Що таке доступ до мережі за моделлю нульової довіри (ZTNA)?

Доступ до мережі за моделлю нульової довіри (ZTNA) важливий, тому що він відповідає дедалі більшій потребі в адаптивній, стійкій кібербезпеці в дедалі більш розподіленому цифровому робочому просторі.

Ось чому це рішення стало критично важливою інфраструктурою:

Захист від загроз, які постійно розвиваються. Традиційних моделей безпеки, які надають широкий мережевий доступ внутрішнім користувачам, недостатньо для захисту від сучасних складних кіберзагроз, особливо внутрішніх загроз або загроз, пов’язаних з ураженими обліковими даними. ZTNA припускає, що жодна сутність не є надійною, що обмежує потенційні вектори атак.

Підтримка віддаленої роботи та хмарних ресурсів. Через поширене запровадження віддаленої роботи та хмарних обчислень компанії переходять від традиційних локальних мереж до гібридної або повністю хмарної інфраструктури. ZTNA надає безпечний доступ до ресурсів із будь-якого розташування, послідовно застосовуючи політики безпеки в локальних і хмарних середовищах.

Усунення ризику подальшого руху в кібератаках. У сценарії порушення безпеки сегментований доступ ZTNA запобігає подальшому переміщенню зловмисників, обмежуючи область можливого пошкодження. Оскільки доступ надається лише за принципом службової необхідності, зловмисникам набагато складніше переходити від однієї системи до іншої та отримувати доступ до критичних ресурсів.

ZTNA надає численні переваги для компаній, зокрема такі:

Посилена безпека. Модель безперервної перевірки ідентичностей і пристроїв у ZTNA зменшує ризик несанкціонованого доступу та усуває загрози від уражених облікових даних. Перевіряючи кожну спробу доступу на основі таких факторів, як ідентичність, розташування та справність пристроїв, ZTNA покращує загальний стан безпеки та мінімізує несанкціонований доступ.

Покращене керування доступом і примусове застосування політики. ZTNA дає змогу організаціям застосовувати деталізовані політики доступу на основі ролей. Користувачам надається доступ лише до потрібних їм програм або ресурсів, що зменшує ймовірність випадкового або навмисного доступу до конфіденційних даних. Це також спрощує відповідність нормативним вимогам захисту даних і конфіденційності, забезпечуючи обмежений доступ із журналюванням.

Звужені вектори атаки. Оскільки ZTNA не надає доступ до всієї мережі жодному окремому користувачу або пристрою, це значно скорочує вектори атаки. Лише авторизовані користувачі та пристрої можуть отримати доступ до конкретних ресурсів і лише за допомогою безпечних зашифрованих підключень, що знижує ризик порушення безпеки даних або несанкціонованого розкриття.

Традиційні моделі безпеки здебільшого покладаються на концепцію "надійної" внутрішньої мережі та "ненадійних" зовнішніх мереж, відокремлених за допомогою брандмауерів і VPN. Основні відмінності між доступом до мережі за моделлю нульової довіри (ZTNA) і цими традиційними моделями:

На основі периметра та на основі ідентичності. Традиційна система захисту покладається на захист мережевого периметра, припускаючи, що користувачі всередині мережі надійні. ZTNA розцінює кожну спробу доступу як потенційно небезпечну незалежно від розташування та щоразу вимагає перевірки ідентичності.

Неявна та явна довіра. У традиційних моделях користувачі після автентифікації вважаються надійними та часто переміщуються мережею з незначними обмеженнями. Навпаки, ZTNA впроваджує мікросегментацію та доступ із мінімальними правами, щоб обмежити подальше переміщення та знизити ризики, пов’язані з ураженням облікових даних.

Статичне та динамічне керування доступом. Традиційні моделі безпеки зазвичай використовують статичні правила, менш гнучкі та часто непридатні для сучасних середовищ. ZTNA використовує динамічні політики, які адаптуються на основі факторів ризику, поведінки користувачів та інших контекстних підказок.

VPN і прямий безпечний доступ. Традиційні моделі мережевих підключень часто використовують VPN для віддаленого доступу, що може призводити до затримок і труднощів масштабування. Рішення ZTNA пропонують безпечний доступ безпосередньо до програм без спрямування всього трафіку через VPN, що підвищує продуктивність і масштабованість.

Доступ до мережі за моделлю нульової довіри (ZTNA) є частиною інфраструктури Security Service Edge і використовується для захисту доступу до приватних ресурсів, створених на основі принципів нульової довіри. У середовищі ZTNA користувачі, пристрої та програми мають безперервно підтверджувати свої дії, перш ніж отримати доступ до ресурсів, незалежно від того, де вони розташовані: у мережі або поза нею. Основні операційні механізми:

Система керування ідентичністю та доступом. ZTNA починається з суворої перевірки ідентичності. Кожен користувач або пристрій, перш ніж отримати доступ до будь-якої програми або ресурсу, має автентифікувати свою ідентичність, часто за допомогою багатофакторної автентифікації (БФА). Це гарантує, що лише законні користувачі будуть ідентифіковані та отримають доступ.

Мікросегментація. Замість того, щоб покладатися на один мережевий периметр, ZTNA ділить мережу на менші ізольовані сегменти. Кожен сегмент містить певні ресурси або програми, що ускладнює подальше переміщення зловмисниками мережею, якщо вони порушать один сегмент.

