Softwaregedefinieerde perimeter (SDP) versus Virtueel privénetwerk (VPN) en ZTNA

ZTNA (Zero Trust Network Access) is het nieuwste beveiligingsmodel dat door leveranciers en analisten wordt gepusht als de volgende stap in cyberdefensie. Het gaat vaak gepaard met oproepen om VPN, een technologie die al meer dan 30 jaar een steunpilaar van de infrastructuur voor toegang op afstand is, af te schaffen, te vervangen of te stoppen. Het is misschien nog te vroeg om VPN te vervangen door een ZTNA-oplossing, vooral omdat veel bedrijven zwaar hebben geïnvesteerd in het opschalen van de VPN-architectuur om plaats te bieden aan een extern personeelsbestand. Toch zijn er voordelen om te beginnen met de overgang naar een Zero Trust-model, en in het bijzonder naar SDP-technologie (Software-Defined Perimeter).

Hoe verhoudt SDP zich tot ZTNA?

ZTNA is een benadering van netwerkbeveiliging die bestaat uit verschillende beveiligingsconcepten. Het bestaat uit meer dan één enkel principe en momenteel meer dan één enkele oplossing, maar in de toekomst zullen er waarschijnlijk leveranciers zijn die een complete suite leveren. Zoals uiteengezet in Gartner's Marktoverzicht voor ZTNA zijn er momenteel twee vormen, waarbij de voorkeursimplementatie Endpoint-Initiated is op basis van de SDP-architectuur van de Cloud Security Alliance.

Wat zijn de verschillen tussen SDP en VPN?

De doeltreffendheid van oplossingen voor toegang op afstand kan worden beoordeeld aan de hand van drie criteria: de sterkte van de beveiliging, eenvoudig beheer en de ervaring van de eindgebruiker. ZTNA wordt gezien als de volgende generatie technologieën voor toegang op afstand, omdat het veel van de tekortkomingen op het gebied van beveiliging, beheer en gebruikerservaringen die met VPN's gepaard gaan, oplost.

Gartner voorspelt dat tegen 2023 60% van de ondernemingen het merendeel van hun virtuele privé-netwerken (VPN's) voor toegang op afstand zal afschaffen ten gunste van ZTNA.

Beveiliging

VPN

• Toegang vóór authenticatie
• Toegang op basis van IP-adres
• Netwerktoegang is nodig voor toegang tot toepassingen
• Open poorten blootgesteld aan het internet
• Geen risicobeoordeling van apparaten
• Moeilijk om toegang met de minste privileges af te dwingen

SDP

• Authenticatie vóór toegang
• Identiteitsgerichte toegang
• Geïsoleerde toegang tot elke toepassing
• Maakt toepassingen onzichtbaar totdat de identiteit van een gebruiker is geautoriseerd en geverifieerd
• Continue risicobeoordeling op apparaat-, gebruikers- en toepassingsniveau
• Minst geprivilegieerde toegang via IAM-integratie
• Veilige toegang voor elke toepassing, in de cloud of op locatie, ongeacht de locatie van de gebruiker

Beheer

VPN

• Sterk op apparatuur gebaseerd
• Inflexibele infrastructuur en statische capaciteit
• Administratieve overhead van het management
• Vatbaar voor verkeerde configuratie en afhankelijk van de configuratie van andere technologieën

SDP

• Geleverd via de cloud
• Dynamisch schaalbaar afhankelijk van bedrijfsbehoeften
• Beheer van de infrastructuur wordt uitbesteed aan een serviceprovider
• Integreert met IAM, SIEM en andere delen van de technologiestapel

Gebruikerservaring

VPN

• Gefragmenteerde toegangservaring en een constante noodzaak om opnieuw te authenticeren
• Biedt alleen toegang voor gebruikers op afstand
• Onbetrouwbaar op Wi-Fi en mobiele verbindingen en apparaten
• Verouderd ontwerp zorgt voor snelheids- en connectiviteitsproblemen

SDP

• Consistente toegang voor alle soorten apparaten en platforms
• Biedt dezelfde toegangservaring voor gebruikers op afstand en werknemers ter plaatse
• Verwerkt efficiënt netwerkovergangen en is gebouwd voor alle soorten apparaten
• Gedistribueerde service-edge maakt efficiënte routering mogelijk om latentie te verminderen
• Naadloze authenticatie en SSO

VPN-beveiligingsfuncties

Hoewel VPN traditioneel wordt gebruikt om werknemers op afstand toegang te verschaffen tot bedrijfsmiddelen, zijn de enige echte veiligheidskenmerken gebruikersverificatie op het punt van activering en encryptie van het eindpunt tot het VPN-apparaat. Ter vergelijking: ZTNA is fundamenteel gericht op beveiliging, biedt verbeterde authenticatie en encryptie en voegt ook andere moderne functies toe.

