ZTNA – co to jest i dlaczego warto go wdrożyć?

Rozwój technologii informatycznej wymusza na właścicielach firm zamianę podejścia do kwestii bezpieczeństwa. Konieczne staje się wdrożenie narzędzi, które pozwolą na odpowiednie zabezpieczenie danych i dostępu do sieci. Jedną z usług, która pomoże wyeliminować luki w zabezpieczeniach jest ZTNA (Zero Trust Network Access).

Technologia rozwija się w zastraszającym tempie, co ma realny wpływ na sposób funkcjonowania przedsiębiorstw i pracowników. Coraz więcej usług oferowanych jest na wirtualnych serwerach w chmurze, a użytkownicy chętniej decydują się na pracę zdalną — uzyskując dostęp z domu lub z innego miejsca zlokalizowanego poza siedzibą firmy. Zdarza się również, że praca wykonywana jest na własnych komputerach, zgodnie z polityką BYOD, a do sieci w biurze podłączonych jest wiele prywatnych urządzeń IoT pracowników i współpracowników.
Takie formy pracy sprawiają, że dla organizacji coraz trudniej jest zapanować nad przepływem danych, a co gorsza, uniknąć sytuacji, gdy dane zostaną wykradzione, wyciekną lub osoba z zewnątrz uzyska do nich dostęp. W takiej sytuacji niezbędne są technologie, które zapewniają bardziej szczegółowy i precyzyjny dostęp do poszczególnych zasobów firmowych, chroniąc jednocześnie przed niepowołanym dostępem, a z drugiej strony zapewniając bezpieczeństwo przed atakami z zewnątrz. Dlatego właśnie powstało rozwiązanie ZTNA.

Czym jest Zero Trust Network Access – ZTNA?

Zero Trust Network Access (ZTNA) to usługa bezpieczeństwa, dzięki której użytkownik dostaje dostęp do określonych aplikacji na podstawie ustalonych zasady bezpieczeństwa. Innymi słowy, aby dostać się do panelu administracyjnego aplikacji, użytkownik musi przejść przez określony proces uwierzytelnienia, który wykonywany jest w samej usłudze. Mówiąc bardziej obrazowo, ZTNA jest takim pracownikiem kina, który wpuszcza na salę tylko po okazaniu odpowiedniego biletu z kodem kreskowym.

Usługa ZTNA nie kończy się na samym podaniu haseł i uwierzytelnieniu. W takim przypadku tego typu usługa nie różniłaby się przecież znacząco od innych rozwiązań do kontroli dostępu. ZTNA, oprócz mechanizmu uwierzytelniania i kontroli dostępu, przyznaje użytkownikowi dostęp do aplikacji za pomocą bezpiecznego, szyfrowanego tunelu, który stanowi dodatkową warstwę ochrony. Wspomniany pracownik kina nie wprowadza cię do sali kinowej ze wszystkimi użytkownikami, ale do dedykowanego pokoju VIP, w którym możesz obejrzeć seans wybranego filmu. Do tej sali VIP nie może wejść nikt z zewnątrz i pooglądać twojego filmu, ta sama zasada dotyczy również ciebie.

Naczelną zasadą ZTNA jest “nigdy nie ufaj; zawsze weryfikuj”. W usłudze tej położony jest nacisk na uwierzytelnienie i sprawdzanie. Weryfikacji podlega nie tylko sam użytkownik, którego sprawdzona jest tożsamość, ale również status i kondycja urządzenia, za pomocą którego ta weryfikacja jest dokonywana. Ocenie poddany jest między innymi stan systemu operacyjnego (np. czy zawiera on wszystkie aktualizacje i poprawki), a samo urządzenie jest skanowane narzędziami antywirusowymi.

Organizacja, która wdrożyła w swojej sieci rozwiązanie ZTNA, może mieć pewność, że każde urządzenie, zarówno wewnętrzne, jak i zewnętrzne, są poddawane nieustannej weryfikacji i sprawdzaniu. To ułatwia ochronę sieci przed nieautoryzowanym dostępem czy złośliwym oprogramowaniem.

Czym różni się ZTNA od VPN?

