Przejdz do tresci
Avanet
Sophos Zero Trust Network Access – alternatywa dla VPN

Sophos Zero Trust Network Access – alternatywa dla VPN

2. CZERWCA 2021

Sophos niedawno wydał publiczną wersję beta nowego produktu Sophos Zero Trust Network Access (ZTNA). Każdy może teraz zarejestrować się w ZTNA Early Access Program. Przyjrzyjmy się, czym jest model bezpieczeństwa zero trust i dlaczego uważa się go za jeden z najbezpieczniejszych frameworków w dziedzinie cyberbezpieczeństwa.

Czym jest model zero trust?

W uproszczeniu model zero trust zakłada, że firma nie może ufać każdemu żądaniu dostępu do danych i zawsze musi najpierw zweryfikować źródło. Można to ująć w trzech słowach: nie ufaj nikomu. Nie przyznawaj dostępu do swojej sieci, dopóki nie będziesz mieć pewności, kto chce uzyskać dostęp do danych i dopóki nie wyrazisz na to świadomej zgody.

Dlaczego warto stosować model bezpieczeństwa, który wydaje się tak rygorystyczny, a nawet paranoiczny? Wystarczy przypomnieć prognozę firmy Cybersecurity Ventures, według której do 2021 roku cyberprzestępczość miała spowodować na całym świecie szkody rzędu 6 bilionów dolarów amerykańskich. To przewidywany poziom strat pomimo ogromnych inwestycji w cyberbezpieczeństwo ze strony niektórych z największych firm na świecie. Nikt nie jest w pełni chroniony przed cyberatakami, atakami typu SQL injection i nieautoryzowanym dostępem.

Model zero trust proponuje zmianę podejścia, w którym organizacje koncentrują się głównie na zagrożeniach zewnętrznych, zakładając jednocześnie, że wszystko, co znajduje się już wewnątrz sieci, nie wymaga dodatkowej autoryzacji i nie stanowi ryzyka. Większość naruszeń bezpieczeństwa ma miejsce dlatego, że po przyznaniu dostępu atakującym łatwo jest poruszać się lateralnie po systemie i dotrzeć do kolejnych zasobów. Zanim więc w pełni zaufasz modelowi zero trust, warto poznać jego zalety i wady.

Zalety modelu zero trust

  • Firma jest znacznie mniej narażona na cyberzagrożenia.
  • Procesy uwierzytelniania są bardzo rygorystyczne.
  • Lepsza ochrona danych firmowych.
  • Wysokie zaawansowanie struktury bezpieczeństwa.

Wady modelu zero trust

  • Wdrożenie wymaga dużej ilości czasu.
  • Zarządzanie wieloma użytkownikami jest wymagające, ponieważ każde żądanie dostępu musi zostać uwierzytelnione.
  • Tworzenie kopii zapasowych jest trudniejsze, ponieważ dane są przechowywane w wielu lokalizacjach.

Czym jest ZTNA?

ZTNA to najnowszy produkt Sophos Central, dostarczany i zarzadzany w calosci w chmurze. Jego celem jest zapewnienie zdalnym użytkownikom bezpiecznego dostępu do aplikacji. Na czym konkretnie polega działanie ZTNA? Jest on oparty na frameworku Zero Trust, co oznacza, że użytkownik jest weryfikowany na wszelkie rozsądne sposoby, aby zminimalizować ryzyko kompromitacji. Obejmuje to uwierzytelnianie użytkownika (zwykle z wykorzystaniem uwierzytelniania dwuskładnikowego, aby skradzione dane logowania nie mogły zostać łatwo wykorzystane), ocenę stanu urządzenia i sprawdzenie jego zgodności z politykami, tak aby można było podjąć decyzję o przyznaniu dostępu.

Procedura ZTNA przyznawania dostepu uzytkownikom

Jak ZTNA wypada w porównaniu z VPN?

Chociaż VPN przez długi czas dobrze spełniał swoje zadanie, ZTNA oferuje lepsze rozwiązanie, gdy zestawimy te technologie bezpośrednio ze sobą. W jakich obszarach ZTNA przewyższa VPN?

