Nulová důvěra a maximální bezpečnost. Jak funguje Zero Trust Network Access?

Petra Javornická

Petra Javornická
12. 03. 2024

Nulová důvěra a maximální bezpečnost. Jak funguje Zero Trust Network Access?

SDÍLET

Technologii Zero Trust Network Access (ZTNA) neboli přístup k síti na principu nulové důvěry implementuje podle online platformy VentureBeat až 90 % společností, které aktuálně migrují do cloudu. Přechod do cloudu společně s nárůstem hybridní formy práce totiž často vedou ke vzniku nových zranitelností firemních systémů a decentralizaci dat. A právě řešení ZTNA může pomoci tyto mezery odstranit. Zjistěte, jaké jsou jeho hlavní výhody, v čem se liší od VPN a jak postupovat při jeho správné implementaci.

Zabezpečení s nulovou důvěrou znamená, že podle výchozího nastavení firemního systému není důvěryhodný nikdo zevnitř ani zvenku sítě a ověření identity se vyžaduje od každého, kdo se snaží získat přístup ke zdrojům v síti. Zjednodušeně řečeno jde o službu, která se řídí heslem „nedůvěřuj nikomu“ a která ověřuje všechny uživatele podle pravidel vycházejících z neustálé identifikace, autentizace, autorizace a kontinuálního monitoringu.

Cílem této přidané vrstvy zabezpečení je zabránit úniku dat a zároveň uživatelům poskytnout bezpečný vzdálený přístup k firemním aplikacím a službám.

ZTNA tak po ověření uživatele vytváří bezpečný přístup do firemní sítě prostřednictvím jakéhosi zabezpečeného šifrovaného tunelu. Umožňuje přitom zobrazovat pouze ty aplikace a služby, ke kterým mají uživatelé opravdu oprávnění. Další vrstvu ochrany zabezpečení nabízí šifrování tím, že chrání aplikace a služby před IP adresami, které by jinak byly pro útočníky viditelné.



Tato metoda ochrany navíc zabraňuje laterálnímu pohybu útočníků. Ten spočívá v tom, že se hacker po získání základního přístupu (např. prostřednictvím účtu s omezeným přístupem) dále pohybuje v kompromitovaném prostředí s cílem získat další přístup s vyšším oprávněním, kterým disponují například administrátorské účty.

Implementace technologie ZTNA zajišťuje to, že i kdyby útočník získal přístup k nějakému internímu účtu, nemohl by skenováním vyhledat další služby. ZTNA totiž funguje podobně jako softwarově definovaný perimetr (tzv. černý mrak). Ten nabízí způsob, jak skrýt konkrétní infrastrukturu připojenou k internetu (servery, routery apod.) tak, aby ji externí strany a potenciální útočníci neviděli, pokud k ní nemají oprávnění. Tradiční zabezpečení IT sítí obvykle důvěřuje komukoli a čemukoli uvnitř sítě, takže v případě podobného útoku dochází k jeho rychlejšímu šíření napříč IT infrastrukturou.

Koncept nulové důvěry byl definován už v roce 2010. Díky technologiím, jako je například ZTNA, se daří aplikovat tyto principy i na současnou moderní IT architekturu.

Citace od Radka Šichtance Radek Šichtanc
Šéf bezpečnosti O2

Jaký je rozdíl mezi Zero Trust a Zero Trust Network Access?

  • Zero Trust neboli nulová důvěra je rámec, který předpokládá, že bezpečnost komplexní firemní sítě můžou kdykoliv ohrozit vnější i vnitřní hrozby. Pomáhá tak organizovat a strategicky plánovat boj proti těmto hrozbám.
  • ZTNA pak představuje hlavní technologii spojenou s architekturou Zero Trust, která však zahrnuje několik různých principů a technologií.

Jaký je rozdíl mezi ZTNA a VPN?

ZTNA poskytuje lepší kontrolu přístupu a je efektivnější než tradiční VPN řešení​. Od virtuálních privátních sítí (VPN) se liší tím, že umožňuje přístup pouze ke konkrétním službám nebo aplikacím, zatímco VPN poskytuje přístup k celé síti. V případě VPN může s rostoucím počtem vzdálených pracovníků dojít k zatížení sítě a vysoké latenci v dobách, kdy dochází k pracovní „špičce“. Firmy pak musí investovat do nových zdrojů v síti VPN, aby se vyhovělo poptávce, a také to může zatížit pracovní síly IT oddělení.

