Přístup k síti s nulovou důvěrou (Zero-Trust Network Access, ZTNA) bude dříve či později hrát v mnoha organizacích zásadní roli. Ať už řešíte rychlý nárůst počtu vzdálených uživatelů, nebo se chystáte nasadit přístup SASE (Secure Access Service Edge), ZTNA bude stále důležitější součástí vašeho prostředí kybernetické bezpečnosti.
Zákazníci nám říkají, že nechtějí na svých koncových bodech nasazovat více agentů. Současně s tím je ale pro většinu organizací trvalým problémem nedostatek specialistů na kybernetickou bezpečnost. Právě proto Sophos ZTNA využívá stávající ekosystém produktů Sophos, aby zákazníkům zjednodušil nasazení i každodenní správu řešení přístupu s nulovou důvěrou. Tato integrace snižuje nároky na množství bezpečnostních zařízení i jejich správu.
Nadešel čas pro ZTNA
Není divu, že se technologie ZTNA v poslední době dostala do centra pozornosti. Vše totiž nasvědčuje tomu, že hybridní pracovní síla už tu s námi zůstane a týmy IT proto budou muset podporovat více uživatelů, kteří potřebují přístup k více aplikacím a datům z více míst mimo prostory organizace. A to nejen z domácích kanceláří, ale třeba i z kaváren a dalších sdílených prostor. Mimo to jsou data stále častěji ukládána na více místech – na firemních serverech, ve veřejných a soukromých cloudech i v aplikacích typu SaaS.
Zároveň je zřejmé, že v dohledné době nezmizí ani ransomware. Tato trvalá, všudypřítomná hrozba navíc stále mění svoji taktiku. Dnes už nejde jen o počáteční napadené zařízení, které se stane rukojmím pro vydírání, ale útočníci hledají stále nové způsoby, jak maximalizovat svůj dopad. Je například známo, že ransomwarový kmen Ryuk se šíří na aplikační servery, řadiče domén, terminálové servery a další klíčová místa. Omezení širokého přístupu k síti proto pomáhá zmírnit rizika i škody způsobené ransomwarem.
Zjednodušený, ale velmi bezpečný přístup
Přístup k síti s nulovou důvěrou v zásadě řeší problém, jak poskytnout správným uživatelům a zařízením přístup k aplikacím, které potřebují, aniž byste jim poskytli zcela svobodný přístup ke své síti. Brána ZTNA poskytuje konkrétnímu uživateli diskrétní přístup ke konkrétní aplikaci. Ověřuje přitom tři věci: identitu uživatele, identitu zařízení a stav zařízení. A co je důležité, provádí to opakovaně při každém požadavku na připojení. Takže pokud bude zařízení ukradeno nebo infikováno, může být jeho přístup okamžitě zrušen.
Pro další snížení rizika lze nastavit i granulární zásady ve stylu semaforu na základě role, potřeb a stavu ověření uživatele. Například zařízení ve stavu „červená“ (protože je infikováno malwarem) může mít zblokován přístup ke všem aplikacím s výjimkou webu helpdesku, což uživateli umožní vyžádat si pomoc s odstraněním problému.
V případě použití VPN by koncový uživatel musel zjišťovat, ke které bráně se má připojit a pokaždé by byl vyzván k opětovnému ověření. ZTNA se ale o všechny tyto složitosti stará v zákulisí, což výrazně zvyšuje uživatelský komfort. Stačí, aby uživatel použil vícefaktorové ověřování a kontroly stavu zařízení, ověřování identity jsou pak v podstatě neviditelné.
Jasněji vymezená úloha VPN
Během pandemie bylo zavedení VPN rychlou cestou, jak poskytnout vzdálený přístup k aplikacím a datům. Dnes ale stojí za to zvážit, zda není lepší odpovědí na tento problém ZTNA. Pokud jde čistě o připojení vzdálených uživatelů a poskytování podpory moderních aplikací (typicky využívajících protokoly TCP a UDP), jde o více než vhodnou náhradu. ZTNA ale obvykle úplně nenahradí VPN – místo toho bude nejspíše doplňující možností v sadě nástrojů pro zabezpečení IT. Rolí VPN zůstane například propojení kancelářských sítí nebo zajištění možnosti používat starší software s proprietárními protokoly.
Snadná instalace a licencování
Hodnota ZTNA se zrcadlí v uživatelích a aplikacích, ke kterým jim umožníte přístup. Jednoduché řešení přístupu k síti s nulovou důvěrou nabízí Sophos, jehož licence jsou založeny na počtu uživatelů, přičemž ZTNA brány Sophos jsou k dispozici v konfiguracích s vysokou dostupností a v clusterech, které je možné nasadit podle potřeby bez jakýchkoli dodatečných nákladů. Sophos používá i stejného instalačního agenta, jako pro všechny své produkty pro koncové body. Pokud tedy již máte na svých koncových bodech některé z řešení Sophos, nepotřebujete nic dalšího – aktivovat Sophos ZTNA lze jen zaškrtnutím jednoho políčka v konfiguraci platformy Sophos Central pro správu vašeho zabezpečení.
Současné výzvy IT týmů jsou už dostatečně komplikované a ZTNA jim má život usnadnit, nikoli zkomplikovat.
Rob Andrews, ředitel produktového managementu ve společnosti Sophos