דברו איתנו

ZTNA – חיבור באפס אמון

ZTNA – Zero Trust Network Access 

הוא מודל אבטחה המתמקד בגישה שלא נותנת אמון אוטומטי בשום דבר, לא בתוך ולא מחוץ לרשת הארגונית. במקום זאת, הוא דורש אימות זהות והקשר לכל גישה למשאבי הרשת.

גישת Zero Trust נועדה להתמודד עם איומי אבטחה מודרניים על ידי הגנה על המשאבים הארגוניים בצורה מקיפה, תוך הפחתת הסיכון לנזקים כתוצאה מפריצות אבטחה.

לדוגמא (קיצונית מאוד)– במשרד בטחוני, אם אנו רוצים לאפשר עבוד מהבית, אנו נרכוש מחשב נייד על חשבון המשרד, מחשב שיש לו מודם סלולארי וקורא כרטיס חכם מובנה כמובן, כי אנחנו נרצה שהעובד שמתחבר יעבוד עם כרטיס סים שאנו רוכשים עבורו, הכרטיס יעבוד רק עם APN, את המחשב אנחנו נקשיח מקצה לקצה מרמת ה BIOS דרך הדיסק הקשיח ועד רמת מערכת ההפעלה המוקשחת, נוסיף לו גם מחוייבות לעבודה עם כרטיס חכם ועוד סרטיפיקציה וקובץ REG במערכת ההפעלה שישמשו אותנו לאימות. העובד ידליק את המחשב, יעבור את כל הסיסמאות והאימותים הנדרשים. העובד יהיה חייב להתחבר עם כלל הסיסמאות והכרטיסים ולאחר מכן תפתח לו גישה לרשת המגיעה אל המשרד, שם הוא יבצע אימות נוסף עם הכרטיס חכם (יאומת המחשב מול הסרטיפיקט + ה REG) ועוד אימות דו שלבי באמצעות SMS או טוקן חכם. רק אז הוא יוכל להגיע לפורטל או דפדפן המאפשר לו גישה פנימה (גם שם אפשר להקשיח עוד ועוד).

מצד שני.. בגישה החדשה של ZTNA אנו נעבור לעבוד על בסיס מדיניות ספציפית למשתמש, במקום על בסיס מיקומו הפיזי.

אני אגדיר סוכן ZTNA אצלי בסביבת העבודה, כל עוד שירצה לגשת יופעל אצלו הסוכן במחשב ממנו הוא מנסה להתחבר, הסוכן הזה ידרוש ממנו לעמוד ברמת הקשחה מסוימת ובאם היא חסרה לו הסוכן יחליט או לחייב אותו או לחשוף בפניו פחות דברים בהמשך החיבור ובכך אני מאפשר לכל עובד להתחבר מאיפה שהוא רוצה ועם איזה ציוד שהוא רוצה במידה והציוד נתמך כמובן.

 

מה אני מקבל בעבודה עם ZTNA ?

1.      גישה מבוקרת ועדכנית למשאבים

הגישה החדשה מאפשר מדיניות גישה דינמית ועדכנית. הגישה למשאבי המשרד מבוססת על זהות המשתמש, מצב האבטחה של המכשיר ממנו הוא מתחבר ותנאים נוספים, כל זה במקום להתבסס על מיקומו הפיזי או אם הוא חלק מהרשת הפנימית.

2.      הפחתת סיכונים

כל גישה נבדקת ועוברת אימות בצורה רציפה, אם נגיד דרשתי שבמהלך החיבור יהיה אנטי וירוס מעודכן ופעיל על המחשב ממנו מתחברים ולאחר שהעובד התחבר הוא מבטל את האנטי וירוס במחשב ממנו הוא התחבר אז המערכת שלי תנתק לו את החיבור באופן מיידי כי היא דוגמת אותו כל X זמן שהגדרתי. זה מפחית את הסיכון מגישה לא מורשית או שימוש במכשיר שיכול לפגוע.

אני יכול למנוע גישה אוטומטית על סמך מיקום או כתובת IP בלבד.

3.      שיפור חווית המשתמש

אני יכול לספק גישה שלא מבוססת על חיבור VPN שהינו מסורבל ואיטי ובכך העובדים יכולים להתחבר בקלות תוך שמירה על רמות אבטחה גבוהות.

