Jako reakce na nové výzvy v hybridním pracovním prostředí vznikl koncept ZTNA (Zero Trust Network Access) jako přístup k síti na bázi nulové důvěry. Zero trust se logicky nabízí jako jednoduchý vstup do světa SSE a postupně se tímto principem dá nahradit tradiční VPN přístup, který je dnes už v mnoha ohledech nepraktický.
Universal ZTNA jde o krok dál
Zero trust princip spočívá v tom, že každý uživatel a zařízení bez ohledu na místo připojení je při přístupu ke konkrétním zdrojům průběžně ověřován a autorizován. Uživatelé tak mají přístup pouze k těm aplikacím a datům, které nutně potřebují pro svou práci. Klasické ZTNA se zaměřuje primárně pouze na zabezpečení vzdáleného přístupu. HPE Aruba Networking jde s Universal ZTNA (UZTNA) ještě o krok dál. Stejné principy uplatňuje na všechny uživatele, zařízení a aplikace, a to jak lokální, tak i vzdálené. Bezpečnostní politiky jsou tak konzistentní a není rozdíl mezi externím uživatelem přistupujícím zvenku nebo interním uživatelem v lokální síti.
Jaké jsou nevýhody tradiční VPN?
Představme si situaci, kdy firma stále používá VPN a potřebuje umožnit externímu dodavateli přístup do sítě. Může jít o potřebu údržby interního systému, správu databáze nebo vzdálenou konfiguraci zařízení. Pro tyto účely pro něj IT oddělení zřídí VPN. Tím ale prakticky pouští externího pracovníka do interní sítě, i když oddělení provozu řeší například vnitřní segmentací.
U interních pracovníků připojujících se z různých „exotických“ končin může zase tradiční VPN přístup podstatně zvyšovat latenci. Připojování na velké vzdálenosti může vést také k nestabilnímu spojení, protože VPN nemusí využívat nejefektivnější trasu pro přenos dat.
Moderní řešení v době cloudové
Jak to vypadá, když firma zvolí přístup s využitím cloudu? Pro každého uživatele může zřídit v cloudovém prostředí přístupový bod, který mu bude nejblíže. Můžeme ho nazvat POP, tedy Point of Presence. Ten působí jako bezpečnostní prostředník s výbornou dedikovanou konektivitou. Všechny úkony, které se týkají zabezpečení firemní sítě, se v tomto místě vyřeší mimo firemní síť.
Samozřejmostí je, že technologie sleduje stav zařízení, které se k POP připojuje, tedy informace o použitém řešení, například zda má nainstalované poslední bezpečnostní záplaty operačního systému nebo kontroluje, jestli má spuštěný lokální firewall apod. Firma má také k dispozici kompletní historický přehled všech přístupů, provedených akcí atd. Vše lze pak najít v uceleném a jednoduchém webovém portálu, který je přístupný odkudkoliv. Takto vypadá moderní řešení bezpečného přístupu v době cloudové.
Jaké jsou hlavní výhody zero trust?
Zero trust zásadně omezuje prostor pro možné útoky díky minimalizaci udělených oprávnění a podpoře hybridních pracovních modelů. Poskytuje ochranu při použití nestandardních zařízení i v případě, že zaměstnanci používají vlastní telefony nebo notebooky (BYOD), a zahrnuje i ochranu zařízení IoT. Nabízí také lepší uživatelskou zkušenost, konzistentní definici bezpečnostních politik a zásad včetně centralizované správy, která je v souladu s aktuálními regulacemi (jako např. GDPR a další).
Zero trust přístup lze typicky nalézt jako součást cloudové SSE (Secure Service Edge) bezpečnosti s dalšími funkcionalitami. Mezi ty patří SWG (Secure Web Gateway), což je „brána“ mezi uživateli a internetem, která detekuje možné hrozby a blokuje přístup k podezřelým stránkám. Patří mezi ně také CASB (Cloud Access Security Broker), tedy prostředník mezi uživateli a cloudovými službami, který sleduje, kontroluje a zabezpečuje přístup k datům v cloudu. Dále je důležitou komponentou FWaaS (Firewall as a Service). Toto řešení poskytuje funkce tradičního firewallu, ale formou cloudové služby. Důležitou součástí SSE bezpečnosti je také DEM (Digital Experience Monitoring). Tato technologie poskytuje detailní monitorování výkonu zařízení, aplikací a sítě, což IT oddělením umožňuje rychle identifikovat a řešit problémy.
ZTNA je k dispozici v základním Foundation balíčku služeb HPE Aruba Networking SSE. Licencování je založené jednoduše na počtu uživatelů. SSE spolu s HPE Aruba Networking EdgeConnect SD-WAN tvoří unifikované single vendor SASE řešení. HPE tak nabízí všechny síťové a bezpečnostní potřeby moderního přístupu k datům a aplikacím od jednoho dodavatele.
Jan Šoun, HPE Aruba Networking Solution Architect ve společnosti TD SYNNEX
PŘEDPLATNÉ
ČLÁNKY DO MAILU