Για πολλά χρόνια, η απομακρυσμένη πρόσβαση VPN μας εξυπηρέτησε εξαιρετικά καλά. Παρόλα αυτά, με την ταχύτατη υιοθέτηση της τηλεργασίας και της τηλεκπαίδευσης εξαιτίας της πανδημίας του νέου κορωνοϊού, οι περιορισμοί της γερασμένης αυτής τεχνολογίας έγιναν ακόμα πιο αισθητοί. Τους περιορισμούς αυτούς ήρθε να αντιμετωπίσει η Δικτυακή Πρόσβαση Μηδενικής Εμπιστοσύνης – Zero Trust Network Access (ZTNA).
Γιώργος Καπανίρης
Executive Director , NSS
www.nss.gr
Αν και ορισμένοι οργανισμοί εξακολουθούν να αξιοποιούν το VPN ωθώντας την τεχνολογία στα όρια της, είναι όλο και περισσότεροι οι οργανισμοί που πλέον αναζητούν μία καλύτερη εναλλακτική τεχνολογία, η οποία μπορεί να ανταπεξέλθει καλύτερα στις σημερινές προκλήσεις της τηλεργασίας, της τηλεκπαίδευσης και γενικότερα της απομακρυσμένης πρόσβασης.
Πολλές επιχειρήσεις και οργανισμοί έχουν αρχίσει ήδη την μετάβαση στην επόμενης γενιάς τεχνολογία απομακρυσμένης πρόσβασης που έχει την ονομασία ZTNA ή Zero Trust Network Access. Η δικτυακή πρόσβαση μηδενικής εμπιστοσύνης προσφέρει πολύ καλύτερη ασφάλεια, ακόμα πιο λεπτομερή ή αναλυτικό έλεγχο, αυξημένη ορατότητα και μία διαφανή εμπειρία χρήσης σε σύγκριση με όσα προσφέρει σήμερα η απαρχαιωμένη τεχνολογία VPN.
Το απαρχαιωμένο VPN
Το VPN αποτελεί βασικό στοιχείο των περισσότερων δικτύων εδώ και δεκαετίες, παρέχοντας μία ασφαλή μέθοδο πρόσβασης στα συστήματα και πόρους του εταιρικού δικτύου από μία απομακρυσμένη τοποθεσία. Παρόλα αυτά, η τεχνολογία αναπτύχθηκε σε μία εποχή που το εταιρικό δίκτυο έμοιαζε με μεσαιωνικό κάστρο ή οχηρό -με τα τείχη και την τάφρο να σχηματίζουν μία ασφαλή περίμετρο γύρω από τους πόρους στο εσωτερικό. Το VPN παρείχε -και εξακολουθεί να παρέχει για αρκετούς οργανισμούς- το αντίστοιχο μίας ασφαλούς πύλης για τους εξουσιοδοτημένους χρήστες ώστε να εισέλθουν στην ασφαλή περίμετρο. Παρόλα αυτά, μόλις εισέρχονταν, είχαν πλήρη πρόσβαση στα πάντα εντός της περιμέτρου. Και αυτό αποτελεί πρόβλημα.
Τα δίκτυα έχουν εξελιχθεί σημαντικά, και σήμερα είναι περισσότερο κατανεμημένα από ποτέ. Εφαρμογές και δεδομένα τώρα βρίσκονται ενεργά στο cloud, οι χρήστες εργάζονται εξ αποστάσεως και τα δίκτυα βρίσκονται υπό διαρκή πολιορκία από επιτιθέμενους, κυβερνοεγκληματίες, χάκερ και απατεώνες οι οποίοι αναζητούν να ανακαλύψουν και την παραμικρή αδυναμία και ευπάθεια για να εκμεταλλευτούν. Η διαχείριση μιας λύσης απομακρυσμένης πρόσβασης που βασίζεται στην παραδοσιακή τεχνολογία VPN (IPSec/SSL) σε κάθε είδους σύγχρονο περιβάλλον έχει πολλές προκλήσεις και σε αρκετές περιπτώσεις μπορεί να γίνει εξαιρετικά επώδυνη για τις ομάδες ασφάλειας και πληροφορικής. Πρέπει να φροντίσουν για τη διαχείριση IP, τις ροές δεδομένων και τη δρομολόγηση, τους κανόνες πρόσβασης στο τείχος προστασίας, να φροντίσουν για την εγκατάσταση πιστοποιητικών σε διάφορες εφαρμογές και βεβαίως τη διαμόρφωση. Οτιδήποτε πέρα από μερικούς κόμβους και λίγους δεκάδες χρήστες μπορεί να φέρει τα πράγματα σε τέτοιο επίπεδο ώστε να ξεκινήσουμε να μιλάμε για πολύ χρονοβόρα διαδικασία, μόνο και μόνο για να εξακολουθήσει να λειτουργεί. Και αν κάτι τέτοιο μοιάζει σε ορισμένους «διαχειρίσιμο», η ασφάλεια μπορεί να γίνει πραγματικός εφιάλτης όσον αφορά την παρακολούθηση και τον έλεγχο. Συνοπτικά, η παραδοσιακή απομακρυσμένη πρόσβαση VPN συνοδεύεται από αρκετούς περιορισμούς και προκλήσεις.
