ћерион Ќетворкс

9 минут чтени€

ѕериметр сети в традиционном понимании исчез. ƒоступ к приложени€м и цифровым ресурсам организации происходит из разных мест вне стен офиса и контроль за этими доступами становитс€ серьезной проблемой. ƒни, когда можно было защитить границы сети, давно прошли. Ќастало врем€ дл€ новых стратегий безопасности с нулевым доверием - Zero Trust.

 огда цифровым активам компании приходитс€ преодолевать большие рассто€ни€ по небезопасным пут€м »нтернета, ставки настолько высоки, что нельз€ довер€ть ничему и никому. ѕоэтому следует использовать модель сети с нулевым доверием, чтобы посто€нно ограничивать доступ всех пользователей ко всем сетевым ресурсам.

ќбучайс€ в Merion Academy

ѕройди курс по
сетевым технологи€м

Ќачать

¬ сет€х с нулевым доверием люба€ попытка доступа к ресурсу ограничиваетс€ пользователем или устройством, независимо от того, имели ли они ранее доступ к одному и тому же ресурсу. „тобы получить доступ к ресурсам любой пользователь или устройство всегда должны проходить процесс аутентификации и верификации, даже если они физически наход€тс€ в организации. Ёти проверки должны быть быстрыми, чтобы политики безопасности не снижали производительность приложений и работу пользователей.


Zero-trust vs. VPN

Zero-trust vs. VPN

ћодель сети с нулевым доверием замен€ет модель VPN, традиционно используемую компани€ми дл€ удаленного доступа своих сотрудников к цифровым ресурсам. VPN замен€етс€, поскольку они имеют основной недостаток, который могут устранить сети с нулевым доверием. ¬ VPN люба€ у€звимость, которое происходит в зашифрованном канале, соедин€ющем пользовател€ с сетью организации, предоставл€ет потенциальным злоумышленникам неограниченный доступ ко всем ресурсам компании, подключенным к сети.

¬ старых локальных инфраструктурах VPN работали хорошо, но они создают больше проблем, чем решений в облачных или смешанных инфраструктурах.

—ети с нулевым доверием устран€ют этот недостаток VPN, но добавл€ют потенциальный недостаток: они могут привести к дополнительной сложности с точки зрени€ реализации и обслуживани€, поскольку полномочи€ должны быть обновлены дл€ всех пользователей, устройств и ресурсов. Ёто требует дополнительной работы, но взамен »“-отделы получают больший контроль над ресурсами и уменьшаетс€ плоскость атаки.

  счастью, преимуществами сети с нулевым доверием можно пользоватьс€ без дополнительных усилий по обслуживанию и развертыванию благодар€ инструментам, которые автоматизируют и помогают в задачах администрировани€ сети. ќписанные ниже инструменты помогают примен€ть политики нулевого довери€ с минимальными усили€ми и затратами.


1. Perimeter 81

Perimeter 81 предлагает два подхода к управлению приложени€ми и сет€ми организации и обеспечению их безопасности как в облачных, так и локальных средах. ќба подхода начинаютс€ с предложени€ сетей с нулевым доверием в качестве услуги. ƒл€ этого в Perimeter 81 используетс€ программно-определ€ема€ архитектура периметра, котора€ обеспечивает большую гибкость дл€ новых пользователей и обеспечивает большую видимость сети.  роме того, сервис совместим с основными поставщиками облачной инфраструктуры.

ƒоступ к приложени€м с нулевым доверием основан на предположении, что кажда€ компани€ имеет критически важные приложени€ и службы, доступ к которым большинству пользователей не требуетс€. —ервис позвол€ет создавать политики дл€ конкретных пользователей в зависимости от их ролей, устройств, местоположений и других идентификаторов.

ѕри этом Zero Trust Network Access определ€ет сегментацию сети организации по зонам довери€, что позвол€ет создавать пределы довери€, контролирующие поток данных с высоким уровнем детализации. ƒоверенные зоны состо€т из наборов элементов инфраструктуры с ресурсами, которые работают на одном уровне довери€ и обеспечивают аналогичную функциональность. Ёто уменьшает количество каналов св€зи и минимизирует возможность возникновени€ угроз.

Perimeter 81

—лужба доступа к сети с нулевым доверием Perimeter 81 обеспечивает полное и централизованное представление сети организации, обеспечива€ наименее привилегированный доступ дл€ каждого ресурса. ≈го функции безопасности соответствуют модели SASE компании Gartner, поскольку безопасность и управление сетью унифицированы на единой платформе.

ƒве услуги Perimeter 81 включены в схему ценообразовани€ с широким спектром опций. Ёти возможности варьируютс€ от базового плана с необходимыми компонентами дл€ обеспечени€ безопасности сети и управлени€ ею до корпоративного плана, который может неограниченно масштабироватьс€ и обеспечивает специальную поддержку 24/7.


