ZTNA - osim očiglednog
Uz svakodnevne povrede podataka i sajber napade, ovih dana svi pričaju o Zero Trust-u. Vlade također igraju na kartu ZTNA: na primjer, 2021. godine, američka savezna vlada je izvršnom naredbom naložila implementaciju Zero Trust arhitekture u svim vladinim agencijama. Sličan pristup je vidljiv u njemačkom Saveznom uredu za sigurnost informacija (BSI).
Osim očiglednog (svako može definirati ZTNA, zar ne?), koje ključne promjene bi izvršni direktori i administratori trebali uzeti u obzir kada je ZTNA u pitanju:
Nema više pristupa aplikacijama samo pomoću lozinki: ZTNA uvijek pretpostavlja da su identiteti adekvatno zaštićeni od krađe identiteta. To znači da je multifaktorska autentifikacija (MFA) sastavni dio rješenja.
Arhitektura vođena klijentom (eng. client initiated architecture): softverski agenti ili klijenti raspoređeni na endopoint-ovima su sve važniji. Samo softver baziran na klijentu može ponuditi adekvatne sigurnosne kontrole (autentifikacija, stanje sigurnosti i kontekst, itd.), za razliku od mrežne inspekcije.
Servisno vođena arhitektura (eng. service-initiated architecture) kao alternativa klijentskim agentima: ovdje je softverski konektor instaliran na istoj mreži kao i serverska aplikacija, koja pokreće i održava vezu iznutra prema Cloud servisu gdje su aplikacije i korisnici zajedno povezani. Možete primijetiti da ne postoji ulazna veza s internim aplikacijama što dramatično smanjuje površinu napada. Osim toga, tako izloženu aplikaciju mogu koristiti putem HTTPS-a uređaji bez softverskih agenata, omogućavajući BYOD scenarije.
VPN-ovi i zaštitni zidovi nisu neophodan dio rješenja: u stvari, ZTNA se može u potpunosti bazirati na softverskim agentima. Možda ste primijetili da su i arhitektura vođena klijentom i servisno vođena arhitektura potpuno nezavisne od zaštitnih zidova i ulaznih veza sa uslugama (kao što je VPN).
Naravno, ZTNA i dalje zahtijeva snažnu kontrolu pristupa i mikro-segmentaciju na mreži servera gdje se nalaze aplikacije. Međutim, ključni zaključak je više se oslanjati na softverske agente, eliminirati oslanjanje na lozinke (MFA) i na kraju smanjiti površinu napada eliminacijom ulaznih veza (VPN, RDP, HTTPS, itd.).
Sada možemo reći ono što je očigledno pitajući chatGPT šta je ZTNA:
"Zero Trust Network Access (ZTNA) je strategija kibernetičke sigurnosti koja pretpostavlja da su svi korisnici i uređaji, unutar i izvan mreže organizacije, nepouzdani i moraju biti provjereni prije nego im se odobri pristup resursima. Ovaj pristup se zasniva na ideji da tradicionalni perimetar sigurnosti mreže više nije dovoljan u današnjem digitalnom okruženju, gdje zaposleni često pristupaju korporativnim resursima s različitih uređaja i lokacija."
Pročitajte više o klijentskim i servisnim arhitekturama ovdje.