Alphabyte ZTNA: Удаленный доступ к сети на основе «нулевого доверия»
Удаленная работа ворвалась в повестку компаний в самых разных сферах бизнеса.
Работа без привязки к офису увеличивает привлекательность вакансии и помогает работодателю снижать расходы на аренду и зарплату. Исследование, проведенное Alphabyte летом 2022 года, показало, что более 60% опрошенных компаний разрешают удаленный доступ к корпоративным ресурсам, что создает условия для дистанционного или гибридного формата работы.
Намечающиеся законодательные ужесточения по ограничению «удаленки» призваны упорядочить практику, но ни в коем случае не отменить ее вовсе. Вероятно, удаленный и смешанный форматы работы останутся с нами навсегда.Содержание |
Слабое место «удаленки»
При работе в офисе компьютер физически находится внутри периметра сети. Информационная безопасность в этом случае обеспечивается за счет корпоративных средств защиты, которые включают в себя инструменты сетевой безопасности, защиту локальной станции и продвинутые сервисы по анализу сетевой активности, возникающих рисков и угроз. Выполнение потенциально опасных действий блокируется или отслеживается работающими в сети службами. При появлении значительного числа удаленных пользователей граница, которая отделяет корпоративную инфраструктуру от внешнего мира, становится условной и уже не гарантирует привычный уровень безопасности.
Исторически в большинстве компаний создание защищенных каналов связи поверх общедоступного интернета поручалось VPN. Варьировались виды решений: софт, «железо» или набравшие популярность в последние годы сервисы из облака. VPN отвечал за безопасное подключение удаленного пользователя к защищенной корпоративной инфраструктуре, либо объединение разных площадок предприятия в единую сеть.
Такой подход перестал себя оправдывать, когда существенно возросло число удаленных подключений, а киберзлоумышленники стали использовать автоматические сканеры открытых портов. Компрометация одного удаленного пользователя, наиболее беззащитного перед хакерами, могла привести к критичному уровню инцидента вплоть до остановки операционной деятельности и потери данных.
В основе альтернативного решения «нулевое доверие» или Zero Trust, что означает отказ от существования периметра. Зачем предоставлять пользователю, который может быть скомпрометирован, доступ к хорошо защищенной сети, если достаточно сформировать список необходимых для работы ресурсов, указать параметры работы с ними и сократить до минимума возможность атаковать корпоративную инфраструктуру.
Alphabyte ZTNA — облачное решение для организации безопасного доступа к корпоративной сети на основе «нулевого доверия» — расширяет возможности VPN и уменьшает вероятность неавторизованного доступа.
Как работает Alphabyte ZTNA
Alphabyte ZTNA создает защищенный зашифрованный тоннель между инициатором обращения и запрашиваемым ресурсом (устройством или приложением). В дополнение к возможностям классических VPN тоннель может быть проложен не только к сети или конкретному сегменту, но и напрямую к серверу или ресурсу в соответствии с заданными политиками безопасности. Это исключает беспорядочный обмен данными в сети, а также необходимость держать открытыми порты.
Решение предлагает создать список защищаемых ресурсов и организовать выборочный доступ к ним на основе ролей. В веб-интерфейсе панели управления можно добавлять, изменять и удалять роли в соответствии потребностями. Наглядное представление ролей и ассоциированных с ними ресурсов снижает вероятность появления избыточных прав доступа, позволяет использовать сколь угодно гранулярные правила безопасности и контролировать их выполнение, в том числе отслеживать и удалять неактуальные права доступа.
Безопасность — в простоте
Привлекательной особенностью Alphabyte ZTNA является простое поэтапное внедрение и прозрачное администрирование. Первоначальная установка занимает 15 минут, в течение которых можно объединить разные площадки в единую сеть, подключить новый офис или дать безопасный доступ подрядчикам из другого региона.
Alphabyte ZTNA не конфликтует с уже установленными решениями на основе других технологий. Внедрение можно осуществлять пошагово для отдельных задач или групп. При этом для переключившихся на Alphabyte будут доступны все преимущества новой технологии, а те пользователи, которые пока используют VPN или другое решение, не увидят никаких изменений в работе.
Объединение удаленных площадок в единую сеть
Для объединения изолированных сегментов сети в них устанавливается коннектор Alphabyte ZTNA, в панели управления Alphabyte перечисляются подключаемые локальные сети и список пользователей. Никаких дополнительных работ и изменений на текущем оборудовании в сети проводить не нужно, в том числе нет необходимости создавать публичный IP адрес, открывать внешний доступ к серверам.
После установки клиентского приложения Alphabyte на своей рабочей станции пользователи получают сетевой доступ ко всем ресурсам на разных площадках, как если бы они находились в одной сети.
Безопасный доступ для подрядчиков
Для безопасного подключения подрядчиков коннектор Alphabyte ZTNA устанавливается в каждый сегмент сети, где находятся ресурсы, к которым нужно обеспечить удаленный доступ. В панели управления формируется точный список ресурсов для дистанционного подключения из-за пределов корпоративной сети. В роли ресурса может выступать сервер, каталог на сервере или отдельное приложение.
После этого формируется роль Подрядчик с правами доступа к заданным объектам, которая присваивается внешним пользователям, предварительно занесенным в систему.
После подключения к сети предприятия с помощью Alphabyte ZTNA внешние пользователи не увидят в сетевом окружении ничего, кроме разрешенных ресурсов. Даже в случае их компрометации или злого умысла не существует способа достучаться по сети до рабочих серверов и коммутаторов, а возможности нанести существенный ущерб инфраструктуре компании или похитить данные существенно ограничены.
Пример ролей и доступов для IT-компании
Администратору сети доступны все элементы инфраструктуры.
Пользователь с ролью DevOps может осуществлять ограниченный доступ к подсети в дата-центре для автономного мониторинга и управления серверами. Также имеет право обращаться к отдельным серверам, приложениям и коммутаторам. Как с помощью EvaProject и EvaWiki построить прозрачную бесшовную среду для успешной работы крупного холдинга
Пользователю с ролью Разработчик запрещен доступ к сетям и подсетям. Его сетевое окружение содержит всего несколько ресурсов, а правила доступа ограничивают тип трафика. Если рабочую станцию разработчика взломают, и злоумышленники получат доступ к доступным элементам корпоративной сети, то вероятность нарушить работу, например, production-серверов будет минимальна.
Где ZTNA уже работает
На текущий момент VPN остается самой распространенной технологией для создания защищенных каналов корпоративной связи поверх общедоступного интернета. В то же время рынок находится в ожидании массового внедрения программно-определяемых распределенных сетей SD-WAN, рост которых iKS-Consulting оценивает в 4 раза к 2026 году. Это непременно приведет к еще более сильному размытию корпоративных периметров и потребует нового подхода к информационной безопасности.
Согласно исследованию Alphabyte 7% компаний уже реализовали в своих сетях новую архитектуру безопасности и пользуются преимуществами сетевого доступа с «нулевым доверием», а 3% опрошенных планируют это сделать.
Многие организации находятся в стадии тестирования, активно устанавливают и апробируют технологию на отдельных задачах или группах пользователей. Среди первопроходцев ИТ разработчики и интеграторы, а также компании, с большим числом отделений и офисов, требующих передачи чувствительных клиентских данных (медицинских, персональных итд).
В какой бы сфере не находились интересы вашего бизнеса, Alphabyte ZTNA естественным образом упорядочит активные соединения, ограничит сетевые связи, в которых нет рабочей необходимости, и остановит беспорядочный обмен данными, что повысит уровень информационной безопасности без сложных многомесячных внедрений.