Jak łatwo zauważyć, usługa ZTNA łączy w sobie kilka innych rozwiązań o podobnym działaniu. Jednym z nich jest chronione połączenie sieciowe (tunel), który przywodzi nam na myśl nic innego jak usługę wirtualnej sieci prywatnej (ang. Virtual Private Network – VPN). Czym różni się VPN od ZTNA? ZTNA, w pewnym sensie, jest następcą czy też ewolucją tradycyjnej sieci VPN.

ZTNA i VPN różnią się w kilku kluczowych aspektach, które mogą wpłynąć na wybór technologii do zastosowania w Twojej firmie.

1. Podejście do zaufania i zakres dostępu.

VPN >>, po autentykacji, udziela użytkownikom nieograniczonego dostępu do całej sieci, zakładając, że są godni zaufania. To daje potencjalnym atakującym możliwość dostępu do całej sieci po jednorazowym obejściu uwierzytelnienia. ZTNA, jak wspominałam wcześniej, jest w tym zakresie o wiele bardziej rygorystyczna i podąża za zasadą „nigdy nie ufaj, zawsze weryfikuj”. Korzystając z ZTNA, użytkownik po uwierzytelnieniu nie dostaje dostępu do wszystkiego, lecz tylko do wybranych aplikacji. Usługa ta segmentuje sieć na poziomie aplikacji i pozwala użytkownikom na dostęp tylko do tych części sieci, do których mają uprawnienia. Poza tym ZTNA uwierzytelnia zarówno użytkownika, jak i urządzenie przy każdym żądaniu dostępu do nowego segmentu sieci.
Zgodnie z tą zasadą, rozwiązania ZTNA mogą bardzo elastycznie podchodzić do kwestii dostępu i ograniczać go w sytuacjach, które mogą potencjalnie skutkować nieautoryzowanym działaniem. Na przykład, ZTNA może ograniczać dostęp, gdy pracownik łączy się z niezaufanej sieci publicznej, na przykład w kafejce internetowej czy na lotnisku, lub z innego urządzenia osobistego. Może też ograniczać możliwości edycji czy dostępu do pewnych danych, gdy urządzenie, z którego korzysta pracownik, nie ma pełni wymaganych zabezpieczeń.

2. Widoczność dla administratorów.

Kolejna różnica jest istotna z perspektywy zarządzania i monitoringu sieci. Połączenie przez VPN pozwala administratorom widzieć tylko to, że użytkownik uzyskał dostęp do sieci i kiedy to zrobił. Nie widać, które aplikacje są używane. W ZTNA, dzięki mikrosegmentacji, administrator ma wgląd w czasie rzeczywistym do konkretnych aplikacji i użytkowników, którzy mają do nich dostęp.

3. Prędkość połączenia.

Z uwagi na specyfikę obu rozwiązań, różnice te mogą być dostrzegalne również na poziomie samej prędkości połączenia. Warto przypomnieć, że VPN przesyła ruch przez wiele serwerów i centralny punkt w korporacyjnym centrum danych, co może powodować opóźnienia. ZTNA natomiast łączy użytkowników bezpośrednio z aplikacjami, eliminując potrzebę transmisji danych przez punkt centralny, co redukuje opóźnienia.

4. Prostota obsługi.

Aby umożliwić dostęp przez VPN, konieczne jest pobranie i konfigurowanie klienta VPN na każdym urządzeniu użytkownika. ZTNA, choć jest nieco bardziej skomplikowane do początkowego wdrożenia, po poprawnej konfiguracji działa niezauważalnie w tle. Użytkownik po uwierzytelnieniu może uruchomić potrzebne aplikacje bez dalszej interakcji.

Gdzie ZTNA jest wdrażane w pierwszej kolejności?

Rozwiązanie ZTNA sprawdza się wszędzie tam, gdzie dostęp do zasobów i aplikacji jest możliwy w formie zdalnej przez wielu użytkowników. Dotyczy to zarówno użytkowników korzystających z danej aplikacji jako usługi w chmurze, jak i pracowników uzyskujących dostęp do zasobów firmowych, pracując na przykład zdalnie. Możliwości zastosowania ZTNA są zatem nieograniczone. Tego typu rozwiązania powinny być wdrożone w pierwszej kolejności w:

Zdalne biura i pracownicy mobilni.