  • Wyższy poziom bezpieczeństwa: Bezpieczeństwo aplikacji podłączonych do sieci znacząco się poprawia, ponieważ ZTNA – w przeciwieństwie do VPN – sprawdza także integralność i stan urządzenia. Skażone urządzenie może wyrządzić poważne szkody innym systemom.
  • Przejrzystość: ZTNA zapewnia użytkownikom przejrzyste doświadczenie i płynne zarządzanie połączeniami. VPN bywa kłopotliwy w obsłudze i często prowadzi do konieczności kontaktu z działem wsparcia.
  • Granularna kontrola: ZTNA zapewnia segmentowany dostęp do danych aplikacji, podczas gdy VPN najczęściej daje szeroki dostęp do sieci po zakończeniu procesu uwierzytelniania. To sytuacja, jaką preferują atakujący: gdy raz znajdą się w sieci, mają czas, by przemieszczać się między urządzeniami. Jedno udane uwierzytelnienie może otworzyć drogę do tysięcy urządzeń.

Ponieważ VPN to technologia opracowana ponad 20 lat temu, zaczyna być już rozwiązaniem przestarzałym. Początkowo została zaprojektowana do rozszerzania zaufanych sieci i łączenia pracowników firmy w jedną spójną sieć. Obecnie jednak aplikacje chmurowe są używane przez dużą liczbę użytkowników łączących się z wielu urządzeń, co sprawia, że VPN staje się podatnym i mniej bezpiecznym wyborem. Atakujący wielokrotnie wykorzystują te słabe punkty, a luki w VPN stanowią poważne zagrożenie dla organizacji.

Porownanie rozwiazan ZTNA i VPN

Jakie aplikacje może chronić ZTNA?

ZTNA chroni aplikacje podłączone do sieci, które są hostowane w sieciach firmowych lub udostępniane w chmurze publicznej. Należą do nich m.in. wiki, Jira oraz inne repozytoria czy systemy biletowe. ZTNA nie chroni aplikacji, które nie są własnością klienta.

Komponenty ZTNA

Sophos ZTNA składa się z trzech głównych komponentów:

  • Sophos Central: zapewnia platforme do zarzadzania w chmurze dla wszystkich produktow Sophos, w tym Sophos ZTNA. Jest przystosowany do srodowisk chmurowych i ulatwia wdrazanie, zarzadzanie politykami oraz tworzenie raportow.
  • Sophos ZTNA Gateway: wirtualny appliance, który chroni aplikacje podłączone do sieci w środowiskach on‑premises lub w chmurze publicznej; początkowo dostępny z obsługą AWS i VMware ESXi, a w przyszłości także Azure, Hyper‑V i Nutanix.
  • Sophos ZTNA Client: zapewnia płynne połączenia z aplikacjami na podstawie tożsamości użytkownika końcowego i stanu urządzenia. Jest łatwy we wdrożeniu i pobiera informacje o stanie urządzenia z Windows Security Center. Początkowo będzie dostępny tylko dla systemu Windows, a następnie zostanie rozszerzony o obsługę macOS, Linux oraz mobilnych systemów operacyjnych iOS i Android.

Kiedy Sophos ZTNA będzie dostępny?

Sophos uruchomił już program wczesnego dostępu (Early Access Program) dla Sophos Zero Trust Network Access (ZTNA). Pierwsza faza umożliwia bezkliencki dostęp do aplikacji przeglądarkowych, takich jak systemy CRM czy narzędzia biletowe (np. JIRA). Kolejna faza przyniesie dalsze usprawnienia, w tym klienta Windows z integracją wdrażania obok Intercept X, Synchronized Security dla oceny stanu urządzenia, dodatkowych dostawców tożsamości oraz bramkę AWS.

Licencjonowanie i ceny

Podobnie jak inne produkty Sophos Central, ZTNA jest licencjonowany na uzytkownika, a nie na urzadzenie. Uzytkownik korzystajacy z kilku urzadzen potrzebuje tylko jednej licencji. Na etapie wprowadzenia produktu dostepna bedzie rowniez bezplatna wersja testowa, dzieki ktorej organizacje beda mogly dokladnie przetestowac rozwiazanie przed podjeciem decyzji o zakupie licencji.

Patrizio

Patrizio

Patrizio jest doswiadczonym specjalista sieciowym, koncentrujacym sie na firewallach Sophos, switchach i punktach dostepowych. Wspiera klientow i zespoly IT w konfiguracji, migracji oraz czystej segmentacji sieci.