Hoe kies je een Zero Trust-architectuur: SDP of Reverse-Proxy?

Zero Trust Network Access (ZTNA) is de toegangsoplossing van de volgende generatie. Het zal een belangrijk onderdeel worden van de toolkits van IT-beheerders en de al lang bestaande Virtual Private Networks (VPN) vervangen. Er zijn talrijke factoren en kenmerken die moeten worden overwogen bij het kiezen van de juiste ZTNA-architectuur voor je organisatie. In deze gids analyseren we de verschillen tussen twee prominente architecturen, Software Defined Perimeter (SDP) en reverse-proxy, en hoe ze met succes kunnen worden geëvalueerd.

De noodzaak van een Zero Trust-architectuur

Jarenlang is VPN het primaire mechanisme geweest om externe werknemers met bedrijfstoepassingen te verbinden. Waarom kiezen organisaties er nu voor om te migreren? Eenvoudig gezegd is de architectuur van VPN niet in staat de beveiliging te bieden die nodig is om bescherming te bieden tegen moderne cyberdreigingen en -trends. Volgens IDC werd VPN gebruikt bij 68% van de belangrijkste incidenten met tools voor toegang op afstand, waardoor risicobeperking voor veel bedrijven een belangrijke motiverende factor is.

Gartner, Forrester en vele andere analisten hebben ZTNA geïdentificeerd als de technologie die VPN zal vervangen, omdat het niet alleen uitgebreide beveiliging biedt, maar ook productiviteits- en operationele voordelen voor het bedrijf belooft.

Tegen 2023 zal 60% van de ondernemingen de meeste van hun virtuele privénetwerken (VPN's) voor toegang op afstand uitfaseren ten gunste van ZTNA - Gartner

31% van de organisaties overweegt momenteel over te stappen op ZTNA, 19% bevindt zich in de adoptiefase - TeleGeography

Inzicht in de gebruiksmogelijkheden achter de overstap naar ZTNA is essentieel, zodat organisaties hun eigen evaluatiecriteria kunnen opstellen. Er zijn talrijke gebruiksmogelijkheden voor ZTNA, zoals toegang tot toepassingen, voorwaardelijke toegang, het inschakelen van onbeheerde en BYO-apparaten en nog veel meer. Deze gebruiksmogelijkheden bepalen de vereisten die in aanmerking moeten worden genomen bij het kiezen van een ZTNA-architectuur voor uw organisatie.

De beginselen van Zero Trust Network Access

Voor het eerst vastgesteld door het Jericho Forum, kunnen de belangrijkste principes van Zero Trust worden samengevat in vijf principes:

• Vertrouw niemand - Voordat toegang wordt verleend, moeten alle gebruikers en apparaten hun betrouwbaarheid bewijzen. Dit is zo cruciaal voor ondernemingen dat Gartner voorspelt dat tegen 2023 60% van hen de meeste van hun virtuele privé-netwerken voor toegang op afstand zal afschaffen ten gunste van ZTNA.
• Verifieer identiteitsclaims - De identiteit en verificatie van een eindgebruiker is een hoeksteen van Zero Trust-beveiliging. Het is zo belangrijk dat, volgens Centrify, 73% van de bedrijven hun personeel extra training heeft gegeven over hoe ze cyberveilig kunnen blijven als ze op afstand werken, met specifieke training over het verifiëren van wachtwoorden en inloggegevens.
• Geef degenen die je kent wat ze nodig hebben - De machtigingen van elke gebruiker beginnen bij nul en worden alleen toegekend wanneer dat nodig is. Dit staat ook bekend als least-privilege access. Het geeft gebruikers toegang tot de tools die ze nodig hebben en voorkomt dat ze verbinding maken met de tools die ze niet nodig hebben. Uit een onderzoek van IDC blijkt dat 40% van de cyberinbreuken in feite ontstaat doordat geautoriseerde gebruikers toegang krijgen tot niet-geautoriseerde systemen.
• Negeer het apparaat niet - Apparaatbewustzijn is nodig om ervoor te zorgen dat anonieme, kwetsbare of gecompromitteerde apparaten geen toegang krijgen tot bedrijfsbronnen. IDC ontdekte dat 70% van de succesvolle inbreuken hun oorsprong vinden op het eindpunt.
• Speelzoneverdediging - Isoleer elke toepassing logisch en eis authenticatie en veiligheidscontroles voordat aan elke toepassing toegang wordt verleend. Deze microtunnels zijn essentieel om zijwaartse beweging te voorkomen, waarvan VMWare ontdekte dat deze bij bijna 60% van de aanvallen werd gebruikt.

