Naar de inhoud
Avanet
Sophos Zero Trust Network Access – een alternatief voor VPN

Sophos Zero Trust Network Access – een alternatief voor VPN

2. JUNI 2021

Sophos heeft onlangs de publieke bètaversie uitgebracht van het nieuwe product Sophos Zero Trust Network Access (ZTNA). Iedereen kan zich nu aanmelden voor het ZTNA Early Access Program. Laten we kijken wat het zero‑trustbeveiligingsmodel inhoudt en waarom het wordt gezien als een van de veiligste cybersecurity‑frameworks ter wereld.

Wat is het zero‑trustmodel?

Kort gezegd stelt het zero‑trustmodel dat een organisatie niet zomaar elke aanvraag om toegang tot gegevens mag vertrouwen en de bron altijd eerst moet verifiëren. In drie woorden samengevat: vertrouw niemand. Geef niemand toegang tot je netwerk, tenzij je precies weet wie toegang vraagt tot de gegevens en je daar expliciet achter staat.

Waarom zou je dit ogenschijnlijk strenge en bijna paranoïde beveiligingsmodel willen gebruiken? Cybersecurity Ventures voorspelde dat cybercriminaliteit tegen 2021 wereldwijd voor 6 biljoen Amerikaanse dollar aan schade zou veroorzaken. Dit is het verwachte verlies, ondanks de omvangrijke investeringen in cybersecurity door enkele van de grootste bedrijven ter wereld. Niemand is volledig beschermd tegen cyberaanvallen, SQL‑injecties en ongeautoriseerde toegang.

Het zero‑trustmodel stelt voor om het traditionele uitgangspunt los te laten, waarbij organisaties zich vooral richten op externe dreigingen en ervan uitgaan dat alles wat al binnen het netwerk zit geen extra autorisatie nodig heeft en geen risico vormt. De meeste beveiligingsincidenten ontstaan doordat het voor aanvallers eenvoudig is om, zodra zij binnen zijn, lateraal door het systeem te bewegen en extra informatie te bemachtigen. Voor je al je vertrouwen in het zero‑trustmodel stelt, is het zinvol om de voor‑ en nadelen af te wegen.

Voordelen van het zero‑trustmodel

  • De organisatie is veel minder kwetsbaar voor cyberdreigingen.
  • Authenticatieprocessen zijn zeer strikt.
  • Betere bescherming van bedrijfsgegevens.
  • Zeer verfijnde beveiligingsstructuur.

Nadelen van het zero‑trustmodel

  • Vereist veel tijd om in te richten.
  • Het beheer van veel gebruikers is intensief, omdat elke toegangsaanvraag moet worden geauthenticeerd.
  • Back‑ups worden complexer, omdat gegevens op meerdere locaties zijn opgeslagen.

Wat is ZTNA?

ZTNA is het nieuwste Sophos Central‑product en wordt volledig in de cloud geleverd en beheerd. Het is bedoeld om externe gebruikers veilige toegang tot applicaties te bieden. Waar draait ZTNA om? Het is gebaseerd op het zero‑trustframework, wat betekent dat de gebruiker op alle redelijke manieren wordt geverifieerd om het risico op compromittering te minimaliseren. Dit omvat gebruikersauthenticatie (meestal met twee‑factor‑authenticatie, zodat gestolen inloggegevens niet zomaar kunnen worden misbruikt), validatie van de apparaatstatus en controle van de compliance‑status van het apparaat, zodat je weloverwogen kunt beslissen of toegang wordt verleend.

ZTNA-procedure voor het verlenen van toegang aan gebruikers

Hoe verhoudt ZTNA zich tot VPN?

VPN heeft lange tijd prima voldaan, maar ZTNA biedt een betere oplossing als je de twee direct met elkaar vergelijkt. Op welke punten presteert ZTNA beter dan VPN?

