6 Приложение Zero Trust и сетевые решения для бизнеса

Исчезли традиционные периметры сетей. Доступ к приложениям и цифровым активам организации осуществляется из отдаленных мест, и контроль за этим доступом становится серьезной проблемой. Времена, когда границы сети можно было защитить, давно прошли. Пришло время для новых стратегий безопасности с нулевым доверием.

Когда цифровые активы компании вынуждены преодолевать большие расстояния по небезопасным путям Интернета, ставки настолько высоки, что нельзя никому и ничему доверять. Вот почему вам следует принять модель сети с нулевым доверием, чтобы постоянно ограничивать доступ всех пользователей ко всем сетевым ресурсам.

В сетях с нулевым доверием любая попытка доступа к ресурсу ограничивается пользователем или устройством, независимо от того, обращались ли они к тому же ресурсу ранее. Любой пользователь или устройство всегда должны проходить процесс аутентификации и проверки для доступа к ресурсам, даже если они физически находятся внутри организации. Эти проверки подлинности и проверки должны быть быстрыми, чтобы политики безопасности не ухудшали производительность приложений и удобство работы пользователей.

Нулевое доверие против VPN

Сетевая модель с нулевым доверием заменяет модель VPN, традиционно используемую компаниями для удаленного доступа своих сотрудников к своим цифровым активам. Виртуальные частные сети заменяются, потому что у них есть серьезный недостаток, который сети с нулевым доверием могут решить. В VPN любое нарушение, которое происходит в зашифрованном канале, который соединяет пользователя с сетью организации, предоставляет потенциальным злоумышленникам неограниченный доступ ко всем ресурсам компании, подключенным к сети.

В старых локальных инфраструктурах VPN работали хорошо, но они создают больше рисков, чем решения в облачных или смешанных инфраструктурах.

Сети с нулевым доверием исправляют этот недостаток VPN, но добавляют потенциальный недостаток: они могут привести к дополнительной сложности с точки зрения реализации и обслуживания, поскольку авторизация должна быть актуальной для всех пользователей, устройств и ресурсов. Это требует дополнительной работы, но ИТ-отделы в свою очередь добиваются большего контроля над ресурсами и снижения уязвимостей.

К счастью, преимущества сети с нулевым доверием могут быть реализованы без необходимости дополнительных усилий по обслуживанию и развертыванию, благодаря инструментам, которые автоматизируют и помогают в задачах сетевого администрирования. Обсуждаемые ниже инструменты помогают применять политики нулевого доверия с минимальными усилиями и затратами.

Периметр 81

Perimeter 81 предлагает два подхода к управлению и обеспечению безопасности приложений и сетей организации как в облачной, так и в локальной среде. Эти два предложения начинаются с предложения сетей с нулевым доверием как услуги. Для этого Perimeter 81 использует программно определяемую архитектуру периметра, которая обеспечивает большую гибкость для подключения новых пользователей и обеспечивает большую видимость сети. Кроме того, сервис совместим с основными поставщиками облачной инфраструктуры.

Доступ к приложениям с нулевым доверием основан на предположении, что каждая компания имеет критически важные приложения и службы, к которым большинству пользователей не нужен доступ. Сервис позволяет повышать барьеры для конкретных пользователей в зависимости от их ролей, устройств, местоположения и других идентификаторов.

Между тем, Zero Trust Network Access определяет сегментацию сети организации по зонам доверия, что позволяет создавать ограничения доверия, которые контролируют поток данных с высоким уровнем детализации. Доверенные зоны состоят из наборов элементов инфраструктуры с ресурсами, которые работают на одном уровне доверия и предоставляют аналогичные функции. Это уменьшает количество каналов связи и сводит к минимуму возможность угроз.

Служба Zero Trust Network Access (ZTNA) Perimeter 81 предлагает полное и централизованное представление сети организации, обеспечивая минимально возможный доступ к каждому ресурсу. Его функции безопасности соответствуют модели SASE Gartner, поскольку безопасность и управление сетью объединены на единой платформе.

