Традиционные границы сетей исчезли. Доступ к приложениям и цифровым активам организации осуществляется издалека, и контроль над этим доступом становится серьезной задачей. Времена, когда границы сети можно было защитить, давно прошли. Настало время для новых стратегий безопасности с нулевым доверием. Когда цифровым активам компании приходится преодолевать большие расстояния по небезопасным путям Интернета, ставки настолько высоки, что доверять нельзя никому и ничему. Именно поэтому вам следует принять модель сети с нулевым уровнем доверия, чтобы ограничить доступ всех пользователей ко всем сетевым ресурсам в любое время. В сетях с нулевым уровнем доверия любая попытка доступа к ресурсу ограничивается пользователем или устройством, независимо от того, обращались ли они к этому ресурсу ранее. Любой пользователь или устройство всегда должны проходить процесс аутентификации и проверки, чтобы получить доступ к ресурсам, даже если они физически находятся на территории организации. Эти аутентификации и проверки должны быть быстрыми, чтобы политики безопасности не снижали производительность приложений и удобство работы пользователей.
Лучшие решения для нулевого доверия
NordLayer
NordLayer предлагает адаптивное решение для защиты сетевого доступа, основанное на концепции Security Service Edge. Поставляемое в виде программного обеспечения как услуги (SaaS) решение для обеспечения сетевой безопасности воплощает в себе ключевые принципы Zero Trust и обеспечивает безопасный удаленный доступ, минимизируя риски организации.
Неявное доверие исключено из всей инфраструктуры, а защищенные веб-шлюзы используются в качестве порталов во внутреннюю сеть компании. Соединение от конечной точки пользователя до SWG шифруется 256-битным шифром AES, а сам шлюз применяет установленные политики безопасности, предотвращающие различные угрозы. Ни одно неконтролируемое соединение не проскочит мимо защитных механизмов NordLayer. Трафик между SWG и устройством пользователя также поддерживается современными протоколами туннелирования, такими как NordLynx (собственная версия WireGuard, разработанная компанией Nord Security). В то же время другие варианты, такие как IKEv2 и OpenVPN (UDP и TCP), повышают совместимость между устройствами. Таким образом, NordLayer можно настраивать на маршрутизаторах и других аппаратных устройствах. Личность пользователя может быть проверена несколько раз, прежде чем он получит доступ к конфиденциальным данным или рабочим ресурсам. NordLayer также поддерживает единый вход (SSO) с Azure AD, OneLogin, Okta и G Suite, облегчая переход между используемыми в настоящее время инструментами и сетью Zero Trust. Используя возможности облачного брокера безопасности доступа, NordLayer повышает прозрачность сети и сохраняет более высокий контроль доступа к важным ресурсам организации. Решение не требует от предприятий отказа от используемых в настоящее время инструментов – NordLayer может быть совмещен с существующей инфраструктурой. Продукт не ограничивает количество пользователей, что делает его легко масштабируемым без резкого увеличения стоимости подписки. Это делает сегментацию пользователей более простой и эффективной, предоставляя четкий обзор участников сети. Кроме того, лицензии можно легко передавать между пользователями, адаптируясь к динамике рабочей среды.
Perimeter 81
Компания Perimeter 81 предлагает два подхода к управлению и обеспечению безопасности приложений и сетей организации как в облачных, так и в локальных средах. Оба предложения начинаются с предложения сетей с нулевым уровнем доверия в качестве услуги. Для этого Perimeter 81 использует архитектуру программно-определяемого периметра, которая обеспечивает большую гибкость при подключении новых пользователей и предоставляет большую видимость сети. Кроме того, сервис совместим с основными поставщиками облачной инфраструктуры. Zero Trust Application Access предполагает, что в каждой компании есть критически важные приложения и сервисы, доступ к которым большинству пользователей не нужен. Сервис позволяет устанавливать барьеры для конкретных пользователей на основе их ролей, устройств, местоположения и других идентификаторов. При этом Zero Trust Network Access определяет сегментацию сети организации по зонам доверия, что позволяет создавать границы доверия, контролирующие поток данных с высокой степенью детализации. Доверенные зоны состоят из наборов элементов инфраструктуры с ресурсами, которые работают на одном уровне доверия и предоставляют схожую функциональность. Это позволяет сократить количество каналов связи и минимизировать вероятность возникновения угроз.
