ZTNA

ZTNA využívá pro síťový přístup principy architektury s nulovou důvěrou (Zero Trust Architecture – ZTA). To znamená, že nahrazuje tradiční model zabezpečení perimetru přidělováním přístupu na základě principu „nikdy nedůvěřuj, vždy ověřuj“ bez ohledu na aktuální lokaci uživatele. ZTNA poskytuje lepší přehled a kontrolu nad přístupy k podnikovým zdrojům, výrazně omezuje možnosti útočníků pohybovat se v síti a řeší významné nedostatky tradičních řešení, jako jsou virtuální privátní sítě (VPN). 

Vývoj způsobů kontroly přístupu k síti 

V počátcích podnikových sítí byl přístup k aplikacím a datům omezen primárně na zaměstnance pracující uvnitř fyzické lokality organizace. Bezpečnost byla zajišťována prostřednictvím fyzického zabezpečení a jednoduchých kontrolních mechanismů, jako jsou uživatelská jména a hesla. S rozvojem internetu ale vznikla potřeba umožnit vzdálený přístup, což vedlo k vývoji technologií, jako je VPN. 

Použití VPN se stalo dominantním řešením vzdáleného přístupu, jež zaměstnancům umožňovalo připojit se k podnikové síti odkudkoli prostřednictvím internetu. VPN za tímto účelem vytváří šifrovaný tunel mezi zařízením uživatele a podnikovou sítí, který představuje zabezpečený kanál pro přenos dat. Tradiční řešení VPN ale staví na perimetrickém modelu bezpečnosti, který předpokládá, že vše uvnitř sítě je důvěryhodné, zatímco vše vně síťového perimetru vyžaduje ověření. 

S rostoucí složitostí infrastruktury IT a zejména s rostoucími nároky na mobilitu, nasazováním cloudových služeb i stále sofistikovanějšími kyberútoky se tento model ukázal jako nedostatečný. Jeho náhradou je právě model přístupu k síti s nulovou důvěrou, který vyžaduje kontinuální ověřování každého přístupu nezávisle na tom, odkud pochází. 

Nasazování ZTNA výrazně urychlila covidová pandemie, během níž miliony zaměstnanců po celém světě začaly pracovat z domova. Tato masivní změna odhalila další limit technologie VPN, která nebyla navržena pro velký objem vzdálených připojení. Organizace proto začaly urychleně implementovat řešení ZTNA, která poskytují lepší škálovatelnost, bezpečnost i uživatelskou přívětivost pro vzdálené pracovníky. 

V současnosti je ZTNA klíčovou technologií pro modernizaci síťové bezpečnosti a podporu práce v hybridním režimu, kdy zaměstnanci pracují na různých místech a využívají k tomu různá zařízení. 

Základní principy ZTNA 

ZTNA staví na hlavních principech ZTA, jako jsou přístup založený na identitě, princip nejnižších oprávnění a nepřetržitý monitoring a ověřování, a přidává další mechanismy zaměřené specificky na síťový přístup k aplikacím a datům: 

• Řízení přístupu na úrovni aplikací umožňuje poskytovat přístup jen ke konkrétním aplikacím, nikoli k celé síti. Uživatelům bez příslušného oprávnění nejsou aplikace viditelné a nereagují na pokusy o komunikaci od neautorizovaných zdrojů. Tím se zásadně omezuje prostor pro kyberútoky i pohyb útočníka v síti v případě úspěšné kompromitace. 
• Výchozí odmítnutí přístupu znamená, že veškerý přístup je standardně zakázán, pokud není explicitně povolen konkrétní politikou. Jde o opak tradičního modelu, kde je přístup standardně povolen a blokovány jsou jen konkrétní nežádoucí aktivity. Výrazně se tak snižuje riziko neúmyslného poskytnutí přístupu k citlivým zdrojům. 
• Kontextuální autentizace a autorizace bere při rozhodování o přístupu v úvahu široké spektrum faktorů včetně identity uživatele, stavu a konfigurace zařízení, času a lokace přístupu, chování uživatele a úrovně ochrany požadovaných dat. Tento přístup umožňuje dynamicky přizpůsobovat bezpečnostní požadavky aktuálnímu riziku. 