Две услуги Permiter 81 включены в схему ценообразования с широким спектром опций. Эти варианты варьируются от базового плана со всем необходимым для обеспечения безопасности и управления сетью до корпоративного плана, который может неограниченно масштабироваться и обеспечивает выделенную поддержку 24/7.

На днях лидером ZTNA был назван «Периметр 81».

ZScaler Частный доступ

ZScaler Private Access (ZPA) - это облачная сетевая служба с нулевым доверием, которая контролирует доступ к частным приложениям организации, независимо от того, находятся ли они в частном центре обработки данных или в общедоступном облаке. С ZPA приложения полностью невидимы для неавторизованных пользователей.

В ZPA связь между приложениями и пользователями осуществляется по стратегии «наизнанку». Вместо того, чтобы расширять сеть для включения пользователей (как это должно происходить при использовании VPN), пользователи никогда не находятся внутри сети. Такой подход существенно снижает риски, избегая распространения вредоносных программ и рисков бокового перемещения. Кроме того, область применения ZPA не ограничивается веб-приложениями, а ограничивается любыми частными приложениями.

ZPA использует технологию микротоннелирования, которая позволяет администраторам сети сегментировать сеть по приложениям, избегая необходимости создавать искусственную сегментацию в сети или применять контроль с помощью политик межсетевого экрана или управления списками контроля доступа (ACL). Микротоннели используют шифрование TLS и настраиваемые закрытые ключи, которые повышают безопасность при доступе к корпоративным приложениям.

Благодаря усовершенствованиям API и машинного обучения (машинного обучения) ZPA позволяет ИТ-отделам автоматизировать механизмы нулевого доверия, обнаруживая приложения и создавая для них политики доступа, а также автоматически генерируя сегментацию для каждой отдельной рабочей нагрузки приложения.

Доступ к Cloudflare

Сетевой сервис Cloudflare с нулевым доверием поддерживается частной сетью с точками доступа, распределенными по всему миру. Это позволяет ИТ-отделам обеспечивать высокоскоростной и безопасный доступ ко всем ресурсам организации - устройствам, сетям и приложениям.

Сервис Cloudflare заменяет традиционные сетевые периметры безопасности, используя вместо этого безопасный доступ с близкого расстояния, который обеспечивает оптимальную скорость для распределенных рабочих групп.

Доступ с нулевым доверием Cloudflare управляет всеми приложениями в организации, аутентифицируя пользователей через собственную глобальную сеть. Это позволяет ИТ-менеджерам записывать каждое событие и каждую попытку доступа к ресурсу. Кроме того, это упрощает обслуживание пользователей и добавление дополнительных пользователей.

С помощью Cloudflare Access организация может поддерживать свою личность, поставщиков защиты, состояние устройства, требования к местоположению для каждого приложения и даже существующую облачную инфраструктуру. Для управления идентификацией Cloudflare интегрируется с Azure AD, Okta, Ping и положением устройства, с Tanium, Crowdstrike и Carbon Black.

Cloudflare предлагает бесплатную версию своего сервиса, которая предоставляет основные инструменты и позволяет защитить до 50 пользователей и приложений. Вы должны выбрать платные версии службы для масштабирования для многих пользователей или приложений, которые добавляют другие преимущества, такие как круглосуточная поддержка по телефону и в чате.

Wandera

Сетевое решение с нулевым доверием Wandera Private Access предлагает быстрый, простой и безопасный удаленный доступ к приложениям организации, независимо от того, работают ли они в SaaS или развернуты внутри компании. Услуга отличается своей простотой, а процедуры установки могут быть выполнены за считанные минуты и не требуют специального оборудования, сертификатов или размеров.

Wandera Private Access предлагает гибкость для распределенных рабочих групп, работающих на разнородных платформах, с управляемыми или собственными устройствами (BYOD). Решение обеспечивает видимость доступа к приложениям в реальном времени, выявляет теневую ИТ-инфраструктуру и автоматически ограничивает доступ с зараженных или незащищенных устройств благодаря политикам доступа с учетом рисков.