Authenticatie

Traditionele VPN's zijn afhankelijk van IP-adressen om toegang tot het netwerk te verschaffen, hetgeen problematisch is omdat een IP-adres geen informatie verschaft over de gebruiker of het apparaat en daarom niet impliciet kan worden vertrouwd, zelfs als het een lokaal adres is. De IP-adressen van gebruikers veranderen ook regelmatig, waarbij ze toegang hebben tot services vanaf meerdere apparaten, waaronder persoonlijke. Het beheren van toegang op basis van IP-adressen wordt moeilijk met steeds meer gebruikers.

Aanmelden bij een VPN is net als bij elke andere dienst: gebruikersnaam, wachtwoord, misschien ook multifactor-authenticatie, zoals een token of certificaat. Gebruikers worden aan het begin van een VPN-sessie geverifieerd om verbinding te maken met een lokaal netwerk en daarna voor toegang tot toepassingen. Er is echter geen risicobeoordeling van het apparaat, noch vooraf, noch in de loop van de sessie. Alleen omdat een werknemer zijn identiteit kan bewijzen, betekent dit nog niet dat het apparaat vertrouwd kan worden. Het eindpunt kan malware bevatten of er kunnen kwetsbaarheden zijn zoals een verouderd besturingssysteem; daarnaast kunnen apparaten ook in de loop van een sessie gecompromitteerd raken.

70% van de succesvolle inbreuken vinden plaats op het eindpunt - IDC

VPN-authenticatieprotocollen vereisen dat open poorten worden blootgesteld aan internet, dit geeft aanvallers informatie over de services die zich achter de perimeter bevinden en een doelwit om aan te vallen. Authenticatie moet plaatsvinden voordat services kunnen worden ontdekt.

ZTNA-oplossingen kunnen worden geïntegreerd met IAM-services om eenvoudig het identiteitsbeleid van gebruikers af te dwingen dat elders door het bedrijf wordt gebruikt en om ervoor te zorgen dat elke gebruiker de juiste machtigingen krijgt voor hun functie en rol. Het gebruik van Single Packet Authentication (SPA) vereist de identiteit van de gebruiker alvorens toegang te verlenen tot de gevraagde dienst, zodat alleen verbindingspogingen van geautoriseerde gebruikers worden herkend en toepassingen voor ieder ander ontoegankelijk blijven.

Een van de grote onderscheidende kenmerken van ZTNA op basis van SDP is dat bij de beoordeling van het verzoek om toegang rekening kan worden gehouden met het contextuele risico. Het gebruik van adaptieve (of conditionele) toegangscontroles zorgt ervoor dat een eindpunt voldoet aan het beveiligingsbeleid en beoordeelt ook andere factoren zoals geolocatie en tijdstip van het verzoek. Dit is met name relevant in het geval van BYOD en onbeheerde apparaten (zoals bij derden), waarbij er geen toezicht is op het apparaat en er geen garanties zijn dat aan de basisbeveiligingseisen wordt voldaan. Voorts kan de sessie van een gebruiker in realtime worden gevolgd; indien niet langer aan de eisen van het toegangsbeleid wordt voldaan, kan de toegang dynamisch worden beperkt.

Netwerktoegang versus toepassingstoegang

Een VPN is veelal een bot instrument als het gaat om toegang op afstand, omdat het brede zichtbaarheid en bereikbaarheid geeft tot toepassingen en middelen op het netwerk. VPN is IP-gebaseerd, waarbij een gebruiker vaak een lokaal adres krijgt, alsof deze zich fysiek op het netwerk bevindt, om toegang te krijgen tot om het even welk hulpmiddel. Deze toegang is onnodig breed, een verkoper heeft geen toegang nodig tot de boekhoudsoftware van de financiële afdeling, het is volledig irrelevant voor zijn rol.

