ZTNA vs VPN – วิธีระเบิดตํานานไซเบอร์

โดย Vishwas Manral - Technologist & Head of Cloud Native Security, Skyhigh Security

วันที่ 18 สิงหาคม 2565 3 อ่านนาที

ฉันได้ยินตํานานมากมายเกี่ยวกับสิ่งที่Zero Trust Network Access (ZTNA) คือและเปรียบเทียบกับ VPN อย่างไร บางส่วนเป็นความจริง และหลายอย่างยังห่างไกลจากความจริง ในขณะที่ฉันได้เขียนมาตรฐานเกี่ยวกับ VPN หลักและเทคโนโลยีความปลอดภัยบางอย่างเช่น IPsec / ADVPN และ MPLS ฉันตัดสินใจที่จะเจาะลึกลงไปในเทคโนโลยีและทําตํานานบางอย่างระเบิด

ให้เราลองดําดิ่งสู่แก่นแท้ของมัน – ZTNA vs VPN - ข้อเท็จจริงและนิยายระหว่างทั้งสองคืออะไร? ให้เราเจาะลึกความเหมือนและความแตกต่างระหว่าง ZTNA และ VPN

ZTNA ช่วยลดพื้นผิวการโจมตีอย่างมากและป้องกันการเคลื่อนไหวด้านข้าง ดังที่เห็นในการโจมตี Cisco เมื่อผู้โจมตีใช้การเคลื่อนไหวด้านข้างอย่างมีประสิทธิภาพอาจเป็นเรื่องยากมากสําหรับทีมรักษาความปลอดภัยที่จะตรวจจับและนั่นคือเหตุผลที่ ZTNA มีความสําคัญมาก

วีพีเอ็น

VPN ย่อมาจาก Virtual Private Networks VPN ขยายเครือข่ายส่วนตัวผ่านเครือข่ายอินเทอร์เน็ตสาธารณะ เครือข่ายสามารถเชื่อมต่อที่เลเยอร์ Data link (Layer-2 หรือ Ethernet) ที่เลเยอร์อินเทอร์เน็ต (Layer-3 หรือ IP) หรือเลเยอร์การขนส่ง (Layer-4 หรือ TCP) ผ่านอุโมงค์ ตัวอย่างเช่น เมื่อมี Layer-2 VPN ระหว่างสองไซต์ ไซต์สามารถแชร์ซับเน็ต IP เดียวกันผ่านอินเทอร์เน็ตสาธารณะได้ สิ่งนี้นําไปสู่พื้นผิวการโจมตีขนาดใหญ่ทําให้บริการมีความเสี่ยง Remote Access VPN เป็นกรณีการใช้งานหนึ่งของ VPN ที่ผู้ใช้ระยะไกลเชื่อมต่อกับอุปกรณ์ขององค์กรกับเครือข่ายองค์กรและแอปพลิเคชันผ่าน VPN

ZTNA

Zero Trust Network Access (ZTNA) สร้างโมเดล Least Privilege (Zero Trust) สําหรับ Remote Access VPN โดยอนุญาตให้ผู้ใช้เชื่อมต่อกับแอปพลิเคชัน ZTNA ให้การเข้าถึงแอปพลิเคชันผ่านนายหน้ารักษาความปลอดภัย และแอปพลิเคชันจะไม่สามารถค้นพบได้หากไม่มีนายหน้า ด้วย ZTNA การเชื่อมต่อระหว่างผู้ใช้และแอปพลิเคชันอยู่ที่เลเยอร์แอปพลิเคชัน (เลเยอร์ 7) ทําให้ผู้ใช้เข้าถึงได้เฉพาะแอปพลิเคชันตามบริบทของอุปกรณ์ผู้ใช้และแอปพลิเคชัน นอกจากนี้ โบรกเกอร์สามารถตรวจสอบและรักษาความปลอดภัยการรับส่งข้อมูลทั้งหมดก่อนที่จะเข้าสู่แอปพลิเคชัน

การถามคําถามที่ยาก: ตํานานทั่วไปเกี่ยวกับ ZTNA และ VPN

ZTNA และ Zero ไว้วางใจเหมือนกันหรือไม่

ไม่ใช่ Zero Trust เป็นชุดของหลักการทางสถาปัตยกรรมที่มีพื้นฐานมาจาก "ตรวจสอบแล้วไว้วางใจเสมอ" ZTNA เป็นกรณีการใช้งานแรกของ Zero Trust ใช้หลักการ Zero Trust กับกรณีการใช้งาน Remote Access VPN Zero Trust คือ "อย่างไร" ในขณะที่ ZTNA คือ "อะไร" ขณะนี้เรามีกรณีการใช้งานสําหรับ Zero Trust สําหรับการเข้าถึงข้อมูลการเข้าถึงแอปพลิเคชันและอื่น ๆ อีกมากมาย

ZTNA เหมาะสําหรับการเข้าถึงระยะไกลมากกว่า VPN หรือไม่?

