מה זה ZTNA?
ZTNA ראשי תיבות של Zero Trust Network Access כלומר בקרת גישה אפס אמון.
זהו מונח ומודל אבטחה שנועדו לשפר את אבטחת הרשת על ידי הסרת מושג האמון מהמשוואה.
במודלים מסורתיים של אבטחת רשת, ברגע שמשתמש מקבל גישה לרשת, יש לו גישה רחבה למשאבים בתוך רשת זו
בהתבסס על האימות הראשוני שלו.
ZTNA פועל על פי העיקרון של “לעולם אל תסמוך, תמיד תאמת”.
בארכיטקטורת ZTNA, הגישה ליישומים ומשאבים נקבעת באופן דינמי על סמך גורמים שונים כגון זהות המשתמש, אבטחת המכשיר,
מיקום ומידע הקשרי אחר.
משתמשים מאומתים ומורשים על בסיס הפעלה, כאשר הרשאות הגישה נבדקות ונאכפות באופן רציף.
פתרונות ZTNA משתמשים במגוון טכנולוגיות כגון ניהול זהויות וגישה (IAM), אימות רב-גורמי (MFA), הצפנה,
מיקרו-פילוח וטכניקות היקפי מוגדרות בתוכנה (SDP) כדי ליישם מודל זה.
על ידי אימוץ ZTNA, ארגונים יכולים לצמצם את משטח ההתקפה, להפחית סיכונים הקשורים לאיומים פנימיים ולשפר את עמדת האבטחה
הכוללת בסביבת רשת מורכבת ודינמית יותר ויותר.
איך ZTNA עובד?
ZTNA פועל על ידי הטמעת מודל אבטחה שאינו מניח אמון, ללא קשר אם המשתמש נמצא בתוך או מחוץ להיקף הרשת.
כך פועל ZTNA:
אימות זהות : המשתמשים נדרשים לאמת את עצמם לפני שהם מקבלים גישה למשאבים כלשהם.
אימות זה כולל לרוב אימות רב-גורמי (MFA) כדי לשפר את האבטחה.
אימות מכשיר : בנוסף לאימות המשתמש, נבדקת גם תנוחת האבטחה של המכשיר המנסה לגשת לרשת מוערכת.
הערכה זו כוללת גורמים כגון תיקוני האבטחה של המכשיר, מצב האנטי-וירוס, מצב ההצפנה וכו’.
בקרת גישה הקשרית : החלטות גישה מבוססות על גורמים הקשריים כגון תפקיד המשתמש, מיקומו, זמן הגישה
והרגישות של המשאב אליו ניגשים.
מדיניות הגישה נאכפת באופן דינמי על סמך גורמים הקשריים אלה.
מיקרו-פילוח : ZTNA מיישם מיקרו-פילוח, הכולל חלוקת הרשת למקטעים קטנים יותר ומבודדים.
לכל פלח יש בקרות גישה משלו, והתעבורה בין הפלחים נשלטת בקפדנות.
גישה לשכבת יישומים : במקום להעניק גישה רחבה לרשת, ZTNA מספק בקרות גישה מפורטות בשכבת האפליקציה.
משתמשים מקבלים גישה רק ליישומים ולמשאבים הספציפיים שהם צריכים כדי לבצע את המשימות שלהם.
אכיפת מדיניות דינמית : מדיניות גישה מוערכת ונאכפת באופן רציף בזמן אמת.
אם ההקשר של משתמש משתנה (למשל, הוא עובר למיקום אחר או סטטוס אבטחת המכשיר שלו משתנה),
הרשאות הגישה מותאמות בהתאם.
הצפנה : ZTNA משתמש בהצפנה כדי לאבטח נתונים במעבר בין המכשיר של המשתמש למשאבים שניגשו אליהם.
דבר זה עוזר להגן מפני האזנות והתקפות.
ZTNA מספק גישה מאובטחת יותר לגישה לרשת על ידי אימות מתמשך של הזהות, אבטחת המכשיר והגורמים ההקשריים
של המשתמשים ואכיפה דינמית של בקרות גישה המבוססות על מידע זה.
גישה זו מסייעת לארגונים לצמצם את משטח ההתקפה, להפחית סיכונים ולשפר את עמדת האבטחה הכוללת
בנוף האיומים הדינמי והמתפתח של היום.
מי צריך ZTNA?
ZTNA מועיל למגוון רחב של ארגונים ותעשיות, במיוחד אלו המתמודדים עם האתגרים הבאים
או המבקשים לשפר את עמדת האבטחה שלהם:
ארגונים : לארגונים גדולים יש לרוב רשתות מורכבות עם נקודות קצה, משתמשים ויישומים רבים.
הטמעת ZTNA עוזרת להם לאבטח את היקף הרשת שלהם בצורה יעילה יותר ולנהל גישה למשאבים קריטיים.