Bijna 60% van de aanvallen omvat nu zijwaartse beweging. – VMWare

IT-teams kunnen netwerksegmenten creëren om zijwaartse bewegingen van VPN-verbindingen te beperken, maar dit is vaak moeilijk op te zetten en te beheren, vooral bij het openstellen van digitale ecosystemen voor partners. Soms hebben deze partners toegang nodig tot slechts één systeem, soms tot het hele pakket aan applicaties van een bepaalde afdeling. Een auditor moet bijvoorbeeld toegang hebben tot de financiële administratie, maar hoeft het CRM niet in te zien. VPN is niet in staat de fijnmazige toegang te bieden die de aanvalsmogelijkheden van een bedrijf voldoende beperkt.

Bij perimeter-gebaseerde beveiliging (en VPN) wordt ervan uitgegaan dat gebruikers/apparaten op het netwerk te vertrouwen zijn. Als iemand via een intern IP op het netwerk komt of een IP-adres heeft toegewezen gekregen van zijn VPN, wordt dit vertrouwen naar hem uitgebreid.

SDP stapt af van een netwerkgerichte benadering en creëert een geïsoleerde privétunnel tussen elke gebruiker en applicatie, waardoor het niet nodig is om ACL's of firewalls te configureren. Aangezien SDP identiteitsgericht is, kan dankzij een gecentraliseerde beleidsengine toegang met minimale bevoegdheden universeel worden afgedwongen op basis van de individuele machtigingen van de gebruiker. In plaats van toegang te verlenen tot het onderliggende netwerk, worden de gebruikers direct naar de toepassing geleid. Dit verwijdert uiteindelijk het netwerklocatiepunt als een voordeelpositie en elimineert ook het buitensporige impliciete vertrouwen dat IP-adressen bieden.

Cloudbescherming

Hoewel VPN-services externe gebruikers met het bedrijfsnetwerk verbinden, zijn ze niet in staat het verkeer naar cloudtoepassingen te versleutelen en laten ze die verbindingen kwetsbaar voor aanvallen. In tegenstelling tot toepassingen die op locatie worden gehost, is VPN optioneel voor gebruikers op afstand die verbinding willen maken met cloudtoepassingen. Elke vorm van bescherming die het bedrijfsnetwerk biedt, gaat verloren als de gebruiker besluit rechtstreeks verbinding te maken.

SDP bemiddelt de verbinding tussen gebruikers en cloudtoepassingen tot stand en zorgt ervoor dat de juiste authenticatie wordt toegepast en dat alleen bevoegde partijen de toepassing kunnen zien en er toegang toe hebben. Sommige applicatiesuites zoals Microsoft 365 hebben Zero Trust-technologie ingebouwd. Voor hen breidt ZTNA de beveiligde toegang uit met informatie over de risicopositie van het apparaat, maar bemiddelt of routeert het verkeer niet.

Beheer

Configuratie en kwetsbaarheden

Een snelle zoektocht op Google leert dat VPN talrijke kwetsbaarheden heeft en gemakkelijk verkeerd geconfigureerd kan worden, vooral bij de integratie met andere technologieën. Vorig jaar onderzocht het NCSC de exploitatie van kwetsbaarheden in SSL VPN-producten van een aantal vooraanstaande leveranciers. En onlangs heeft de NSA richtlijnen gepubliceerd voor de beveiliging van IPsec VPN's. Om een zekere mate van netwerksegmentatie af te dwingen, kunnen meerdere VPN's worden ingezet, maar elk daarvan vereist zijn eigen apparatuur, beheer en configuratie. Bovendien is het nooit netjes. De IT-beheerder moet elk van deze VPN's configureren en beheren. Wanneer het beleid wordt gewijzigd, moeten zij elk van deze VPN's doorlopen en bijwerken, wat veel tijd kost om de dienst in stand te houden.

Een ander onderhoudsprobleem met VPN's is dat ze geacht worden altijd beschikbaar te zijn, vooral in tijden waarin een groot deel van het personeel op afstand werkt, zodat beveiligingspatches, configuraties en beveiligingsmaatregelen niet worden uitgevoerd.

Bij SDP ligt de last van het onderhoud van de infrastructuur bij de dienstverlener, die ervoor moet zorgen dat eventuele kwetsbaarheden onmiddellijk worden verholpen. Omdat het een overlay-technologie is, is de configuratie veel eenvoudiger en kan deze netjes worden geïntegreerd met bestaande technologieën zoals UEM, SIEM, IAM, enzovoort door het gebruik van API's. Aangezien het toegangsbeleid wordt gevormd en toegepast op basis van de identiteit van een gebruiker, kunnen beheerders de toegang veel nauwkeuriger regelen en consequent toepassen op verschillende apparaten en platforms, en of de eindgebruiker op kantoor zit of op afstand werkt.

