Сетевой доступ с нулевым доверием — маркетинговый термин или реальный инструмент?

Сетевой доступ с нулевым доверием — маркетинговый термин или реальный инструмент?

Даже признанные эксперты не могут прийти к единому мнению относительно Zero Trust Network Access и чётко провести границу между маркетингом и реальной технологической составляющей этой концепции. Что такое доступ с нулевым доверием, существуют ли на самом деле ZTNA-продукты или для реализации этой концепции достаточно уже имеющихся решений, а также как внедрять такой подход в организации — разбираемся вместе с ведущими экспертами отрасли.

 

 

 

 

 

  1. Введение
  2. Чем отличаются Zero Trust и ZTNA
  3. Можно ли построить систему с нулевым доверием
  4. Сценарии реализации ZTNA в корпоративной инфраструктуре
  5. Поставщики контекста для ZTNA
  6. Как внедрять ZTNA
  7. Выводы

Введение

Темой очередного выпуска онлайн-конференции AM Live стал сетевой доступ с нулевым доверием. Что такое Zero Trust Network Access (ZTNA) — идея, концепция, технология, инструмент или же «хайп» и маркетинговая уловка, придуманная вендорами для стимуляции продаж? Существует ли отдельный, новый класс решений Zero Trust или же все постулаты этой концепции можно реализовать при помощи уже существующих продуктов? Эти и другие вопросы мы обсудили в студии Anti-Malware.ru с представителями вендоров и ведущими экспертами ИБ-рынка.

В прямом эфире приняли участие:

  • Никита Бухаренко, руководитель разработки проекта Efros ACS компании «Газинформсервис».
  • Михаил Кондрашин, технический директор компании Trend Micro в СНГ, Грузии и Монголии.
  • Юрий Захаров, системный инженер компании Fortinet.
  • Эльман Бейбутов, руководитель по развитию бизнеса компании IBM Security Services.
  • Павел Коростелев, руководитель отдела продвижения продуктов компании «Код Безопасности».
  • Павел Пимакин, технический эксперт компании Fortis.
  • Сергей Кузнецов, региональный директор компании Thales по решениям для управления доступом и защиты данных.

Модератором дискуссии выступил бизнес-консультант по безопасности Cisco Алексей Лукацкий.

 

 

Чем отличаются Zero Trust и ZTNA

Для того чтобы определиться с терминологией, ведущий прямого эфира предложил в первой части дискуссии поговорить о взаимосвязи концепции Zero Trust и технологии ZTNA, а также других поддоменов этого понятия. Является ли ZTNA лишь маркетинговой уловкой или за этим термином стоит реальная технология? Вот что думают по этому поводу эксперты.

Михаил Кондрашин:

— Концепция Zero Trust появилась более десяти лет назад, однако, как любая концепция, она не говорит конкретно, что делать. ZTNA — это технология, которая позволяет применять идеи Zero Trust на практике.

Павел Коростелев:

— Решения, которые можно классифицировать как Zero Trust Network Access, появились ещё в 2005–2008 годах, но термин ZTNA был определён Gartner только в 2018-м. Почему так получилось — это тема для дискуссии.

Юрий Захаров:

— ZTNA предоставляет возможность контролируемого доступа для клиентов, которые находятся как за пределами организации, так и внутри сетевого окружения компании. При этом пользователям предоставляется лишь минимально необходимый для работы уровень привилегий.

Эльман Бейбутов:

— ZTNA — это в некотором роде жонглирование терминами, причём некоторые вендоры намеренно привязывают к этой аббревиатуре стек имеющихся у них технологий. Я считаю, что Zero Trust Network Access — это некий субдомен архитектуры Zero Trust, который является начальным, но не единственным блоком всей концепции.

Сергей Кузнецов:

— Исторически концепция Zero Trust базировалась на нескольких принципах, таких, например, как сужение периметра до уровня данных. Именно на уровне данных стало необходимо принимать решение о предоставлении доступа индивидууму, приложению или процессу. Для меня Zero Trust как понятие первично, а ZTNA и другие фреймворки, появившиеся позже, являются реализацией того, что может быть предложено этой концепцией в практической плоскости.

