ZTNA vs VPN: антиподы или друзья

Статья создана совместно с компанией "ДиалогНаука", опубликована на сайте коллег и в издании BIS Journal №4(51)2023


Стратегия ZTNA (Zero Trust Network Access) сейчас на слуху. Причем она довольно часто противопоставляется старым добрым технологиям VPN (Virtual Private Network). В качестве аргумента чаще всего приводится такое утверждение: в отличие от VPN, которые предоставляют полный доступ к локальной сети, решения на базе ZTNA предпочитают никому не доверять, разрешая доступ только к тем услугам или ресурсам, которые пользователи явно запросили.

Кроме этого, бытует мнение, что у VPN неэффективная производительность: например, концентраторы VPN могут создавать узкие места, что приводит к снижению производительности, чрезмерной задержке в обменах информацией и тому подобным неприятностям. Порой настройка VPN – дорогая и трудоемкая процедура, требующая больших усилий со стороны службы безопасности и самих пользователей.

В общем, «переходите все на ZTNA и будет вам счастье». Так ли это? Неужели пришло время списывать со счетов проверенный временем VPN? Давайте порассуждаем на эту тему.

А что такое ZTNA

В стратегии ZTNA доступ к ресурсам и приложениям предоставляется на основе строгой аутентификации и авторизации. Каждый пользователь и каждое устройство должны пройти проверку и авторизацию перед получением доступа к ресурсам. А сами пользователи и устройства имеют только те привилегии, которые необходимы для выполнения их конкретных задач. Всё это уменьшает вероятность несанкционированного доступа и помогает предотвратить вредоносные действия.

Но, прежде чем говорить о ZTNA дальше – окунемся в историю. Считается, что идея Zero Trust («нулевого доверия») была придумана в 2010 году аналитиком Forrester. При этом в России парадигма «доверенной среды» появилась лет на 25 раньше. Несмотря на противоположные названия, есть много объединяющих их критериев.

Правда, есть и отличия. Главный тезис концепции «доверенной среды»: если мы сможем быть уверенными в надежности (лояльности, доверенности) каждого элемента, нам не обязательно изолировать их в замкнутой среде. В силу принципа декомпозиции, каждый элемент защищаемой информационной системы сам по себе может быть защищен и в этом случае, соединение их в единую информационную систему с помощью защищенных каналов позволит создать вокруг информации надежную оболочку.

«Доверенная среда» предполагает, что должно быть доверие:

  • к окружению системы;

  • к субъектам отношений;

  • к правилам и процедурам;

  • к аппаратной и программной платформе;

  • к выполняемым операциям;

  • к каналам передачи информации.

Достичь требуемого уровня доверия возможно, если обеспечивается:

  • локализация информационных ресурсов;

  • счетность субъектов и объектов;

  • доверенность конфигурации и настройки;

  • целостность всех элементов;

  • подконтрольность всех действий;

  • документированность всех событий.

Иными словами, для реализации концепции «доверенной среды» в информационной системе должен быть создан специальный сегмент, имеющий защиту по всему периметру не позволяющей постороннему бесконтрольно обращаться с информацией. Какой это будет сегмент: виртуальный, логический или аппаратный – не принципиально. Главное, чтобы к информации посторонние не имели свободного доступа. И таких сегментов в информационной системе может быть несколько (столько, сколько надо).

Вернемся к стратегии ZTNA. Она предполагает создание вокруг приложения или группы приложений логической границы доступа на основе идентификации и контекста, то есть учета группы или роли пользователя, его IP-адреса, местоположения и временных ограничений. Цель ZTNA заключается в обеспечении безопасного доступа к ресурсам и приложениям в сети вне зависимости от расположения устройства или пользователя. Этот подход помогает ограничить возможности атак и снизить риски компрометации данных и систем.

Стратегия ZTNA предполагает:

  • каждое устройство, пользователь и приложение должны быть проверены и авторизованы перед получением доступа к ресурсам в сети. Нет доверия к устройству или пользователю на основе их сетевого положения или предыдущих разрешений;

  • сеть разделяется на отдельные микросегменты (микропериметры), где доступ к ресурсам и приложениям строго контролируется. Каждое соединение и каждый запрос должны быть аутентифицированы и авторизованы на уровне микросегмента. Это позволяет ограничить доступ к ресурсам только для необходимых пользователей и устройств и минимизировать поверхность атаки;

  • для получения доступа к ресурсам требуется не только пароль, но и учет контекста, такого как атрибуты пользователя, идентификация устройства, контекст подключения и другие факторы.

В принципе, обе точки зрения говорят о схожих сущностях. Но традиционно «дьявол кроется в деталях».

С точки зрения «нулевого доверия» прежде всего требуется постоянный мониторинг и управление доступом и привилегиями пользователей, а также мониторинг всего трафика на предмет вредоносных действий. И здесь остается открытым вопрос доверия к конечному оборудованию пользователя.

С точки зрения «доверенной среды» требуется постоянный мониторинг конфигураций, настроек и целостности рабочих мест. То есть прежде всего – формирования доверия к компьютеру конкретного пользователя.

Ну, а процедура идентификации – аутентификации – авторизации в обоих случаях является обязательной.