Услуга Zero Trust Network Access (ZTNA) компании Perimeter 81 обеспечивает полное и централизованное представление о сети организации, гарантируя наименее привилегированный доступ к каждому ресурсу. Его функции безопасности соответствуют модели SASE компании Gartner, поскольку безопасность и управление сетью объединены на одной платформе. Две услуги Permiter 81 включены в схему ценообразования с широким спектром опций. Эти опции варьируются от базового плана, содержащего самое необходимое для обеспечения безопасности и управления сетью, до корпоративного плана, который может неограниченно масштабироваться и обеспечивает специализированную круглосуточную поддержку.
ZScaler Private Access
ZScaler Private Access (ZPA) – это облачная сетевая служба с нулевым уровнем доверия, которая контролирует доступ к частным приложениям организации, независимо от того, где они расположены – в собственном центре обработки данных или в общедоступном облаке. С помощью ZPA приложения становятся полностью невидимыми для неавторизованных пользователей.
В ZPA связь между приложениями и пользователями осуществляется по стратегии “изнутри наружу”. Вместо того чтобы расширять сеть для включения в нее пользователей (как это должно быть сделано при использовании VPN), пользователи никогда не находятся внутри сети. Такой подход существенно минимизирует риски, позволяя избежать распространения вредоносного ПО и рисков латерального перемещения. Кроме того, сфера действия ZPA не ограничивается веб-приложениями, а распространяется на любые частные приложения. ZPA использует технологию микротуннелей, которая позволяет сетевым администраторам сегментировать сеть по приложениям, избегая необходимости создавать искусственную сегментацию в сети или применять контроль с помощью политик межсетевого экрана или управления списками контроля доступа (ACL). Микротуннели используют TLS-шифрование и пользовательские закрытые ключи, которые усиливают безопасность при доступе к корпоративным приложениям. Благодаря API и усовершенствованиям ML (машинное обучение) ZPA позволяет ИТ-отделам автоматизировать механизмы нулевого доверия, обнаруживая приложения и создавая для них политики доступа, а также автоматически генерируя сегментацию для каждой рабочей нагрузки приложений.
Доступ к Cloudflare
Сетевой сервис Cloudflare с нулевым уровнем доверия поддерживается собственной сетью с точками доступа, распределенными по всему миру. Это позволяет ИТ-отделам обеспечивать высокоскоростной и безопасный доступ ко всем ресурсам организации – устройствам, сетям и приложениям. Сервис Cloudflare заменяет традиционные периметры безопасности, ориентированные на сеть, и использует вместо них безопасный доступ на близкое расстояние, обеспечивающий оптимальную скорость для распределенных рабочих групп.
Система доступа Cloudflare с нулевым уровнем доверия работает со всеми приложениями в организации, аутентифицируя пользователей через собственную глобальную сеть. Это позволяет ИТ-менеджерам фиксировать каждое событие и каждую попытку доступа к ресурсу. Кроме того, это упрощает ведение пользователей и добавление дополнительных пользователей. С помощью Cloudflare Access организация может поддерживать свои идентификационные данные, поставщиков услуг защиты, настройки устройств, требования к местоположению приложений и даже существующую облачную инфраструктуру. Для контроля идентификации Cloudflare интегрируется с Azure AD, Okta, Ping, а для защиты устройств – с Tanium, Crowdstrike и Carbon Black. Cloudflare предлагает бесплатную версию своего сервиса, которая предоставляет основные инструменты и позволяет защитить до 50 пользователей и приложений. Чтобы увеличить количество пользователей или приложений, необходимо выбрать платные версии сервиса, которые добавляют другие преимущества, такие как поддержка по телефону и чату 24x7x365.
Wandera
Сетевое решение Wandera Private Access с нулевым уровнем доверия обеспечивает быстрый, простой и безопасный удаленный доступ к приложениям организации, независимо от того, работают ли они в режиме SaaS или развернуты внутри компании. Услуга отличается простотой: процедура установки занимает считанные минуты и не требует специализированного оборудования, сертификатов и размеров.
