ZTNA

Czy czasy VPN już minęły?

Przemysław Pięcek
Placeholder for Przemysław PięcekPrzemysław Pięcek

Przemysław Pięcek , Solutions Architect , Nomios Poland sp. z o.o.

Do przeczytania w 6 min.
Placeholder for Coastal protection concrete blocksCoastal protection concrete blocks
Fortinet

Share

Bezpieczeństwo IT

Nowa rzeczywistość, przeniesienie pracy z biura do domu wymaga wdrożenia nowego spojrzenia na bezpieczeństwo IT. Niezależnie jakie dane przechowuje Twoja firma, czy to są dane finansowe, osobowe lub inne - to właśnie one mają wielką wartość dla atakującego. Poprzez możliwość pracy zdalnej pracownicy często uzyskują bezpośredni dostęp do aplikacji internetowych, korzystają z niedostatecznie zabezpieczonych sieci i pracują na podatnych lub zhakowanych urządzeniach, narażając firmy na zagrożenia i ryzyko wycieku danych. Aby zapobiec takim sytuacjom, cyberbezpieczeństwo w Twojej organizacji podniesie wdrożenie modelu zerowego zaufania.

Czym różni się podejście Zero Trust od tradycyjnych zabezpieczeń sieci?

Podejście Zero Trust jest aktualnie bardzo popularne i pisaliśmy już o nim w poprzednich artykułach. Zero Trust Security odnosi się do zasady „nigdy nie ufaj, zawsze sprawdzaj” i diametralnie zmienia tradycyjną koncepcję ochrony sieci z wykorzystaniem firewalla na styku sieci korporacyjnej i niezaufanego Internetu. Model oparty na tradycyjnym firewallu pomimo swoich niedoskonałości przez lata był ulepszany i w wielu firmach spełnia swoją rolę. Przykładem może być wykorzystanie stref zdemilitaryzowanych (DMZ) dla publicznie dostępnych aplikacji webowych, wirtualne sieci prywatne (VPN) do zdalnego dostępu lub wirtualne sieci lokalne (VLAN) do segmentacji sieci. Nie mniej jednak, podejście oparte jedynie na ochronie styku z Internetem, ma swoje wady – daje zbyt duże uprawnienia i udziela nadmiernego zaufania. Po nawiązaniu połączenia bez względu na to, czy łączysz się bezpośrednio czy korzystasz z VPN, jesteś "zaufany", czyli uzyskujesz autoryzowany dostęp do całej sieci wewnętrznej.

Czym jest Model Zero Trust Security?

Polityka bezpieczeństwa bazująca na modelu Zero Trust Security odchodzi od jednorazowego zaufania przydzielanego na podstawie lokalizacji użytkownika lub urządzenia. Zamiast tego, dostęp do infrastruktury i sieci przydzielany jest na podstawie szeregu kryteriów, analizowanych w sposób ciągły, takich jak tożsamość użytkownika oraz kontekst informacji. Zero Trust zabezpiecza dostęp do sieci zaczynając od domyślnego stanu „zerowego zaufania” czyli blokuj wszystko i wszystkich. Chodzi o całkowite odcięcie użytkownika od adresów IP, zasobów oraz urządzeń, dopóki sieć nie rozpozna użytkownika i nie zweryfikuje czy posiada on odpowiednie uprawnienia. Aby zminimalizować ryzyko penetracji sieci, Zero Trust powinno obejmować całą infrastrukturę informatyczną Twojego przedsiębiorstwa. W ten sposób dane wrażliwe będą chronione przed naruszeniem bezpieczeństwa i zagrożeń w czasie rzeczywistym. Gdy użytkownik próbuje uzyskać dostęp, musi być najpierw zweryfikowany. Weryfikacja odbywa się nie tylko na podstawie tożsamości użytkownika/urządzenia, ale również w oparciu o inne atrybuty takie jak kontekst (czas i data), geolokalizacja, anomalie, oraz stan urządzenia (ang. device security posture).

