Cei mai multi dintre noi folosim o solutie de VPN pentru “a suna acasa” la sediul organizatiei ca sa putem accessa anumite aplicatii si fisiere in vederea desfasurarii activitatii de zi cu zi. Insa solutiile de VPN au limitari, iar retelele moderne nu mai sunt concentrate intr-o singura locatie ca in trecut. Mai mult, chiar si dupa ce pandemia se va sfarsi, multi angajati vor opta pentru un scenariu de munca hibrid, iar organizatia va trebui sa gaseasca o strategie mai buna pentru a suporta telemunca.
Multa vreme, organizatiile au folosit VPN-ul pentru a accesa de la distanta resurse din interiorul retelei. VPN-ul creaza un perimetru securizat al retelei. O data ce user-ul este in interiorul acelui perimetru reteaua are incredere in dispozitiv si in persoana din spatele lui, iar user-ul va avea de regula acces la subnet-uri intregi, punand in pericol reteaua. Daca user-ul pierde laptop-ul cand conexiunea VPN este deja stabilita? Riscurile sunt considerabile atunci cand reteaua are incredere “oarba” in user sau dispozitiv. O alta problema este reprezentata de faptul ca aplicatiile pot fi gazduite in data center-ul local sau in cloud, iar utilizatorii care le folosesc pot fi on premises sau pot fi remote. Organizatiilor le lipseste o metoda eficienta de a oferi acces securizat la aplicatii in aceste situatii.
Zero Trust Network Access (ZTNA) este o solutie care ofera access securizat de la distanta in reteaua organizatiei si care rezolva si problemele legate de accesarea aplicatiilor. Zero incredere inseamna un model de securitate in care niciun user si niciun dispozitiv nu este de incredere pana cand nu este autentificat si autorizat pentru nivelul de acces cerut. ZTNA nu tine cont de locatia din care este facuta cererea de acces, ceea ce o face o solutie care poate verifica aceleasi politici de acces indiferent daca utilizatorul este on prem sau remote. ZTNA considera orice dispozitiv ca fiind potential infectat si ca orice user poate exercita comportament malitios. ZTNA va oferi acces per sesiune la aplicatii individuale numai dupace utilizatorul a fost verificat ca are privilegii corespunzatoare de a accesa o anumita aplicatie. Autentificarea utilizatorului poate fi completata cu un factor aditional: cod sms, notificare push sau cheie fizica. Fiecare dispozitiv folosit de utilizator este verificat oricand o aplicatie este accesata pentru ca organizatia sa fie sigura ca acesta indeplineste politica de autorizare impusa folosirii acelei aplicatii: geolocatie, functia utilizatorului, ora la care se face accesul, tipul dispozitivului si a sistemului de operare, etc. Acest context ofera un control pe care un VPN traditional bazat pe adresa IP nu poate sa il ofere.
Utilizatorii vor avea o viata mai usoara cu o solutie de ZTNA. Din perspectiva lor, ei nu trebuie decat sa dea click pe aplicatie si de indata se va crea un tunel securizat indiferent ca aplicatia este on premises sau in cloud. Acesta nu va mai trebui sa isi aduca aminte cand trebuie sa foloseasca VPN-ul si ce profil sa aleaga pentru a avea acces la aplicatia dorita. Nu mai exista nici pericolul de a uita conexiunea VPN pornita. Tunelul este de tip on-demand si transparent pentru user si se va stabili la fiecare accesare a aplicatiei indiferent daca user-ul este in perimetrul securizat al organizatiei sau in Internet.
Chiar daca adoptia tehnologiei ZTNA nu se va face peste noapte si va exista o perioada lunga de coexistenta intre ZTNA si VPN pentru modul in care organizatiile vor oferi acces remote la aplicatii, cert este ca o doar o solutie de VPN nu mai corespunde contextului actual de securitate in care furtul de identitate si credentiale este la ordinea zilei. Abordarea securitatii retelei pe baza unui perimetru nu mai este un concept care sa se poata aplica retelelor distribuite si aplicatiilor gazduite in cloud. ZTNA ofera o metoda mai buna de a oferi acces remote si de a controla acest acces la aplicatii, indiferent de locatia acestora si de locatia utilizatorului, prin evaluarea identitatii acestuia si a posturii de securitate a dispozitivului de pe care se incearca accesarea aplicatiei.
Mihai Dumitrascu, Sr Systems Engineer
