Čo je prístup k sieti na základe nulovej dôvery (ZTNA)?

Model prístupu k sieti na základe nulovej dôvery (ZTNA) je dôležitý, pretože je v súlade s rastúcou potrebou prispôsobivej a odolnej kybernetickej bezpečnosti na čoraz viac distribuovanom digitálnom pracovisku.

Tu je dôvod, prečo sa stal rozhodujúcim rámcom:

Ochrana pred vyvíjajúcimi sa hrozbami. Tradičné modely zabezpečenia, ktoré poskytujú široký prístup k sieti interným používateľom, nepostačujú proti dnešným sofistikovaným kybernetickým hrozbám, najmä hrozbám zvnútra alebo hrozbám vyplývajúcim zo zneužitých prihlasovacích údajov. ZTNA predpokladá, že žiadna entita nie je prirodzene dôveryhodná, čo obmedzuje potenciálne vektory útoku.

Podpora práce na diaľku a cloudových zdrojov. S nárastom práce na diaľku a zavádzaním cloudu sa podniky presúvajú od tradičných lokálnych sietí k hybridným alebo plne cloudovým infraštruktúram. ZTNA poskytuje zabezpečený prístup k prostriedkom z ľubovoľného miesta a konzistentne presadzuje zásady zabezpečenia v lokálnych a cloudových prostrediach.

Zmiernenie bočného pohybu pri kybernetických útokoch. V prípade narušenia zabezpečenia segmentovaný prístup modelu ZTNA zabraňuje bočnému pohybu útočníkov, čím obmedzuje rozsah potenciálnych škôd. Keďže prístup sa udeľuje len na základe princípu potreby poznania, pre útočníkov je oveľa ťažšie sa pohybovať medzi systémami a získať prístup ku kritickým prostriedkom.

Model ZTNA poskytuje podnikom mnohé výhody vrátane týchto:

Vylepšené zabezpečenie. Model nepretržitého overovania totožnosti a zariadenia ZTNA znižuje riziko neoprávneného prístupu a zmierňuje hrozby vyplývajúce zo zneužitých prihlasovacích údajov. Overovaním každého pokusu o prístup na základe faktorov, ako sú identita, poloha a postavenie zariadenia, posilňuje model ZTNA celkové zabezpečenie a minimalizuje neoprávnený prístup.

Zlepšené riadenie prístupu a presadzovanie politík. Model ZTNA umožňuje organizáciám presadzovať granulárne politiky prístupu založené na rolách. Používatelia majú prístup len k aplikáciám alebo zdrojom, ktoré potrebujú, čím sa znižuje pravdepodobnosť náhodného alebo úmyselného prístupu k citlivým údajom. Zjednodušuje tiež dodržiavanie predpisov o ochrane údajov a súkromí tým, že zabezpečuje obmedzenie prístupu a jeho zaznamenávanie.

Zníženie počtu možných miest útokov. Keďže ZTNA nevystavuje celú sieť žiadnemu jednotlivému používateľovi alebo zariadeniu, výrazne obmedzuje možné miesta útokov. Prístup k určitým zdrojom majú len oprávnení používatelia a zariadenia, ktorí k nim môžu pristupovať len prostredníctvom zabezpečených, šifrovaných pripojení, čím sa znižuje riziko úniku údajov alebo neoprávneného odhalenia.

Tradičné modely zabezpečenia sa opierajú predovšetkým o koncepciu "dôveryhodnej" internej siete a "nedôveryhodnej" externej siete, zabezpečenej bránami firewall a sieťami VPN. Medzi hlavné rozdiely medzi prístupom k sieti na základe nulovej dôvery (ZTNA) a týmito tradičnými modelmi patria:

Založené na perimetri a na identite. Tradičné zabezpečenie sa spolieha na zabezpečenie perimetra siete za predpokladu, že používatelia v sieti sú dôveryhodní. ZTNA považuje každý pokus o prístup za potenciálne rizikový bez ohľadu na miesto a zakaždým vyžaduje overenie totožnosti.

Implicitná a explicitná dôvera. V tradičných modeloch sú používatelia po overení dôveryhodní a často sa v rámci siete pohybujú bez väčších obmedzení. ZTNA však zavádza mikrosegmentáciu a prístup s najmenšími oprávneniami, aby sa obmedzil bočný pohyb a znížili sa riziká spojené so zneužitými prihlasovacími údajmi.