Обратите внимание на две весьма схожие сущности: в одном случае говорится о сегментировании сети (локализации обрабатываемой информации), в другом – о микросегментах (собственно локализации приложений). Это очень напоминает историю развития ядерной физики. Сначала Аристотель считал, что вещество состоит из 4 элементов: огонь, вода, воздух, земля. Затем, Демокрит выдвинул теорию атомного строения вещества, признавая неделимость атома. И только в ХХ веке появились составные атома: протоны, нейтроны, электроны. А затем уже мезоны, кварки и прочая «мелочь». Каждая степень познания атома определялась уровнем развития науки. Так что вполне вероятно, через некоторое время мы будем говорить не о мкросегментировании сети, а о «наносегментах». Но сути это не изменит.

Слабое звено

Между тем, во всех описаниях стратегии ZTNA в отличие от концепции «доверенной среды», не упоминается об одном важном элементе. Посмотрите внимательно: есть удаленный (хотя не обязательно) пользователь, которого проверили со всем пристрастием. Компьютер его тоже опознали: идентифицировали и проверили все его параметры. А еще есть микросегмент сети в котором находится нужное пользователю приложение.

Получается две доверенные сущности. И тут встает вопрос: а как эти сущности взаимодействуют? По всей вероятности, здесь требуется какой-то защищенный (доверенный) канал, тем более, что общение сущностей идет через заранее агрессивную среду.

На сегодня наиболее эффективным для этих целей признается шифрование. Но ведь не все приложения имеют криптографическую функцию, не все умеют шифровать. И тогда канал связи без криптографии оказывается самым слабым звеном защиты, которое сводит к нулю все старания по сегментированию, жесткой идентификации, аутентификации пользователя и его устройства.

Чтобы устранить эту брешь строго следуя стратегии ZTNA, потребуется на границе каждого микросегмента ставить некое устройство, позволяющее обеспечить шифрованный обмен информацией между пользователем и выбранным приложением.

А если пользователь использует несколько приложений или несколько пользователей из разных мест хотят задействовать одно и то же приложение, что делать? Представляете, насколько это усложнит систему?! А как организовать обмен ключевой информацией? И здесь по пути возникает еще масса разных «как». Наверное, когда-то появятся технологии, позволяющие решить эту задачу со многими неизвестными, но пока такой технологии – нет.

Однако, выход из этой ситуации есть. Надо построить «толстый» канал, защищенный криптографией, между пользователем и периметром сети, а уже дальше применять стратегию ZTNA. Ну, а чем это отличается от классического VPN? Вот и получается, что одно без другого не даст желаемого результата.

Доверяй, но проверяй

Для того чтобы обеспечить контекстную аутентификацию, вначале надо провести инвентаризацию удаленного компьютера, создать некий его профиль и в дальнейшем с регулярной периодичностью отслеживать его состояние, настройки, конфигурацию, целостность.

То есть необходимо в режиме реального времени проводить мониторинг:

  • ГДЕ находится компьютер;

  • КАК подключается компьютер;

  • ЧТО установлено на компьютере;

  • ЧТО запущено на компьютере;

  • ЧТО делает пользователь.

При этом, средство мониторинга должно как минимум уметь контролировать:

  • геолокацию компьютера и структуру информационной сети;

  • состав программного и аппаратного обеспечения;

  • параметры настройки операционной системы, версионность, обновления;

  • установку, настройку, актуальность программного обеспечения;

  • наличие, актуальность и настройки средств защиты информации;

  • тип и состав подключенных USB устройств;

  • запущенные в операционной системе процессы;

  • процедуры logon/logoff пользователей.

Сведения обо всех этих параметрах как раз и будут составлять профиль рабочего места. Но пассивное наблюдение вряд ли даст положительный эффект. Необходимо не только контролировать, но и иметь возможность управлять рабочим местом: уведомлять администратора безопасности об отклонениях, блокировать доступ в критических ситуациях или переводить компьютер в карантин.

Однако, и этого мало. Нужно правильно построить хранилище, в котором и должен храниться тот самый профиль рабочего места, с которым будет проводиться сравнение. Это и будет корень доверия. Естественно, что такое хранилище должно быть надежно защищено и исключать всякую возможность изменения профилей.

Резюме

А резюме будет коротким. Применяя новые технологии в защите информации, не надо забывать и о уже проверенных и хорошо себя зарекомендовавших технологиях. Стратегия ZTNA не заменяет VPN. При этом, она не исключает, а наоборот предполагает симбиоз этих технологий.

Таким образом, совокупность технологий, обеспечивающих реализацию стратегии ZTNA по меньшей мере, но не ограничиваясь, должна позволять выполнять:

  • строгую (например, двухфакторную) аутентификацию;

  • мониторинг состояния и параметров компьютера пользователя;

  • строгое разграничение полномочий пользователя (например, по мандатному принципу);

  • создание защищенных каналов связи (например, применение VPN);

  • защиту компьютера пользователя от внешних воздействий (например, антивирусная защита);

  • возможность блокировки подключения компьютера пользователя к сети в случае нарушения установленной политики его использования.

* * *

Авторы:

 


Самое актуальное и интересное - у нас в telegram-канале!

Репост

Свяжитесь с нами

119435 г. Москва, ул. Малая Пироговская, 16
Контакты
Нажимая кнопку "Связаться с нами" я принимаю условия Пользовательского соглашения и согласен на обработку Персональных данных
Связаться с нами

Заполните форму ниже и наши специалисты свяжутся с вами в ближайшее время

Удобное время для звонка
  • 10:00 - 12:00
  • 12:00 - 14:00
  • 14:00 - 16:00
  • 16:00 - 18:00
  • 18:00 - 19:00
Время московское
Отвечаем с понедельника по пятницу
Нажимая кнопку "Связаться с нами" я принимаю условия Пользовательского соглашения и согласен на обработку персональных данных