ใช่ เหตุผลชัดเจน ZTNA ให้การรักษาความปลอดภัยที่ดีขึ้นปรับขนาดได้ง่ายและการเริ่มต้นใช้งานและการจัดการที่ราบรื่น ด้วยการเติบโตของการทํางานระยะไกลโซลูชัน ZTNA ซึ่งเป็นระบบคลาวด์ที่มีให้นั้นง่ายต่อการปรับขนาด

VPN จะหายไปในไม่ช้าและไม่มีกรณีการใช้งานอื่น ๆ ของ VPN หรือไม่?

ไม่ใช่ VPN มีกรณีการใช้งานที่แตกต่างกันมากมาย สิ่งเหล่านี้รวมถึงการป้องกันไม่ให้ eves หลุด Site to Site VPN การดาวน์โหลดแบบไม่ระบุชื่อและกรณีการใช้งาน VPN ที่ไม่ใช่การเข้าถึงระยะไกลอื่น ๆ ที่ ZTNA ไม่ได้แทนที่ โดยทั่วไปแล้วโซลูชัน VPN จะมีให้เป็นอุปกรณ์ทางกายภาพหรือเสมือนและยากที่จะปรับขนาดออกไป

อัลกอริทึมความปลอดภัยของ ZTNA ปลอดภัยกว่า VPN หรือไม่?

ไม่ใช่ การเข้ารหัสการสร้างคีย์อัลกอริทึมการตรวจสอบสิทธิ์เดียวกันสามารถใช้ได้กับทั้ง VPN และ ZTNA ไม่มีความแตกต่างทางเทคโนโลยีแม้ว่าอาจมีความแตกต่างในการใช้งานจริง

ZTNA ส่วนใหญ่เกี่ยวกับการเชื่อมต่อ อุโมงค์ที่ปลอดภัย และการควบคุมเครือข่ายเหมือนกับ VPN ใช่หรือไม่

ไม่ใช่ แม้ว่า ZTNA จะเริ่มต้นจากการแทนที่ VPN แต่ก็เป็นมากกว่าการควบคุมที่เน้นเครือข่ายเป็นศูนย์กลางตามข้อมูลประจําตัว ZTNA กําลังเป็นศูนย์กลางด้านข้อมูลและความปลอดภัยมากขึ้น ด้วย ZTNA นโยบาย DLP สามารถนําไปใช้กับไฟล์ขาออกทั้งหมดเพื่อป้องกันการรั่วไหลของข้อมูลที่เป็นอันตรายหรือโดยไม่ได้ตั้งใจ

เช่นเดียวกับ VPN ZTNA ต้องการไคลเอนต์ ZTNA ในการทํางานด้วยหรือไม่?

ไม่ใช่ ZTNA สามารถสนับสนุนได้แบบไร้ไคลเอ็นต์และไม่จําเป็นต้องมีตัวแทน สําหรับเว็บแอปพลิเคชัน ZTNA สามารถใช้ความสามารถดั้งเดิมของเบราว์เซอร์และปลั๊กอินเพื่อสร้างการเชื่อมต่อที่ปลอดภัยสําหรับผู้ใช้ปลายทาง

ด้วยความเข้าใจผิดแปลก ๆ และข้อโต้แย้งที่ผิดพลาดฉันเคยได้ยินเกี่ยวกับโซลูชัน ZTNA และ VPN จึงเป็นการดีที่จะพิจารณาให้ละเอียดยิ่งขึ้นว่าโซลูชันเหล่านี้ประสบความสําเร็จอย่างไร ฉันหวังว่าฉันจะช่วยในการทําลายตํานานของ ZTNA และ VPNs!

กลับไปที่บล็อก