Zero Trust Network Access (ZTNA) aplica políticas granulares, adaptativas e sensíveis ao contexto para fornecer acesso Zero Trust seguro e contínuo a aplicações privadas alojadas em nuvens e centros de dados empresariais, a partir de qualquer localização e dispositivo remoto. Esse contexto pode ser uma combinação de identidade do utilizador, localização do utilizador ou do serviço, hora do dia, tipo de serviço e postura de segurança do dispositivo.
Na avaliação da identidade do utilizador, da identidade do dispositivo e de outros factores contextuais, a ZTNA permite o acesso "menos privilegiado" a aplicações específicas, e não a toda a rede subjacente, a qualquer utilizador com chaves de início de sessão válidas, reduzindo a superfície de ataque e impedindo o movimento lateral de ameaças a partir de contas ou dispositivos comprometidos.
A ZTNA baseia-se no conceito de "Confiança Zero", que afirma que as organizações não devem confiar em qualquer entidade, dentro ou fora dos perímetros de segurança, e que, em vez disso, devem verificar cada utilizador ou dispositivo antes de lhes conceder acesso a recursos sensíveis, garantindo a segurança e a integridade dos dados.
A ZTNA actua como um facilitador essencial para
Borda de serviço seguro (SSE)A sua empresa está a transformar o conceito de perímetro de segurança de centros de dados empresariais estáticos para uma borda mais dinâmica, baseada em políticas e fornecida pela nuvem, para suportar os requisitos de acesso da força de trabalho distribuída.
Casos de utilização comuns da ZTNA
- Proteger o acesso remoto a aplicações privadas
À medida que as organizações movem as suas aplicações críticas para os negócios através de vários ambientes de nuvem para uma colaboração perfeita, são especificamente desafiadas a monitorizar cada dispositivo de ligação para proteger o acesso às aplicações e evitar a exfiltração de dados. Os ZTNAs permitem o acesso adaptativo e sensível ao contexto a aplicações privadas a partir de qualquer local e dispositivo. O acesso às aplicações é negado por defeito, a menos que seja explicitamente permitido. O contexto do acesso às aplicações pode incluir a identidade do utilizador, o tipo de dispositivo, a localização do utilizador, a postura de segurança do dispositivo, etc.
- Substituir as ligações VPN e MPLS
As arquitecturas VPN são lentas e contraproducentes em implementações cloud-first. Proteger todos os acessos de utilizadores remotos através de VPNs de software e hardware intensivo pode aumentar as despesas de capital e os custos de largura de banda. O ZTNA fornece acesso rápido e direto à nuvem aos recursos empresariais, reduzindo a complexidade, o custo e a latência da rede, ao mesmo tempo que melhora significativamente o desempenho para facilitar as implementações da força de trabalho remota.
- Limitar o acesso dos utilizadores
A abordagem de segurança ampla e baseada no perímetro das soluções de segurança tradicionais permite o acesso total à rede a qualquer utilizador com chaves de início de sessão válidas, expondo excessivamente os recursos empresariais sensíveis a contas comprometidas e ameaças internas. Os hackers que obtêm acesso a toda a rede subjacente podem mover-se livremente através dos sistemas internos sem serem detectados. A ZTNA implementa o acesso controlado com o mínimo de privilégios, restringindo o acesso dos utilizadores a aplicações específicas estritamente com base na "necessidade de conhecer". Todos os pedidos de ligação são verificados antes de conceder acesso aos recursos internos.
Benefícios da ZTNA
O ZTNA permite que as organizações criem perímetros definidos por software e dividam a rede empresarial em vários micro-segmentos, impedindo o movimento lateral de ameaças e reduzindo a superfície de ataque em caso de violação.
O ZTNA cria uma darknet virtual e impede a descoberta de aplicações na Internet pública, protegendo as organizações contra a exposição de dados baseados na Internet, malware e ataques DDoS.
A ZTNA pode estender os seus benefícios a aplicações antigas alojadas em centros de dados privados, facilitando a conetividade segura e oferecendo o mesmo nível de vantagens de segurança que as aplicações Web.
O ZTNA permite um acesso seguro, rápido, ininterrupto e direto à nuvem a aplicações privadas, proporcionando uma experiência consistente aos utilizadores remotos que acedem a aplicações SaaS e privadas.
Qual é a diferença entre VPN e ZTNA?
