Blog: ZTNA, de evolutie van VPN

Fortinet is een leverancier van netwerkbeveiligingsapparatuur en één van de marktleiders in cyber security met gespecialiseerde oplossingen die bedrijven beschermt tegen de geavanceerde bedreigingen van vandaag de dag. De geconsolideerde producten en diensten bieden een brede en geïntegreerde bescherming tegen de dynamische bedreigingen en vereenvoudigen gelijktijdig de IT beveiligingsinfrastructuur. Het brede assortiment van netwerk, content security en secure access helpt bij het beveiligen van een gehele onderneming – van endpoint tot aan de grenzen en de kern van netwerken, databases en applicaties.

In zijn blog schrijft Roel Raaijmakers, Consultant bij Exclusive Networks over de evolutie van VPN: Zero Trust Network Access (ZTNA). In deze blog leest u meer over hoe ZTNA nou eigenlijk is ontstaan en wat de voordelen zijn.

Zolang het internet bestaat is er ook al behoefte aan methodes om data privé en secure te houden. Op het gebied van de verbinding zelf kwam onder andere VPN (Virtual Private Network) om de hoek kijken. Het doel van een VPN is het creëren van een privé verbinding over het internet: een beveiligde verbinding met meestal ook versleutelde data. Een van de eerste ontwikkelingen op dit gebied kwam vanuit een Microsoft medewerker in 1996. Deze medewerker ontwikkelde het peer-to-peer tunneling protocol (PPTP), dat in het algemeen ook wordt gezien als de voorloper van de huidige VPN’s. Echter, VPN is vanuit een technisch oogpunt een brede term waar verschillende protocollen en oplossing onder geplaatst kunnen worden.

VPN Tree SSL VPN is een Virtual Private Network die gebruikt maakt van het Secure Sockets Layer (SSL) protocol. Dit ontstond als een reactie op de complexiteit die het IPsec VPN framework en de daarmee gepaarde moeilijkheid bij het ondersteunen van eindgebruikers met zich meebracht. SSL VPN is wat betreft eindgebruiker configuratie een heel stuk eenvoudiger. Het zorgt doorgaans voor 2 zaken: Secure Remote Access via een Webportaal en Network-Level Access dankzij een SSL tunnel via client-software.

De oude netwerk security benadering “de binnenkant is vertrouwd, de buitenkant is niet vertrouwd” is niet meer van deze tijd.”

 

Veel bedrijven maken uiteraard al gebruik van SSL VPN om werknemers die buiten de deur werken veilige toegang te geven tot het bedrijfsnetwerk. De Covid-19 uitbraak en het daaraan gekoppelde advies om thuis te werken waar mogelijk, liet echter ook zien dat een hoop bedrijven (nog) niet optimaal waren ingericht op een dergelijke Remote Workforce. Terwijl deze inhaalslag werd gemaakt, stond eigenlijk de evolutionaire opvolger van SSL VPN al klaar: Zero Trust Network Access (ZTNA). ZTNA steunt op pilaren Zero Trust en Zero Trust Access. Het concept van Zero Trust is naar voren gekomen omdat de oude security benadering bij het netwerk “de binnenkant is vertrouwd” en “de buitenkant is niet vertrouwd” niet meer houdbaar is in de huidige tijd. Bij Zero Trust gaan we niet meer uit van de aanname dat u vertrouwd bent omdat u op een bepaald deel van het netwerk zit. In plaats daarvan gaan we dat vertrouwen per transactie bepalen.

Zero Trust Access gaat over het op de hoogte zijn en controleren van wie én wat er zich afspeelt op het netwerk. Role-Based Access Control is een kritiek onderdeel van access management. Alleen door zeker te weten wie een gebruiker is kan er daarna de juiste mate van toegang worden verleend.

Zero Trust Netwerk Access is de evolutie van VPN in de zin dat het het proces om een beveiligde verbinding op te zetten naar een applicatie vereenvoudigd, ongeacht waar de gebruiker en de applicatie zich bevinden. De ZTNA oplossing verleent per sessie toegang tot een bepaalde applicatie, met daarbij een continue validatie van de gebruiker en het apparaat. Er wordt aan de voorzijde continue gecontroleerd of het vertrouwen (Trust) aanwezig is om de applicatie te mogen benaderen. Uiteraard kan men verschillende validatie parameters gebruiken per applicatie. We vergelijken het met een discotheek: bij VPN wordt er alleen eenmalig door de uitsmijter aan de deur op uw identiteit gecontroleerd. Eenmaal binnen mag u alle zalen in en maakt uw gedrag niet meer uit. Bij ZTNA wordt er per zaal opnieuw bekeken of u aan de voorwaarden voldoet om binnen te komen. En eenmaal binnen wordt er ook nog constant gemonitord of uw gedrag aan de voorwaarden blijft voldoen.

Ook voor de eindgebruiker biedt ZTNA een verbetering, deze hoeft niet meer zelf een VPN tunnel op te bouwen. Het maakt voor de gebruiker niet meer uit vanuit waar hij werkt, hij kan dezelfde DNS namen (.local) en IP-adressen gebruiken. De oplossing bouwt indien nodig de tunnel onder water op. ZTNA geeft dus de mogelijkheid om betere security en specifiekere controle toe passen, met daarbij een betere eindgebruiker ervaring. Als kers op de taart is er binnen de FortiGate ZTNA vanaf firmware 7.0.x een feature waarvoor géén aparte licentie benodigd is. Dus geen nieuwe hardware investeringen of versnelde afschrijving op bestaande hardware.

Naast de Fortigate is ook FortiClient ZTNA een vereiste. Hier maken veel eindklanten al gebruik van. Zo niet, dan kan hier tegen geringe kosten gebruik van worden gemaakt.

Het is absoluut een natuurlijke evolutie voor klanten die al vertrouwd zijn met Fortinet. Ons netwerk, en waar onze applicaties draaien, is aan het veranderen. We kunnen niet anders dan hierin mee gaan. “It is not the strongest or the most intelligent who will survive, but those who can best manage change.” Leon C. Megginson

Geschreven door: Roel Raaijmakers, Consultant bij Exclusive Networks

Wilt u meer informatie over Fortinet of wenst u een offerte te ontvangen?
Neem dan contact op met het Fortinet focus team via fortinet@exclusive-networks.nl of bel naar tel. +31 (0) 499 462121