Zero Trust Network Access (ZTNA) — самый современный способ удаленного подключения сотрудников. Чтобы понять, что это такое, нужно сначала разобраться с Zero Trust и VPN. Надеюсь, что с последним все уже хорошо знакомы, поэтому начнем с Zero Trust: выясним, при чем здесь NGFW, а заодно вспомним NAC.
Расширенную видеоверсию материала смотрите на канале Дениса Батранкова
Нулевое доверие
В Zero Trust прослеживается аналогия с принципом минимальных привилегий: мы даем сотруднику доступ ровно к той информации, которая необходима ему для работы, — и ничего лишнего. Но этого недостаточно, ведь с аккаунта сотрудника на его же компьютере спокойно может работать злоумышленник. По мнению создателя Zero Trust Джона Киндервага, сегодня к действиям любого пользователя нужно относиться с подозрением и вводить дополнительные проверки. Например, при удаленном подключении сотрудников стоит проверять информацию об их местоположении и настройках ПК. А для внутренних подключений можно использовать средства контроля и выявления аномалий, например NTA или UEBA. Кроме того, хорошим тоном считается проверять, корректно ли работают сервисы, которыми пользуется сотрудник. Именно в непрерывном контроле за доступом к приложениям и заключается отличие Zero Trust от принципа минимальных привилегий.
Приведу несколько примеров. Допустим, ваша сеть сегментирована. Обычно администраторы и их компьютеры находятся в одном сегменте, а прикладные сервисы — в другом. Соответственно, администраторам нужно подключаться к соседнему сегменту, чтобы настраивать сервисы. При этом политику доступа можно прописать тремя способами:
- На самих серверах. Обычно это проверка логина и пароля на SSH- или RDP-сервисах с последующей выдачей прав доступа. Можно привести аналогию с посадкой на самолет: стюардессы проверяют посадочный талон и отправляют вас либо в эконом-, либо в бизнес-класс. По сути, это процесс авторизации.
- На сетевом оборудовании. Здесь применяются решения класса NAC. Они дают сотруднику доступ к конкретному сегменту сети, который выделяется при помощи технологии VLAN или обычной маски подсети. Вернемся к аэропорту: вы проходите все этапы контроля и попадаете в терминал, при этом у вас есть доступ ко всем гейтам. А дальше вас ждет проверка посадочного — уже упомянутый контроль доступа на серверах.
- На межсетевом экране, который разделяет сегменты. Межсетевые экраны бывают нескольких видов и даже поколений. Например, в NGFW одновременно работают разные интеллектуальные модули, которые получают дополнительную информацию по каждому подключению к сети.
В контексте NGFW Zero Trust позволяет обогатить новыми проверками старые политики доступа (реализованные на старых межсетевых экранах еще во времена царя Гороха). Проще говоря, мы получаем новые критерии доступа для удаленного подключения, что помогает повысить защищенность компании.
Разница между Zero Trust в NGFW и NAC
Ключевое отличие: NGFW предоставляет доступ на уровне приложений, а NAC — на сетевом. Проще говоря, если NAC даст зараженному устройству доступ к определенному сегменту сети, то все устройства в нем окажутся под угрозой. NGFW нивелирует этот риск. Снова вернемся к аналогии с аэропортом: NAC дает доступ ко всему терминалу, а NGFW — к конкретному выходу.
Новые критерии доступа
Какие же критерии можно назвать новыми? Например, это может быть страна, из которой подключается пользователь. Если ваш админ подключается к VPN из Америки (или любой другой страны, которая не попадает в доверенный список), к нему возникнут вопросы.
Другой пример — доступ только к конкретным приложениям. Например, не ко всему порту TCP-3306, а именно к MySQL, которая на нем работает. Если NGFW зафиксирует там другой трафик, к админу снова появятся вопросы: «Почему ты повесил другой сервис на этот порт?» Здесь и проявляется важное отличие Zero Trust от принципа минимальных привилегий: мы проверяем не только админа, но и сам сервис, к которому предоставляем доступ.
Еще один новый критерий Zero Trust в современных NGFW — проверка файлов. Если у ваших сотрудников есть доступ к файловому серверу компании, стоит проверять, что именно передается туда и обратно. В идеале — не просто контролировать файлы антивирусными сигнатурами, а помещать их в песочницу, которая поможет выявить ВПО.