Никита Бухаренко:

— Концепция доступа с нулевым доверием сформулирована давно, но каждая компания может её трактовать по-своему. Поэтому реализация ZTNA в каждом случае может отличаться. Во многом такие различия будут определены набором уже имеющихся у организации продуктов и оборудования.

Павел Пимакин:

— Для меня Zero Trust Network Access — это исключительно подмножество концепции Zero Trust, основной задачей которого является приведение периметра к элементарной паре «приложение–пользователь» или «приложение–сервис». То есть такое базовое взаимодействие и должно являться периметром.

Как отметили эксперты, Zero Trust Network Access — это не технологическая, но рыночная новинка, появившаяся в ответ на два сильных тренда последнего времени. В первую очередь это — развитие публичных облачных сервисов и массовый переход на удалённую работу. Кроме того, современное ИТ-окружение стало более динамичным. Если ранее специалисты исходили из парадигмы стоп-листов, а также списка доверенных приложений, процессов, пользователей, то теперь поддержание реестра запрещённых и разрешённых сущностей затруднено из-за их огромного количества. Поэтому возникла концепция «нулевого доверия», когда решение о предоставлении доступа принимается в момент обращения к ресурсу.

Немаловажно, что ZTNA можно рассматривать как набор функций, которые реализуются при помощи различных уже существующих на рынке продуктов.

Большинство зрителей прямого эфира онлайн-конференции AM Live поверхностно знакомы с архитектурой ZTNA. В ходе проведённого нами опроса 58 % респондентов ответили, что что-то слышали об этой технологии, но детально не разбираются в этом вопросе. Ещё 19 % участников опроса заявили, что знают о ZTNA, но на работе её не внедряли. Внедрили в своей компании сетевой доступ с нулевым доверием 7 % опрошенных, а 16 % впервые услышали этот термин во время прямого эфира.

 

Рисунок 1. Насколько хорошо вы знакомы с архитектурой ZTNA?

Насколько хорошо вы знакомы с архитектурой ZTNA?

 

Можно ли построить систему с нулевым доверием

Действительно ли системы доступа с нулевым доверием соответствуют декларируемой концепции? Возможно ли построение архитектуры, в которой ко всем пользователям будут применяться одинаковые правила, или появление привилегированных аккаунтов неизбежно? Как моделировать угрозы в сети, где нет доверенных подключений — ведь ZTNA исходит из того, что события уже развиваются по худшему из возможных сценариев? Такие вопросы мы задали нашим экспертам в продолжение беседы.

Как справедливо отметили спикеры, концепция доступа с нулевым доверием не нова. Интернет-провайдеры давно используют такой подход по отношению к своим клиентам. При этом если рассуждать о фундаменте, на базе которого должна строиться реальная система Zero Trust, то вопросы доверия интернет-провайдеру, поставщику оборудования и программ, оператору облачного сервиса в любом случае останутся открытыми. При этом степень доверия к вендору может быть повышена за счёт сертификации средств защиты третьей стороной — например, ФСТЭК России.

По мнению экспертов онлайн-конференции, моделирование угроз применительно к ZTNA остаётся актуальным, поскольку неотъемлемой частью модели угроз является модель нарушителя. В случае доступа с нулевым доверием необходимо описать действия нарушителя с минимальным уровнем привилегий. Иначе говоря, концепция Zero Trust — это просто изменение модели угроз, а не фактор отменяющий её.

Зрители прямого эфира также высказались на тему того, можно ли построить систему, в которой нельзя никому доверять. Более половины опрошенных — 58 % — считают, что такую систему создать невозможно. Противоположного мнения придерживаются 42 % респондентов.

 

Рисунок 2. Считаете ли вы, что можно построить систему, в которой нельзя никому доверять?

Считаете ли вы, что можно построить систему, в которой нельзя никому доверять?

 

Сценарии реализации ZTNA в корпоративной инфраструктуре

Чтобы перевести беседу в практическую плоскость, Алексей Лукацкий предложил порассуждать о реальных вариантах реализации ZTNA-архитектуры — в частности, рассказать о преимуществах и недостатках использования клиентских агентов для предоставления доступа.

