« Duben 2024 »
POÚTSTČTSONE
1234567
891011121314
15161718192021
22232425262728
293012345

Co je to Zero Trust Network Access?

Zero Trust Network Access (ZTNA) je kategorie technologií, které poskytují zabezpečený vzdálený přístup k aplikacím a službám na základě definovaných přístupových politik. Na rozdíl od VPN, které poskytují kompletní přístup do LAN, ZTNA řešení používají pozitivní bezpečnostní model. Uživatel má povolen přístup jen ke službám, které mu jsou explicitně přiděleny. Vše ostatní je blokováno. V dnešní situaci, kdy velká část uživatelů pracuje vzdáleně, je důležité pochopit bezpečnostní rizika a výhody, které ZTNA řešení přináší.

Jak ZTNA funguje

Nejprve se musí uživatel autentizovat vůči ZTNA službě. Následně ZTNA služba zajistí jménem uživatele přístup k aplikaci prostřednictvím zabezpečeného šifrovaného tunelu. Tím dojde k odstínění jinak veřejně viditelných IP adres, a tedy i lepší ochraně firemních aplikací.

Stejně jako softwarově definovaný perimetr (SDP) i ZTNA využívá koncept „dark cloud“, který uživatelům skrývá aplikace a služby, ke kterým nemají přístup. Tím se realizuje ochrana proti horizontálnímu šíření útočníka. Kompromitovaný koncový bod nebo přihlašovací údaje uživatele by jinak umožňovaly skenování a cílení na jiné služby.

Řízení přístupu

Ověřování založené na identitě a řízení přístupu ve službách ZTNA poskytují společně alternativu k řízení přístupu na základě IP adresy, které se obvykle používá u většiny VPN konfigurací. ZTNA také umožňuje organizacím implementovat politiky řízení přístupu na základě specifikace zařízení nebo umístění. Tím lze zabránit připojení ke korporátním službám ze zranitelných nebo neaktualizovaných zařízení. Řeší se tak běžný problém VPN, kdy vzdáleným uživatelům přistupujícím z vlastních zařízení je poskytována stejná úroveň přístupu, jako uživatelům ve firemní síti. A to navzdory skutečnosti, že často mají zavedeno méně bezpečnostních kontrol. Některá řešení ZTNA založená na agentech poskytují hodnocení důvěryhodnosti připojujícího se zařízení a uživatele, včetně stavu zařízení, stupně ověření nebo umístění uživatele.

Viditelnost a kontrola pomocí SASE

Stejně jako SDP i ZTNA neposkytuje inline kontrolu provozu mezi uživatelem a aplikací poté, co je spojení navázáno. To může vést k potenciálním bezpečnostním problémům, kdy dojde ke kompromitaci zařízení nebo přihlašovacích údajů uživatele.  Rizikem je i škodlivě smýšlející interní uživatel, který používá svůj přístup k tomu, aby prolomil bezpečnost aplikace nebo hostitele.

Řešení Secure Access Service Edge (SASE), které stejně jako ZTNA obsahujš ověření založené na identitě a funkci granulárního řízení přístupu, poskytuje úplnější a holistický přístup. Řešení SASE poskytuje škálovatelnost cloudu, bezpečnostní a síťové funkce potřebné pro správu zabezpečeného vzdáleného přístupu. Ale na rozdíl od samostatných řešení ZTNA poskytuje SASE monitorování kompletní komunikace. Tím může identifikovat pokusy o odcizení dat nebo prolomení přihlašovacích údajů.

Více se o tom, jak řešení SASE společně se ZTNA může poskytnout ochranu a řízení přístupu pro vaši organizaci dočtete v tomto blogu.