Hoppa till innehållet
Avanet
Sophos Zero Trust Network Access – ett alternativ till VPN

Sophos Zero Trust Network Access – ett alternativ till VPN

2. JUNI 2021

Sophos har nyligen släppt en publik betaversion av sitt nya produktkoncept Sophos Zero Trust Network Access (ZTNA). Alla kan nu registrera sig för ZTNA Early Access Program. Vi tittar närmare på vad zero trust‑säkerhetsmodellen innebär och varför den räknas som ett av de mest robusta cybersäkerhetsramverken i världen.

Vad är zero trust‑modellen?

Förenklat innebär zero trust‑modellen att en organisation inte kan lita på varje enskild begäran om datatillgång och alltid måste verifiera källan först. I tre ord: lita inte på någon. Ge inte åtkomst till nätverket förrän det är helt klart vem som vill komma åt data – och du aktivt godkänner det.

Varför skulle man använda en säkerhetsmodell som verkar så strikt, nästan paranoid? Cybersecurity Ventures har uppskattat att cyberbrottslighet fram till 2021 skulle orsaka skador globalt på 6 biljoner amerikanska dollar. Det är den förväntade förlustnivån, trots stora investeringar i cybersäkerhet från några av världens största företag. Ingen är helt skyddad mot cyberattacker, SQL‑injektioner och obehörig åtkomst.

Zero trust‑modellen utmanar det traditionella synsättet där organisationer fokuserar på hot utifrån och samtidigt utgår från att allt innanför nätverksgränsen är betrott och ofarligt. De flesta säkerhetsincidenter uppstår eftersom angripare, så fort de tagit sig in, relativt enkelt kan röra sig lateralt i systemet och komma åt fler resurser. Innan man sätter all sin tillit till zero trust‑modellen är det klokt att väga dess fördelar och nackdelar.

Fördelar med zero trust‑modellen

  • Organisationen blir betydligt mindre sårbar för cyberhot.
  • Autentiseringsprocesserna är mycket strikta.
  • Förbättrat skydd av företagsdata.
  • Mycket avancerad säkerhetsstruktur.

Nackdelar med zero trust‑modellen

  • Implementeringen är tidskrävande.
  • Hantering av många användare är krävande eftersom varje åtkomstbegäran måste autentiseras.
  • Säkerhetskopiering blir mer komplex eftersom data lagras på flera platser.

Vad är ZTNA?

ZTNA är den senaste produkten i Sophos Central‑portföljen och levereras och hanteras helt i molnet. Syftet är att ge fjärranvändare säker åtkomst till applikationer. Vad gör ZTNA i praktiken? Lösningen bygger på zero trust‑ramverket, vilket innebär att användaren verifieras på alla rimliga sätt för att minimera risken för intrång. Det omfattar användarautentisering (vanligen tvåfaktorsautentisering för att förhindra att stulna inloggningsuppgifter missbrukas), kontroll av enhetens status och verifiering av att enheten följer gällande policys innan åtkomst beviljas.

ZTNA‑process för att bevilja åtkomst till användare

Hur står sig ZTNA jämfört med VPN?

VPN har tjänat oss väl under lång tid, men ZTNA ger en bättre lösning när man jämför dem sida vid sida. På vilka punkter överträffar ZTNA VPN?

  • Bättre säkerhet: Säkerheten för anslutna applikationer förbättras avsevärt eftersom ZTNA – till skillnad från VPN – även kontrollerar enhetens integritet och status. En komprometterad enhet kan skada andra system rejält.
  • Transparens: ZTNA ger användare en transparent upplevelse med smidig anslutningshantering. VPN kan vara krångligt att använda och leder ofta till supportärenden.
  • Granulär kontroll: ZTNA ger segmenterad åtkomst till applikationsdata, medan VPN normalt ger bred nätverksåtkomst när autentiseringen väl är klar. Det är precis den situation angripare gillar: när de väl är inne kan de i lugn och ro röra sig mellan enheter. En enda lyckad autentisering kan i praktiken ge åtkomst till tusentals system.

Eftersom VPN är en teknik som utvecklades för mer än 20 år sedan börjar den få tydliga begränsningar. Ursprungligen designades VPN för att utvidga betrodda nätverk och koppla samman anställda i ett gemensamt företagsnät. I dag används molnapplikationer av stora användargrupper som ansluter från flera olika enheter, vilket gör VPN till ett mer sårbart och mindre säkert val. Angripare utnyttjar gång på gång dessa svagheter, och sårbarheter i VPN‑lösningar har blivit en allvarlig risk för organisationer.

Jämförelse mellan ZTNA och VPN

Vilka applikationer kan ZTNA skydda?

ZTNA skyddar anslutna applikationer som körs i organisationens egna nätverk eller i det publika molnet. Det gäller till exempel wikis, Jira och andra typer av repositorier eller ärendehanteringssystem. ZTNA skyddar inte applikationer som inte ägs av kunden.

Komponenter i ZTNA

Sophos ZTNA består av tre huvudkomponenter:

  • Sophos Central: en molnbaserad administrationsplattform för alla Sophos‑produkter, inklusive Sophos ZTNA. Plattformen är molnredo och gör det enkelt att hantera distribution, policys och rapportering.
  • Sophos ZTNA Gateway: en virtuell appliance som skyddar applikationer i lokala miljöer eller i publika moln. Inledningsvis stöds AWS och VMware ESXi, och stöd för Azure, Hyper‑V och Nutanix kommer snart.
  • Sophos ZTNA Client: ger sömlös anslutning till applikationer baserat på slutanvändaridentitet och enhetsstatus. Klienten är enkel att rulla ut och hämtar information om enhetens status från Windows Security Center. Till att börja med stöds endast Windows, men stöd för macOS, Linux samt de mobila operativsystemen iOS och Android är planerat.

När blir Sophos ZTNA tillgängligt?

Sophos har redan lanserat Early Access Program för Sophos Zero Trust Network Access (ZTNA). Den första fasen ger klientlös åtkomst till webbaserade applikationer som CRM‑system och ärendehanteringsverktyg (till exempel JIRA). I nästa fas planeras ytterligare förbättringar, bland annat en Windows‑klient med integrerad distribution tillsammans med Intercept X, Synchronized Security för enhetshälsa, fler identitetsleverantörer och en AWS‑gateway.

Licensiering och priser

Precis som för andra Sophos Central‑produkter licensieras ZTNA per användare och inte per enhet. En användare med flera enheter behöver alltså bara en licens. Vid lanseringen kommer även en kostnadsfri testversion att finnas tillgänglig, så att organisationer kan utvärdera produkten ordentligt innan de bestämmer sig för att köpa licenser.

Patrizio

Patrizio

Patrizio ar en erfaren natverksspecialist med fokus pa Sophos-brandvaggar, switchar och accesspunkter. Han stottar kunder och IT-team med konfiguration, migrering och ren natverkssegmentering.