Politica zero-trust extinsa la periferia retelei

Nimeni nu poate nega faptul ca retelele au evoluat. Odata cu cresterea volumului de lucru la distanta si adoptarea multi-cloud, ideea traditionala a perimetrului organizatiei s-a modificat. Trecerea la retelele cloud si hibride a facut ca retelele traditionale inchiriate si utilizate pentru rutarea traficului catre centrele de date sa fie tot mai putin relevante.

Astazi retelele sunt distribuite si complexe, cu mai multe margini. In loc de un centru de date ca hub al retelei, acum retelele extinse definite de software (SD-WAN) sunt caracterizate de rutare dinamica si securitate care tine cont de aplicatii.

Pentru a economisi latimea de banda si a reduce latenta, calculul si stocarea datelor sunt mutate la marginea organizatiei, asa incat sa fie cat mai aproape de utilizatori. Dar crearea acestor margini de retea suplimentare genereaza un nivel sporit de complexitate. Periferia retelelor actuale se poate regasi la marginea IoT, a casei, a unor sucursalelor sau sediului central, la marginile centrelor de date ale organzatiei si intr-o o multitudine de margini ale cloud-ului.

Apararea perimetrala a evoluat si a condus la adoptarea unor noi servicii de securitate bazate pe cloud care necesita un nou nivel de vizibilitate, control si corelatie. Prin constrast, securitatea traditionala bazata pe perimetru presupune existenta unei locatii fixe. Orice lucru capabil sa treaca de un dispozitiv de securitate marginal poate obtine drepturi de acces la retea. Dar in lumea moderna, acest model nu mai are consistenta.

Pentru a aborda securitatea de la marginea retelei, organizatiile se uita la modelul de securitate zero-trust, care presupune o abordarea complet diferita: niciun utilizator sau dispozitiv nu poate fi considerat de incredere pentru a accesa resurse, pana nu se dovedeste contrariul.

Principiile modelului zero-trust

Conceptul care sta la baza politicii zero trust este ca niciunui dispozitiv sau utilizator nu i se poate acorda incredere implicita doar datorita localizarii sale in retea. Acest concept fundamental, ca orice poate fi suspect a fi compromis, presupune ca totul sa fie investigat inainte de a i se acorda drepturi de acces.

Modelul zero-trust utilizeaza principiul minimului privilegiu, ceea ce inseamna ca dupa verificarea dispozitivului si a utilizatorului, se acorda doar un nivel minim necesar de incredere si nimic mai mult.

Implementarea modelului zero-trust si segmentarea corecta a infrastructurii periferice preupune o strategie puternica prin care se asigura accesul si controlul cel mai putin privilegiat. Construirea unui model de incredere zero, utilizand o abordare unitara a platformei de securitate care acopera ecosistemul de cloud computing, ajuta la consolidarea securitatii peste toate marginile retelei si simplifica protectia suprafetei de atac in expansiune, indiferent de locul in care s-ar afla utilizatorii sau dispozitivele. De asemenea, acest model permite gestionarea simplificata si flexibila dintr-un singur panel care asigura vizibilitatea la nivelul global al securitatii si orchestrarea politicilor, permitand automatizarea la nivelul intregii retele distribuite.

Evolutia tunelelor VPN

Zero Trust Network Access (ZTNA) inseamna aplicarea unor principii de incredere zero accesului de la distanta. Este evolutia naturala a tehnologiei VPN, deoarece ofera o securitate mai buna, un control granular superior si o experienta imbunatatita a utilizatorului.

Desi VPN-urile exista de ani de zile, problema este ca acestea au o abordare perimetrala a securitatii. Presupune ca oricine sau orice care trece controlul perimetral al retelei utilizand o conexiune criptata poate fi considerat de incredere. Dar aceasta este o presupunere hazardata, iar infractorii cibernetici sunt constienti de aceasta slabiciune. Adoptarea pe scara larga a muncii de la distanta a transformat multe retele domestice nesecurizate in noi margini vulnerabile ale retelelor organizationale distribuite.

ZTNA tine la distanta persoanele si dispozitivele care nu ar trebui sa acceseze reteaua. Si ofera vizibilitate si control asupra acelor entitati, odata ce sunt conectate. La fel cum piata a trecut de la solutii IPsec VPN si WAN edge la solutii SD-WAN, este timpul sa schimbam SSL VPN si user-edge la ZTNA.

Scalarea ZTNA

Pentru a scala ZTNA la nivelul unei organizatii, trebuie mers dincolo de optiunile exclusiv SASE bazate pe cloud, mai ales daca organizatiile au inca nevoie de acces la centrul de date si cloud-uri private. O abordare mai buna integreaza configurarea, gestionarea, analiza si controlul politicilor de retea si de securitate intr-o singura platforma.

Convergenta dintre retea si securitate asigura astfel vizibilitatea si controlul necesare intr-un centru de operatiuni NOC, SOC sau hibrid. Echipamentele firewall care au procesoare de securitate cu ZTNA incorporate cu securitate paralela si stack-uri de retea vor oferi avantaje induscutabile in scalare datorita conectivitatii securizate de baza. Iar cum astazi se poate munci din orice parte a lumii, este important sa puteti extinde securitatea oriunde s-ar afla utilizatorii, indiferent daca sunt la birou, acasa sau pe drum.

Fortinet’s Zero-Trust Access permite organizatiilor sa identifice, sa autentifice si sa monitorizeze atat utilizatorii, cat si dispozitivele din si din afara retelei.

Articol preluat din versiunea digitala a publicatiei NetworkWorld.