2. ZScaler Private Access

ZScaler Private Access (ZPA) - это облачна€ сетева€ служба с нулевым доверием, котора€ управл€ет доступом к частным приложени€м организации независимо от того, наход€тс€ ли они в собственном центре обработки данных или в общедоступном облаке. Ѕлагодар€ ZPA приложени€ полностью невидимы дл€ неавторизованных пользователей.

ZScaler Private Access

¬ ZPA св€зь между приложени€ми и пользовател€ми осуществл€етс€ в соответствии со стратегией Ђнаизнанкуї. ¬место расширени€ сети дл€ подключени€ пользователей (как это должно быть сделано при использовании VPN), пользователи никогда не наход€тс€ внутри сети. Ётот подход существенно минимизирует риски, избега€ распространени€ вредоносных программ и рисков перемещени€ внутри периметра.  роме того, сфера применени€ ZPA не ограничиваетс€ веб-приложени€ми, а относитс€ к любому частному приложению.

ZPA использует технологию микро-туннелей, котора€ позвол€ет сетевым администраторам сегментировать сеть по приложени€м, устран€€ необходимость сегментации в сети с помощью межсетевого экрана или списками управлени€ доступом (ACL). ¬ микро-туннел€х используетс€ шифрование TLS и пользовательские закрытые ключи, которые усиливают безопасность при доступе к корпоративным приложени€м.

Ѕлагодар€ усовершенствованным API и ML (машинное обучение), ZPA позвол€ет »“-отделам автоматизировать механизмы нулевого довери€, обнаружива€ приложени€ и создава€ дл€ них политики доступа, а также автоматически создава€ сегментацию дл€ каждой отдельной рабочей нагрузки приложени€.


3. Cloudflare Access

—етева€ служба нулевого довери€ Cloudflare поддерживаетс€ частной сетью с точками доступа, распределенными по всему миру. Ёто позвол€ет »“-отделам обеспечивать высокоскоростной и безопасный доступ ко всем ресурсам организации - устройствам, сет€м и приложени€м.

—ервис Cloudflare замен€ет традиционные, ориентированные на сеть периметры безопасности, использу€ вместо этого безопасный доступ на близком рассто€нии, обеспечивающий оптимальную скорость распределенных рабочих групп.

Cloudflare Access

ƒоступ Cloudflare с нулевым доверием управл€ет общими приложени€ми в организации, провер€€ подлинность пользователей через собственную глобальную сеть. Ёто позвол€ет »“-менеджерам регистрировать каждое событие и каждую попытку доступа к ресурсу.  роме того, это упрощает поддержку пользователей и добавление новых пользователей.

— помощью Cloudflare Access организаци€ может поддерживать свои идентификационные данные, поставщиков защиты, состо€ние устройств, требовани€ к местоположению каждого приложени€ и даже существующую облачную инфраструктуру. ƒл€ контрол€ идентичности Cloudflare интегрируетс€ с Azure AD, Okta, Ping и устройством с Tanium, Crowdstrike и Carbon Black.

Cloudflare предлагает бесплатную версию своего сервиса, котора€ предоставл€ет основные инструменты и позвол€ет защитить до 50 пользователей и приложений. ƒл€ большего числа пользователей или приложений, а также чтобы воспользоватьс€ другми преимуществами, вроде круглосуточной поддержки по телефону и чату, следует выбрать платные версии.


4. Wandera

—етевое решение Wandera Private Access с нулевым доверием обеспечивает быстрый, простой и безопасный удаленный доступ к приложени€м организации, независимо от того, работают ли они в SaaS или развернуты внутри организации. —ервис отличаетс€ своей простотой, процедурами установки, которые могут быть выполнены за считанные минуты и не требуют специализированного оборудовани€, сертификатов или масштабировани€.

Wandera

Wandera Private Access предлагает гибкость распределенным рабочим группам, работающим на разнородных платформах, с управл€емыми или личными устройствами (BYOD). –ешение обеспечивает видимость доступа к приложени€м в реальном времени, идентификацию теневых »“-отделов и автоматическое ограничение доступа с зараженных или небезопасных устройств благодар€ политике доступа на базе учета рисков.

— помощью Wandera Private Access можно реализовать модели безопасности, ориентированные на идентификацию, гарантиру€, что только авторизованные пользователи смогут подключатьс€ к приложени€м организации. »спользование микротуннелей на основе приложений св€зывает пользователей только с приложени€ми, к которым они имеют право доступа. ѕрименение политики безопасности остаетс€ согласованным во всех инфраструктурах, будь то облачные приложени€, центры обработки данных или приложени€ SaaS.

—истема защиты Wandera работает от интеллектуального механизма обнаружени€ угроз под названием MI: RIAM. Ётот двигатель ежедневно снабжаетс€ информацией, предоставл€емой 425 миллионами мобильных датчиков, что обеспечивает защиту от самого широкого спектра известных угроз и угроз нулевого дн€.