Komponenty architektury ZTNA 

Řešení ZTNA typicky zahrnují několik klíčových komponent, které společně tvoří komplexní architekturu pro bezpečný přístup k aplikacím a datům: 

• Na straně klienta jde o software instalovaný na zařízení uživatele, který zajišťuje autentizaci uživatele, hodnocení stavu zařízení a vytvoření zabezpečeného spojení se službou ZTNA. Tato komponenta může mít formu agenta, který je instalován přímo na zařízení, nebo může být implementována jako tzv. agentless řešení, dostupné prostřednictvím webového prohlížeče. Klientská komponenta také typicky zajišťuje šifrování komunikace a může poskytovat další informace pro hodnocení rizika, jako je přítomnost aktualizovaného antivirového softwaru nebo konfigurace operačního systému. 
• Řídicí nebo zprostředkovací komponenta slouží jako centrální mozek ZTNA. Tato komponenta přijímá a vyhodnocuje požadavky na přístup na základě definovaných bezpečnostních politik, identity uživatele a dalších kontextuálních faktorů. Komponenta komunikuje s různými zdroji dat, jako jsou systémy pro správu identit, bezpečnostní informace a informace o stavu zařízení, aby mohla učinit informované rozhodnutí o přístupu.  
• Policy Engine je zodpovědný za definici a vynucování bezpečnostních politik, které určují, kdo a za jakých podmínek má přístup ke konkrétním aplikacím. Policy Engine umožňuje administrátorům definovat detailní pravidla založená na faktorech jako identita uživatele, role, lokace, čas, typ zařízení a řada dalších. Sofistikovaná řešení mohou také využívat umělou inteligenci (AI) a strojové učení (ML) pro detekci anomálií a adaptivní řízení přístupu. 
• Service Edge/Gateway slouží jako kontrolní bod pro přístup k aplikacím a zajišťuje, že cílovým aplikacím budou předány pouze autorizované požadavky. Tato komponenta může být implementována formou cloudové služby nebo v podobě lokálně provozovaného či virtuálního zařízení. 
• Konektor zajišťuje integraci s chráněnými aplikacemi, ať už jsou umístěny ve vlastním datacentru, nebo v privátním či veřejném cloudu. Tato komponenta je typicky nasazena blízko aplikací a zajišťuje zabezpečenou a monitorovanou komunikaci mezi Service Edge a aplikacemi. Konektory mohou být implementovány jako virtuální zařízení, kontejnery nebo softwarové agenty na aplikačních serverech. 
• Systém pro řízení a monitoring poskytuje centralizované rozhraní pro konfiguraci řešení ZTNA, definici bezpečnostních politik, monitoring přístupů a generování reportů pro účely auditu. Tento systém typicky zahrnuje ovládací panel s vizualizací přístupových aktivit i analytické nástroje pro identifikaci trendů a anomálií a bývá integrován se systémy SIEM (Security Information and Event Management) pro komplexní bezpečnostní monitoring. 

Tyto komponenty dohromady tvoří komplexní architekturu, která umožňuje zabezpečený a granulární přístup k aplikacím v souladu s principy nulové důvěry. Názvy komponent se mohou lišit podle konkrétních řešení ZTNA od různých poskytovatelů. 

Typy a modely nasazení ZTNA 

Řešení ZTNA mohou být implementována různými způsoby v závislosti na specifických potřebách organizace, existující infrastruktuře a požadované míře kontroly nad bezpečnostními politikami a daty.  

Z hlediska umístění kontrolních systémů rozlišujeme cloudové a on-premise nasazení ZTNA, případně hybridní model, který kombinuje flexibilitu a rychlost implementace ZTNA v cloudu s možností plné kontroly nad bezpečnostními politikami a daty díky lokálnímu umístění částí architektury řešení ZTNA. 

Na základě klientské komponenty rozlišujeme ZTNA založené na agentu, které vyžaduje instalaci softwarové komponenty na koncová zařízení uživatelů, a tzv. agentless ZTNA, využívající webový prohlížeč nebo jinou nativní komponentu operačního systému. Řešení bez agentu je sice jednodušší z hlediska nasazení a správy, ale může poskytovat omezenější sadu funkcí a typicky podporuje primárně webové aplikace. I v tomto případě existuje hybridní přístup, kdy organizace využívá oba modely v závislosti na typu uživatele, zařízení nebo aplikace. 

Podle způsobu provozování rozlišujeme ZTNA formou řízené služby, kdy je řešení plně spravováno externím poskytovatelem, který zajišťuje implementaci, konfiguraci, monitoring a údržbu, a model, kdy organizace implementuje a spravuje řešení ZTNA s využitím svých vlastních zdrojů. 

Modely nasazení ZTNA zahrnují implementaci řešení ZTNA jako samostatné technologie, nezávislé na ostatních bezpečnostních nástrojích nebo infrastruktuře, ZTNA jako součást SASE, kdy je ZTNA integrovanou součástí širší architektury Secure Access Service Edge (SASE), která kombinuje síťové a bezpečnostní funkce do jedné cloudové služby, a ZTNA jako součást SSE, kdy je ZTNA integrovanou součástí architektury Security Service Edge (SSE), což je podmnožina SASE zaměřená specificky na bezpečnostní funkce (bez SD-WAN a dalších síťových komponent). A konečně hybridní model kombinuje přístupy k ZTNA podle různých typů aplikací, lokací nebo uživatelských skupin. Organizace může například využívat cloudové ZTNA pro zabezpečení přístupu k SaaS aplikacím a lokální ZTNA pro zabezpečení přístupu k citlivým interním aplikacím. 

