В эпоху цифровизации и удаленной работы традиционные подходы к сетевой безопасности становятся все менее эффективными. На смену им приходят инновационные решения, среди которых особое место занимают ZTNA, SASE и DiD.
Zero Trust Network Access (ZTNA)
ZTNA — это набор технологий, обеспечивающих безопасный удаленный доступ к приложениям и сервисам на основе строгой проверки пользователей.
Данный подход получил своё развитие благодаря двум факторам:
- Возрастающая популярность облачных технологий;
- Переход на удаленный формат работы.
Концепция “нулевого доверия” предполагает, что решение о предоставлении или непредоставлении доступа к ресурсу принимается каждый раз в момент самого обращения. То есть никакие сохранения сессий или куки файлы не являются подтверждением, только новое подключение со всеми проверками.
Основными принципами в ZTNA являются:
- Проверка каждого пользователя и устройства;
- Предоставление доступа только к необходимым ресурсам;
- Постоянное подтверждение легитимности доступа.
Ключевые преимущества предоставляемые технологией:
- Минимизация поверхности атаки;
- Предотвращение бокового перемещения злоумышленников;
- Точный контроль доступа.
Контекстом для принятия решения о предоставлении или непредоставлении доступа в ZTNA могут являться:
- Сетевой контекст (тип подключения, геолокация);
- Контекст устройства (модель, ОС, обновления, локализация);
- Пользовательский контекст (идентификация);
- Ролевой контекст (авторизация);
- Контекст безопасности (компрометация данных);
- и многое другие.
Secure Access Service Edge (SASE)
SASE представляет собой облачную архитектуру, объединяющую сетевые и защитные функции в единую платформу.
SASE является комплексным подходом и предоставляется множеством вендоров. Концепция SASE разработана исследовательской компанией Gartner в 2019 году.
Главная цель SASE сформулирована следующим образом:
Cервис безопасного и оптимального доступа к IT-ресурсам (симбиоз выбора стабильного канала связи и обеспечения информационной безопасности ресурсов).
Основными компонентами SASE являются:
- ZTNA - модель сетевого доступа к ресурсам на основе политики “нулевого доверия”;
- Secure Web Gateway (SWG) - динамический подбор наилучшего способа подключения в зависимости от производительности;
- Cloud Access Security Broker (CASB) - брокер безопасного доступа к облачным ресурсам;
- Software defined wide area network (SD-WAN) - динамический подбор наилучшего способа подключения в зависимости от производительности.
Также могут быть реализованы дополонительные компоненты:
- Data leak prevention (DLP) - предотвращение утечек;
- Quality of service (QoS) - приоритизация трафика;
- Web application firewall (WAF);
- Virtual private network (VPN) - виртуальная частная сеть;
- User entity behaviour analysis (UEBA) - поведенческий анализ;
- Антифрод-инструменты - оценка вероятности финансового мошенничества;
- Инструменты обфускации — изменение исходного кода в целях затруднения анализа при сохранении функциональности;
- Инструменты защиты DNS / Wi-Fi от подмена и взлома.
Чтобы стать сертифицированным поставщиком SASE решений, нужно пройти сертификацию в Gartner. Поставщиками являются, например:
- Cisco;
- Check Point Software;
- Cloudflare;
- Fortinet;
- Juniper Networks;
- Palo Alto Networks;
- VMware;
- Zscaler.
Device Identity and Detection (DiD)
DiD — это подход к безопасности, основанный на идентификации устройств и их постоянном мониторинге. DiD является концепцией “глубокой защиты”, в его основу заложены несколько степеней защиты, методы которых не пересекаются.
DiD делит организацию защиты инфраструктуры на три контролируемые части:
- Физическая средства защиты;
- Технические средства защиты;
- Административные средства защиты.
К физическим средствам можно отнести:
- Охранные системы;
- Системы контроля и управления доступом;
- Видеонаблюдение;
- Сигнализационные системы.
К техническим средствам можно отнести:
- Контроль сетевого доступа;
- Межсетевые экраны;
- Антивирусная защита;
- Прокси-серверы;
- Системы аутентификации и авторизации.
К административным средствам можно отнести:
- Регулирование и управления самих средств защиты;
- Обработка сенсетивной информации;
- Ведение списков разрешенных и запрещенных ПО;
- Политики взаимодействия с гостевыми допусками, внешними ресурсами и организациями.
ZTNA, SASE и DiD представляют собой современные подходы к обеспечению сетевой безопасности, каждый из которых решает определенные задачи. Их совместное использование позволяет создать комплексную систему защиты, отвечающую современным требованиям.