Доступ із мінімальними правами. Кожен користувач і пристрій отримують доступ лише до певних програм або даних, необхідних для його ролей, що обмежує потенційну вразливість. Цей підхід із наданням мінімальних прав зводить до мінімуму ризик порушення безпеки даних або несанкціонованого доступу, обмежуючи доступ будь-якого ураженого облікового запису.

Доступ на рівні програми. Замість надання широкого доступу на рівні мережі ZTNA підтримує підключення для конкретних програм. Це означає, що навіть якщо пристрою надано доступ, він зв’язується лише з певною програмою або ресурсом, до яких йому дозволено доступ. Це додатково зменшує вектори атаки, оскільки користувачі та пристрої не бачать усю мережу та не можуть отримати доступ до всієї мережі.

Безперервне оцінювання доступу. Безперервне оцінювання поведінки користувачів і пристроїв – це центральний компонент ZTNA. Сюди входить моніторинг будь-яких незвичних моделей дій, стану пристрою (наприклад, чи інстальовано оновлення системи безпеки) і зміни в розташуванні. Якщо виявлено аномалії, доступ може бути відкликано або запитано додаткову автентифікацію.

Мережа нульової довіри постійно вдосконалюється, щоб протидіяти дедалі складнішим сучасним кіберзагрозам і працювати з віддаленими робочими середовищами. Спочатку рішення ZTNA запровадило основні принципи нульової довіри, надаючи доступ на основі ідентичності користувачів і стану пристроїв замість традиційних заходів захисту мережевого периметра. Проте в міру розвитку кіберзагроз виникла потреба в більш комплексному та адаптивному підході, що спричинило розробку вдосконалень у ZTNA, зокрема:

Деталізоване керування доступом до програм. Тепер ZTNA надає більш деталізоване керування доступом на рівні програми, виходячи за межі простого доступу до мережі або IP-адреси. Це гарантує, що користувачі матимуть доступ лише до певних програм і ресурсів, і в межах цих програм обмежує їх певними даними та операціями, які їм дозволено виконувати.

Безперервна оцінка довіри. Традиційне рішення ZTNA зазвичай покладалося на одноразове оцінювання довіри на початку сеансу. Тепер ZTNA впроваджує модель безперервної довіри, динамічно оцінюючи поведінку користувачів і пристроїв протягом усього сеансу. Безперервний моніторинг допомагає виявляти аномалії або ризиковану поведінку та реагувати на них у реальному часі.

Інтегрований захист від загроз. Тепер ZTNA інтегрує можливості запобігання загрозам, як-от виявлення зловмисних програм, запобігання втручанням та інші перевірки безпеки, безпосередньо в модель доступу. Цей проактивний рівень безпеки допомагає запобігти подальшому переміщенню зловмисників мережею, навіть якщо вони отримують початковий доступ.

Підвищена обізнаність про контекст користувачів і пристроїв. ZTNA тепер виходить за рамки перевірки ідентичності користувачів і стану пристроїв, запроваджуючи більш контекстні фактори, як-от закономірності поведінки користувачів, журнал пристроїв і фактори середовища, зокрема географічне положення та час доступу. Це допомагає створювати точніший профіль ризику для кожного запиту на доступ.

Безпечний доступ до служб (БДС) – це інфраструктура кібербезпеки, яка поєднує мережеві служби та служби безпеки в об’єднаній моделі, пристосованій для роботи в хмарі. Його мета полягає в наданні безпечного доступу користувачам незалежно від їхнього розташування завдяки інтеграції функцій безпеки, таких як безпечні веб-шлюзи, брокери безпеки доступу до хмари – дізнайтеся про рішення CASB для захисту хмарних середовищброкери безпеки доступу до хмари, брандмауер як послуга та доступ до мережі за моделлю нульової довіри, із широкими мережевими можливостями. БДС пропонує розширюваний, гнучкий спосіб захистити розподілених працівників, особливо корисний у сучасних середовищах, де стандартом є віддалена робота та багатохмарні середовища.

ZTNA – це ключовий компонент моделі БДС, призначений спеціально для керування доступом на основі архітектури нульової довіри. Хоча ZTNA застосовує суворі засоби керування доступом на рівні програм і ресурсів, БДС розширює цю область, надаючи комплексну модель безпеки та мережі. По суті, ZTNA є критично важливим елементом SASE, зосередженим на точному керуванні доступом, тоді як SASE включає ZTNA в ширший набір засобів безпеки, щоб забезпечити єдиний наскрізний захист у всій мережі.

Рішення доступу до мережі за моделлю нульової довіри (ZTNA) від Microsoft призначені для надання безпечного доступу до програм і ресурсів незалежно від розташування користувачів.


Основний компонент цього підходу Приватний доступ через Microsoft Entra, який замінює традиційні VPN. Він сприяє безпечному доступу до всіх приватних програм і ресурсів із будь-якого розташування за допомогою рішення мережевого доступу, орієнтованого на ідентичності та принцип нульової довіри. Приватний доступ через Microsoft Entra дає змогу замінити застарілу мережу VPN на ZTNA. Не вносячи жодних змін до програм, ви можете розширити політики умовного доступу на свою мережу за допомогою засобів керування доступом, орієнтованих на ідентичності, і ввімкнути єдиний вхід (SSO) і багатофакторну автентифікацію (БФА) в усіх приватних програмах і ресурсах. Глобальна приватна мережа Microsoft забезпечує співробітникам швидкий і простий функціонал доступу, який гармонічно поєднує безпеку та продуктивність.