Отмечу, что для получения дополнительной информации о состоянии хоста лучше иметь на нем специальную программу-агент. Некоторые ИБ-решения собирают данные и без агентов, но, как правило, они менее эффективны. Агенты используются для реализации как NAC, так и Zero Trust. Зачастую их используют вместе с VPN.
VPN + Zero Trust = ZTNA
Еще несколько лет назад корпоративными VPN-сервисами пользовались только ИБ-специалисты. Сегодня, как правило, речь идет о сотнях и даже тысячах сотрудников. При этом уровень ИБ-ответственности у большинства из них, уж простите, я оцениваю как нулевой :) В результате компании стали проверять, что именно установлено и как настроено на устройствах сотрудников. Например, во многих организациях удаленный доступ возможен только с устройств, на которых установлены обновления ОС и антивируса.
Что делать, если устройство сотрудника не соответствует установленным в компании ИБ-требованиям? Все просто: не пускать в сеть, пока они не будут выполнены. Вполне возможно, сотрудникам придется объяснить, откуда нужно скачать антивирус, как установить обновления и т. д. Если же вам потребуется управлять установкой и настройкой софта удаленно, используйте MDM-решение.
ZTNA-решение предоставляет сотрудникам удаленный доступ к сети компании, проверяет состояние пользовательских устройств и контролирует работу корпоративных сервисов. У Cisco этот функционал встроен в AnyConnect, у Palo Alto Networks — в GlobalProtect. В нашем случае эти задачи выполняет MaxPatrol EDR: система не дает сотрудникам подключиться к сети по VPN, пока они не выполнят установленные ИБ-требования.
В решениях ряда производителей функционал удаленного доступа к корпоративным сервисам реализуется через обратный HTTPS-прокси. Т. е. вы заходите на портал с помощью браузера, проходите аутентификацию и получаете доступ к заранее опубликованным приложениям. В этом случае не нужны ни VPN-, ни RDP-, ни SSH-клиенты — можно работать непосредственно из браузера. Например, Microsoft раньше применяла этот подход в Microsoft Forefront TMG для обеспечения доступа к Outlook Web Access. Сегодня обратный прокси встраивают в NGFW либо продают отдельно.
Отмечу, что перечисленным выше решениям требуется внешний сервис-компаньон, который будет хранить списки пользователей и проверять их аутентификационные данные. Зачастую это Microsoft Active Directory, OpenLDAP, RADIUS или TACACS+. Кроме того, многие используют двухфакторную аутентификацию, например через Okta или Multifactor.
Облачная реализация
ZTNA работает на базе технологий, встроенных в NGFW: VPN, Zero Trust и др. Однако во время пандемии выяснилось, что у аппаратных устройств есть определенные недостатки:
- Долгая поставка. Если нужно реализовать удаленный доступ для всех сотрудников, быстро закупить оборудование будет непросто. Отдельное спасибо производителям, которые бесплатно выдавали виртуальные NGFW на три месяца :)
- Ограничения по производительности. Если вы решили перевести на удаленку еще одно подразделение из 5000 человек, текущий NGFW может не справиться с таким количеством подключений.
- Неэффективный расход трафика. Если сотрудники из Владивостока подключаются к серверам в Москве, а оттуда трафик возвращается обратно, это выглядит странно. Придется покупать еще один NGFW и ставить ближе к Владивостоку, что приведет к дополнительным расходам.
Решением этих проблем стала технология Secure Access Service Edge (SASE). По сути, производители клонировали виртуальные NGFW и поместили их у облачных провайдеров по всему миру. Сегодня на рынке доступны сотни VPN-шлюзов: можно подключиться к ближайшему и тем самым снизить задержки. И это будет VPN, совмещенный с NGFW, т. е вы получите набор дополнительных ИБ-проверок для ваших сотрудников. Облачные провайдеры оптимальным образом перенаправляют пользователей к корпоративным ресурсам по каналам, защищенным IPSec. Зачастую подключения к разным шлюзам еще и балансируются с помощью SD-WAN.