כוח עבודה מרחוק : עם עליית העבודה מרחוק, היקפי הרשת המסורתיים הפכו רגישים יותר.
ZTNA מספק דרך מאובטחת לעובדים מרוחקים לגשת למשאבים ארגוניים ללא צורך ב-VPN, ללא קשר למיקומם.
BYOD (Bring Your Own Device) : בסביבות שבהן עובדים משתמשים במכשירים אישיים לעבודה, הבטחת האבטחה
של אותם מכשירים ושליטה בגישה למשאבים הארגוניים הופכת חיונית.
ZTNA מאפשר לארגונים לאכוף מדיניות אבטחה על סמך תנוחת האבטחה של המכשיר.
אימוץ ענן : ככל שארגונים מעבירים יותר ויותר את היישומים והנתונים שלהם לענן, הם זקוקים למנגנוני אבטחה חזקים
כדי להגן על תשתית הענן והיישומים שלהם.
ZTNA מספק בקרות גישה מפורטות למשאבים מבוססי ענן.
תעשיות בפיקוח גבוה : תעשיות כגון פיננסים, בריאות וממשל כפופות לדרישות רגולטוריות מחמירות לגבי הגנת מידע ובקרת גישה.
ZTNA מסייע לארגונים במגזרים אלה לעמוד בתקנים הרגולטוריים ולהגן על נתונים רגישים.
ספקי שירות : ספקי שירות מנוהלים (MSP) וספקי שירותי ענן (CSP) יכולים להשתמש ב-ZTNA כדי להציע פתרונות
גישה מאובטחת ללקוחותיהם, תוך הבטחה שהנתונים והמשאבים של הלקוחות שלהם יישארו מוגנים.
ארגונים עם נתונים רגישים : כל ארגון שעוסק בנתונים רגישים, כגון קניין רוחני, מידע פיננסי או מידע אישי מזהה (PII),
יכול להפיק תועלת מ-ZTNA כדי להגן על נכסיהם מפני גישה בלתי מורשית.
ZTNA רלוונטי לארגונים מכל הגדלים ולרוחב תעשיות שונות שמעדיפים אבטחה, פרטיות ותאימות.
הוא עוזר להפחית את נוף האיומים המתפתח על ידי אימוץ גישה פרואקטיבית ודינמית לאבטחת רשת.
מערכות ZTNA נפוצות
מספר ספקים מספקים פתרונות ZTNA כדי לעזור לארגונים ליישם ולאכוף את העקרונות של אבטחת אמון אפס.
כמה מערכות ופלטפורמות ZTNA נפוצות כוללות:
Zscaler Private Access (ZPA) :
ZPA הוא פתרון ZTNA מבוסס ענן המספק גישה מאובטחת ליישומים מבלי לחשוף אותם לאינטרנט.
הוא מחבר באופן דינמי משתמשים ליישומים מורשים המבוססים על מדיניות וגורמים הקשריים.
Cisco Secure Access Service Edge (SASE) :
ארכיטקטורת ה-SASE של סיסקו משלבת פונקציות אבטחת רשת, כולל ZTNA, עם יכולות WAN בפלטפורמה מקורית בענן.
היא מציעה בקרות אבטחה וגישה מקיפות למשתמשים ולמכשירים.
Palo Alto Networks Prisma Access :
Prisma Access היא פלטפורמת אבטחה המסופקת בענן הכוללת יכולות ZTNA.
היא מספקת גישה מאובטחת ליישומים, לנתונים ולאינטרנט למשתמשים מרוחקים ולסניפים, ללא קשר למיקומם.
Akamai Enterprise Access Application Access (EAA) :
Akamai EAA מציעה ZTNA כשירות מבוסס ענן המספק גישה מאובטחת ליישומים, בין אם הם מתארחים במקום או בענן.
היא מציעה בקרות גישה פרטניות המבוססות על זהות המשתמש ותנוחת המכשיר.
Google Cloud Secure LDAP ו-Identity-Aware Proxy (IAP) :
פתרונות ה-ZTNA של Google Cloud כוללים Secure LDAP לאימות מאובטח ו-IAP לשליטה בגישה ליישומים
המתארחים ב-Google Cloud Platform (GCP) על סמך זהות המשתמש והקשרם.
Okta Zero Trust Network Access :
Okta מציעה פתרון ZTNA כחלק מפלטפורמת ניהול הזהויות והגישה שלה (IAM).
היא מספקת גישה מאובטחת ליישומים ומשאבים המבוססים על זהות המשתמש, תנוחת אבטחת המכשיר
וגורמים הקשריים אחרים.
Microsoft Azure Active Directory (AAD) Conditional Access :
גישה מותנית של Azure AD מאפשרת לארגונים לאכוף בקרות גישה ומדיניות אבטחה בהתבסס על זהות המשתמש,
בריאות המכשיר, מיקום וגורמים הקשריים אחרים.
היא משתלבת עם פתרונות אבטחה אחרים של Microsoft להגנה מקיפה.
אלו הן רק כמה דוגמאות למערכות ופלטפורמות ZTNA הזמינות בשוק.
ארגונים צריכים להעריך את דרישות האבטחה הספציפיות, התשתית וצרכי התאימות שלהם בעת בחירת פתרון ZTNA.
שאלות ותשובות בנושא ZTNA
ש: מהם היתרונות של יישום ZTNA?
ת: הטמעת ZTNA מציעה מספר יתרונות, לרבות צמצום משטח ההתקפה, הפחתת סיכונים הקשורים לאיומים פנימיים,
שיפור הציות לדרישות הרגולטוריות, מתן אפשרות לגישה מאובטחת מרחוק לכוח אדם מבוזר
ושיפור עמדת האבטחה הכוללת של הרשת.
ש: כיצד ZTNA משפר את האבטחה עבור עובדים מרוחקים?
ת: ZTNA מספק גישה מאובטחת למשאבים ארגוניים עבור עובדים מרוחקים על ידי אכיפת בקרות גישה
קפדניות המבוססות על זהות המשתמש, תנוחת אבטחת המכשיר וגורמים הקשריים.
הוא מבטיח שרק משתמשים מורשים עם מכשירים מהימנים יכולים לגשת למידע רגיש,
גם כאשר עובדים מחוץ להיקף הרשת המסורתי.
ש: האם ZTNA יכול לעזור במניעת הפרות נתונים?
ת: כן, ZTNA יכול לסייע במניעת פרצות נתונים על ידי צמצום משטח ההתקפה ואכיפת בקרות גישה פרטניות.
על ידי אימות מתמשך של זהות המשתמש ותנוחת המכשיר, ZTNA ממזער את הסיכון של גישה לא מורשית לנתונים ולמשאבים רגישים,
ובכך מפחית את הסבירות להפרות נתונים.
ש: כיצד תומך ZTNA בעמידה בדרישות הרגולטוריות?
ת: ZTNA תומך בעמידה בדרישות הרגולטוריות על ידי מתן בקרות גישה חזקות ומסלולי ביקורת.
ארגונים יכולים לאכוף מדיניות גישה בהתבסס על הנחיות רגולטוריות ולהבטיח שרק משתמשים מורשים יכולים לגשת לנתונים רגישים.
פתרונות ZTNA כוללים יכולות דיווח וניטור כדי להוכיח עמידה בתקנים רגולטוריים.
ש: עם אילו אתגרים מתמודדים ארגונים בעת יישום ZTNA?
ת: כמה אתגרים שארגונים מתמודדים עם יישום ZTNA כוללים אינטגרציה עם תשתית IT קיימת, חינוך ואימוץ משתמשים,
הבטחת חווית משתמש חלקה, ניהול מדיניות גישה על פני סביבות מבוזרות והתייחסות להשלכות ביצועים אפשריות
הקשורות לאמצעי אבטחה נוספים.
ש: עד כמה ZTNA ניתן להרחבה עבור ארגונים צומחים?
ת: ZTNA ניתן להרחבה ויכול להתאים לצרכים של ארגונים צומחים.
פתרונות ZTNA מבוססי ענן, בפרט, מציעים מדרגיות על ידי מינוף משאבים אלסטיים וארכיטקטורה מבוזרת כדי לתמוך במספר הולך וגדל
של משתמשים והתקנים.
ZTNA מאפשר לארגונים להתאים מדיניות גישה ובקרות ככל שהתשתית שלהם מתפתחת.
ש: האם ZTNA מחליף אמצעי אבטחה מסורתיים כמו חומות אש ו-VPN?
ת: ZTNA לא בהכרח מחליף אמצעי אבטחה מסורתיים כמו חומות אש ו-VPN אלא משלים אותם.
בעוד שחומות אש ו-VPN מתמקדות באבטחת היקף הרשת, ZTNA מספק שכבות נוספות של אבטחה על ידי אכיפת בקרות גישה
ברמת האפליקציה והמשתמש.
ארגונים עדיים משתמשים בחומת אש וב-VPN בשילוב עם ZTNA כדי להשיג אבטחה מקיפה.
ש: אילו גורמים צריכים ארגונים לקחת בחשבון בעת בחירת פתרון ZTNA?
ת: בעת בחירת פתרון ZTNA, ארגונים צריכים לשקול גורמים כגון דרישות האבטחה הספציפיות שלהם, צרכי תאימות, מדרגיות,
יכולות אינטגרציה עם תשתית קיימת, חווית משתמש, ביצועים, מוניטין של ספקים ותמיכה ותחזוקה שוטפת.
חיוני להעריך את פתרונות ZTNA בהתבסס על יכולתם לענות על הצרכים והיעדים הייחודיים של הארגון.