Op apparaten gebaseerd versus geleverd via de cloud

Er is een aantal hardware- en softwarecomponenten nodig om een VPN te implementeren. VPN-clients moeten op het eindpunt van de gebruiker worden geïnstalleerd, in het datacenter moeten VPN-appliances worden ingezet om het verkeer te beheren, en afhankelijk van de benodigde capaciteit zijn er diverse andere apparaten zoals routers en switches die moeten worden gebruikt. Daarnaast moeten firewalls, ACL's en DMZ's worden geconfigureerd om VPN-verbindingen toe te staan. Als meer gebruikers toegang op afstand nodig hebben, moet de infrastructuur handmatig worden geschaald, moeten appliances worden geïnstalleerd en geconfigureerd en moeten extra licenties worden aangeschaft.

Nu steeds meer toepassingen naar de cloud migreren, is het logisch dat beveiligingsoplossingen ook naar de cloud verhuizen. Aangezien SDP een cloudservice is, is er geen hardware meer nodig. De infrastructuur is niet gebonden aan de capaciteit van apparaten, SDP kan dynamisch worden geschaald om aan de bedrijfsbehoeften te voldoen. Aangezien de dienstverlener verantwoordelijk is voor de integriteit van het platform, verminderen bedrijven niet alleen de administratieve lasten van het onderhoud, maar profiteren zij daarnaast van zeer gespecialiseerde vaardigheden. Het vermijden van hardware vereenvoudigt de implementatie voor IT-teams. U hoeft niet ter plaatse te zijn om apparaten in het datacenter in te stellen of fysiek in het bezit te zijn van een apparaat om een endpoint-agent te installeren. Dit kan allemaal op afstand worden gedaan.

Implementatie

Digitale certificaten zijn een gebruikelijke methode om een geautoriseerd eindpunt voor VPN-diensten te identificeren en worden gezien als een veiliger alternatief voor vooraf gedeelde sleutels. Maar ze zijn zeker niet robuust vanuit veiligheidsoogpunt en er zijn een aantal echte cases waar hackers misbruik hebben gemaakt van dit vertrouwenssysteem. Bovendien is de implementatie van certificaten tijdrovend, vatbaar voor verkeerde configuratie en vereist vaak een vorm van apparaatbeheer.

SDP gebruikt een eindpuntagent. Een gebruiker kan gewoon een app downloaden, inloggen via SSO en deze zal automatisch het apparaat configureren op basis van zijn identiteitsgegevens. Als alternatief kan een UEM de SDP-app naar het apparaat pushen of kunnen deelbare koppelingen worden gebruikt, waardoor de app op een aantal manieren kan worden ingezet zonder dat er veel handelingen nodig zijn. De eindpuntagent kan meerdere doeleinden hebben en een aantal diagnostische gegevens van het apparaat leveren om adaptieve toegangscontroles af te dwingen.

Gebruikerservaring

Snelheid

VPN biedt de essentiële benodigdheden voor toegang op afstand tot bedrijfsapplicaties, maar kan niet echt worden omschreven als 'gebruiksvriendelijk'. Gebruikers verwachten dat bedrijfsapps hetzelfde serviceniveau bieden als consumentenapps en deze verwachtingen zijn hooggespannen. In het algemeen zullen gebruikers een sessie verlaten als het laden van een webpagina meer dan drie seconden duurt, dus als u VPN combineert met mobiele apparaten, temperamentvolle internetverbindingen en toepassingen met hoge bandbreedte, kan de servicesnelheid een probleem zijn.

