Beheer

Dit is een bijdrage van Zscaler
Security
Zscaler_zerotrust

Minimaliseer risico's met geavanceerde ZTNA-functies

Cloudsecurity-speler Zscaler legt uit hoe

30 mei 2022
Door: Zscaler, partner

Cloudsecurity-speler Zscaler legt uit hoe

De uitdaging om werknemers en derden vanaf elke locatie veilige toegang te bieden tot applicaties is niets nieuws in het bedrijfsleven. Beveiliging staat altijd hoog op de prioriteitenlijst, wat de taak ook is. Van het opzetten van multicloud-omgevingen tot het hosten van applicaties en van het digitaliseren van productieprocessen tot het bouwen van hybride werkomgevingen om externe toegang tot applicaties te bieden.

De echte grenzen van traditionele oplossingen voor toegang op afstand werden duidelijk tijdens de pandemie. VPN-verbindingen waren kwetsbaar voor aanvallen en konden niet snel worden opgeschaald om aan de toegenomen vraag te voldoen zonder in te leveren op prestaties. Gebruikers die op afstand toegang probeerden te krijgen tot applicaties die worden gehost in datacenters of in private cloud-omgevingen, zagen de kwaliteit van hun ervaring enorm teruglopen. Tegelijkertijd – en mede gevoed door de pandemie – is het digitaliseringsproces rap versneld. Hierdoor zijn nieuwe gateways geopend voor hackers om bedrijven aan te vallen via hardware en services die in de online omgeving werden blootgesteld.

In dit scenario worden organisaties geconfronteerd met een geheel nieuwe reeks beveiligingsuitdagingen. In het begin van de pandemie bewees Zero Trust Network Access (ZTNA) dat werknemers veilige, hoogwaardige toegang kunnen krijgen tot de applicaties die ze nodig hebben als rechten worden verleend op basis van een least-privileged access-model. In dit model krijgt een medewerker die toegang heeft tot een applicatie niet langer automatisch toegang tot het hele netwerk. Ze hebben pas toegang tot de applicatie die ze nodig hebben als voor die specifieke applicatie autorisatie is verleend. De Zscaler Zero Trust Exchange, met uitgebreide functionaliteit voor ZTNA, minimaliseert de online blootstelling van bedrijfsapplicaties en gebruikt een sterk geïntegreerde platformbenadering om de risico's voor de applicaties van een bedrijf te minimaliseren.

Cloud-gebaseerde Zero Trust netwerktoegang geeft organisaties een voorsprong

Alle bedrijven en organisaties zijn verantwoordelijk voor hun gegevens en de toegangsrechten die aan derden worden verleend. Een risicobeoordeling over dit onderwerp moet altijd deel uitmaken van hun strategie. Bedrijven vertrouwen op het internet om toegang te verlenen tot hun eigen applicaties, maar dat is niet het geval voor andere applicaties. Externe applicaties kunnen niet worden geopend of zelfs online worden gevonden door onbevoegde gebruikers.

Toegang van derden, of toegang op afstand voor onderhoud in productieomgevingen, wordt tot een absoluut minimum beperkt. In beide scenario's hoeven bedrijven niet toegang te verlenen tot hun hele netwerk. Zero trust biedt een tunnel-verbinding met de vereiste applicatietoegang voor onderhouds- of supply chain-beheerprocessen, terwijl de rest van het netwerk onzichtbaar blijft.

In een cloudgebaseerd beveiligingsplatform helpt een aantal functies de blootstelling van applicaties te minimaliseren:

Segmentatie van gebruiker naar app

Zero Trust Network Access (ZTNA) maakt granulaire segmentatie op individueel applicatieniveau mogelijk, dit dient als basis voor een beter beveiligingsecosysteem. Geautoriseerde gebruikers hebben alleen toegang tot bepaalde applicaties op basis van vooraf gedefinieerde toegangsrechten. Omdat er geen netwerktoegang is, kunnen gebruikers zich niet over het netwerk verplaatsen. Een cloudbeveiligingsplatform fungeert als tussenpersoon en gebruikt richtlijnen om te bepalen of gebruikers toegang moeten krijgen tot een applicatie op basis van hun identiteit en andere context-gebaseerde criteria.

App-to-app-segmentatie

Wanneer workloads naar de cloud worden verplaatst, moeten ze op verschillende manieren worden benaderd. In de multicloud-scenario's die tegenwoordig gangbaar zijn in het bedrijfsleven staat dit centraal in het beveiligingsdebat. De workload van de applicatie en de bijbehorende data moeten toegankelijk zijn voor zowel de IT-afdeling als de medewerkers, via internet kunnen communiceren met andere applicaties en verbonden zijn met het datacenter. Als de vereiste toegangsrechten niet correct zijn ingesteld, kan de kwetsbaarheid voor aanvallen groter worden en wordt de infrastructuur blootgesteld aan hogere risiconiveaus. In dit soort scenario's kunnen gedefinieerde toegangsrechten voor toegestane en embedded communicatie tussen cloud-workloads de beveiliging verbeteren.

Isolatie via browser-gebaseerde toegang

Browser-gebaseerde toegang kan ook worden gebruikt om een ​​hoger niveau van risicominimalisatie toe te voegen. Ook als de gebruiker over de betreffende toegangsrechten beschikt, maakt het systeem geen directe verbinding met de applicatie. De gebruiker kan alleen verbinding maken via een extern bureaublad-protocol (RDP) of SSH, dat effectief een image van de daadwerkelijke applicatie weergeeft zonder de cliënt er volledig mee te verbinden. Deze aanpak beschermt de applicatie tegen potentieel schadelijke inhoud die afkomstig is van de gebruiker of zijn apparaat, zoals een poging om een ​​interne app te infecteren met kwaadaardige code.

Hogere beveiliging in OT-omgevingen door privileged access op afstand

Naarmate de digitalisering in productieomgevingen voortschrijdt, moeten bedrijven ook nadenken over wie toegang moet krijgen tot hun machine besturingssystemen voor onderhoudsdoeleinden. In dit geval moeten de voorheen gescheiden werelden van IT en OT samenkomen, zodat slechts één geautoriseerde persoon toegang krijgt. Tot nu toe was de uitdaging om uit te zoeken hoe deze externe partij toegangsrechten kan krijgen als het daarvoor gebruikte apparaat niet door het bedrijf wordt beheerd. Een webportaal kan worden gebruikt om bevoorrechte toegang te verlenen als RDP- of SSH-toegang niet kan worden ingesteld voor het apparaat.

Honeypots gebruiken als verdedigingsmechanisme

Tenslotte moeten bedrijven die voor ZTNA kiezen, ook rekening houden met de mogelijke risico's van gecompromitteerde gebruikers of hun apparaten. Malware-aanvallers kunnen gestolen identiteiten misbruiken om toegang te krijgen tot de applicaties die de betreffende medewerker mag gebruiken. Maar als een aanvaller die een gestolen identiteit gebruikt, wordt verleid tot een opzettelijke honeypot-val, wordt de aanval onmiddellijk blootgelegd en kunnen kritieke gegevens worden beschermd.

De uitgebreide functionaliteit van de Zscaler Zero Trust Exchange stelt bedrijven in staat om extra beschermingsmechanismen in hun verdedigingsstrategie in te bouwen met behulp van netwerksegmentatie, isolatie en misleiding, op basis van het risiconiveau waar ze zich prettig bij voelen. Met de nieuwe ZTNA-functies kunnen bedrijven de verdedigingsmechanismen die zo essentieel zijn voor veel moderne use-cases - inclusief toegang op afstand voor werknemers, derden en machine-onderhoud - op een aanzienlijk gedetailleerder niveau implementeren.

Door Nathan Howe, Vice President of Emerging Technology bij Zscaler

Reactie toevoegen