Wandera Private Access обеспечивает гибкость для распределенных рабочих групп, работающих на гетерогенных платформах, с управляемыми или собственными устройствами (BYOD). Решение обеспечивает видимость доступа к приложениям в режиме реального времени, выявляет теневые ИТ и автоматически ограничивает доступ с зараженных или небезопасных устройств благодаря политикам доступа, учитывающим риски. С помощью Wandera Private Access можно реализовать модели безопасности, ориентированные на идентификацию, гарантирующие, что только авторизованные пользователи смогут подключаться к приложениям организации. Использование микротуннелей на основе приложений позволяет подключать пользователей только к тем приложениям, к которым они имеют право доступа. Применение политик безопасности остается последовательным во всех инфраструктурах, будь то облако, центр обработки данных или SaaS-приложения. В основе системы защиты Wandera лежит интеллектуальный механизм обнаружения угроз MI:RIAM. В этот механизм ежедневно поступает информация от 425 миллионов мобильных сенсоров, что обеспечивает защиту от самого широкого спектра известных угроз и угроз “нулевого дня”.
Okta
Okta предлагает модель безопасности с нулевым доверием, которая включает в себя широкий спектр услуг, в том числе защиту приложений, серверов и API; унифицированный и безопасный доступ пользователей к локальным и облачным приложениям; адаптивную многофакторную аутентификацию на основе контекста и автоматическое снятие с учета для снижения рисков для бесхозных учетных записей.
Универсальная служба каталогов Okta обеспечивает единое, консолидированное представление о каждом пользователе в организации. Благодаря интеграции групп пользователей с AD и LDAP, а также связи с системами управления персоналом, SaaS-приложениями и сторонними поставщиками идентификационных данных, Okta Universal Directory объединяет всех пользователей, будь то сотрудники компании, партнеры, подрядчики или клиенты. Okta выделяется своим сервисом защиты API, поскольку API считаются новой формой теневого ИТ. Управление доступом к API от Okta сокращает часы разработки и применения политик на основе XML до нескольких минут, облегчая внедрение новых API и интеграцию с партнерами для использования API. Механизм политик Okta позволяет внедрять лучшие практики в области безопасности API, легко интегрируясь с такими фреймворками идентификации, как OAuth. Политики авторизации API создаются на основе приложений, пользовательского контекста и членства в группах, чтобы гарантировать, что только нужные пользователи могут получить доступ к каждому API. Интеграционная сеть Okta позволяет избежать привязки к поставщикам, предоставляя организациям свободу выбора из более чем 7 000 готовых интеграций с облачными и локальными системами.
CrowdStrike Falcon
Решение CrowdStrike Falcon Identity Protection с нулевым уровнем доверия быстро предотвращает нарушения безопасности из-за компрометации личных данных, защищая личные данные всех пользователей, местоположений и приложений в организации с помощью политик с нулевым уровнем доверия.
Falcon Identity Protection призвана снизить затраты и риски, а также увеличить окупаемость используемых инструментов за счет снижения требований к инженерным ресурсам и устранения избыточных процессов безопасности. Единый контроль над всеми идентификационными данными упрощает реализацию стратегий условного доступа и адаптивной аутентификации, а также обеспечивает лучший пользовательский опыт и более широкий охват многофакторной аутентификации (MFA), даже для устаревших систем. Решение CrowdStrike для удаленного доступа обеспечивает полную видимость активности аутентификации всех учетных записей и конечных точек, предоставляя данные о местоположении, источнике/назначении, типе входа (человек или учетная запись службы) и т. д. В свою очередь, оно защищает сеть от внутренних угроз, таких как устаревшие привилегированные учетные записи, неправильно настроенные учетные записи служб, ненормальное поведение и учетные данные, скомпрометированные в результате атак с боковым перемещением. Благодаря интеграции с существующими решениями безопасности развертывание Falcon Identity Protection происходит в минимальные сроки и без лишних сложностей. Помимо прямой интеграции с решениями для обеспечения безопасности критически важных активов, такими как CyberArk и Axonius, CrowdStrike предлагает высокопроизводительные API, которые позволяют компаниям интегрироваться практически с любой системой.
Заключение
Новая норма, похоже, остается, и ИТ-администраторам нужно к ней привыкнуть. Удаленная работа будет оставаться повседневной реальностью, а сети организаций больше никогда не будут иметь четко определенных границ.