По мнению Никиты Бухаренко, в целях совместимости с различными устройствами лучше строить систему без агентов. Применение тонких клиентов и веб-доступа облегчает поддержку и обновление решения, а также значительно упрощает подключение и решает вопросы размытия периметра. С ним частично согласился Павел Пимакин, отметивший, что несмотря на некоторые удобные функции, особенно полезные с точки зрения аудита, агенты могут породить и множество проблем. Поэтому разумно смириться с некоторой потерей контроля над устройством, но получить более простую и безопасную систему.

Как сказал Эльман Бейбутов, в рамках риск-ориентированного подхода для доступа к разным данным и разным ресурсам необходимо применять разные подходы. Например, часть специалистов по продажам в компании может не пользоваться MDM-агентами, но им по-прежнему будут доступны некоторые необходимые им внутренние сервисы. При этом другим сотрудникам для полноценной работы потребуется клиентская часть, а также установленное EDR-решение.

Юрий Захаров считает, что совсем отказаться от агента не получится, поскольку функциональные возможности ZTNA будут сильно сокращены. Основной идеей доступа с нулевым доверием является организация сеанса с контролем его состояния в режиме реального времени. Без агента сделать это очень сложно.

Интересный пример привёл Павел Коростелев: если представить все варианты оборудования, которое используется компанией для удалённого доступа, то на одном полюсе будет корпоративный ноутбук, который мы можем полностью контролировать, а на другом — домашнее устройство сотрудника, которое мы не можем контролировать практически никак. В первом случае можно использовать ZTNA-агент, а также другие средства защиты на стороне пользователя, а в другом случае оптимальным решением будет доступ без использования агента.

По мнению Михаила Кондрашина, существуют такие ZTNA-продукты, которым требуются агенты, и такие, которым агенты не нужны. Продукты, которые пользуются агентами, могут применять их или не применять, в зависимости от настроек. Таким образом мы можем гибко конфигурировать инструменты доступа в зависимости от устройства или подключаемого ресурса.

Итог обсуждению подвёл Сергей Кузнецов: в ближайшее время мы вряд ли придём к полностью безагентской схеме, поскольку агенты нужны для максимальной достоверности сеанса. Однако в текущей ситуации развития технологий вендору необходимо иметь абсолютно конкретное предложение для организации эффективной работы пользователей и без агентов.

По мнению зрителей прямого эфира, наиболее перспективными сценариями применения ZTNA являются удалённый доступ работников — за этот вариант проголосовало 38 % опрошенных — и использование собственных устройств (BYOD), которое выбрали 35 %. Доступ третьих лиц, гостевой доступ, а также контроль интернета вещей и промышленных площадок считают перспективными для ZTNA 8 %, 6 % и 4 % респондентов соответственно. Другие сценарии использования видят 9 % опрошенных, а за вариант «Контроль поглощённых активов» не проголосовал никто.

 

Рисунок 3. Какие сценарии применения ZTNA кажутся вам наиболее перспективными?

Какие сценарии применения ZTNA кажутся вам наиболее перспективными?

 

Поставщики контекста для ZTNA

При принятии решения о предоставлении доступа в рамках концепции ZTNA система должна учитывать ряд параметров, связанных с контекстом текущего подключения. Мы попросили наших экспертов перечислить источники получения такой информации — рассказать, что служит поставщиком контекста для систем доступа с нулевым доверием.

Вот какие параметры назвали спикеры AM Live:

  • Сетевой контекст — тип подключения, тип сети, геолокация, данные системы NAC (Network Access Control).
  • Контекст устройства — какое ПО на нём установлено, наличие актуальных обновлений, основной язык устройства.
  • Пользовательский контекст — идентификация, соотнесение с ролью в организации, бизнес-задачи (например, командировки).
  • Бизнес-контекст — понимание того, какую задачу выполняет конкретный сотрудник в своём департаменте.
  • Контекст безопасности — соотнесение данных, полученных с устройства, с имеющимися индикаторами компрометации.
  • Информация об уязвимостях на сетевом и прикладном уровнях.