Zero Trust-architectuur begrijpen

Er zijn verschillende subtypes voor elke architectuur en elke implementatie is iets anders, dus voor het gemak zullen we de brede high-level architecturen voor zowel SDP als reverse proxy beschouwen.

Softwaregedefinieerde perimeter (SDP)

De Softwaregedefinieerde perimeter, ook wel Eindpunt-geïnitieerd ZTNA genoemd in de marktgids van Gartner, is gebaseerd op de architectuur van de Cloud Security Alliance. In dit ontwerp wordt een toepassing geïnstalleerd op geautoriseerde eindgebruikersapparaten, die informatie over het apparaat en zijn beveiligingscontext deelt met een ZTNA-controller. Deze beveiligingscontext bevat details over het apparaat, de identiteit van de gebruiker en andere informatie die kan aangeven of het vertrouwen moet worden uitgebreid. Indien alle verstrekte informatie overeenstemt met het beleid van de organisatie, krijgt de gebruiker toegang tot de gevraagde toepassing.

De ZTNA-controller weigert toegang tot elke toepassing totdat de authenticatie is voltooid; voor die tijd laat de gateway geen verkeer door. Omdat de Gateway al het verkeer van niet-geauthenticeerde gebruikers en apparaten laat vallen, wordt de toepassing in feite onzichtbaar.

Reverse-proxy

De reverse-proxy-architectuur wordt in de Gartner-marktgids ook wel applicatie-geïnitieerde ZTNA genoemd. Ondanks het gelijksoortige diagram werkt deze architectuur, die is gebaseerd op het BeyondCorp-model, heel anders dan SDP en is er geen eindpuntagent vereist.

Evaluatie van verschillende soorten Zero Trust-architectuur

Er zijn een aantal belangrijke verschillen tussen de architecturen op hoog niveau; de beoordeling van individuele oplossingen mag er echter niet toe leiden dat verkopers zonder evaluatie worden afgewezen. Niet alle diensten zijn gelijk gebouwd en de voordelen en zwakke punten van elke optie kunnen door de ontwikkelingsteams zijn omzeild.

Hoewel SDP-leveranciers bijvoorbeeld de mogelijkheid hebben om modernere, geavanceerde netwerk- en versleutelingstechnieken te gebruiken, kiezen zij wellicht voor meer vertrouwde protocollen. Veel ontwikkelaars gebruiken gangbare standaarden zoals OpenVPN of IPsec, die tal van problemen hebben, zoals het introduceren van latentie en het leegraken van de batterijen van mobiele apparaten. Deze bieden weinig tot geen voordelen ten opzichte van TLS beperkte reverse-proxy oplossingen. Er moet voor worden gezorgd dat leveranciers de nieuwste technologieën gebruiken.

Bovendien kunnen sommige ondernemingen in de verleiding komen om reverse-proxydiensten te gebruiken omdat ze geen apparaatbeheer gebruiken of een aanzienlijk aantal BYOD-gebruikers hebben. In theorie is dit logisch omdat SDP vereist dat er een client wordt geïnstalleerd, maar sommige ontwikkelaars hebben deze beperking omzeild. Eenvoudige aanmeldingstechnieken en technologieën ter bescherming van de privacy maken het gebruik van een client voor eindgebruikers eenvoudig.

Het grondig doorlichten van architecturen is tijdrovend, maar kan cruciaal zijn voor het bepalen van de optionele toegangsoplossing voor een onderneming. ZTNA-oplossingen zullen de kern vormen van de volgende digitale transformatiegeneratie, dus het selecteren van de juiste oplossing is essentieel.

Samenvatting

Softwaregedefinieerde perimeters en reverse-proxy-architectuur zijn de twee meest voorkomende modellen waarop leveranciers hun ZTNA-oplossingen baseren. Op het eerste gezicht lijken ze weinig van elkaar te verschillen, maar zoals uit deze gids blijkt zijn er verschillen in hoe ze werken en wat ze doen.

In het algemeen lijken SDP-oplossingen betere beveiliging, flexibelere netwerken en bredere toepassingsondersteuning te bieden. Elke oplossing moet echter naar behoren worden beoordeeld, aangezien de feitelijke implementatie van elke architectuur door leveranciers een aanzienlijk effect kan hebben op de kenmerken en prestaties van de dienst.