Если вы управляете организацией, вы можете использовать VPN, чтобы ваши сотрудники могли удаленно подключаться к сети вашей компании для доступа к файлам и программам так же, как если бы они сидели за своим офисным столом.
Это звучит здорово в теории, но на практике это может быть рискованно. По умолчанию виртуальные частные сети предоставляют любому, кто подключен к сети, полный доступ ко всей сети. Если устройство или пароль попадут в чужие руки, ваши данные могут оказаться под угрозой. Проблема усугубляется тем, что огромное количество людей теперь работают из дома, часто используя свои собственные устройства.
Модель нулевого доверия
ZTNA (доступ к сети с нулевым доверием) предлагает другой путь вперед. В отличие от VPN, которые автоматически предоставляют доступ ко всем устройствам в сети, система Zero Trust не разрешает доступ с любого устройства, если только устройство не было специально настроено для разрешения доступа.
Это делается путем создания различных уровней доступа с помощью политик доступа. Например, предположим, что сетевой администратор находится дома и ему нужно обновить веб-сайт своей компании. Если они используют свой корпоративный ноутбук для подключения к веб-серверу своей компании, система Zero Trust проверит, предоставлены ли человеку права на редактирование файлов веб-сайта, а также разрешено ли ему делать это с этого устройства.
Кроме того, если система распознает пароль, но сетевой администратор подключается с неавторизованного устройства, его можно настроить так, чтобы предоставить им доступ только для чтения или просто полностью заблокировать подключение. Это сильно отличается от модели доверия VPN, которая автоматически разрешает полный доступ к любому устройству с правильными паролями.
Преимущества нулевого доверия
В отличие от большинства программ VPN, программное обеспечение безопасности Zero Trust обычно отслеживает действия пользователей в режиме реального времени. Например Пинг-идентификациякоторый следует модели нулевого доверия, может потребовать от системы повторной аутентификации пользователя, если кто-то ведет себя рискованно, например, неоднократно пытается получить доступ к файлам, на чтение которых у него нет разрешения.
Это особенно полезно, когда сотрудники вашей организации используют мобильные устройства, так как их легко украсть. Если вы используете VPN, это означает, что все сетевые данные могут оказаться под угрозой, если пропадет хотя бы одно устройство.
Другое программное обеспечение с нулевым доверием, такое как Твингейт специально разработан для защиты удаленного доступа к вашей сети, предлагая доступ отдельным пользователям или группам на основе контекста. Это чрезвычайно полезно, если третьим сторонам, таким как консультанты, нужен доступ к вашей сети, поскольку, хотя им может потребоваться доступ к некоторым данным, например, к вашим финансовым записям, им может не понадобиться просматривать журналы подключения к вашему серверу.
Не ноль суеты
Хотя в принципе модель «Нулевого доверия» звучит великолепно, на самом деле ее довольно сложно начать. Нулевое доверие — это не что-то одно; нет волшебной программы, которую вы можете скачать и запустить, чтобы преобразовать вашу сеть за одну ночь.
Чтобы перейти на модель с нулевым доверием, требуется время и исследования, особенно для людей в вашей организации, которые могут просто подключаться ко всей сети через VPN без ограничений, особенно если их просят повторно подтвердить свои пароли или использовать многофакторная аутентификация. Это может даже повлиять на производительность вашей организации.
Аутентификация пользователей и их устройств также требует гораздо большей вычислительной мощности, поэтому вам необходимо убедиться, что ваши серверы и другое вычислительное оборудование могут справиться с этим при внедрении системы безопасности Zero Trust.
Не игра с нулевой суммой
Разработчики программного обеспечения Zero Trust могут попытаться убедить вас, что лучший способ сохранить все ваши данные в безопасности — это избавиться от бизнес-VPN и использовать их продукт вместо этого. Тем не менее, правильно настроенная VPN может обеспечить многие преимущества Zero Trust без необходимости кардинального изменения используемого программного обеспечения.
Например, с Zero Trust легко обеспечить сегментация сети. Это процесс разбиения большой сети на более мелкие, более управляемые сегменты, в которых вы можете ограничить доступ определенных пользователей к определенным частям сети. Однако это не обязательно дает то, чего не может сделать большинство VPN. OpenVPN поддерживает групповой ACL, который можно использовать для создания отдельных политик доступа для групп пользователей. Например, сотрудникам может быть предоставлен доступ к серверу электронной почты для проверки своих сообщений, но не к основным серверам, управляющим сетью.
Точно так же OpenVPN имеет инструменты управления доступом, которые можно использовать для управления тем, может ли пользователь подключаться к другому пользователю и кто может получить доступ к личным подсети. Дальнейшая тонкая настройка доступна через Active Directory (LDAP) облегченного протокола доступа к каталогам, чтобы точно управлять тем, кто может войти в систему, к каким службам они могут получить доступ и когда.
Если это звучит знакомо, подумайте о словах генерального директора OpenVPN: «Утверждать, что ваша VPN не предлагает доступ к сети с нулевым доверием, все равно что заявлять, что ваш автомобиль небезопасен, потому что в нем нет ремней безопасности». Ремни безопасности существуют — вам просто нужно их использовать, если вы хотите, чтобы они были эффективными».
Стоит ли переключаться?
Обеспечение безопасности ваших данных важно, но этого нельзя добиться, просто установив продукт с нулевым доверием или настроив VPN. Оба должны быть правильно настроены и активно поддерживаться, чтобы предотвратить доступ злоумышленников к вашей сети.
Если вы уже используете VPN, найдите время, чтобы изучить, какие политики безопасности уже действуют, так как вы, возможно, уже сможете принять модель нулевого доверия без капитального ремонта всей сети.
Если вы все еще заинтересованы в альтернативах, прочитайте наш 5 главных причин, почему возможно, вы захотите избавиться от своего устаревшего VPN.
2023-06-23 11:27:42
1687519813
#VPN #против #Trust #что #подходит #именно #вам