Как внедрять ZTNA

В завершение дискуссии мы попросили спикеров онлайн-конференции высказаться на следующую тему: с чего следует начать внедрение концепции ZTNA в компании?

По мнению спикеров AM Live, внедрение Zero Trust — это смена парадигмы, своего рода революция. Поэтому в первую очередь необходимо добиться поддержки этой идеи от окружения и попытаться «продать» идею ZTNA внутри компании. Далее можно формулировать стратегию и описывать сценарии применения, провести оценку рисков.

На следующем этапе нужно сформировать сценарии использования, обозначить некоторую «карту местности», определить роли пользователей и необходимые им ресурсы. Далее следует подобрать инструменты, которые необходимы для модификации существующей инфраструктуры и приведения её в соответствие с концепцией ZTNA.

Эксперты акцентировали внимание на первых, небольших шагах на пути к установлению концепции Zero Trust на предприятии. В частности они предложили для начала отказаться от IP-адресов в политиках безопасности и перейти к идентификации каждого пользователя, провести внутреннюю сегментацию, которая позволит отправить конкретного пользователя в конкретное приложение, отменить разделение пользователей на локальных и удалённых.

Как отметили наши спикеры, можно начать с управления доступом и мультифакторной аутентификации, поскольку около 70 % взломов происходит из-за отсутствия работающей системы аутентификации. Важно, чтобы первый и второй этап внедрения ZTNA показали быстрый возврат инвестиций. Кроме того, не стоит забывать, что миграцию на новые технологии необходимо выполнять не одномоментно, а постепенно — добавляя новых пользователей к работе в рамках парадигмы Zero Trust.

Зрители онлайн-конференции приняли участие в дискуссии, ответив на вопрос о том, с чего бы они начали внедрение ZTNA. Большинство респондентов — 44 % — считают, что начинать надо с сетевого уровня. Ещё 27 % придерживаются позиции, согласно которой в первую очередь следует обратить внимание на уровень приложений. Начинать внедрение с уровня приложений предполагают 20 % участников опроса, а с уровня данных — 9 % зрителей.

 

Рисунок 4. С чего бы вы начали внедрение ZTNA?

С чего бы вы начали внедрение ZTNA?

 

Как обычно, в конце прямого эфира мы поинтересовались тем, изменилось ли мнение зрителей относительно архитектуры ZTNA. По мнению 40 % опрошенных, спикеры в студии не смогли объяснить преимуществ концепции сетевого доступа с нулевым доверием. Иной точки зрения придерживаются 25 % зрителей, считающие ZTNA интересным способом повышения уровня ИБ, но ещё ненужным их организации. Готовы начать внедрение концепции в своей компании 9 % респондентов, а 19 % воспринимают ZTNA как «хайп» и маркетинговую уловку. Совсем не поняли, о чём идёт речь, 7 % участников опроса.

 

Рисунок 5. Каково ваше мнение относительно архитектуры ZTNA после эфира?

Каково ваше мнение относительно архитектуры ZTNA после эфира?

 

Выводы

Архитектура сетевого доступа с нулевым доверием является частью концепции Zero Trust, однако технологическое содержание этого термина может меняться в зависимости от позиции вендора, системного интегратора или конкретного эксперта. Идеи, которые сейчас реализуются под вывеской ZTNA, появились в ИБ-продуктах более 10 лет назад, но оформлять их в единую маркетинговую «упаковку» стали сравнительно недавно. В общем случае создать модель Zero Trust на предприятии можно при помощи уже имеющихся на рынке инструментов, зачастую даже теми средствами, которые находятся в распоряжении организации. Концепция не привязана к конкретному вендору, но требует интеграции совместно работающих продуктов.

Новые выпуски онлайн-конференции AM Live регулярно появляются на нашем YouTube-канале. Чтобы не пропустить очередной прямой эфир с ведущими экспертами ИБ-рынка, рекомендуем вам подписаться на наш аккаунт и включить уведомления о новых публикациях. До новых встреч в студии Anti-Malware.ru!

Полезные ссылки: 
Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru