Zero Trust új szintre emelve: Hogyan váltja le a ZTNA a VPN-t?

A vállalati IT-biztonság soha nem látott változáson megy keresztül. A munkavégzés környezete, a cloud-szolgáltatások térnyerése és a hibrid munkavégzés elterjedése alapjaiban formálta át a kockázati képet. A klasszikus biztonsági periméter gyakorlatilag megszűnt: a dolgozók otthonról, külső partnerek és alvállaA vállalati IT-biztonság soha nem látott változáson megy keresztül. A munkavégzés környezete, a cloud-szolgáltatások térnyerése és a hibrid munkavégzés elterjedése alapjaiban formálta át a kockázati képet. A klasszikus biztonsági periméter gyakorlatilag megszűnt: a dolgozók otthonról, külső partnerek és alvállalkozók saját eszközeikről, a vállalat pedig egyre inkább a felhőből dolgozik. Ebben a világban a korábbi alapmegoldások – köztük a VPN – már nem bizonyulnak elégségesnek. A támadások száma drámaian nő, a VPN felügyelet és a kapcsolódó security megoldások komplexitása megnőtt, a felhasználói élmény pedig gyenge.

A válasz az egyre szélesebb körben elterjedő biztonsági modell: a Zero Trust Network Access (ZTNA), amelyet a HPE Aruba modern, felhő-alapú és skálázható megközelítéssel kínál. A megoldás nem egyszerű technológiai váltás, hanem szemléletbeli fordulat: senki sem számít megbízhatónak addig, amíg nem bizonyítja az ellenkezőjét és csak azokat az erőforrásokhoz fér hozzá, amelyekhez explicit jogokat kapott.

Miért nem elég többé a VPN?

A VPN a távoli munkavégzés kulcseszköze volt, különösen a Covid-időszakban, amikor hirtelen mindenki otthonról kezdett dolgozni. A használata azonban komoly biztonsági kockázatokat hordoz. Amint a felhasználó belép, a teljes vállalati hálózat elérhetővé válik számára – és adott esetben egy támadó számára is. A hozzáférés szabályzása/korlátozása külön szabályzatot és adott esetben további biztonsági megoldások használatát igényli. Ez a „mindent vagy semmit” logika könnyű célponttá teszi a VPN-t: a pandémia alatt tizenötszörösére nőtt az ismert sérülékenységeket kihasználó VPN-betörések száma.

Az üzemeltetés is problematikus. Nagyvállalati környezetben minden földrészen külön VPN koncentrátorokat kell telepíteni, a felhasználókra van bízva, hova csatlakoznak, így gyakran kerülőutakon, lassú kapcsolatokon át érik el az erőforrásokat. Ez nemcsak a biztonságot gyengíti, hanem a teljesítményt és a dolgozói élményt is rontja.

A magyar gyakorlat sem mentes a problémáktól: egy középvállalatot klasszikus ransomware támadás ért, amely során a támadók a VPN naplókból pontosan tudták, hogy a rendszergazdák hétvégén nem figyelik a hálózatot. Lassú, kitartó munkával megszerezték a hozzáféréseket, feltérképezték a fájlszervereket és mentőrendszereket, majd a hosszú hétvégén titkosították az összes adatot és törölték a szalagos mentéseket. A kért váltságdíj elérte az egymilliárd forintot – pontosan egybeesve az IBM által publikált, ötmillió dolláros átlagos éves adatszivárgási költséggel.

A Zero Trust alapelve: „senki sem megbízható”

A ZTNA szakít a VPN alaplogikájával. Ahelyett, hogy minden belépett felhasználónak nyitott hálózati hozzáférést adna, kizárólag a szükséges alkalmazásokat és erőforrásokat teszi elérhetővé egy web portálon keresztül. A hálózati kapcsolatok mindig a hálózatban lévő un. connector-októl kifelé épülnek fel a cloud szolgáltatás irányába, így a tűzfal befelé irányban zárva marad a külső forgalom előtt.

Ez a „kifordított világ” alapjaiban más gondolkodást igényel: a munkatársak, alvállalkozók vagy karbantartók csak egy biztonságos webes portálon, többfaktoros azonosítás után férhetnek hozzá a kijelölt erőforrásokhoz, semmi többhöz. Minden hozzáférés szabályalapú, és pontosan nyomon követhető.

