Fort Lox

ZTNA - Een schaalbaar, overkoepelend antwoord voor de moderne bedrijfsomgeving

Door de steeds groter wordende aanwezigheid van bedrijfsdata- en processen in de cloud, de uitbreiding van de Remote Workforce, en de toenemende BYOD-vereisten, dringt zich een beveiligingsoplossing op die antwoord biedt op de hedendaagse beveiligingsvereisten van een organisatie. De klassieke manier van resourcebeveiliging, waarbij de beveiligingsperimeter zich op de grens van het netwerk bevindt, en policysets voornamelijk terugvallen op het netwerksegment waarin het verkeer zijn oorsprong vindt voor het bepalen van wat toegelaten of geweigerd wordt, is in veel moderne ecosystemen achterhaald.

Met het principe van Zero Trust Network Access omarmen we een andere beveiligingsdenkwijze, en voorzien we een oplossing voor deze moderne beveiligingsvraagstukken.

Wat verstaan we nu eigenlijk onder ZTNA? De korte versie: een gebruiker krijgt pas toegang tot resources, data, applicaties … nadat hij of zij geautoriseerd wordt door een ZTNA-provider. Vóór dit gebeurt, wordt de gebruiker/het toestel sowieso aanzien als een bad actor. Deze autorisatie kan zich beperkten tot autorisatie door authenticatie, maar ZTNA-oplossingen bieden vaak nog volgende extra mogelijkheden:

  • Granulaire toegang op basis van security posture van het toestel (aanwezigheid AV, OS-versie, softwareversies, beveiligingsconfiguratie,…)
  • Real-time dynamische toegang op basis van bovenstaande factoren
  • Toegangsmonitoring en visibiliteit
  • MFA-provider na authenticatie

ZTNA in het BYOD en Remote Workforce verhaal

De traditionele perimeter in netwerken, afgebakend door de internetlijnen en de edgefirewalls, zien we geleidelijk vervagen en in sommige gevallen zelfs verdwijnen. Bedrijfskritische toepassingen en data bevindt zich niet per se op een on premise server. Hier dringt de vraag naar bijkomende bescherming zich dus al op.

De eerste grote mogelijkheid hier is het voorzien van een extra perimeter, in de vorm van en SASE-oplossing (Secure Access Service Edge), die zich als veilige gateway tussen clients en cloudapplicaties zal gedragen. Een andere, bij voorkeur bijkomende, maatregel voor het cloudbeveiligingsverhaal is het verplaatsen van de traditionele beschermingsperimeter naar de client (lees: gebruiker) die toegang wenst te krijgen. Dit laatste verhaal sluit mooi aan op de mogelijkheden die een ZTNA-oplossing biedt.

ZTNA tegenover de traditionele VPN en edge/interne segmentatiefirewall

De manier waarop toegang bepaald wordt zal doorgetrokken worden voor zowel on-premise netwerktoestellen, als voor remote gebruikers. Het beleid van toegang komende van buiten het beheerde netwerk is dan gelijk aan het beleid voor toegang binnen het beheerde netwerk.

Een bijkomend voordeel tegenover het gebruik van een klassieke VPN-oplossing, is de dynamische toegang die ZTNA biedt. Waar een VPN zich meestal beperkt tot authenticatie, en vervolgens de toegang toestaat voor de ingestelde duur van de VPN-sessie, gaat ZTNA dynamisch toegang afnemen of toekennen. Gaat de security posture van een toestel plots achteruit door een virusdetectie? Dan wordt de toegang aangepast.

Ook on-premise biedt deze manier van werken tal van veiligheidsvoordelen. Een ZTNA-oplossing in combinatie met een firewall die instaat voor interne segmentatie verzekert op die manier dat de toegang tot andere netwerksegmenten beperkt kan worden tot geauthentiseerde toestellen met een goeie security posture.

(Door Kyentl Mortier)