W czasach, kiedy większość pracodawców przechodzi na pracę hybrydową lub też w pełni zdalną, tego typu rozwiązania powinny być na porządku dziennym. W organizacji, w której wdrożony jest ZTNA, pracownik będzie miał dostęp wyłącznie do urządzeń i aplikacji, które są mu w danym momencie potrzebne do pracy. System nie tylko zarządza kontrolą dostępu i autoryzacją, ale również dba o aktualność systemów operacyjnych i działające oprogramowanie antywirusowe. Jeżeli bezpieczeństwo zostanie naruszone, dostęp jest blokowany lub ograniczany. Takie podejście minimalizuje ryzyko ataków w zróżnicowanym środowisku pracy, chroniąc korporacyjne zasoby przed nieuprawnionym dostępem.

Dostęp dla partnerów.

Rozwiązanie sprawdzi się również we wszystkich organizacjach, które współpracują z dużą ilością partnerów, dystrybutorów, dostawców itp. W ten sposób umożliwiamy dostęp do niezbędnych zasobów, a jednocześnie dbamy o bezpieczeństwo i ograniczamy możliwość wycieku danych o szczególnym znaczeniu.

Agencje rządowe/regulowane branże.

ZTNA jest jednym z narzędzi zapewniających wysoki poziom bezpieczeństwa, co jest szczególnie niezbędne w przypadku wszelkiego typu organizacji rządowych i branż operujących na wrażliwych danych, na przykład finanse czy bankowość. Poprzez wieloskładnikowe uwierzytelnianie i zaufane urządzenia do zdalnego dostępu, ZTNA jest zgodne z przemysłowymi wymogami zgodności i rygorystycznymi wymaganiami bezpieczeństwa, chroniąc krytyczne dane, nawet w przypadku potencjalnego naruszenia bezpieczeństwa urządzenia.

Dostawcy usług zdalnych w chmurze.

Rozwiązanie to szczególnie sprawdza się przy małych i średnich firmach, które oferują wszelkiego rodzaju usługi dostępne w chmurze, na przykład Software-as-a-Service (SaaS). ZTNA zapewnia wyższy poziom zabezpieczeń i ogranicza ryzyko nieautoryzowanego dostępu do aplikacji czy zagrożeń bezpieczeństwa.

Czytaj również: Audyt bezpieczeństwa infrastruktury sprzętowej IT

Jakie są zalety ZTNA?

Do niewątpliwych zalet ZTNA należy:

Dostęp oparty na tożsamości.

Jedną z największych zalet ZTNA jest dostęp oparty na tożsamości. Oznacza to, że każdy użytkownik ma unikalny dostęp do aplikacji na podstawie indywidualnych uprawnień. W ten sposób administrator ma cały czas rękę na pulsie. System sam weryfikuje na podstawie indywidualnych danych, kto może uzyskać dostęp do czego. Pracownik działu sprzedaży nie potrzebuje dostępu do serwerów IT, tak jak osoba z działu IT nie potrzebuje dostępu do wrażliwych danych klienta. Dostęp oparty na tożsamości w ZTNA zwiększa w ten sposób bezpieczeństwo poprzez ograniczanie dostępu tylko do niezbędnych zasobów.

Ciągły monitoring.

Kolejną zaletą ZTNA jest ciągłe monitorowanie dostępu do sieci i jej zasobów. W przeciwieństwie do VPN, które po autentykacji umożliwiają swobodny dostęp do sieci, ZTNA nieustannie monitoruje i rejestruje aktywność sieci. Pozwala to na szybkie wykrycie nietypowych wzorców działania, które mogą wskazywać na potencjalne zagrożenia lub naruszenia, a także pomaga w zapewnieniu zgodności z regulacjami.

Silna kontrola dostępu.

ZTNA zwiększa bezpieczeństwo, wykorzystując wielopoziomowe uwierzytelnianie (MFA). Jest to system, który wymaga od użytkowników co najmniej dwóch form uwierzytelnienia, zanim uzyskają dostęp do sieci. MFA może obejmować coś, co użytkownik zna (hasło), coś, co posiada (kod wysłany na telefon) i coś, czym jest (biometria). W efakcie ZTNA jest trudniejsze do sforsowania przez niepowołane osoby.