HPE Aruba ZTNA: Több, mint egyszerű hozzáférés

A HPE Aruba ZTNA megoldása nemcsak kiváltja a VPN-t, hanem sokkal szélesebb funkcionalitást ad a vállalatok kezébe.

• Egységes kliensprogram: Windows, Linux, macOS és mobil eszközökön is elérhető. A kliens automatikusan méri, melyik nagy felhőszolgáltató (pl. AWS, Azure, Google, Oracle) útvonala a legjobb, és mindig azt választja.
• Webes hozzáférés kliens nélkül: az alkalmi partnerek böngészőből, biztonságos portálon érhetik el a számukra engedélyezett rendszereket.
• Secure Web Gateway integráció: a kliens minden internetes forgalmat a vállalat szabályrendszerén keresztül enged, blokkolva a kockázatos oldalak elérését.
• Cloud Access Security Broker (CASB): a rendszer képes felismerni és tiltani, ha egy munkatárs például Dropboxba próbálna vállalati fájlt feltölteni. Több mint 10 000 cloud szolgáltatást ismer, és naponta frissül.
• Malware protection: a cloud sandbox képes még a letöltés pillanatában futtatni és ellenőrizni a gyanús fájlokat.
• Digital Experience Monitoring: valós időben méri, mennyire gyorsan érik el a felhasználók az erőforrásokat, így a vállalat pontos képet kap a hibrid munkavégzés hatékonyságáról.

SD-WAN integráció és költségcsökkentés

A ZTNA akkor válik igazán erőssé, ha SD-WAN megoldással kombinálják. Az integráció révén a forgalom minden ponton azonos biztonsági szabályok szerint megy át, függetlenül attól, honnan indul az irodából vagy otthonról. SD-WAN hálózatból a kliens futtatására nem képes – pl. IoT – eszközök WAN vagy Internet forgalma is központi szabályzattal kotrollálható.

Az SD-WAN automatizálásának előnyei kézzelfoghatóak: egy nemzetközii ruházati lánc például egy hét alatt 40 üzletet állított át Aruba ZTNA és SD-WAN rendszerre, mindössze öt informatikus segítségével. Mindez nemcsak gyors telepítést jelent, hanem 50–90%-os vonali díjmegtakarítást is, hiszen a klasszikus bérelt vonalak helyett néhány párhuzamos internetkapcsolaton is garantált a jó minőség, még 10%-os csomagvesztés mellett is a WAN conditioning képességnek köszönhetően.

ClearPass: hozzáférés több gyártói környezetben

A HPE Aruba portfóliójának fontos eleme a ClearPass Network Access Control, amely a magyar piacon az egyetlen „multivendor”-támogatott NAC megoldás. Míg más gyártóknál a támogatás hiánya gyakran problémát jelent, a ClearPass több mint száznyolc gyártó eszközeivel kompatibilis – a fellépő 3rd party eszközökkel történő együttműködés TAC támogatása mellett – , így vegyes környezetben is biztosítható a Zero Trust alapú hozzáférés.

Amit kiemelnék

A vállalatok világszerte felismerték, hogy a VPN mára nemcsak elavult, hanem kockázatos is. A hibák és sérülékenységek támadási felületet jelentenek, az üzemeltetés bonyolult, a felhasználói élmény gyenge.

A HPE Aruba Zero Trust Network Access megoldása ezzel szemben részletes hozzáférés-szabályozást, teljes körű átláthatóságot és egyszerű menedzsmentet kínál. Egyesíti a ZTNA-t, a Secure Web Gateway-t és a CASB-t, kiegészíti az SD-WAN előnyeivel, és a ClearPass révén többvendoros környezetben a klasszikus radius alkalmazásával integráltan is működik.

A jövő vállalati biztonsági modellje nem a VPN továbbfoltozása, hanem a Zero Trust alapú hozzáférés, amely egyszerre biztosít magas szintű védelmet, költségcsökkentést és jobb felhasználói élményt.

Zero Trust többé nem alternatíva – hanem szükségszerűség.