  • Betere beveiliging: De beveiliging van verbonden applicaties verbetert aanzienlijk, omdat ZTNA – in tegenstelling tot VPN – ook de integriteit en status van het apparaat controleert. Een gecompromitteerd apparaat kan andere systemen ernstige schade toebrengen.
  • Transparant: ZTNA zorgt voor een transparante gebruikerservaring en soepel verbindingbeheer. VPN kan omslachtig zijn in het gebruik en leidt vaak tot supportverzoeken.
  • Granulaire controle: ZTNA biedt gesegmenteerde toegang tot applicatiegegevens, terwijl VPN doorgaans brede toegang tot het netwerk geeft zodra de authenticatie is afgerond. Dat is precies waar aanvallers blij van worden: eenmaal binnen hebben ze voldoende tijd om zich van apparaat naar apparaat te verplaatsen. Een enkele geslaagde authenticatie kan toegang geven tot duizenden systemen.

Omdat VPN een technologie is die meer dan 20 jaar geleden is ontwikkeld, begint zij haar beperkingen te tonen. Oorspronkelijk is VPN ontworpen om vertrouwde netwerken uit te breiden en medewerkers van een organisatie in één netwerk te verbinden. Tegenwoordig worden cloudapplicaties echter gebruikt door grote aantallen gebruikers die vanaf meerdere apparaten verbinding maken, waardoor VPN een kwetsbare en minder veilige keuze is geworden. Aanvallers maken steeds opnieuw gebruik van deze zwaktes, en VPN‑kwetsbaarheden zijn uitgegroeid tot een serieus bedrijfsrisico.

Vergelijking tussen ZTNA en VPN

Welke applicaties kan ZTNA beveiligen?

ZTNA beveiligt verbonden applicaties die worden gehost in de eigen netwerken van een organisatie of beschikbaar zijn in de publieke cloud. Dit omvat applicaties zoals wikis, Jira of andere typen repositories en ticketingsystemen. ZTNA beschermt geen applicaties die niet eigendom zijn van de klant.

Componenten van ZTNA

Sophos ZTNA bestaat uit drie hoofdcomponenten:

  • Sophos Central: biedt een cloudbeheerplatform voor alle Sophos‑producten, inclusief Sophos ZTNA. Het is cloud‑ready en maakt implementatie, beleidsbeheer en rapportage eenvoudig.
  • Sophos ZTNA Gateway: een virtuele appliance die on‑premises of in de publieke cloud gehoste applicaties beschermt, met aanvankelijke ondersteuning voor AWS en VMware ESXi en later ook ondersteuning voor Azure, Hyper‑V en Nutanix.
  • Sophos ZTNA Client: zorgt voor naadloze connectiviteit met applicaties op basis van de identiteit van de eindgebruiker en de apparaatstatus. De client is eenvoudig uit te rollen en leest de apparaatstatus uit Windows Security Center. In eerste instantie wordt alleen Windows ondersteund; later volgt ondersteuning voor macOS, Linux en de mobiele besturingssystemen iOS en Android.

Wanneer is Sophos ZTNA beschikbaar?

Sophos is al gestart met het Early Access Program voor Sophos Zero Trust Network Access (ZTNA). De eerste fase maakt clientloze toegang mogelijk tot browsergebaseerde applicaties zoals CRM‑ en ticketingsystemen (bijvoorbeeld JIRA). In de volgende fase worden verdere verbeteringen toegevoegd, zoals een Windows‑client met geïntegreerde uitrol naast Intercept X, Synchronized Security voor device health, extra identity‑providers en een gateway voor AWS.

Licenties en prijzen

Net als bij andere Sophos Central‑producten wordt ZTNA per gebruiker in plaats van per apparaat gelicentieerd. Een gebruiker met meerdere apparaten heeft dus maar één licentie nodig. Bij de lancering zal er ook een gratis proefversie beschikbaar zijn, zodat organisaties het product uitgebreid kunnen testen voordat zij besluiten licenties aan te schaffen.

Patrizio

Patrizio

Patrizio is een ervaren netwerkspecialist met focus op Sophos-firewalls, switches en access points. Hij ondersteunt klanten en IT-teams bij configuratie, migratie en een schone netwerksegmentatie.