Jednakże, w odróżnieniu do poprzedniego modelu/architektury bezpieczeństwa, przyznany dostęp nie jest wieczny i stały. Użytkownik lub urządzenie, które uzyskało dostęp do zasobu nie może bez przeszkód poruszać się po sieci. Dostęp przydzielany jest w sposób bardzo szczegółowy, na przykład tylko na określony czas, do określonej części zasobu lub do wykonania z góry ustalonej funkcji. Kluczowym elementem modelu Zero Trust jest to, że zaufanie musi podlegać ciągłej analizie i ponownej ocenie. Jeżeli ważne atrybuty użytkownika (np. adres IP) lub urządzenia (np. wyłączona ochrona antywirusowa) uległy zmianie to dostęp do aplikacji musi zostać przerwany, a tożsamość ponownie zweryfikowana.

Placeholder for Security engineer glasses closeupSecurity engineer glasses closeup

Zero Trust Network Access

ZTNA to jedna z funkcjonalności w ramach koncepcji Zero Trust, która kontroluje dostęp do aplikacji, niezależnie od tego gdzie znajduje się użytkownik (sieć korporacyjna czy praca z domu) lub sama aplikacja jest zlokalizowana (w lokalnym DC czy chmurze). ZTNA stanowi naturalną ewolucję sieci VPN. W odróżnieniu do tradycyjnych tuneli VPN z nieograniczonym dostępem, ZTNA przyznaje dostęp per-sesja zaraz po tym gdy użytkownik i/lub urządzenie zostanie uwierzytelnione. Biorąc pod uwagę złożoność dzisiejszych sieci, ZTNA oferuje lepszy poziom bezpieczeństwa, bardziej granularną kontrolę i lepsze wrażenia użytkownika niż tradycyjny VPN. Gartner przewiduje, że do 2023r. , 60% przedsiębiorstw wycofa tradycyjne sieci VPN i zacznie korzystać z modelu ZTNA.

ZTNA – kluczowe aspekty

W dzisiejszym artykule przyjrzymy się rozwiązaniu oferowanym przez firmę Fortinet, który wprowadził koncepcję ZTNA w połowie roku 2021 wraz z pojawieniem się oprogramowania FortiOS 7.0. Obecni użytkownicy rozwiązań Fortinet po przejściu na wersje 7.0 mogą skorzystać z rozwiązania ZTNA bez ponoszenia dodatkowych kosztów, ponieważ nie wymaga ona dodatkowej licencji, co jest niewątpliwie dużą zaletą i wyróżnikiem na tle konkurencji (podobnie jak funkcjonalność SD-WAN).

Zero Trust Network Access (ZTNA) to metoda kontroli dostępu, która wykorzystuje identyfikację urządzenia klienckiego, uwierzytelnianie i tagi Zero Trust w celu zapewnienia dostępu do aplikacji. Dostęp do aplikacji jest przyznawany dopiero po weryfikacji urządzenia, sprawdzeniu tożsamości i autoryzacji użytkownika, a następnie wykonaniu kontekstowych kontroli przy użyciu tagów Zero Trust.

Gdy użytkownik otworzy aplikacje, nastąpi jego identyfikacja. Identyfikacja może odbywać się poprzez uwierzytelnianie wieloskładnikowe (ang. Multi-Factor Authentication, MFA) oraz zastosowanie metody jednokrotnego logowania (ang. Single Sign-on, SSO). Po zweryfikowaniu użytkownika, nastąpi sprawdzenie urządzenia poprzez cyfrowy certyfikat ZTNA. Następnie sprawdzony zostanie stan urządzenia, czy spełnia kryteria dostępu do aplikacji. Tymi kryteriami może być odpowiednia wersja oprogramowania (np. Windows), włączenie najnowszych sygnatur antywirusowych, a także odpowiednia pora dnia czy lokalizacja. Wszystkie sprawdzenia odbywają się w czasie rzeczywistym, w razie wykrycia nieprawidłowości lub nagłej zmiany stanu sesja może zostać przerwana i dostęp do aplikacji przestanie być możliwy.

