Perimetersikkerhet
Tradisjonelt har organisasjoner stolt på VPN for sikker tilgang til bedriftsnettverk, inkludert fjerntilgang. VPN oppretter en kryptert tunnel for IP-trafikk, slik at brukere kan få tilgang til hele det interne nettverket. Vi har sett på bedriftens nettverk som en borg der vi ved hjelp av brannmur og VPN kontrollerer hvem som får tilgang til innsiden av borgen. Når du først er kommet på innsiden kan du bevege deg fritt omkring, noe som gjør det lettere for skadelig programvare å spre seg på innsiden av borgen.
Verden forandrer seg
Applikasjoner og data befinner seg ikke lenger bare i datarommet på hovedkontoret, men er på full fart ut i skyen. Hybride skyløsninger, hvor noe av bedriftens data er i skyen og noe lagres i datasenter eller lokale servere, er den nye normen.
Under pandemien ble hjemmekontor vanlig, og brukerne forventer nå å kunne jobbe sikkert fra hvor som helst.
Brukerne forventer også at applikasjonene er sikret og tilgjengelige fra alle sine enheter til enhver tid, ikke bare fra jobb-PC-en.
Disse endringene fører til at en sentral brannmur og VPN-løsningen på hovedkontoret er i ferd med å miste sin rolle når det gjelder å kontrollere brukernes sikre tilganger til applikasjoner og tjenester.
Dersom all trafikk skal innom den sentrale brannmuren, ender vi opp med en dyr og dårlig løsning som brukerne vil forsøke å omgå.
Hvordan kan vi da gi brukerne sikker tilgang til applikasjoner og data?
Zero Trust Network Access, forkortet til ZTNA, svarer på mange av disse utfordringene, ved å kontrollere tilgang til applikasjoner uavhengig av hvor brukeren eller applikasjonen befinner seg. Brukeren er tilkoblet bedriftens interne nett, på hjemmekontoret eller på reise. Applikasjonen befinner seg på bedriftens datasenter, i skyen eller på internett.
Hva er Zero Trust Network Access?
Zero Trust Network Access er en sikkerhetsfilosofi og et rammeverk for nettverkssikkerhet. Teknologien tilbyr granulær tilgangskontroll for organisasjons applikasjoner, tjenester og data. ZTNA regnes for å være arvtakeren til tradisjonell VPN med bedre sikkerhet og mer finkornet kontroll.
I et tradisjonelt VPN er antagelsen at vi kan stole på alt som slipper gjennom brannmuren. Mulighetene til å koble seg på bedriftens nettverk og applikasjoner var tidligere i hovedsak knyttet til en desktop på pulten på kontoret.
Nå er ikke lenger pulten kun på kontoret, men overalt hvor ansatte arbeider fra. Da kan vi ikke lenger stole på at det er riktig person som har satt seg ned, og ikke noen som har fått tak i den ansattes enhet. Dette må verifiseres, før enheten får tilgang til bedriftens data. ZTNA sikrer kontinuerlig verifisering, utover det faktum at noen har tilgang til en PC, mobil eller nettbrett.
Prinsippene bak ZTNA
ZTNA bygger på noen få grunnleggende prinsipper.
Ingen implisitt tillit: ZTNA opererer på prinsippet om å aldri stole på at det er riktig person som prøver å få tilgang. Alle brukere og enheter må autentiseres og autoriseres før de får tilgang til nettverket eller ressurser.
Minimale tillatelser (Least Privilege): ZTNA-prinsippet om minimale tillatelser betyr at enhver bruker eller enhet bare får tilgang til de ressursene de absolutt trenger for å utføre sin rolle eller oppgave. Dette reduserer risikoen for at en infisert enhet kan spre skadevare videre i organisasjonen.
Policydrevet sikkerhet: Sikkerhetspolicyer spiller en sentral rolle i ZTNA. Organisasjoner definerer tydelige regler og policyer som styrer tilgangen til nettverket og ressursene. Disse policyene er ofte kontekstavhengige, og de baserer seg på faktorer som brukeridentitet, enhetssikkerhet, tid og sted. I dagens økosystem med nye enheter og stadig nye lokasjoner er dette en svært krevende oppgave sammenlignet med tidligere.
Kontinuerlig overvåking og trusselvurdering: ZTNA krever kontinuerlig overvåking av nettverket og enheter for å oppdage potensielle trusler i sanntid. Dette gjør det mulig å håndtere sikkerhetsbrudd raskt og effektivt.
Mer om ZTNA
ZTNA modellen forutsetter at det finnes en kontrollfunksjon mellom den enkelte brukeren og applikasjonene han skal nå. «Trust Broker» på godt norsk. I et SD-WAN scenario kan denne funksjonen ligge på SD-WAN ruteren, i et rent sky-scenario kan funksjonen ligge i skyen. Oppgaven er den samme enten funksjonen ligger i skyen eller på fysisk enhet i kundens nett:
- Verifisere brukerens identitet
- Bestemme hvilke tilganger brukeren trenger
- Verifisere brukerens klient
Brukeren vil så få tilgang til akkurat den applikasjonen, men ingenting annet. I praksis vil brukerens maskin opprette et antall krypterte tunneler, en for hver applikasjon brukeren skal nå. Kontrollen utføres ikke bare når sesjonen settes opp, men kontinuerlig så lenge sesjonen er i bruk. Ved mistenkelig adferd eller brudd på policy, kan vi fjerne klientens tilgang til applikasjonen øyeblikkelig.
Hva nå?
Gartner anslår at i 2025 vil minst 70% av nye fjernaksess-løsninger være basert på ZTNA framfor tradisjonell VPN. (åpnes i nytt vindu) Hva skal du så gjøre for å komme i gang?
Det finnes mange ZTNA produkter og tjenester på markedet, og SD-WAN og Secure Access Service Edge (SASE) løsninger får i økende grad støtte for ZTNA. Implementeringen kan gjøres gradvis for hver applikasjon, og det er lettest å starte med applikasjoner i skyen.
Samtidig kan vi hevde at Zero Trust ikke er et produkt du kan kjøpe. Det er en arkitektur som må bygges og kontinuerlig vedlikeholdes.
