Традиционные VPN больше не справляются с задачей безопасного доступа к корпоративным ресурсам: они плохо масштабируются, не дают гибкого контроля и не обеспечивают полноценную защиту в условиях гибридной инфраструктуры. Новым стандартом информационной безопасности становится модель нулевого доверия ZTNA (Zero Trust Network Access).
Уязвимости и ограничения VPN в современных ИТ-средах
Если взглянуть на суть работы современного пользователя, то можно увидеть простую, не менявшуюся много лет парадигму, в которой пользователи работают с определенными приложениями. Однако сама идея приложения сильно поменялась. Если раньше оно было набором файлов либо ограниченным набором программ размещенным на одном или нескольких серверах и, как правило, собранных в одном ЦОДе, то сейчас конструкция выглядит совершенно иначе.
Теперь каждое приложение представляет собой большое количество разнообразных сервисов, которые раскиданы по инфраструктуре. Какие-то компоненты могут находиться в одном локальном ЦОДе, другие — во втором локальном ЦОДе, третьи — размещаться в корпоративном облаке, а четвертые — использовать внешние облачные ресурсы. Такая децентрализация приложений, с одной стороны, позволила быстрее и эффективнее их разрабатывать, а с другой стороны, создала огромную головную боль для специалистов по информационной безопасности.
Когда сотрудник подключается по VPN к корпоративной сети, как раньше, то он сразу получает доступ к широкому спектру сервисов. Этот набор сервисов динамически изменяется внутри себя, что делает почти невозможным детальное прописывание правил доступа. То есть пользователь получает доступ либо ко всему вообще, либо к жестко зафиксированному набору приложений. Проще говоря, классический подход к VPN дает черно-белую картинку: либо одна крайность, либо другая.
Стоит иметь в виду и еще один момент. Еще в
Очевидно, что VPN с его черно-белой структурой плохо сочетается с такой моделью. Именно поэтому сейчас идет активное внедрение подхода Zero Trust: в момент подключения пользователя нужно разобраться, кто это, какие у него обязанности, что представляет собой устройство, с которого он пытается подключиться, и после этого предоставить ему минимально необходимый доступ. Дальше в процессе подключения требуется мониторить, что происходит с приложением и рабочим местом пользователя. Если будет замечено отклонение от ожидаемой модели поведения, доступ пользователя должен быть ограничен, чтобы защитить данные, с которыми он работает.
Так модель VPN, некогда удобная и простая, стала неудобной в современных реалиях из-за отсутствия гибкости и возможностей для тонкой настройки доступа к распределенным и динамичным сервисам. В результате компании переходят к новой модели — Zero Trust Network Access.
Принципы и преимущества модели ZTNA
Говоря о ZTNA, стоит упомянуть важную вещь, связанную с удобством работы пользователя. Пользовательский опыт непрерывно развивается по спирали. Ранее активно применялись обычные VPN-клиенты, что создавало эксплуатационные проблемы: необходимо было заниматься их установкой на рабочие места, распространением цифровых сертификатов и своевременным их отзывом, обновлением и тому подобными задачами.
Чтобы упростить процесс, была разработана технология SSL VPN, или Clientless VPN, которая перенесла подключение в привычную среду работы пользователей — браузер. Однако вскоре выяснилось, что браузер не всегда подходит для защищенной работы с многими типами данных. Технология защиты передачи трафика в браузерах TLS даже модернизировалась для успешной передачи потокового голоса и видео (технология DTLS). Тем не менее вновь произошел «обратный» откат к клиентам, потому что работать через браузер оказалось недостаточно удобно и не всегда возможно.
Проще говоря, клиентский опыт, пройдя круг развития, снова вернулся к не самому комфортному для пользователей варианту. ZTNA в числе прочего решают вопрос повышения удобства для пользователей. При полноценной реализации они получает доступ к необходимым приложениям и данным, не занимаясь сложными вопросами администрирования VPN-клиента на рабочем месте.
Кроме того, важный момент технологии ZTNA — анализ рабочего места пользователя, который осуществляется в два этапа. Сначала — в момент подключения, когда проверяется наличие нужного защитного ПО. После того как доступ разрешен и пользователь начинает работать, состояние рабочего места может измениться. Например, пользователь открыл вредоносное вложение из фишингового письма, и на его рабочем месте оказался вредоносный код, который начал действовать. Современные системы типа EDR (Endpoint Detection and Response) способны обнаружить такое изменение состояния, сообщить в центр управления безопасностью (например, SOC), и после этого межсетевой экран нового поколения ограничивает доступ, понимая, что рабочему месту больше доверять нельзя.
Еще одна важная функция технологии ZTNA — беспарольная аутентификация. Многофакторная аутентификация обычно предполагает наличие двух факторов из следующих: «что я знаю» (пароль), «чем я обладаю» (например мобильный телефон) и «кем я являюсь» (биометрия). Классическая модель обычно включает пароль и мобильный телефон. Беспарольная аутентификация предполагает использование двух других факторов — биометрии и мобильного телефона, избавляя пользователей от необходимости помнить пароли и управлять ими. Эта практика позволяет эффективно решать давнюю проблему паролей и значительно повышает безопасность и удобство работы.