Zazwyczaj użytkownik i urządzenie mają różne zestawy reguł dostępu w zależności czy znajdują się w sieci wewnętrznej czy łączą się poprzez sieć zewnętrzną z wykorzystaniem VPN. W dzisiejszych hybrydowych środowiskach zarządzanie regułami może być skomplikowane, co wpływa równocześnie na odczucia użytkownika końcowego, który musi wykorzystywać różne VPN do różnych zasobów. ZTNA może uprościć ten proces i pozytywnie wpłynąć na odczucia użytkowników.

Komponenty ZTNA:

Rozwiązanie ZTNA od Fortinet składa się z następujących komponentów:

  • FortiGate NGFW – firewall działa jako ZTNA proxy oraz tzw. policy enforcement. Znajduje się pomiędzy aplikacją a końcówkami i stale weryfikuje każde połączenie/sesje. Może występować zarówno w wersji sprzętowej jak i wirtualnej (VM). Odpowiada za zestawienie szyfrowanego tunelu (do użytkownika i aplikacji) oraz egzekwuje dostęp do aplikacji.
  • FortiClient w postaci agenta instalowanego na końcówkach oraz FortiClient Central Management, który może występować w postaci on-prem (FortiClient EMS) lub chmurowej (FortiClient Cloud)
  • System do uwierzytelniania użytkowników i urządzeń klasyIAM (ang. Identity and Access Management), jest rozwiązaniem opcjonalnym, ale niezbędnym gdy chcemy uruchomić funkcjonalność typu SSO czy MFA. Tego typu rozwiązanie niekoniecznie musi pochodzić od Fortinet, ponieważ mamy możliwość wykorzystania innych providerów ID typu Azure AD, Okta, Ping itd.
    • FortiAuthenticator – aby zapewnić usługę centralnego uwierzytelnienia, łącznie z SSO (ang. Single Sign-On)
    • FortiToken – aby zapewnić dodatkowy czynnik uwierzytelniający (MFA).

Zasada działania Fortinet ZTNA

W rozwiązaniu Fortinet, który umożliwia wykorzystanie funkcjonalności ZTNA od wersji FortiOS 7.0, agent VPN jest również agentem ZTNA. Aby zabezpieczyć ruch wychodzący do niezaufanego Internetu, agent uruchomiony na końcówce tworzy szyfrowane połączenie/tunel do proxy którym jest FortiGate. Tunel tworzony jest na żądanie i jest niewidoczny dla użytkownika, co jest jego główną zaletą w stosunku do połączenia VPN. Ponieważ każdy w sieci jest niezaufany i stanowi potencjalne zagrożenie, taki sam tunel tworzony jest zarówno dla użytkowników znajdujących się w sieci wewnętrznej jak i na zewnątrz.

Taka architektura ma również swoje zalety z punktu widzenia aplikacji. Użytkownik łączy się z FortiGate, a następnie realizowane jest proxy do aplikacji. Dzięki temu, takie połączenie może być „schowane” przed Internetem, bez względu na to gdzie aplikacja się znajduje (on-prem/cloud).

Pełny ZTNA (proxy) vs filtrowanie IP/MAC

ZTNA może być zrealizowane w dwóch trybach:

  • ZTNA proxy pozawala użytkownikom na bezpieczny dostęp do zasobów za pośrednictwem proxy z wykorzystaniem szyfrowanego SSL. Takie rozwiązanie eliminuje potrzebę wykorzystania VPN.
  • Filtorwanie IP/MAC używa tagów ZTNA, aby zapewnić dodatkowy czynnik sprawdzający, zwykle dla użytkowników znajdujących się wewnątrz sieci firmowej. Dla użytkowników zdalnych, filtrowanie IP/MAC powiązane jest z VPN.

Już niebawem ukaże się kolejna część artykułu, w której przedstawimy w szczegółach czym charakteryzują się oraz różnią poszczególne tryby ZTNA.

Zapisz się do naszego newslettera

Otrzymuj najnowsze wiadomości na temat bezpieczeństwa, spostrzeżenia i trendy rynkowe do swojej skrzynki pocztowej.

Updates

Więcej aktualizacji