Acesso ao nível da rede versus acesso ao nível da aplicação: As VPNs permitem o acesso total à rede privada a qualquer utilizador com chaves de início de sessão válidas. A ZTNA restringe o acesso dos utilizadores a aplicações específicas, limitando a exposição dos dados e o movimento lateral de ameaças em caso de ciberataque.
Visibilidade profunda da atividade do utilizador: As VPNs não dispõem de controlos ao nível das aplicações e não têm visibilidade das acções do utilizador quando este se encontra dentro da rede privada. As ZTNAs registam todas as acções do utilizador e fornecem uma visibilidade e monitorização mais profundas do comportamento e dos riscos do utilizador para aplicar controlos informados e centrados nos dados para proteger conteúdos sensíveis dentro das aplicações. Os registos podem ser enviados para ferramentas SIEM para uma visibilidade centralizada e em tempo real da atividade do utilizador e das ameaças. Os ZTNAs podem ainda ser integrados na solução de segurança de terminais para permitir o acesso adaptativo com base na avaliação contínua da postura de segurança do dispositivo.
Avaliação da postura do ponto final: As ligações VPN não têm em conta os riscos colocados pelos dispositivos dos utilizadores finais. Um dispositivo comprometido ou infetado com malware pode ligar-se facilmente ao servidor e obter acesso a recursos internos. As ZTNAs efectuam uma avaliação contínua dos dispositivos de ligação validando a sua postura de segurança e permitem o acesso adaptativo aos recursos com base na confiança do dispositivo necessária nesse momento. A ligação do dispositivo é imediatamente terminada quando são detectados riscos.
Experiência do utilizador: As VPNs não foram concebidas para lidar com o cenário da força de trabalho cada vez mais distribuída. O backhauling de todas as ligações de utilizadores através de hubs VPN centralizados cria problemas de largura de banda e de desempenho, ao mesmo tempo que conduz a uma experiência de utilizador inferior. Com a ZTNA, os utilizadores podem estabelecer ligações directas à aplicação, permitindo um acesso rápido e seguro aos recursos empresariais alojados em ambientes IaaS ou centros de dados privados, facilitando simultaneamente implementações ágeis e escaláveis na nuvem.
Poupança de custos: A ZTNA elimina a necessidade de adquirir o dispendioso hardware VPN e de gerir a complexa configuração da infraestrutura em cada centro de dados. Além disso, os utilizadores remotos não necessitam de um cliente VPN adicional, que consome muitos recursos, para estabelecer uma ligação segura.
Como é que a ZTNA funciona?
Um software conetor instalado na mesma rede do cliente que a aplicação privada estabelece uma ligação de saída para o serviço (ou corretor) alojado na nuvem através de um túnel seguro e encriptado. O serviço é o ponto de saída do tráfego privado para a rede do cliente e é o principal responsável por:
- Verificar a ligação dos utilizadores e autenticar a sua identidade através de um fornecedor de identidade.
- Validar a postura de segurança dos dispositivos dos utilizadores.
- Provisionamento do acesso a aplicações específicas através do túnel seguro.
Devido às ligações de saída, ou "de dentro para fora", ao serviço ZTNA, as organizações não necessitam de abrir quaisquer portas de firewall de entrada para acesso a aplicações, protegendo-as da exposição direta na Internet pública, protegendo-as de DDoS, malware e outros ataques online.
A ZTNA pode servir tanto os dispositivos geridos como os não geridos. Os dispositivos geridos seguem uma abordagem baseada no cliente, em que um cliente ou agente da empresa é instalado nos dispositivos. O cliente é responsável por obter as informações do dispositivo e partilhar os detalhes com o serviço ZTNA. A ligação é estabelecida com as aplicações após a validação da identidade do utilizador e da postura de segurança do dispositivo.
Os dispositivos não geridos seguem uma abordagem sem cliente ou baseada em proxy inverso. Os dispositivos ligam-se ao serviço ZTNA através de sessões iniciadas pelo browser para autenticação e acesso a aplicações. Embora isto o torne uma perspetiva atractiva para utilizadores terceiros, parceiros e funcionários que se ligam através de dispositivos pessoais ou BYO, as implementações ZTNA sem cliente estão limitadas a protocolos de aplicações suportados pelos navegadores Web, como RDP, SSH, VNC e HTTP.
Apresentação da Skyhigh Private Access
Skyhigh Private Access é a primeira solução com reconhecimento de dados do sector que permite o acesso granular "Zero Trust" a aplicações privadas, a partir de qualquer local e dispositivo, e oferece capacidades integradas de data loss prevention (DLP) para proteger a colaboração de dados através de ZTNA.