С помощью Wandera Private Access можно реализовать модели безопасности, ориентированные на идентификацию, гарантируя, что только авторизованные пользователи могут подключаться к приложениям организации. Использование микротоннелей на основе приложений позволяет пользователям подключаться только к тем приложениям, к которым им разрешен доступ. Применение политик безопасности остается единообразным во всех инфраструктурах, будь то облако, центр обработки данных или приложения SaaS.

Система защиты Wandera основана на интеллектуальном механизме обнаружения угроз под названием MI: RIAM. В этот движок ежедневно поступает информация, предоставляемая 425 миллионами мобильных датчиков, что обеспечивает защиту от самого широкого спектра известных угроз и угроз нулевого дня.

Окта

Okta предлагает модель безопасности с нулевым доверием, которая охватывает широкий спектр услуг, включая защиту приложений, серверов и API; единый и безопасный доступ пользователей к локальным и облачным приложениям; адаптивная, контекстная, многофакторная аутентификация и автоматическое отключение для снижения рисков потери учетной записи.

Универсальная служба каталогов Okta обеспечивает единое консолидированное представление о каждом пользователе в организации. Благодаря интеграции групп пользователей с AD и LDAP и подключению к кадровым системам, приложениям SaaS и сторонним поставщикам удостоверений, Okta Universal Directory объединяет всех типов пользователей, будь то сотрудники компании, партнеры, подрядчики или клиенты.

Okta выделяется своей службой защиты API, поскольку API рассматриваются как новая форма теневой ИТ. Управление доступом к API Okta сокращает часы разработки и применения политик на основе XML до нескольких минут, облегчая внедрение новых API и интеграцию с партнерами для использования API. Механизм политик Okta позволяет внедрять передовые методы обеспечения безопасности API, легко интегрируясь с платформами идентификации, такими как OAuth. Политики авторизации API создаются на основе приложений, контекста пользователя и членства в группах, чтобы гарантировать, что только правильные пользователи могут получить доступ к каждому API.

Сеть интеграции Okta позволяет избежать привязки к поставщику, предоставляя организациям свободу выбора из более чем 7000 встроенных интеграций с облачными и локальными системами.

ТолпаУдар Сокол

Решение безопасности с нулевым доверием CrowdStrike Falcon Identity Protection быстро предотвращает нарушения безопасности из-за взлома удостоверений, защищая удостоверения всех пользователей, местоположений и приложений в организации с помощью политик нулевого доверия.

Falcon Identity Protection направлен на снижение затрат и рисков и повышение рентабельности инвестиций в используемые инструменты за счет снижения требований к инженерным ресурсам и устранения избыточных процессов безопасности.

Унифицированный контроль всех удостоверений упрощает реализацию стратегий условного доступа и адаптивной аутентификации, а также обеспечивает лучший пользовательский опыт и больший охват многофакторной аутентификации (MFA) даже для устаревших систем.

Решение удаленного доступа CrowdStrike предлагает полную видимость активности аутентификации всех учетных записей и конечных точек, предоставляя, среди прочего, данные о местоположении, источнике / назначении, типе входа (учетная запись человека или службы). В свою очередь, он защищает сеть от внутренних угроз, таких как устаревшие привилегированные учетные записи, неправильно назначенные учетные записи служб, ненормальное поведение и учетные данные, скомпрометированные атаками с боковым перемещением.

За счет интеграции с существующими решениями безопасности развертывание Falcon Identity Protection осуществляется за минимальное время и без проблем. Помимо прямой интеграции с решениями безопасности для критически важных ресурсов, такими как CyberArk и Axonius, CrowdStrike предлагает высокопроизводительные API-интерфейсы, которые позволяют компаниям интегрироваться практически с любой системой.

Вывод

Кажется, что новая норма останется, и ИТ-администраторам нужно к ней привыкнуть. Удаленная работа останется повседневной реальностью, и сети организаций никогда больше не будут иметь четко определенных границ.

В этом контексте ИТ-администраторы должны как можно скорее внедрить решения для сетей и приложений с нулевым доверием, если они не хотят подвергать риску самые ценные цифровые активы своей организации.