Недавно я посетил CloudNativeSecurityCon в Сиэтле. Большая часть докладов была посвящена нулевому доверию и реализации этих шаблонов в современных облачных архитектурах. Было заметно, что ни на одной лекции VPN не обсуждались.
VPN все чаще считаются устаревшими в новом мире нулевого доверия. Так что же такое нулевое доверие, чем оно отличается от VPN и служат ли VPN по-прежнему какой-то цели или это просто пережитки давно минувших времен?
Чтобы провести различие между этими двумя понятиями, я приведу пример традиционной офисной безопасности и современной офисной безопасности.
Возможно, перед офисом были ворота, где охранник проверял документы и пропускал людей. Эта безопасность существовала только в этом районе. Оказавшись внутри, люди могли свободно передвигаться, пользоваться лифтом и принтерами, а также входить в комнаты.
А теперь представьте себе современный офис. Для входа в двери, лифты, принтеры и офисные помещения требуется удостоверение личности, которое подтверждает вашу личность и привилегии. Это и более безопасно, и более детально, позволяя вам контролировать, кто к чему имеет доступ.
VPN очень похожи на традиционную безопасность. Они проверяют трафик до его поступления, но охраняют только периметр. Zero Trust очень напоминает современный офис и проверяет вашу личность каждый раз, когда вы получаете доступ к ресурсу. В обоих направлениях есть совпадения, но это общий образ мышления.
Однако этот термин несколько вводит в заблуждение. Вы не можете купить нулевое доверие, вы должны его внедрить. Это как DevOps или Agile. Это методология, шаблон с целью «достижения нулевого доверия». Несмотря на то, что вы можете приобрести инструменты, которые помогают «включить» Zero Trust, правда в том, что Zero Trust не существует без целостного подхода к безопасности предприятия.
Между тем, VPN получил столь же противоположное неправильное название. По своей сути VPN означает просто зашифрованные виртуализированные сетевые соединения, которые до сих пор используются повсюду, включая (внимание, спойлер!) Zero Trust! Однако, когда индустрия говорит о VPN, мы склонны иметь в виду «устаревшие продукты VPN», а не концепцию самих VPN, что приводит к некоторой путанице. Сейчас существуют «современные» продукты VPN, которые существенно меняют наше представление об этих инструментах.
Давайте проясним эти заблуждения и обсудим, почему VPN все еще используются и как они вписываются в реализацию нулевого доверия.
Содержание
Почему VPN все еще используются
Существует довольно простая причина, по которой сегодня так много организаций до сих пор используют решения VPN вместо нулевого доверия: нулевое доверие — это сложно. Нулевое доверие затрагивает все в организации, и без единого подхода, охватывающего все ваши ресурсы, вы не сможете реализовать его должным образом. И, как и в случае с DevOps или Agile, это не просто структура, а изменение культуры. Ну, с одной стороны, просто нужно время.
Однако даже несмотря на то, что компании внедряют нулевое доверие, они все равно находят варианты использования, выходящие за рамки внедренной ими структуры. Я работал со многими компаниями, которым необходимо развернуть решение для обеспечения безопасного доступа к веб-сайтам, с них или между веб-сайтами, которое не вписывается в их текущий подход нулевого доверия. В таких случаях VPN предлагает вам необходимое решение.
Это может произойти из-за того, что целевые ресурсы не контролируются пользователем, находятся на периферии или принадлежат другой организации. Здесь по-прежнему широко используются VPN. Кроме того, для соединения сайтов, даже если используется решение с нулевым доверием, обычно желательно шифровать трафик между сайтами.
VPN в рамках нулевого доверия
Принцип нулевого доверия заключается в ограничении «радиуса взрыва» потенциальных нарушений безопасности, включая внутренние и внешние угрозы. Именно здесь VPN по периметру все еще имеет большой смысл, примером которого является упомянутый выше случай межсайтового соединения. Но в более широком смысле давайте еще раз посмотрим на современный офис. Конечно, у вас есть смарт-карты безопасности для офисных ресурсов, но разве вам все равно не нужны ворота, и разве охранник не поможет снизить шансы злоумышленника?
Комбинируя VPN по периметру с архитектурой нулевого доверия, вы можете получить лучшее от обоих миров. Кроме того, вам есть на что опираться, поскольку VPN действует как ваш «минимальный» уровень безопасности, который вы можете сделать еще более безопасным с помощью принципов нулевого доверия.
Современные VPN
Помимо простого периметра, современные VPN возвращаются в качестве инструмента и альтернативы шаблонам нулевого доверия. Эти новые VPN оснащены технологиями, обеспечивающими высокий уровень безопасности.
скорость
Современные VPN используют новые методы шифрования, такие как WireGuard, которые значительно увеличивают скорость соединения. Хотя скорость сама по себе не является гарантией безопасности, ее часто называют основной причиной отказа от использования VPN. Ведь никто не хочет снижать скорость работы своих приложений вдвое, даже если это будет безопаснее. Поэтому из-за задержки традиционных VPN компании не решаются использовать VPN в своей инфраструктуре, когда требуется высокоскоростная передача данных. Однако с современными решениями на базе WireGuard это ограничение практически устранено, что позволяет VPN вернуться в сценарии использования на основе инфраструктуры.
Точка в точку
Традиционные VPN часто представляли собой VPN типа «точка-сеть» или «сеть-сеть». Представьте себе Cisco AnyConnect, где вы входите в систему и получаете доступ к корпоративной сети, или Пало-Альто, где вы соединяете разные офисы и центры обработки данных в одну большую сеть.
Для сравнения, двухточечные VPN напрямую подключают конкретную машину к другой конкретной машине. Это существенно ограничивает масштаб атаки и обеспечивает более тонкий контроль доступа, который можно интегрировать в структуру нулевого доверия.
Это, в сочетании с преимуществом в скорости, позволяет современным VPN стать гораздо более интегрированными в корпоративные ресурсы, подключая не только ноутбуки и телефоны сотрудников, но также серверы, виртуальные машины, контейнеры Linux и многое другое.
Размытые линии
Поскольку современные VPN предлагают как высокоскоростные, так и двухточечные соединения, грань между VPN и нулевым доверием стирается. Эти VPN все чаще добавляют элементы управления доступом, которые берут на себя части реализации нулевого доверия. Фактически, некоторые продукты VPN сегодня рекламируются как решения с нулевым доверием.
Со временем мы, вероятно, увидим продолжение этого слияния, когда VPN станут более гибкими и внедрят принципы нулевого доверия, чтобы обеспечить как безопасность на уровне сети, так и авторизацию на основе идентификации для конкретных ресурсов.
Диплом
С нулевым доверием или без него, VPN, скорее всего, останутся, и современные VPN будут развиваться, чтобы соответствовать современной корпоративной безопасности. Установление периметра сети помогает обеспечить базовый уровень сетевой безопасности, на основе которого организации могут реализовать принципы нулевого доверия в дополнение к крайним случаям, выходящим за рамки реализованной структуры нулевого доверия. Используя оба, организации могут защитить себя от атак как снаружи, так и изнутри.
Мы внедрили лучшую систему безопасности для бизнеса.
Эта статья была создана в рамках канала Expert Insights от TechRadarPro, где мы демонстрируем лучшие и самые яркие умы в области технологий сегодня. Мнения, выраженные здесь, принадлежат автору и не обязательно отражают точку зрения TechRadarPro или Future plc. Если вы заинтересованы в участии, узнайте больше здесь:
