первоначальный доступ.

Улучшенная осведомленность о контексте пользователей и устройств. ZTNA теперь выходит за рамки простой проверки удостоверений пользователей и состояния устройств, внедряя дополнительные контекстные факторы, например шаблоны поведения пользователей, журнал устройств и факторы среды, такие как географическое положение и время доступа. Это помогает создать более точный профиль рисков для каждого запроса на доступ.

Пограничный безопасный доступ (SASE) — узнайте о SASE, его компонентах и преимуществах для обеспечения безопасности бизнеса.Пограничный безопасный доступ (SASE) — это инфраструктура кибербезопасности, объединяющая сетевые службы и службы безопасности в единой облачной модели. Его цель состоит в обеспечении безопасного доступа пользователям независимо от их местоположения путем интеграции функций безопасности, например безопасных веб-шлюзов, брокеров безопасного доступа в облако, брандмауэра как услуги и сетевого доступа по модели "Никому не доверяй" с широкими сетевыми возможностями. SASE предоставляет масштабируемый и гибкий способ защиты распределенных рабочих ресурсов. Он особенно полезен в современных средах, где удаленная работа и многооблачные среды являются стандартом.

ZTNA — это ключевой компонент в модели SASE, предназначенный специально для контроля доступа на основе архитектуры с принципами "Никому не доверяй". Хотя ZTNA применяет строгие средства контроля доступа на уровне приложений и ресурсов, SASE расширяет эту область, предоставляя комплексную модель безопасности и сети. По сути, ZTNA является критически важным элементом SASE, сфокусированным на точном управлении доступом, в то время как SASE включает ZTNA в более широкий набор средств безопасности для обеспечения единой и комплексной защиты во всей сети.

Решения сетевого доступа по модели "Никому не доверяй" (ZTNA) от Майкрософт предназначены для обеспечения безопасного доступа к приложениям и ресурсам независимо от того, где находятся пользователи.


Основным компонентом этого подхода является Частный доступ Microsoft Entra, который заменяет традиционные VPN. Он помогает обеспечивать безопасный доступ ко всем частным приложениям и ресурсам для пользователей в любом расположении с помощью решения ZTNA, ориентированного на удостоверения. Частный доступ Microsoft Entra позволяет заменить устаревшую сеть VPN на ZTNA. Не внося никаких изменений в приложения, вы можете расширить политики условного доступа на свою сеть с помощью средств контроля доступа, ориентированных на удостоверения, и включить единый вход (SSO) и многофакторную проверку подлинности (MFA) во всех частных приложениях и ресурсах. Благодаря глобальной частной сети Майкрософт сотрудники получают быстрый и бесперебойный доступ, обеспечивающий баланс безопасности и производительности.