Καταρχήν, έχουμε το ζήτημα της «απεριόριστης εμπιστοσύνης». Μπορεί το VPN να κάνει πολύ καλή δουλειά στο να σας «περάσει» από την περίμετρο εντός του εταιρικού δικτύου σαν να είχατε φυσική παρουσία, ωστόσο σε αυτό το σημείο, θα απολαμβάνετε της πλήρους εμπιστοσύνης του οργανισμού σας καθώς θα έχετε ευρεία πρόσβαση σε εταιρικούς πόρους και αυτό είναι κάτι που παρουσιάζει μεγάλους αλλά και περιττούς κινδύνους για την ασφάλεια. Επειδή επίσης το VPN δεν έχει επίγνωση της κατάστασης της συσκευής που χρησιμοποιείται για τη σύνδεση με το εταιρικό δίκτυο, δημιουργεί μία δίοδο για την είσοδο απειλών εντός του εταιρικού δικτύου από συσκευές που ενδεχομένως είναι μολυσμένες ή παραβιασμένες. Και αυτό αποτελεί δυνητικό παράγοντα απειλής.
Το VPN επίσης παρέχει ένα μοναδικό σημείο παρουσίας στο δίκτυο και αυτό ενδεχομένως καθιστά αναγκαία την οπισθόζευξη της κίνησης δεδομένων από πολλαπλές τοποθεσίες, κέντρα δεδομένων ή εφαρμογές διαμέσου της σήραγγας VPN. Επιπλέον, έχουμε τα ζητήματα της έλλειψης ορατότητας και της κακής, γενικότερα, εμπειρία χρήσης. Επειδή το VPN δεν έχει επίγνωση της κίνησης και των μοτίβων χρήσης που διευκολύνει, κάνει την ορατότητα στη δραστηριότητα των χρηστών και στη χρήση των εφαρμογών ακόμα πιο δύσκολη για τις ομάδες ασφάλειας και πληροφορικής. Επιπλέον, οι VPN clients επίσης είναι γνωστό ότι συνεισφέρουν σε προβλήματα υστέρησης και απόδοσης, συνδεσιμότητας και μεταφέρουν περιττά βάρη στην ομάδα υποστήριξης ενός οργανισμού.
Τέλος, μένει η διαχείριση, η εφαρμογή ή το deployment και βεβαίως το enrollment των χρηστών. Η εγκατάσταση των VPN clients κάποιες φορές είναι σύνθετη, όπως επίσης η εφαρμογή τους, η εγγραφή ή διαγραφή των χρηστών κ.α.
Απαιτούν ώρες από τις ομάδες διαχείρισης πληροφοριακών συστημάτων και άλλες τόσες από τις ομάδες ασφάλειας. Το VPN επιπλέον είναι δύσκολο στη διαχείριση του από πλευράς gateway ή firewall, ειδικά όταν έχεις να κάνεις με πολλαπλούς κόμβους, με κανόνες πρόσβασης στο firewall, με διαχείριση διευθύνσεων IP, με τον έλεγχο της κίνησης και την δρομολόγηση. Είναι μία εργασία πλήρους απασχόλησης !
Τι είναι το ZTNA και πως λειτουργεί
Η δικτυακή πρόσβαση μηδενικής εμπιστοσύνης, ZTNA ή αλλιώς Zero Trust Network Access, σχεδιάστηκε εξ αρχής για να αντιμετωπίσει όλες τις προκλήσεις και τους περιορισμούς του VPN, προσφέροντας μία καλύτερη λύση για τους απομακρυσμένους χρήστες, ώστε να συνδέονται με ασφάλεια στις εφαρμογές και στα δεδομένα που τους είναι απαραίτητα για να κάνουν τη δουλειά τους και τίποτα περισσότερο. Υπάρχουν ορισμένες θεμελιώδεις διαφορές μεταξύ του ZTNA και του VPN. Όπως υπονοεί και η ονομασία, το ZTNA βασίζεται στις αρχές της μηδενικής εμπιστοσύνης ή αλλιώς στη λογική του «μην εμπιστεύεσαι τίποτα, επικύρωσε τα πάντα». Η μηδενική εμπιστοσύνη, για να… επιστρέψουμε για λίγο στο παράδειγμα του μεσαιωνικού κάστρου που χρησιμοποίησα πιο πάνω, ουσιαστικά εξαλείφει την ιδέα του τείχους γύρω από το κάστρο και της περιμέτρου της τάφρου για να κάνει κάθε χρήστη, κάθε συσκευή και κάθε δικτυακή εφαρμογή να έχει τη δική του περίμετρο, με τη διασύνδεση τους να πραγματοποιείται μόνο αφότου έχει γίνει επικύρωση των διαπιστευτηρίων, επικύρωση της καλής κατάστασης της συσκευής σε σχέση με την ασφάλεια και του ελέγχου της πολιτικής πρόσβασης. Και το παραπάνω βελτιώνει δραματικά την ασφάλεια, την τμηματοποίηση (segmentation) και τον έλεγχο γενικότερα.