VPN zároveň nenabízí takovou granularitu (tedy úroveň detailu a přizpůsobení) jako ZTNA. Jakmile se uživatel dostane do perimetru VPN, získá přístup k celému systému. Technologie ZTNA následuje opačný postup a neumožňuje žádný přístup, pokud se daná aplikace, data nebo služba pro daného uživatele výslovně neautorizují.

Navíc může být náročné instalovat a konfigurovat software VPN na všech zařízeních koncových uživatelů, která je třeba připojit k podnikovým zdrojům. Oproti tomu je mnohem snazší přidávat nebo odebírat zásady zabezpečení a oprávnění uživatelů na základě jejich okamžitých potřeb, jak to umožňuje ZTNA.

Jaké další přístupy existují?

Kromě ZTNA a VPN existují ještě další bezpečnostní přístupy, jako například Secure Access Service Edge (SASE) nebo SD-WAN. 

  • SASE posouvá zabezpečení a přístup do blízkosti uživatelů, kdy pomocí zásad zabezpečení organizace dynamicky povoluje nebo zamítá připojení k aplikacím a službám.
  • SD-WAN zase umožňuje společnostem vytvořit hybridní architekturu WAN, která kombinuje více připojení MPLS, mobilních a širokopásmových připojení do jediné logické virtualizované cesty pro doručování aplikací, jež dynamicky reaguje na podmínky sítě.

Hlavní výhoda ZTNA? Maximální bezpečnost

Zero Trust Network Access přitahuje pozornost tolika firem především kvůli schopnosti minimalizovat riziko neoprávněného přístupu do firemních sítí, a tím i kybernetických útoků. Pomáhá také řešit aktuální požadavky na zvýšení firemního zabezpečení v případě práce na dálku, neboť zaměstnanci můžou snadno přistupovat k firemní síti z různých zařízení a míst. Díky detailní a kontextově orientované politice přístupu pak využívají pouze ty části systému, aplikace a firemní zdroje informací, které potřebují ke své práci.

ZTNA také snižuje závislost na tradičních síťových hranicích a perimetru, čímž se firma stane méně zranitelnou v případě, že by útočník tuto hranici narušil.

Naopak nevýhodou můžou být vyšší nároky na implementaci a správu této technologie, protože na začátku vyžaduje složité úpravy v existující síťové infrastruktuře. Správa a údržba takového systému může být pro řadu firem technicky i finančně náročná, a proto roste množství firem, které si ZTNA pronajímají jako službu. Vede je k tomu i obava z omezení produktivity pracovníků v případě, že politika přístupu není nakonfigurovaná správně. Většina těchto nevýhod ale souvisí spíše se zaváděním nového přístupu.


Jak zavést ZTNA ve firmě?

Pro úspěšnou implementaci ZTNA se doporučuje držet následujících kroků:

  • Používejte silné mechanismy ověřování identity, například jednorázové heslo (OTP), biometrii nebo certifikáty.
  • Implementujte IAM (Identity and Access Management) pro správu uživatelských účtů, oprávnění a přístupových rolí.
  • Zajistěte, aby se každá identita řádně ověřila a autorizovala před přístupem k síti nebo aplikacím.
  • Používejte end-to-end šifrování pro komunikaci mezi zařízeními a sítěmi.
  • Zajistěte šifrování citlivých dat v klidu i v pohybu, aby se zabránilo neoprávněnému přístupu.
  • Věnujte pozornost systematickému přístupu ke klasifikaci dat.
  • Aktivujte multifaktorovou autentizaci pro všechny uživatelské účty, zejména u těch s přístupem k citlivým informacím nebo klíčovým systémům.
  • Nezapomeňte také na auditování oprávnění zaměstnanců a třetích stran.
  • Implementujte nástroje pro nepřetržitý monitoring sítě a detekci anomálií. Využijte Security Information and Event Management (SIEM) nástroje pro sledování a analýzu bezpečnostních událostí.
  • Používejte kontextuální informace (např. umístění, zařízení, doba přístupu) k dynamickému nastavování oprávnění.
  • Omezte přístup na základě aktuálního kontextu. To znamená, že uživatelé mají přístup pouze ke zdrojům, které v daném okamžiku opravdu potřebují.
  • Omezte přístup nebo zablokujte zařízení, která nesplňují bezpečnostní požadavky.
  • Využívejte automatizaci pro rychlou reakci na bezpečnostní události a aktualizace politik bezpečnosti. Orchestrace procesů umožňuje rychlou a efektivní správu bezpečnosti.
  • Podporujte ve firmě osvětu o ZTNA a vysvětlete zaměstnancům výhody a důležitost přístupu bez důvěry.
  • Pravidelně aktualizujte bezpečnostní politiky a procedury na základě nových hrozeb a technologických změn.

