Соучредитель и генеральный директор компании Meta Networks Итей Богнер приводит на портале eWeek десять причин, почему предприятиям следует переосмыслить защищенный удаленный доступ с учетом инноваций в области безопасности, масштабируемости, надежности и гибкости, которые привносят программно-определяемые решения для периметра сети (software-defined perimeter, SDP).

Виртуальные частные сети (VPN) на базе периметра развертываются для предоставления сотрудникам и подрядчикам доступа в корпоративные сети. До сих пор это было одним из лучших решений для организации удаленного доступа.

Однако после авторизации пользователи VPN получают широкий доступ к ресурсам корпоративной сети. Такой подход по принципу «все или ничего» подвергает потенциальной опасности конфиденциальную информацию. В этой связи растет интерес к SDP. Такие решения производят аутентификацию и авторизацию пользователей на основе заданных политик, прежде чем предоставить доступ к конкретным приложениям, но не ко всей сети.

Сейчас, с одной стороны, увеличивается число сотрудников, работающих в кафе, аэропорту или дома. С другой, ущерб от вторжений в сети таков, что растут опасения по поводу рисков, связанных с VPN на базе периметра. В этой связи организации обращают более пристальное внимание на такие альтернативы, как SDP-решения, в которых используется парадигма нулевого доверия.

Для этого имеется как минимум десять причин.

1. Проблемы с безопасностью традиционных VPN. Предприятия стали более уязвимы. Мобильные сотрудники и миграция в облака усложняют эффективную защиту периметра сети. Традиционные VPN слишком либеральны, предоставляя сотрудникам удаленный доступ к гораздо большим ресурсам сети, чем необходимо для выполнения их обязанностей. В результате эти ресурсы приобретают неоправданную наглядность, становятся уязвимы и открыты для атак.

2. Удаленный доступ с нулевым доверием для пользователей, изоляция для сети. С точки зрения безопасности, SDP-решения обладают рядом преимуществ по сравнению с VPN. Прежде всего, здесь нет зон доверия. ИТ-администратор должен в явном виде предоставлять пользователям разрешения на доступ к конкретным приложениям. Устройствам пользователей назначаются соединения «точка-точка». Прочие ресурсы сети изолируются и остаются полностью невидимыми.

Некоторые SDP-решения допускают непрерывную аутентификацию и проверку пользователя и/или устройства на уровне пакетов с использованием сетевой технологии на базе идентификации. Безопасность не отдается на волю случая. Весь сетевой трафик регистрируется для последующего аудита и исследования.

3. Неудобства использования VPN. Каждый, кто пользовался корпоративными VPN, знает, что эти сети работают медленно и ненадежно. Если вы используете приложения, установленные в различных географических точках, вас будет раздражать необходимость постоянно подключаться и отключаться, а также следить, к какой точке вы подключаетесь для доступа к нужному вам приложению.

4. SDP: единожды подключившись, получи доступ ко всему необходимому. При выборе правильного SDP-решения конечные пользователи после подключения получают доступ к требуемым приложениям независимо от их местонахождения. Решения на основе браузера без использования программных агентов максимально упрощают доступ к приложениям сотрудникам с неуправляемыми персональными устройствами, подрядчикам, партнерам и клиентам.

5. Головная боль администраторов. При миграции в облака управление VPN сильно усложняется. ИТ-администраторам приходится конфигурировать и согласовывать политики использования VPN и брандмауэров в различных географических точках. Это дополнительно затрудняет предотвращение несанкционированного доступа.

6. Отличия конфигурирования. VPN необходимо конфигурировать в каждом ЦОДе и облаке. Что же касается SDP, то администраторы могут единожды добавить к платформе сетевой ресурс, а затем централизованно управлять всеми политиками в облаке. Другим преимуществом полностью облачных SDP-решений является то, что при предоставлении доступа в ЦОДе или виртуальном частном облаке мало что нужно настраивать или обслуживать. Вся работа, в т. ч. связанная с обеспечением безопасности, производится в облаке.

7. Дорогостоящее масштабирование. По мере того, как организации подключают новых пользователей и увеличивают количество используемых облаков затраты на VPN и брандмауэры быстро растут в связи с необходимостью приобретения дополнительных лицензий и более мощных устройств. За масштабирование приходится платить высокую цену.

8. Потенциал безграничного роста. При использовании изначально облачного SDP-решения расширение никогда не представляет проблемы. Независимо от количества нуждающихся в подключении пользователей и необходимых им приложений такие решения могут плавно масштабироваться в облаках, не требуя дорогостоящего оборудования.

9. Гибкость, но не бесплатно. VPN обеспечивают гибкость, поскольку способны соединять множество географических точек, ЦОДов и виртуальных частных облаков. Однако такие соединения могут требовать больших ресурсов и значительно увеличивать расходы.

10. Соединить все и без сложностей. SDP-решения делают возможным более эффективное подключение к затребованным сотрудниками ИТ-ресурсам, не предъявляя высоких требований к управлению и не требуя увеличения затрат на оборудование.

Итог

Понимание условий безопасного удаленного доступа побуждает переходящие в облака организации применять SDP-решения. Такие решения осуществляют адаптированную политику сетевого доступа для пользователей и ресурсов на индивидуальной основе. Для неавторизованных лиц ресурсы остаются невидимыми, что уменьшает площадь потенциальных атак. Ориентация SDP-решений на пользователей делает их более управляемыми, применимыми повсеместно, защищенными и гибкими. Это перевешивает преимущества традиционных VPN.