Zero Trust Network Access (ZTNA) memberlakukan kebijakan yang terperinci, adaptif, dan sadar konteks untuk menyediakan akses Zero Trust yang aman dan tanpa hambatan ke aplikasi pribadi yang di-host di seluruh cloud dan pusat data perusahaan, dari lokasi dan perangkat jarak jauh mana pun. Konteks tersebut dapat berupa kombinasi identitas pengguna, lokasi pengguna atau layanan, waktu, jenis layanan, dan postur keamanan perangkat.
Pada penilaian identitas pengguna, identitas perangkat, dan faktor kontekstual lainnya, ZTNA memungkinkan akses "paling tidak istimewa" ke aplikasi tertentu, dan bukan seluruh jaringan yang mendasarinya untuk setiap pengguna dengan kunci login yang valid, sehingga mengurangi permukaan serangan dan mencegah pergerakan lateral ancaman dari akun atau perangkat yang dikompromikan.
ZTNA dibangun di atas konsep "Zero Trust", yang menegaskan bahwa organisasi tidak boleh mempercayai entitas apa pun, baik di dalam maupun di luar batas keamanan, dan sebaliknya harus memverifikasi setiap pengguna atau perangkat sebelum memberi mereka akses ke sumber daya sensitif, memastikan keamanan dan integritas data.
ZTNA bertindak sebagai enabler utama untuk
Secure Service Edge (SSE)mengubah konsep perimeter keamanan dari pusat data perusahaan yang statis menjadi lebih dinamis, berbasis kebijakan, dan berbasis cloud, untuk mendukung kebutuhan akses tenaga kerja yang terdistribusi.
Kasus Penggunaan ZTNA yang Umum
- Mengamankan akses jarak jauh ke aplikasi pribadi
Ketika organisasi memindahkan aplikasi bisnis penting mereka di berbagai lingkungan cloud untuk kolaborasi tanpa batas, mereka secara khusus ditantang untuk memantau setiap perangkat yang terhubung untuk mengamankan akses aplikasi dan mencegah eksfiltrasi data. ZTNA memungkinkan akses adaptif dan sadar konteks ke aplikasi pribadi dari lokasi dan perangkat mana pun. Akses ke aplikasi ditolak secara default, kecuali secara eksplisit diizinkan. Konteks untuk akses aplikasi dapat mencakup identitas pengguna, jenis perangkat, lokasi pengguna, postur keamanan perangkat, dll.
- Mengganti koneksi VPN dan MPLS
Arsitektur VPN lambat dan kontra produktif dalam penerapan cloud-first. Mengamankan setiap akses pengguna jarak jauh melalui perangkat lunak dan perangkat keras yang intensif dapat meningkatkan pengeluaran modal dan biaya bandwidth. ZTNA menyediakan akses langsung ke awan yang cepat ke sumber daya perusahaan, mengurangi kompleksitas jaringan, biaya, dan latensi, sekaligus meningkatkan kinerja secara signifikan untuk memfasilitasi penyebaran tenaga kerja jarak jauh.
- Membatasi akses pengguna
Pendekatan keamanan berbasis perimeter yang luas dari solusi keamanan tradisional mengizinkan akses jaringan penuh ke setiap pengguna dengan kunci login yang valid, mengekspos sumber daya perusahaan yang sensitif secara berlebihan ke akun yang disusupi dan ancaman orang dalam. Peretas yang mendapatkan akses ke seluruh jaringan yang mendasarinya dapat bergerak bebas melalui sistem internal tanpa terdeteksi. ZTNA menerapkan akses terkontrol yang paling tidak istimewa, membatasi akses pengguna ke aplikasi tertentu secara ketat dengan dasar "perlu tahu". Semua permintaan koneksi diverifikasi sebelum memberikan akses ke sumber daya internal.
Manfaat ZTNA
ZTNA memungkinkan organisasi untuk membuat perimeter yang ditentukan oleh perangkat lunak dan membagi jaringan perusahaan menjadi beberapa segmen mikro, mencegah pergerakan ancaman secara lateral dan mengurangi permukaan serangan jika terjadi pelanggaran.
ZTNA menciptakan darknet virtual dan mencegah penemuan aplikasi di internet publik, mengamankan organisasi dari paparan data berbasis internet, malware, dan serangan DDoS.
ZTNA dapat memperluas manfaatnya ke aplikasi lama yang dihosting di pusat data pribadi, memfasilitasi konektivitas yang aman, dan menawarkan tingkat keamanan yang sama dengan aplikasi web.
ZTNA memungkinkan akses langsung-ke-awan yang aman, cepat, tanpa gangguan, ke aplikasi pribadi, memberikan pengalaman yang konsisten bagi pengguna jarak jauh yang mengakses SaaS dan aplikasi pribadi.
Apa perbedaan antara VPN dan ZTNA?
Akses tingkat jaringan vs akses tingkat aplikasi: VPN mengizinkan akses jaringan pribadi penuh ke pengguna mana pun dengan kunci masuk yang valid. ZTNA membatasi akses pengguna ke aplikasi tertentu, membatasi paparan data dan pergerakan lateral ancaman jika terjadi serangan siber.