Statické a dynamické riadenie prístupu. Staršie modely zabezpečenia majú zvyčajne statické pravidlá, ktoré sú menej flexibilné a v dnešných prostrediach často zastarané. ZTNA využíva dynamické politiky, ktoré sa prispôsobujú na základe rizikových faktorov, správania používateľa a ďalších kontextových podnetov.

VPN a priamy, zabezpečený prístup. Tradičné modely sieťového pripojenia často využívajú na vzdialený prístup siete VPN, ktoré môžu spôsobovať oneskorenie a sú náročné na škálovanie. Riešenia ZTNA poskytujú zabezpečený prístup priamo k aplikáciám bez toho, aby sa celá prevádzka presmerovala cez sieť VPN, čím sa zvyšuje výkon a zlepšuje škálovateľnosť.

Zero Trust Network Access (ZTNA) je súčasťou rámca Security Service Edge a používa sa na zabezpečenie prístupu k súkromným zdrojom postaveným na princípoch nulovej dôvery. V prostredí ZTNA musia používatelia, zariadenia a aplikácie pred prístupom k prostriedkom neustále preukazovať svoju legitimitu bez ohľadu na to, či sa nachádzajú v sieti alebo mimo nej. Kľúčové prevádzkové mechanizmy zahŕňajú:

Správa identít a prístupu. ZTNA sa začína prísnym overením totožnosti. Každý používateľ alebo zariadenie musí pred získaním prístupu k akejkoľvek aplikácii alebo prostriedku overiť svoju totožnosť, často prostredníctvom viacfaktorového overovania (MFA). Tým sa zabezpečí, že len legitímni používatelia budú identifikovaní bude im udelený prístup.

Microsegmentácia. Namiesto spoliehania sa na jeden perimeter siete rozdeľuje ZTNA sieť na menšie izolované segmenty. Každý segment obsahuje špecifické prostriedky alebo aplikácie, čo útočníkom sťažuje bočný pohyb v sieti, ak zneužitú jeden segment.

Prístup s najmenšími oprávneniami. Každému používateľovi a zariadeniu je udelený prístup len ku konkrétnym aplikáciám alebo údajom potrebným pre jeho roly, čím sa obmedzuje potenciálne vystavenie riziku. Tento prístup s najmenšími oprávneniami minimalizuje riziko úniku údajov alebo neoprávneného prístupu tým, že obmedzuje, k čomu má prístup jedno zneužité konto.

Prístup na úrovni aplikácie. Namiesto poskytovania širokého prístupu na úrovni siete podporuje ZTNA pripojenia špecifické pre jednotlivé aplikácie. To znamená, že aj keď je zariadeniu povolený prístup, komunikuje len s konkrétnou aplikáciou alebo prostriedkom, ku ktorému má oprávnenie. Ďalej sa tak zmenšuje priestor na útoky, pretože používatelia a zariadenia nemajú prehľad ani prístup do celej siete.

Nepretržité vyhodnocovanie prístupu. Neustále vyhodnocovanie správania používateľov a zariadení je ústrednou zložkou modelu ZTNA. To zahŕňa monitorovanie akýchkoľvek neobvyklých vzorcov aktivity, postavenia zariadenia (napríklad či sú nainštalované aktualizácie zabezpečenia) a zmien polohy. V prípade zistenia anomálií môže byť prístup zrušený alebo sa môže vyžadovať dodatočné overenie.

Model Zero Trust Network sa neustále vyvíja, aby riešil rastúcu zložitosť moderných kybernetických hrozieb a vzdialených pracovných prostredí. Na začiatku model ZTNA zaviedol základné zásady nulovej dôvery tým, že poskytoval prístup na základe identity používateľa a postavenia zariadenia namiesto tradičnej ochrany perimetra siete. S vývojom kybernetických hrozieb sa však zvýšila aj potreba komplexnejšieho a adaptívnejšieho prístupu, čo viedlo k vývoju pokrokov v oblasti modelu ZTNA vrátane týchto:

Granulárne riadenie prístupu k aplikáciám. Model ZTNA teraz poskytuje podrobnejšie riadenie prístupu na úrovni aplikácie, čím presahuje jednoduchý prístup založený na sieti alebo IP adrese. Zaisťuje, aby používatelia mali prístup len ku konkrétnym aplikáciám a prostriedkom, ktoré potrebujú, a v rámci týchto aplikácií ich obmedzuje na konkrétne údaje a operácie, ktoré sú oprávnení vykonávať.