Μία ακόμη σημαντική διαφορά που αφορά στον τρόπο λειτουργίας του ZTNA είναι ότι οι χρήστες δεν εισέρχονται στο δίκτυο με πλήρη προνόμια. Αντιθέτως, δημιουργούνται μεμονωμένοι δίοδοι μεταξύ του χρήστη και της συγκεκριμένης πύλης (gateway) για την εφαρμογή που έχουν εξουσιοδοτηθεί να έχουν πρόσβαση και τίποτα περισσότερο. Με αυτόν τον τρόπο, παρέχεται ένα περισσότερο ασφαλές επίπεδο μικρο-τμηματοποίησης. Και αυτό με τη σειρά του έρχεται με μία σειρά από οφέλη για την ασφάλεια, τον έλεγχο, την ορατότητα, την αποτελεσματικότητα και την απόδοση.
Για να πάρετε μία ιδέα, η απομακρυσμένη πρόσβαση VPN παρέχει μηδενική πληροφόρηση για τις εφαρμογές που έχουν πρόσβαση οι χρήστες, όταν το ZTNA μπορεί να προσφέρει πληροφορίες για την κατάσταση και τη δραστηριότητα σε πραγματικό χρόνο για όλες τις εφαρμογές σας, κάτι που αποδεικνύεται ανεκτίμητο για τον εντοπισμό πιθανόν ζητημάτων ή την εκτέλεση ελέγχων άδειας χρήσης. Αυτή η μικρο-τμηματοποίηση που παρέχει το ZTNA διασφαλίζει ότι δεν υπάρχει πλευρική κίνηση ή πρόσβαση χρήστη μεταξύ πόρων εντός του δικτύου. Κάθε χρήστης, συσκευή, εφαρμογή ή πόρος, βρίσκεται κυριολεκτικά εντός της δικής του ασφαλούς περιμέτρου καθώς έχει εξαλειφθεί η απαρχαιωμένη ιδέα της «απεριόριστης εμπιστοσύνης».
Επιπλέον, το ZTNA είναι από τη φύση του περισσότερο δυναμικό και διαφανές, λειτουργεί στο παρασκήνιο χωρίς να απαιτεί αλληλεπίδραση από τον χρήση πέραν της αρχικής επικύρωσης της ταυτότητας του. Και αυτή η εμπειρία μπορεί να είναι τόσο ομαλή, που οι χρήστες σας ούτε που θα καταλαβαίνουν ότι συνδέονται σε εφαρμογές ή πόρους του εταιρικού δικτύου μέσω ασφαλών, κρυπτογραφημένων διόδων.
Sophos ZTNA
Αν μία εταιρεία πρωτοστατεί στην καθιέρωση του ZTNA, αυτή είναι η Sophos, μία από τις μεγαλύτερες εταιρείες ασφαλείας στον κόσμο. Το Sophos ZTNA είναι ένα ολοκαίνουργιο, cloud-delivered, cloud-managed προϊόν που σας δίνει τη δυνατότητα να προστατεύσετε εύκολα και με διαφάνεια σημαντικές εταιρικές δικτυακές εφαρμογές και πόρους έχοντας λεπτομερή έλεγχο. Όπως ανέφερα, το ZTNA έχει να κάνει κατά πρώτο λόγο με την επαλήθευση του χρήστη, τυπικά χρησιμοποιώντας έλεγχο ταυτότητας πολλαπλών παραγόντων, για να αποτραπεί η κλοπή διαπιστευτηρίων που θα μπορούσε να αποτελέσει πηγή παραβίασης και ακολούθως με την επικύρωση της υγείας και της συμμόρφωσης μίας συσκευής, για να πιστοποιηθεί ότι είναι σωστά εγγεγραμμένη, ενημερωμένη και προστατευμένη. Όλες αυτές οι πληροφορίες στη συνέχεια, μπορούν να αξιοποιηθούν για τη λήψη αποφάσεων βάσει πολιτικών ελέγχου της πρόσβασης και των προνομίων σε σημαντικές δικτυακές εφαρμογές. Το Sophos ZTNA αποτελεί την καλύτερη λύση για τη σύνδεση απομακρυσμένων εργαζομένων ή υποκαταστημάτων.