Таким образом, ZTNA — это эффективный подход, который обеспечивает анализ рабочего места пользователя, шлюз, способный разбираться с приложениями и предоставлять доступ только к тем ресурсам, к которым пользователь должен иметь доступ. Кроме того, он контролирует поведение пользователя с применением технологий машинного обучения и искусственного интеллекта, которые помогают определить не только прямые попытки вредоносного воздействия, но и действия, отклоняющиеся от стандартной модели поведения.
Как внедрить ZTNA с минимальными изменениями в инфраструктуре
Перед компаниями, которые задумываются о внедрении ZTNA, встает вопрос: как это сделать с минимальными изменениями в существующей инфраструктуре. Начинать следует с базовых шагов, которые не требуют радикальных преобразований и позволяют заложить надежный фундамент для дальнейшего развития.
Первое, с чего стоит начать, — это обязательный перенос VPN-шлюза за межсетевой экран нового поколения (NGFW), поскольку требуется не общий доступ («широкие ворота»), а доступ к конкретным приложениям и сервисам. Именно на таком межсетевом экране следует настроить политики доступа, интегрированные с ролями в организации. В идеальном сценарии роли и группы пользователей уже существуют в корпоративном каталоге.
Важно, чтобы структура групп отражала должностные обязанности или роли пользователей. Именно тогда межсетевой экран нового поколения реально сможет предоставить каждому пользователю доступ только к тем приложениям, которые необходимы для выполнения его рабочих задач, независимо от того, где они расположены — в частном облаке, публичном облаке или классическом ЦОДе.
Второй ключевой элемент — точка терминирования зашифрованного трафика и анализа информации о рабочем месте пользователя. Эту функцию может выполнять VPN-шлюз, шлюз доступа к веб-приложениям (например, Secure Web Gateway — SWG) или шлюз приложений (WEB Application Firewall — WAF, он же межсетевой экран прикладного уровня). Эти устройства или решения должны решать две основные задачи. Первая — расшифровка удаленного трафика, чтобы механизмы контроля приложений (application control) работали надежно. Вторая задача — анализ состояния и безопасности рабочего места пользователя как на этапе подключения, так и в процессе последующей работы.
Следующий шаг — клиентская сторона. На ней необходим либо корпоративно управляемый браузер, который может передавать информацию о состоянии рабочего места, либо специализированный VPN/ZTNA-клиент с аналогичными возможностями. Таким образом, дополнительно к межсетевому экрану и шлюзам на рабочем месте пользователя должна быть настроена многофакторная аутентификация. В идеальном сценарии — беспарольная, поскольку именно она снимает нагрузку с пользователя и радикально повышает уровень безопасности и удобство работы.
Все необходимые технологии и инструменты уже существуют и проверены на практике: корпоративные каталоги пользователей, межсетевые экраны нового поколения, шлюзы и VPN/ZTNA-клиенты, поддерживающие интеграцию с многофакторной аутентификацией и службами мониторинга рабочего места.
Если в качестве резюме сжато разложить все вышесказанное по пунктам и задаться вопросом, как внедрять новый подход, то получится нижеследующая картина.
· Пункт номер один по необходимости и сложности внедрения — это многофакторная аутентификация на клиенте. Мы должны быть уверены, что клиент — это именно тот, за кого он себя выдает.
· Пункт номер два: инфраструктура в любом случае должна быть зонирована. Сначала контролируется доступ пользователей через Интернет, а после этого контролируется доступ пользователей к внутренним ресурсам. То есть внутренняя инфраструктура должна быть поделена на зоны, где реализован механизм эшелонированной обороны. Это важно сделать, поскольку злоумышленник не обязательно будет только снаружи — он может оказаться и внутри. Выстраивать эту оборону необходимо на межсетевых экранах нового поколения, поскольку требуется глубокий анализ приложений и контроль действий пользователей.
· Третий пункт — проверка соответствия пользователя корпоративным ИТ-политикам и политикам безопасности. Она нужна для того, чтобы уменьшить вероятность взлома через взломанного пользователя.
· Четвертый этап, если говорить чисто о технических, а не организационных моментах, это мониторинг всей инфраструктуры и системы безопасности начиная от рабочего места пользователя и заканчивая нашими ZTNA.
· Пятый момент — создание детального плана реагирования на инциденты, проработанного как технически, так и организационно.
· И последний, шестой момент — это применение современных технологий, таких как машинное обучение, для идентификации более широкого круга инцидентов на базе поведенческой аналитики.
Дальнейшее развитие этого минимального сценария будет заключаться в более глубоком анализе приложений, ужесточении и уточнении политик доступа, усилении контроля за состоянием рабочих мест пользователей и внедрении комплексного мониторинга на основе машинного обучения и искусственного интеллекта. Эти меры позволят реализовать полный цикл управления доступом к данным и приложениям в рамках полноценной модели нулевого доверия. Все это позволит с минимальными изменениями в инфраструктуре постепенно перейти от классического VPN к современному, более безопасному и удобному подходу ZTNA.