W jaki sposób wdrażamy ZTNA?

Wdrożenie ZTNA może na pierwszy rzut oka wydawać się skomplikowane, jednak w rzeczywistości przeprowadzane jest w kilku prostych krokach. Warto w tym miejscu dodać, że samo ZTNA może być wdrożone jako rozszerzenie istniejących już rozwiązań bezpieczeństwa sieciowego, takich jak Next-Generation Firewalls (NGFW).

Architektura ZTNA składa się z trzech prostych elementów: punktu końcowego, bramy i kontrolera/managera.

1. Agent na punkcie końcowym zbiera informacje, takie jak: czy urządzenie jest zarejestrowane i prawidłowe urządzenie korporacyjne, czy ma zainstalowane oprogramowanie antywirusowe lub antymalware, czy zawiera niezbędne łatki i aktualizacje oprogramowania.
2. Brama jest odpowiedzialna za wykonywanie zaawansowanych polityk ZTNA związanych z kontrolą dostępu do aplikacji. Może być umieszczona na krawędzi centrum danych lub chmury, chroniąc nie tylko zasoby lokalne, ale także aplikacje lub dane hostowane w dowolnej chmurze publicznej lub prywatnej.
3. Kontroler lub manager ma globalną widoczność wszystkich elementów ZTNA i jest w stanie przeprowadzić zaawansowane analizy żądań dostępu, uwzględniając postawę i zachowanie użytkowników i urządzeń. Współpracuje z innymi elementami ZTNA oraz korporacyjnymi katalogami tożsamości w celu ustalenia odpowiednich polityk ZTNA.

Rozwiązanie to można zaimplementować w systemie na dwa sposoby: inicjowanego przez punkt końcowy (endpoint) lub podejścia inicjowanego przez usługę w ramach funkcji przeglądarkowej razem z uwierzytelnieniem wieloskładnikowym (MFA).

Podejście inicjowane przez punkt końcowy.

W tym podejściu na urządzeniu końcowym instalowany jest agent, który inicjuje połączenie z aplikacją. Kontroler ZTNA autentykuje i weryfikuje żądanie. Po udzieleniu dostępu, urządzenie końcowe bezpośrednio łączy się z aplikacją.

Podejście inicjowane przez usługę

Ten sposób wdrażania, określany również jako “bez agentowy”, wykorzystuje element oprogramowania między urządzeniem końcowym, a aplikacją, który jest pośrednikiem w połączeniu. Po uwierzytelnieniu żądania, pośrednik proxy połączenie, zapewniając brak bezpośredniego dostępu z urządzenia końcowego. Główną zaletą tego podejścia jest to, że nie wymaga instalowania specjalnego oprogramowania na urządzeniu końcowym.

Podsumowanie

ZTNA to rozwiązanie, które w prosty sposób odpowiada na aktualne potrzeby przedsiębiorstw, które muszą zmierzyć się z problemem zabezpieczeń w rozproszonej organizacji z pracownikami zdalnymi, urządzeniami mobilnymi czy urządzeniami IOT. Dzięki narzędziom umożliwiającym kontrolę nad użytkownikami i ich dostępem do zasobów firmy znacznie ogranicza ryzyko wycieku danych i ewentualnego ataku cyberprzestępcy. To niewątpliwie rozwiązanie, które powinno być wdrożone w każdym przedsiębiorstwie, które zatrudnia pracowników zdalnych, oferuje usługi w chmurze czy współpracuje z zewnętrznymi partnerami, oferując im dostęp do swojej wewnętrznej aplikacji, danych i zasobów. na koniec warto dodać, że wdrażając ZTNA dostosowujemy naszą firmę do wymogów UE – rozwiązanie to spełnia kryteria NIS2 dotyczące obsługi incydentów (zapobieganie, wykrywanie i reagowanie na incydenty).

Potrzebujesz wsparcia w zakresie ZTNA?

Zapraszam do kontaktu telefonicznego ze mną pod numerem +48 515 135 478 lub mailowego pod adresem pt@sebitu.pl. Wybierzemy najlepsze rozwiązanie pod względem jakości, ceny i wymagań funkcjonalnych.

Ostatnia aktualizacja 2024-02-21