4.      הגנה מתקדמת

השיטה מספקת לי הגנה מתקדמת יותר ממתקפות שונות כמו פישינג, Brute Force ועוד, כי אני יכול לדרוש אימות רב-שלבי בכל פעם שמשתמש מנסה לגשת למשאבים.

התקשורת מוצפנת מקצה לקצה, ומבוססת על גישה מאובטחת לכל משאב בנפרד.

 

5.      פשטות בניהול מדיניות האבטחה

יש לי אפשרות להגדיר מדיניות אבטחה מרוכזת אחת שמיושמת על כל המשתמשים והמכשירים ואני לא צריך להתאים באופן פרטי כל מקרה של גישה מרחוק.

המדיניות החדשה יכולה לכלול כללים כמו איזה משאבים זמינים ועבור מי, תחת אילו תנאים, ואיזה אמצעי אימות נדרשים.

 

6.      יכולת ניטור ובקרה משופרת

המערכת יכולה לכלול כלים מתקדמים לניטור ובקרה שיאפשרו לי זיהוי וניהול איומים בזמן אמת. יש לי אפשרות לתעד כל גישה וכל פעולה שמבצעים ובכך לבצע מעקב טוב יותר על שימוש במערכת וזיהוי אנומליה במהירות.

 

7.      גמישות ואינטגרציה

המערכת מאפשרת אינטגרציה קלה עם מערכות ושירותים במשרד. קיימת גמישות בהתאמת פתרונות האבטחה לצרכים המשתנים ולדרישות האבטחה ככל שיחמירו.

המשרד יוכל לספק לעובדים גישה מאובטחת יותר ולנהל בדרך אפקטיבית יותר את מדיניות האבטחה ובכך לשפר את הניטור והבקרה על הגישה למשאבי המשרד

 

מאיפה מתחילים ולאן מכוונים

אנו צריכים לזהות את המשאבים שדורשים הגנה מיוחדת.

להבין מי צריך לגשת לאילו משאבים ובאילו תנאים.

לבחור פתרון מתאים מבין המוצרים הקיימים בשוק.

לשלב את המערכת בסביבת העבודה הקיימת.

לבצע ניטור באופן שוטף של הפעילות ולתחזק תמיד את המערכת.

 

דוגמאות למוצרים

ZPA – Zscaler Private Access: פתרון מבוסס ענן המאפשר גישה מאובטחת למשאבים פנימיים.

Cisco Duo: פתרון רב-שכבתי לאימות זהות ואבטחה.

Palo Alto Networks Prisma Accessפתרון אבטחה מבוסס ענן המספק גישה מאובטחת מכל מקום.

  

תהליך גישה לדוגמה

המשתמש שולח בקשת גישה, סוכן ZTNA מאמת את זהות המשתמש והתאמת ההתקן, בקשת הגישה נשלחת לענן ZTNA. הענן מאמת את המשתמש ומאפשר גישה לשרת האתר.

או  

המשתמש שולח בקשת גישה, סוכן ZTNA מאמת את זהות המשתמש והתאמת ההתקן, בקשת הגישה נשלחת ל Gate way המאובטח שמאמת את המשתמש ומאפשר גישה למשאבים פנימיים בהתאם להרשאות.

 

שילוב CDN

CDN – Content Delivery Network משמש להאצת תעבורה ושיפור ביצועים על ידי פיזור תוכן ברחבי שרתים גלובליים.

שילוב CDN עם ZTNA מאפשר גישה מאובטחת ומהירה לתוכן, במיוחד עבור משתמשים מרוחקים.

 

שילוב Docker

Docker הוא פלטפורמה להרצת קונטיינרים המאפשרת הפרדת יישומים מהתשתית.

שילוב Docker עם ZTNA מאפשר ניהול מאובטח של יישומים בקונטיינרים, תוך שמירה על אבטחה וגמישות.

בשימוש בקונטיינר היישומים מבודדים בקונטיינרים.

בשימוש ב ZTNA: אנו מנהלים גישה לקונטיינרים.

 אם אין לנו Docker אז היישומים ירוצו על השרתים הוירטואליים וה ZTNA ינהל את הגישה לשרתים.

 

——

נכתב על ידי: רז זדה, תום מלכה ואושר עשור.
ILCD – Israel Cyber Defense
אתר להגנת סייבר אזרחי