Nepretržité hodnotenie dôvery. Tradičný model ZTNA sa vo všeobecnosti spoliehal na jednorazové vyhodnotenie dôvery na začiatku relácie. ZTNA teraz využíva model nepretržitého hodnotenia dôvery, ktorý dynamicky vyhodnocuje správanie používateľa a zariadenia počas celej relácie. Nepretržité monitorovanie pomáha odhaliť anomálie alebo rizikové správanie v reálnom čase a reagovať na ne.

Integrovaná ochrana pred bezpečnostnými hrozbami. Model ZTNA teraz integruje funkcie ochrany pred hrozbami, ako sú detekcia škodlivého softvéru, zabránenie vniknutiu a iné kontroly zabezpečenia, priamo do prístupového modelu. Táto proaktívna vrstva zabezpečenia pomáha zabrániť útočníkom v bočnom pohybe v sieti, aj keď získajú počiatočný prístup.

Vylepšené povedomie o kontexte používateľa a zariadenia. ZTNA teraz presahuje rámec overovania identity používateľa a postavenia zariadenia a zahŕňa viac kontextových faktorov, ako sú vzorce správania používateľa, história zariadenia a faktory prostredia, napríklad geografická poloha a čas prístupu. To pomáha vytvoriť presnejší rizikový profil pre každú žiadosť o prístup.

Služba zabezpečeného prístupu pre koncové zariadenia (Secure access service edge/SASE) je rámec kybernetickej bezpečnosti, ktorý kombinuje sieťové služby a služby zabezpečenia v jednotnom, cloudovom modeli. Jej cieľom je poskytovať používateľom zabezpečený prístup bez ohľadu na ich umiestnenie integráciou funkcií zabezpečenia, ako sú zabezpečené webové brány, agenti zabezpečenia prístupu do cloudu, firewall ako služba a prístup do siete na základenulovej dôvery, s možnosťami sietí WAN. Služba SASE ponúka škálovateľný a flexibilný spôsob zabezpečenia distribuovanej pracovnej sily, ktorý je užitočný najmä v moderných prostrediach, kde je štandardom práca na diaľku a prostredia s viacerými cloudmi.

ZTNA je kľúčovou zložkou v rámci modelu SASE, ktorá sa osobitne zameriava na riadenie prístupu na základe architektúry nulovej dôvery (Zero Trust). Zatiaľ čo ZTNA presadzuje prísne kontroly prístupu na úrovni aplikácií a prostriedkov, SASE rozširuje tento rozsah poskytovaním komplexného modelu zabezpečenia a siete. Model ZTNA je v podstate kritickým prvkom služby SASE, ktorý sa zameriava na jemnú správu prístupu, zatiaľ čo SASE zahŕňa ZTNA v rámci väčšieho súboru nástrojov zabezpečenia na poskytovanie jednotnej komplexnej ochrany v celej sieti.

Riešenia prístupu k sieti na základe nulovej dôvery (ZTNA) sú navrhnuté tak, aby poskytovali zabezpečený prístup k aplikáciám a zdrojom bez ohľadu na to, kde sa používatelia nachádzajú.


Základnou zložkou tohto prístupu je Microsoft Entra Súkromný prístup, ktorý nahrádza tradičné siete VPN. Pomáha zabezpečiť prístup ku všetkým súkromným aplikáciám a zdrojom pre používateľov kdekoľvek pomocou riešenia ZTNA zameraného na identitu. Microsoft Entra Súkromný prístup umožňuje nahradiť staršiu sieť VPN modelom ZTNA. Bez akýchkoľvek zmien v aplikáciách môžete rozšíriť politiky podmieneného prístupu na svoju sieť pomocou riadenia prístupu zameraného na identity a umožniť jediné prihlásenie (SSO) a viacfaktorové overovanie (MFA) vo všetkých súkromných aplikáciách a zdrojoch. Prostredníctvom globálnej privátnej siete spoločnosti Microsoft získajú zamestnanci rýchly a bezproblémový prístup, ktorý vyvažuje zabezpečenie a produktivitu.