Latency- en snelheidsproblemen zijn een natuurlijk bijproduct van VPN-ontwerp en heeft een aantal oorzaken:

• Nabijheid tot de server: als een gebruiker inlogt vanuit Delhi en de VPN-gateway zich in New York bevindt, zullen er louter door de afstand die het verzoek moet afleggen, vertragingen optreden.
• Encryptie: vindt niet onmiddellijk plaats; gegevens moeten worden gecodeerd en gedecodeerd terwijl ze door de VPN-gateway gaan. De hoeveelheid tijd kan worden beperkt door een lagere versleutelingssterkte te gebruiken, maar dit gaat onvermijdelijk ten koste van de veiligheid.
• Servercapaciteit: het aantal mensen dat het VPN gebruikt zal de prestaties beïnvloeden. Als het VPN capaciteit heeft voor 20 tot 30 gebruikers tegelijk, zou de prestatie bij meer gebruikers verslechteren. Bovendien zijn SaaS-bedrijfsproducten zoals M365 ontworpen voor directe, betrouwbare verbindingen. Deze diensten met hoge bandbreedte zetten de infrastructuur onder druk en zullen, als ze niet goed worden beheerd, de snelheid van de VPN-service tot een minimum beperken.
• Handshake: VPN-technologie heeft een langdurig handshake-proces, wat betekent dat elke onderbreking resulteert in verstoring terwijl de dienst opnieuw verbinding maakt.
• Haarspeldbocht: al het VPN-verkeer wordt via een tunnel teruggeleid naar het apparaat en wordt vervolgens van daaruit gerouteerd. Hoewel dit geschikt is voor toegang tot lokale toepassingen, is het niet geschikt voor verkeer dat bestemd is voor cloudtoepassingen of internet.

Cloudgebaseerde SDP is niet afhankelijk van apparaten en heeft dus niet dezelfde infrastructuurbeperkingen. Het kan op- en afschalen in overeenstemming met de zakelijke vraag en tegelijkertijd een consistent serviceniveau bieden. In plaats van gebruikers helemaal terug te sturen naar een datacentrum, worden gebruikers naar de dichtstbijzijnde service-edge geleid om de lokaliteit van een sessie te behouden en de latentie te beperken. Single Packet Authorization helpt ervoor te zorgen dat gebruikers een consistent goede ervaring hebben, ongeacht hun verbindingstype, of dat nu het kantoornetwerk is, roaming op mobiel of Wi-Fi vanuit huis.

SSO en voortdurend inloggen

De meeste zakelijke VPN-providers maken integratie met de identiteitsdirectory van een bedrijf mogelijk om Single Sign On (SSO) mogelijk te maken en het authenticatieproces te stroomlijnen. VPN-verbindingen zijn grillig, vooral via Wi-Fi of een mobiele verbinding en het is lastig om telkens opnieuw te moeten authenticeren als de verbinding wegvalt. De uitdagingen op het gebied van gebruikerservaring worden nog groter op moderne mobiele apparaten die anders werken dan hun desktop-gebonden broers en zussen en die gemiddeld 90 keer per dag worden 'gewekt'. VPN is ontwikkeld met traditionele Windows-apparaten in gedachten en is achteraf aangepast aan de modernere smartphone-omgeving.

Het kan ook nodig zijn dat gebruikers tussen VPN's wisselen. Het is niet ongebruikelijk dat een verkoper toegang nodig heeft tot een CRM dat wordt gehost op AWS, een leadmanagement-portal van een partner op Azure en een wervingstool die op locatie wordt gehost. Het moeten verbinden en loskoppelen van verschillende services zorgt voor een frustrerende, gefragmenteerde gebruikerservaring en leidt onvermijdelijk tot een productiviteitsverlies.

Net als VPN kan SDP worden geïntegreerd met IdP-oplossingen, maar het verschil zit hem in het vermogen van een SDP om continuïteit van de service te bieden, zelfs bij de overgang tussen netwerken, waardoor de constante vereisten voor herauthenticatie worden beperkt. SDP is ontworpen voor meer diverse IT-omgevingen en kan effectief werken op mobiele apparaten, zonder overmatig batterijverbruik. Aangezien toegang gebaseerd is op beleid, is het niet nodig om afzonderlijke VPN-diensten te hebben om een zekere mate van netwerksegmentatie af te dwingen. Gebruikers maken eenvoudigweg verbinding met de dienst en kunnen gelijktijdige verbindingen onderhouden met meerdere toepassingen via meerdere hostingoplossingen.

Conclusie

Slechts 30% van de bedrijven haalt met succes waarde uit digitale transformaties. Als bedrijven deze projecten op zich nemen, moet de hele gebruikerservaring in aanmerking worden genomen, niet alleen de toepassingslaag. De voordelen van nieuwe technologieën zullen pas worden gerealiseerd nadat de infrastructuur is gemoderniseerd. Hoewel VPN nog steeds zijn nut heeft, moet het samen met SDP worden uitgebreid om de toegangservaring te verbeteren en mobiel personeel beter tot dienst te zijn.