5. Okta

Okta предлагает модель безопасности с нулевым доверием, котора€ охватывает широкий спектр услуг, включа€ защиту приложений, серверов и API; унифицированный и безопасный доступ пользователей к интерактивным и облачным приложени€м; адаптивна€, контекстно-зависима€, многофакторна€ аутентификаци€ и автоматическое отключение дл€ уменьшени€ рисков дл€ бесхозных учетных записей.

Okta

”ниверсальна€ служба каталогов Okta обеспечивает единое консолидированное представление каждого пользовател€ в организации. Ѕлагодар€ интеграции групп пользователей с AD и LDAP, а также св€з€м с системами HR, приложени€ми SaaS и сторонними поставщиками удостоверений, Okta Universal Directory интегрирует всех типов пользователей, будь то сотрудники компании, партнеры, подр€дчики или клиенты.

Okta выдел€етс€ своей службой защиты API, поскольку API рассматриваютс€ как нова€ форма теневых »“. ”правление доступом к API Okta сокращает врем€ планировани€ и применени€ политик на основе XML до нескольких минут, облегча€ ввод новых API и интеграцию с партнерами дл€ использовани€ API. ћеханизм политики Okta позвол€ет внедр€ть передовые практики в области безопасности API, легко интегриру€сь с фреймворками идентификации вроде OAuth. ѕолитики авторизации API создаютс€ на основе приложений, пользовательского контекста и членства в группах дл€ обеспечени€ доступа к каждому API только нужных пользователей.

»нтеграционна€ сеть Okta позвол€ет избежать блокировки поставщиков, предоставл€€ организаци€м свободу выбора из более чем 7000 встроенных интеграций с облачными и готовыми системами.


6. CrowdStrike Falcon

–ешение CrowdStrike Falcon Identity Protection с нулевым доверием быстро останавливает нарушени€ безопасности из-за скомпрометированных учЄтных записей, защища€ учетные записи всех пользователей, расположений и приложений в организации с помощью политики нулевого довери€.

CrowdStrike Falcon

ѕрограмма Falcon Identity Protection направлена на сокращение затрат и рисков и повышение окупаемости инвестиций используемых инструментов за счет снижени€ требований к инженерным ресурсам и устранени€ избыточных процессов обеспечени€ безопасности.

”нифицированный контроль всех учетных записей упрощает реализацию стратегий условного доступа и адаптивной аутентификации, а также обеспечивает более высокий уровень обслуживани€ пользователей и более широкий охват многофакторной аутентификации (MFA) даже дл€ устаревших систем.

–ешение дл€ удаленного доступа CrowdStrike обеспечивает полную видимость активности аутентификации всех учетных записей и конечных точек, предоставл€€, среди прочего, данные о местоположении, источнике/назначении, типе входа (учетна€ запись человека или службы). ¬ свою очередь, он защищает сеть от инсайдерских угроз, таких как устаревшие привилегированные учетные записи, неправильно назначенные учетные записи служб, ненормальное поведение и полномочи€, скомпрометированные атаками продвижени€ внутри периметра.

Ѕлагодар€ интеграции с существующими решени€ми по обеспечению безопасности развертывание Falcon Identity Protection осуществл€етс€ в минимальные сроки и без усилий. ѕомимо пр€мой интеграции с решени€ми безопасности дл€ критически важных активов, таких как CyberArk и Axonius, CrowdStrike предлагает высокопроизводительные API, которые позвол€ют компани€м интегрировать практически с любой системой.


«аключение

Ќова€ норма, похоже, останетс€, и »“-администраторам нужно привыкнуть к ней. ”даленна€ работа будет оставатьс€ повседневной реальностью, и сети организации больше никогда не будут иметь четко

определенных границ.

¬ этом контексте »“-администраторы должны как можно скорее внедрить сетевые и прикладные решени€ с нулевым доверием, если они не хот€т подвергать риску самые ценные цифровые активы своих организаций.


 ажетс€, ћарион запуталс€ в сет€х, пока пыталс€ в них разобратьс€!

≈му нужна тво€ помощь! ѕомоги решить задачу, чтобы спасти принцессу

ћаршрутизатор состоит из многих внутренних компонентов.  акой компонент хранит копию файла конфигурации?

 ака€ особенность поддерживает высокую пропускную способность в коммутируемых сет€х, объедин€€ несколько каналов в один?

 акой уровень модели OSI требуетс€ дл€ конфигурировани€ соединени€ между устройствами в различных виртуальных локальных сет€х?

“ы помог ћариону спасти принцессу!

«а это он дарит тебе дополнительные 15% скидки на курс по сет€м!

ѕолучить

”пс, кажетс€ промах. ѕопробуй в следующий раз!

x