Výhody ZTNA oproti tradičním přístupům 

Implementace principu přístupu k síti s nulovou důvěrou výrazně omezuje rizika vzdáleného přístupu k podnikovým systémům a datům. Řízení přístupu na úrovni aplikací, kontinuální ověřování a princip nejnižších oprávnění minimalizují potenciální dopad kompromitace přihlašovacích údajů nebo zařízení. ZTNA také poskytuje detailní informace o tom, kdo, z jakého zařízení a k jakým aplikacím přistupuje. 

Pokročilá ZTNA řešení integrují technologie jako DLP (Data Loss Prevention), CASB (Cloud Access Security Broker) nebo zabezpečený webový prohlížeč, které poskytují dodatečné vrstvy ochrany proti moderním hrozbám. Schopnost detekovat potenciální hrozby a v reálném čase na ně reagovat významně snižuje riziko úspěšných útoků. 

ZTNA poskytuje konzistentní úroveň zabezpečení bez ohledu na lokaci uživatele, což omezuje bezpečnostní rizika spojená s domácími sítěmi nebo veřejnými Wi-Fi, stejně jako s útoky typu Man-in-the-Middle nebo DNS hijacking. Oproti tradičním VPN přistupují uživatelé přímo ke konkrétním aplikacím bez nutnosti připojovat se k celé podnikové síti, což zjednodušuje proces přístupu a zrychluje odezvu. Řešení ZTNA také často poskytují jednotné rozhraní pro přístup k různým typům aplikací (webové, klientské i klasické serverové) a zmírňuje problémy s konektivitou, které jsou běžné u VPN. Lepší uživatelská zkušenost pak vede k vyšší produktivitě a spokojenosti uživatelů. 

Cloudová řešení ZTNA lze snadno škálovat, aby podporovala tisíce nebo desetitisíce současných uživatelů, bez nutnosti investovat do posílení infrastruktury. Administrátoři mohou definovat konzistentní bezpečnostní politiky pro všechny aplikace a uživatele bez nutnosti spravovat komplexní pravidla firewallů nebo ACL (Access Control Lists). Administrativní zátěž snižují také automatizované procesy pro zavádění nových uživatelů i odebrání přístupů lidem, kteří z organizace odcházejí. Ve srovnání s náročnou implementací tradičních řešení pro vzdálený přístup může být cloudové ZTNA nasazeno už v řádu dnů nebo týdnů. 

Silnou stránkou ZTNA je také podpora multicloudových a hybridních prostředí poskytováním konzistentního modelu přístupu napříč vlastními datacentry, privátními a veřejnými cloudy i SaaS aplikacemi. Není pak třeba udržovat různá řešení pro přístup a zjednodušuje se tím správa bezpečnosti. 

Omezení a další vývoj ZTNA 

Přestože ZTNA poskytuje oproti tradičním řešením pro vzdálený přístup zásadní výhody, má tato technologie také svá omezení. Jde především o omezenou kompatibilitu se staršími aplikacemi, které nebyly navrženy pro moderní modely přístupu. Řešení ZTNA může mít omezené možnosti podpory pro protokoly a technologie používané některými aplikacemi typu klient-server, terminálovými službami nebo aplikacemi závislými na specifických síťových protokolech. Integrace těchto aplikací do modelu ZTNA může vyžadovat dodatečné softwarové nástroje nebo adaptéry, což může zvýšit nejen náklady na implementaci, ale také složitost celého prostředí. 

Podobně může být složité zajistit bezproblémovou spolupráci ZTNA s existujícími bezpečnostními komponentami, jako jsou firewally, systémy typu IDS/IPS, SIEM, správa identit atd. Většina řešení ZTNA vyžaduje také určitou úroveň kontroly a monitoringu koncových zařízení, aby bylo možné posoudit jejich bezpečnostní stav a vynucovat politiky. To může být náročné zařídit především v prostředích, kde lze využívat i soukromá zařízení v rámci modelu Bring Your Own Device (BYOD). Přechod na model nulové důvěry také vyžaduje změnu myšlení, procesů a často i bezpečnostní kultury organizace.  

Technologie ZTNA se dále vyvíjí a jedním z trendů, které mají potenciál ji ovlivnit, je například bezheslová autentizace. Tradiční hesla představují značné bezpečnostní riziko a jsou častým cílem phishingu. Proto se stále hledají autentizační metody, včetně biometrie nebo hardwarových tokenů, které tato rizika omezují a současně proces autentizace zjednodušují. Dodavatelé řešení ZTNA proto tyto autentizační metody implementují do svých produktů a poskytují flexibilní možnosti pro silnou autentizaci bez nutnosti použití hesel.