Для осуществления технологии ZTNA требуется контроль следующих областей:
1. Просмотр и контроль того, что находится в сети.
Директора и специалисты направления ИБ должны не только беспокоиться за несоответствующие и непредсказуемое поведение пользователей, но и уделять должное внимание устройствам, получающим доступ к их сетям. К таким устройствам относятся устройства конечных пользователей (настольные и мобильные), сетевое офисное оборудование, розничные интерфейсные системы (например, торговые точки), операционные технологии, многочисленные распределенные датчики и другие устройства, в совокупности известные как Интернет вещей (IoT).
Проблема управления всеми этими устройствами заключается в их широком разбросе, различном уровне контроля устройств и отсутствии поддержки стандартных протоколов связи в устаревших устройствах. Компания FortiNet может помочь администраторам безопасности решить проблемы управления конечными точками, предоставив им инструменты, необходимые для эффективного обнаружения, классификации и контроля доступа ко всему, что находится в сети.
Чтобы знать, что находится в сети в любой момент времени, необходимы инструменты контроля доступа к сети (NAC), которые могут автоматически идентифицировать и профилировать каждое устройство при запросе доступа к сети, а также сканировать его на наличие уязвимостей. Во время процесса обнаружения решение NAC должно обнаруживать попытки обхода аутентификации MAC (MAB) и регистрировать эти инциденты, а также делиться информацией, которую оно собирает в режиме реального времени, с другими сетевыми устройствами и компонентами инфраструктуры безопасности. Чтобы свести к минимуму риск компрометации устройств, процессы NAC должны завершаться за считанные секунды – по этой причине следует с осторожностью относиться к решениям, основанным на сканировании трафика. Такие решения позволяют устройствам подключаться к сети во время идентификации. Однако процесс сканирования занимает до получаса, в течение которого сеть может быть скомпрометирована.
Решение от FortiNet для выполнения этого требования – FortiNAC – предоставляет возможность отслеживания сети для просмотра всех подключенных к ней устройств, а также возможность управления этими устройствами и пользователями. Основная задача этого решения – идентифицировать любое устройство, подключившееся к корпоративной сети, и назначить определенные решения на основе заданных политик безопасности.
2. Микросегментация позволяет контролировать ZTNA.
Обеспечение соблюдения политик контроля доступа необходимо для всех устройств (даже для тех, на которых установлена нестандартная операционная система) также при возникновении затруднений с совместимостью с инструментами безопасности конечных точек, таких как, например, антивирусы и прочее. В таких случаях можно заключить, что защита устройства ненадежна, и сама сеть должна обеспечивать необходимую безопасность.
В связи с большими масштабами развертывания Интернета вещей необходимо уделять приоритетное внимание контролю Интернета вещей при рассмотрении решений ZTNA. Контроль доступа не может быть реализован в самих устройствах, поэтому он должен исходить из сети. Сделать это можно посредством разделения сети на микросегменты с помощью межсетевых экранов следующего поколения (NGFW), объединив аналогичные устройства Интернета вещей. Это укрепляет сеть, усложняя путь через сеть для хакеров и червей, желающих получить доступ к устройствам. Использование микросегментации также снижает риск того, что зараженное устройство будет служить вектором, с помощью которого хакер сможет атаковать остальную часть сети.
Как и в случае с другими компонентами решения ZTNA, NGFW должны быть спроектированы таким образом, чтобы они могли обрабатывать весь межсекторальный трафик с минимальной задержкой. Такой подход обеспечит действенный механизм управления устройствами ZTNA, не влияя при этом на производительность всей организации.
Решение от компании FortiNet – FortiGate – межсетевой экран следующего поколения, обладает функциями обычного межсетевого экрана (фильтрация сетевых пакетов по заданным правилам, NAT, VPN), при этом имея более продвинутый функционал, включая возможность разграничения доступа пользователей или групп пользователей к определенным ресурсам, подсетям, сервисам.
3. Контроль управляемыми устройствами вне сети.
Одной из характерных особенностей предприятий в данное время является переходный характер сетевого подключения. Облачные технологии используются уже практически повсеместно – это означает, что пользователь может перемещаться по разным сетям с одного и того же устройства, а также менять устройства в процессе работы. Контроль управляемыми устройствами, когда они выходят из сети, является сложной задачей, потому что даже если устройства защищены при первом подключении к определенной сети, они могут быть скомпрометированы в автономном режиме – в таком случае устройство может заразить домашнюю (начальную) сеть, когда подключится к ней вновь.
Чтобы преодолеть эту проблему, следует рассматривать безопасность конечных точек, как часть решения ZTNA. Решение для обеспечения безопасности конечных точек должно обеспечивать контроль и защиту вне сети, включая сканирование уязвимостей, веб-фильтрацию, а также регламент действий при обнаружении вредоносной активности.
Оно также должно обеспечивать безопасные и гибкие возможности подключения к виртуальной частной сети (VPN) и поддерживать функции единого входа для удобства использования.
Для реализации технологии ZTNA необходимо, чтобы решение для защиты конечных точек передавало информацию о состоянии устройства другим компонентам сети в составе технологии ZTNA для оценки рисков и определения соответствующего уровня доступа.
Решения от компании FortiNet для реализации технологии ZTNA:
FortiClient – программный продукт, который обеспечивает безопасность настольных компьютеров, ноутбуков и мобильных устройств. FortiClient включает в себя персональный межсетевой экран, защиту от шпионящих программ, антивирус, фильтр для веб-контента. Используя FortiClient и FortiGate, можно установить VPN-соединение (IPSec, SSL).
FortiEDR – средство выявления и реагирования на угрозы безопасности конечных точек в режиме реального времени. FortiEDR способен автоматически блокировать угрозы, не прибегая к помощи специалистов по безопасности. Решение выполняет блокировку угроз при помощи различных поведенческих анализаторов.
В настоящее время нет единого подхода к организации модели Zero Trust Network Access на практике. Для построения модели Zero Trust необходимо соблюдение основных принципов:
- Требование безопасного и подтвержденного доступа ко всем ресурсам. Этот базовый принцип предполагает аутентификацию и проверку всех прав доступа ко всем ресурсам.
- Использование модели наименьших привилегий и контроль доступа. Этот принцип ограничивает права доступа каждого пользователя до уровня, который необходим ему для выполнения служебных обязанностей. Таким образом, злоумышленник не сможет получить доступ к большему числу данных через компрометацию аккаунта пользователя.
- Отслеживание. Нулевое доверие предполагает контроль и проверку всего, логирование каждого действия в сети, доступа к файлу, набора сообщения для дальнейшего анализа. Для таких действий необходимо использовать аналитику безопасности данных, чтобы легко обнаруживать угрозы в сети.
- Микросегментация. Она обеспечит изолированность сегментов сети при возникновении в них каких-либо инцидентов, что будет препятствовать распространению вирусов или других деструктивных воздействий за пределы определенного сегмента сети.