Wat is een softwaregedefinieerde perimeter (SDP) en wat is het belang ervan voor ZTNA?

Bedrijven adopteren cloudtechnologieën in een razend tempo. Gartner voorspelt dat de wereldwijde public cloudmarkt in 2020 met 17% zal groeien tot 266 miljard dollar. Naarmate meer bedrijven clouddiensten integreren in hun IT-workflows, wordt het duidelijk dat bestaande perimeterbeveiligingsdiensten niet langer geschikt zijn in een mobiele, cloudgerichte wereld.

VPN's worden van oudsher gebruikt om veilige toegang op afstand te bieden, maar ze zijn notoir onbetrouwbaar, bieden een slechte gebruikerservaring, zijn te toegeeflijk wat betreft toegang en kunnen problematisch zijn als het gaat om configuratie. Bovendien kunnen eindgebruikers rechtstreeks verbinding maken met SaaS in plaats van een VPN te moeten gebruiken. Een werknemer kan bijvoorbeeld een toepassing voor het delen van bestanden downloaden op zijn of haar apparaat en gewoon inloggen op zijn of haar bedrijfsaccount, zonder dat die verbinding hoeft te worden beheerd of versleuteld.

Moderne bedrijven beheren hun toegangsbeleid met een softwaregedefinieerde perimeter (SDP), naast het minimaliseren van risico's en de algemene blootstelling aan beveiligingrisico's.

Wat is een softwaregedefinieerde perimeter?

SDP is een beveiligingsaanpak die Zero Trust Network Access (ZTNA) mogelijk maakt en bescherming biedt, ongeacht of een dienst zich op locatie of in de cloud bevindt.

Met SDP is de connectiviteit gebaseerd op het need-to-know-model, met 'standaardweigering' voor alle diensten. Eindgebruikers en hun apparaten moeten worden geverifieerd en geautoriseerd voordat zij verbinding kunnen maken. Dit omvat zowel een beoordeling van de identiteit als de status van het apparaat. De toepassing van adaptieve toegang is een belangrijk onderdeel van ZTNA, dat ervoor zorgt dat contextbewuste toegangscontrole wordt toegepast om het niveau van vertrouwen af te wegen tegen het risico.

Zodra de veiligheidscontroles zijn uitgevoerd, wordt een dynamische één-op-één-verbinding tot stand gebracht tussen een apparaat en een toepassing. Volgens het principe van de minst geprivilegieerde toegang zijn alle andere bedrijfsdiensten die voor die gebruiker niet relevant zijn, onzichtbaar en dus veilig. Het gebruik van micro-segmentation voorkomt brede onnodige netwerktoegang door aparte beveiligde zones te creëren binnen datacenters en cloudimplementaties, om zo workloads van elkaar te isoleren.

Wat zijn de voordelen van SDP?

Veel bedrijven hebben oplossingen voor identiteits- en toegangsbeheer (IAM) ingevoerd om over te stappen op ZTNA. Hoewel identiteit een belangrijk onderdeel is van ZTNA, houdt het op zichzelf geen rekening met de bredere context van een verzoek om toegang, zoals de gezondheid van een apparaat of de sterkte van de netwerkbeveiliging. Gartner ziet apparaatgezondheid als een belangrijk onderdeel van een zero-trust SDP-oplossing. Het feit dat iemand correcte gebruikersgegevens kan verstrekken, garandeert geenszins dat ze zijn wie ze zeggen dat ze zijn of dat hun apparaat is beveiligd tegen kwaadwillende derden. Adaptieve toegang moet worden toegepast, om rekening te houden met contextuele factoren die verband houden met het verzoek.

Bijvoorbeeld:

• Is er malware op het apparaat geïnstalleerd?
• Probeert de gebruiker verbinding te maken vanaf een voorspelbare locatie?
• Zijn er kwetsbaarheden aangetroffen op het apparaat of in de apps?
• Is de verbinding veilig, of is deze kwetsbaar voor een man-in-the-middle-aanval?

Al deze factoren worden gebruikt om een risicoscore te berekenen, waardoor organisaties af kunnen stappen van al te vereenvoudigde, binaire authenticatieregels.

Aangezien SDP gebruikers authenticeert voordat verbindingen tot stand worden gebracht, zijn bedrijfsdiensten onzichtbaar voor nieuwsgierige ogen. Zelfs na authenticatie zijn alleen de goedgekeurde diensten voor een gebruiker zichtbaar. Dit beperkt niet alleen de dreiging van netwerkgebaseerde aanvallen (zoals denial of services, SQL-injecties, serverscanning, enz.), maar beperkt ook de potentiële schade van bedreigingen van binnenuit. Een ontevreden HR-medewerker kon niet zomaar inloggen op het CRM en contacten downloaden; deze zou niet eens op de inlogpagina kunnen komen.

Het beleid kan per gebruiker worden toegepast in plaats van door op gebruikersgroepen toegespitste 'algemene regels' te gebruiken, een punt van zorg dat met name relevant is in het geval van toegang door derden. Met SDP kunnen toegangscontroles worden toegepast op elke gebruiker, op elke locatie, toepassing of dienst, zowel ter plaatse als in de cloud, waardoor beheerders veel meer controle krijgen. Bij het overwegen van toegang voor derden moeten duidelijk gedefinieerde machtigingen, toegangsniveaus en begin- en einddatums worden vastgesteld. Dit kan leiden tot vertraagde toegangsverlening of overgeslagen beveiligingsstappen.

SDP stelt bedrijven in staat om de uitdagingen aan te gaan die gepaard gaan met de migratie naar cloudtechnologieën, evenals problemen die verband houden met een mobiel personeelsbestand, door een beveiligingsoplossing te bieden waar de eindgebruiker zich bevindt in plaats van verkeer terug te leiden naar het datacenter van het bedrijf. SDP helpt bedrijven ZTNA te bereiken door meer controle te geven over wie toegang heeft tot wat door de minst geprivilegieerde toegang af te dwingen en bedrijfsdiensten te verbergen voor niet-geautoriseerde gebruikers. Om SDP effectief te laten zijn en niet de zoveelste overlast voor eindgebruikers, is een wereldwijd netwerk nodig dat verbindingen met hoge snelheid en lage latentie levert die beleid kunnen afdwingen, ongeacht waar een gebruiker zich bevindt, en dat toegang mogelijk maakt op basis van adaptieve toegangsprincipes.