+11 голос |
За останні пару років організації пережили масовий перехід до віддалених і гібридних робочих середовищ, що різко збільшило їхні поверхні атак і ризики.
До недавнього часу більшість компаній покладалися на віртуальні приватні мережі (VPN) і локальні методи захисту для безпечного віддаленого доступу. З 2020 року обмеження цих методів стали до болю очевидними. Зокрема, вони не можуть легко масштабуватися, ІТ-спеціалістам бракує видимості користувачів і діяльності, продуктивність знижується під час транспортування трафіку до стеку безпеки в центрі обробки даних їх складно використовувати в хмарних середовищах
З цих причин захист доступу з нульовою довірою, або Zero Trust Network Access (ZTNA), стає критично важливим елементом стандартизованої архітектури безпеки. Модель ZTNA «ніколи не довіряє і завжди перевіряє».
Gartner визначає ZTNA як «продукти та послуги, які створюють межу логічного доступу на основі ідентифікації та контексту, яка охоплює корпоративного користувача та внутрішню програму або набір програм. Програми приховано від виявлення, а доступ обмежено через довірчий брокер до набору названих об’єктів. Посередник перевіряє особу, контекст і дотримання політики зазначених учасників, перш ніж дозволити доступ, і мінімізує бічний рух в інших місцях мережі».
Більше, ніж просто заміна VPN, ZTNA гарантує, що всі користувачі та пристрої — як у мережі організації, так і за її межами — проходять автентифікацію, авторизацію та постійну перевірку конфігурації та стану безпеки перед наданням або збереженням доступу до програм і даних.
Оцінюючи рішення ZTNA, слід пам’ятати про сім ключових міркувань.
По-перше, рішення має забезпечити доступ для всіх — співробітників із керованими пристроями, пристроїв BYOD, мобільних пристроїв, сторонніх партнерів, команд інженерів і користувачів DevOps. Шукайте клієнтський доступ до захищених співробітників за допомогою керованих пристроїв і безклієнтської архітектури для безпечного доступу до веб-програм, баз даних, віддалених робочих столів і серверів безпечної оболонки (SSH). Обов’язково також врахуйте основні вимоги PAM для команд, яким потрібен доступ до багатохмарних середовищ і єдиного входу (SSO) до приватних ресурсів, таких як сервери, термінали та бази даних.
По-друге, треба переконатися, що рішення ZTNA підтримує всі високопріоритетні приватні програми та ресурси, а не лише веб-програми. Це включає доступ до терміналів SSH, баз даних SQL, віддалених робочих столів (RDP) і серверів. Командам DevOps та інженерам потрібен доступ ZT до пропозицій інфраструктури як послуги (IaaS), хмарних виробничих середовищ, мікросервісів і віртуальних приватних хмар.
По-третє, забезпечте просте розгортання та швидкий час окупності.
Шукайте готову інтеграцію постачальника ідентифікаційної інформації (IdP) через такий стандарт, як SAML 2.0, а також інтуїтивно зрозумілу детальну конфігурацію політики. Подивіться, як розгорнути безклієнтський ZTNA за 15 хвилин, щоб швидко отримати віддачу.
Четверте - забезпечте простоту експлуатації. Шукайте рішення ZTNA, яке пропонує максимальну цінність з мінімальним обслуговуванням і без необхідності наймати додатковий персонал. Хмарні рішення з уніфікованою консоллю прості у використанні та забезпечують видимість у всіх випадках використання ZTNA.
П'яте - необхідно забезпечити високу продуктивність і доступність послуг.
Послуга ZTNA повинна забезпечувати час безвідмовної роботи близько 99,999% і високу продуктивність, що підтримується угодами про рівень обслуговування (SLA). Перегляньте угоди SLA постачальника та знайдіть глобальну мережу точок присутності (PoP) із резервуванням у кожній зоні.
Шосте - забезпечте надійність безпеки без довіри. Шукайте рішення ZTNA, які розділяють площину керування та даних, щоб забезпечити справжній мінімальний доступ до програм та інших ресурсів. Необхідно пропонувати детальні елементи керування в програмі, такі як дозволи на читання, запис, адміністрування та політики ввімкнення на рівнях команд і запитів. Можливість звітувати про групи, користувачів і використання програм із доступом до записів відеосеансів забезпечує глибоку видимість. Також перевірте наявність додаткових вбудованих функцій безпеки, таких як ізольоване програмне середовище, хмарний IPS і DLP.
Нарешті сьомий пункт - розглянемо, як рішення ZTNA можна розширити, щоб захистити інші випадки використання — доступ до філії (FWaaS), доступ до Інтернету (SWG) і доступ до SaaS — через Security Service Edge (SSE). Захист віддаленого ZTNA є критично важливим кроком до ширшої архітектури безпеки без довіри.
Віддалений доступ повинен забезпечувати безпеку доступу до будь-якої внутрішньої корпоративної програми, що знаходиться в центрі обробки даних, IaaS, публічних або приватних хмарах. Наприклад віддалений доступ Check Point Harmony Connect можна реалізувати двома способами.
Перший - це безклієнтський доступ на рівні додатків: застосовуйте інтуїтивно зрозумілий ZTNA до веб-додатків, баз даних, віддалених робочих столів і серверів SSH за допомогою детальних елементів керування в додатку. Цей варіант ідеально підходить для захисту віддаленого доступу з некерованих пристроїв (BYOD) і сторонніх партнерів, оскільки агент не потрібен. Він також забезпечує безпечний доступ для команд інженерів і DevOps, яким потрібні широкі можливості хмарної автоматизації, включаючи PAM-як-сервіс, до мультихмарних і приватних ресурсів.
Другий спосіб - доступ на рівні мережі на основі клієнта: цей варіант VPN як послуги ідеально підходить для забезпечення доступу співробітників із керованих пристроїв. Він включає вбудовану хмарну DLP і провідну в галузі хмарну IPS для захисту програм від останніх уразливостей, таких як Log4J.
Оцінюючи рішення Zero Trust Network Access пам'ятайте про сім ключових міркувань.
Дополнительную информацию о компании и ее решениях вы можете найти на специальной странице http://ko.com.ua/check_pointReady, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
+11 голос |