Visibilitas mendalam ke dalam aktivitas pengguna: VPN tidak memiliki kontrol tingkat aplikasi dan tidak memiliki visibilitas terhadap tindakan pengguna begitu dia berada di dalam jaringan pribadi. ZTNA mencatat setiap tindakan pengguna dan memberikan visibilitas dan pemantauan yang lebih dalam ke dalam perilaku dan risiko pengguna untuk menegakkan kontrol yang terinformasi dan berpusat pada data untuk mengamankan konten sensitif di dalam aplikasi. Catatan tersebut dapat diumpankan ke alat SIEM untuk visibilitas waktu nyata dan terpusat ke dalam aktivitas dan ancaman pengguna. ZTNA selanjutnya dapat diintegrasikan dengan solusi keamanan titik akhir untuk memungkinkan akses adaptif berdasarkan penilaian berkelanjutan terhadap postur keamanan perangkat.
Penilaian postur titik akhir: Koneksi VPN tidak memperhitungkan risiko yang ditimbulkan oleh perangkat pengguna akhir. Perangkat yang disusupi atau terinfeksi malware dapat dengan mudah terhubung ke server dan mendapatkan akses ke sumber daya internal. ZTNA melakukan penilaian berkelanjutan terhadap perangkat yang terhubung dengan memvalidasi postur keamanan mereka dan memungkinkan akses adaptif ke sumber daya berdasarkan kepercayaan perangkat yang diperlukan pada saat itu. Koneksi perangkat segera diputus saat terdeteksi adanya risiko.
Pengalaman pengguna: VPN tidak dirancang untuk menangani skenario tenaga kerja yang semakin terdistribusi. Backhauling setiap koneksi pengguna melalui hub VPN terpusat menciptakan masalah bandwidth dan kinerja, sekaligus menyebabkan pengalaman pengguna di bawah standar. Dengan ZTNA, pengguna dapat membuat koneksi langsung ke aplikasi, memungkinkan akses yang cepat dan aman ke sumber daya perusahaan yang dihosting di lingkungan IaaS atau pusat data pribadi, sekaligus memfasilitasi penyebaran cloud yang gesit dan dapat diskalakan.
Penghematan biaya: ZTNA menghilangkan kebutuhan untuk membeli perangkat keras VPN yang mahal dan mengelola pengaturan infrastruktur yang kompleks di setiap pusat data. Selain itu, pengguna jarak jauh tidak memerlukan klien VPN tambahan yang intensif sumber daya untuk membangun koneksi yang aman.
Bagaimana cara kerja ZTNA?
Perangkat lunak penghubung yang dipasang di jaringan pelanggan yang sama dengan aplikasi pribadi membuat koneksi keluar ke layanan (atau broker) yang dihosting di cloud melalui terowongan terenkripsi yang aman. Layanan ini merupakan titik keluar untuk lalu lintas pribadi ke dalam jaringan pelanggan dan bertanggung jawab untuk:
- Memverifikasi pengguna yang terhubung dan mengautentikasi identitas mereka melalui penyedia identitas.
- Memvalidasi postur keamanan perangkat pengguna.
- Menyediakan akses ke aplikasi tertentu melalui terowongan yang aman.
Karena koneksi outbound, atau "di dalam ke luar", ke layanan ZTNA, organisasi tidak perlu membuka port firewall inbound untuk akses aplikasi, melindunginya dari paparan langsung di internet publik, mengamankannya dari DDoS, malware, dan serangan online lainnya.
ZTNA dapat melayani perangkat yang dikelola dan tidak dikelola. Perangkat terkelola mengikuti pendekatan berbasis klien di mana klien atau agen yang dimiliki perusahaan dipasang pada perangkat. Klien bertanggung jawab untuk mengambil informasi perangkat dan membagikan detailnya dengan layanan ZTNA. Koneksi dibuat dengan aplikasi pada validasi identitas pengguna dan postur keamanan perangkat.
Perangkat yang tidak dikelola mengikuti pendekatan berbasis clientless atau reverse-proxy. Perangkat terhubung ke layanan ZTNA melalui sesi yang diprakarsai oleh browser untuk autentikasi dan akses aplikasi. Meskipun hal ini menjadikannya prospek yang menarik bagi pengguna, mitra, dan karyawan pihak ketiga yang terhubung melalui perangkat pribadi atau BYO, penerapan ZTNA tanpa klien terbatas pada protokol aplikasi yang didukung oleh peramban web, seperti RDP, SSH, VNC, dan HTTP.
Memperkenalkan Skyhigh Private Access
Skyhigh Private Access adalah solusi data-aware pertama di industri yang memungkinkan akses "Zero Trust" secara granular ke aplikasi pribadi, dari lokasi dan perangkat mana pun, dan menawarkan kemampuan data loss prevention (DLP) yang terintegrasi untuk mengamankan kolaborasi data melalui ZTNA.