V souhrnu se technologie Zero Trust Network Access (ZTNA) ukazuje jako klíčová součást moderních bezpečnostních strategií firem, které migrují do cloudu a čelí výzvám hybridního pracovního prostředí. Její schopnost minimalizovat rizika neoprávněného přístupu a kybernetických útoků, zatímco zároveň umožňuje flexibilní a bezpečný přístup k firemním zdrojům, je pro firmy neocenitelná.

ZTNA efektivně nahrazuje tradiční bezpečnostní modely, jako jsou VPN, poskytováním detailnějšího a dynamického řízení přístupu na základě kontextu a identifikace uživatele. Nicméně, jak bylo zmíněno, úspěšná implementace ZTNA vyžaduje pečlivé plánování a správu.

Co si z článku odnést?

  • ZTNA poskytuje bezpečný vzdálený přístup k firemním aplikacím a službám.
  • ZTNA snižuje viditelnost IT infrastruktury před útočníky a minimalizuje tak riziko horizontálního šíření kybernetického útoku.
  • ZTNA navíc poskytuje lepší kontrolu přístupu a je efektivnější než tradiční VPN řešení​ díky flexibilnější možnosti spravovat oprávnění jednotlivých uživatelů.
  • Hlavní výhodou tohoto přístupu je maximalizace zabezpečení firemní sítě.
  • Naopak nevýhodou můžou být vyšší nároky na implementaci a správu této technologie, které však většinou souvisejí s prvotním implementačním procesem.
  • K úspěšné implementaci ZTNA je potřeba věnovat pozornost ověřování s využitím multifaktorové autentizace, end-to-end šifrování a zjišťování kontextu uživatelů i zařízení, ze kterých se přihlašují.



Petra Javornická Petra Javornická
Marketingový specialista pro B2B

Byl pro vás článek užitečný?

Nenašli jste, co jste hledali? Dejte nám vědět, co můžeme zlepšit. Děkujeme

SDÍLET

Mohlo by vás zajímat

DALŠÍ ČLÁNKY
Hackeři teď zkoušejí, co všechno dokážou s umělou inteligencí

Hackeři teď zkoušejí, co všechno dokážou s umělou inteligencí

Hackeři teď zkoušejí, co všechno dokážou s umělou inteligencí
QR kódy: nová hrozba, na kterou si dejte pozor

QR kódy: nová hrozba, na kterou si dejte pozor

QR kódy: nová hrozba, na kterou si dejte pozor
Roste počet DDoS útoků na aplikace. Jak se bránit, radí Radek Šichtanc

Roste počet DDoS útoků na aplikace. Jak se bránit, radí Radek Šichtanc

Roste počet DDoS útoků na aplikace. Jak se bránit, radí Radek Šichtanc
Stanovte si rozsah řízení kybernetické bezpečnosti, radí firmám na seminářích NIS2 experti z O2

Stanovte si rozsah řízení kybernetické bezpečnosti, radí firmám na seminářích NIS2 experti z O2

Stanovte si rozsah řízení kybernetické bezpečnosti, radí firmám na seminářích NIS2 experti z O2
Otestujte ve firmě phishing. 5 kroků, jak vytvořit simulovanou phishingovou kampaň

Otestujte ve firmě phishing. 5 kroků, jak vytvořit simulovanou phishingovou kampaň

Otestujte ve firmě phishing. 5 kroků, jak vytvořit simulovanou phishingovou kampaň
Generace Z a kyberbezpečnost. Je pro ni důležitá?

Generace Z a kyberbezpečnost. Je pro ni důležitá?

Generace Z a kyberbezpečnost. Je pro ni důležitá?
IoT a OT zařízení ve firmách. Jak je zabezpečit, aby nedošlo k narušení chodu společnosti?

IoT a OT zařízení ve firmách. Jak je zabezpečit, aby nedošlo k narušení chodu společnosti?

IoT a OT zařízení ve firmách. Jak je zabezpečit, aby nedošlo k narušení chodu společnosti?
Jak zabezpečit firemní prohlížeče a eliminovat rizika?

Jak zabezpečit firemní prohlížeče a eliminovat rizika?

Jak zabezpečit firemní prohlížeče a eliminovat rizika?
;