На данный момент мы используем нативный SSL VPN клиент Global Protect с Palo Alto Firewall, чтобы обеспечить удаленный доступ для нашей IT-команды численностью более 150 сотрудников. Мы рассматриваем возможность перехода на решения ZTNA.
По моему пониманию, ZTNA обеспечивает повышенную безопасность, оценивая состояние конечной точки, прежде чем предоставлять доступ к определенным ресурсам, а не полагаясь исключительно на идентичность для контроля доступа.
Мне интересно услышать ваши рекомендации по хорошему решению ZTNA, которое подошло бы под наши нужды.
Дополнительно было бы полезно узнать о других преимуществах, которые может предложить ZTNA, особенно в сравнении с нашей текущей настройкой SSL VPN.
Заранее благодарю за ваши советы и предложения!
ZTNA в основном о том, чтобы не предоставлять полный доступ к вашей внутренней сети. Вы хотите, чтобы некоторые люди имели доступ только к одному файловому серверу? Пожалуйста. Другие — к файловому серверу и RDP? Тоже самое.
Некоторые VPN могут предоставлять то же самое, но обычно это все равно полный доступ к вашей внутренней сети, что, вероятно, сложнее.
Я сейчас оцениваю переход с Ivanti/Pulse VPN (хотя в основном потому, что наш партнер немного ненадежен) на клиент ZTNA. Я тестирую версию Microsoft, которая, когда работает, отличная, но тоже у нее есть проблемы с соединением.
Какие службы у вас за VPN? Файловые серверы или только несколько веб-приложений? Чем больше это веб-ресурсы, тем лучше будет работать ZTNA. Также хорошо известны ZScaler и Cloudflare.
Используйте Tailscale и избавьте себя от головной боли, связанной с крупными брендами и безумными моделями ценообразования Security, Productivity, and ZTNA with Tailscale Enterprise
Я тестировал Twingate пару месяцев для себя и еще одного пользователя, у которого часто происходили разрывы VPN. Пока все хорошо.
Поскольку у вас уже есть решение Palo Alto, стоит рассмотреть Prisma Access, использующее тот же клиент Global Protect.
Когда я в прошлом году рассматривал решения ZTNA, варианты были:
- Цены по запросу у отделов продаж
- Что-то у Cloudflare
- Twingate
Хотя Cloudflare было бы бесплатно для нас по деньгам, я выбрал Twingate, потому что документация была значительно лучше. Также я доверяю, что они его поддерживать будут, поскольку это их единственный продукт.
Я доволен этим решением. достаточно просто и понятно. Интеграция с Pulumi для ресурсов (хотя и не для IdP и т.д.), чтобы настраивать в нашей IaC. Поддержка после обновления плана, которая включала это — не было необходимости, потому что все просто работало как должно, но потом возникла сетевой баг у одного пользователя, который оказался из-за Docker.
Это отличный вопрос — компания, в которой я работал, протестировала и внедрила решение ZTNA, которое определенно не VPN и гораздо быстрее для удаленных работников с использованием SASE, SD-WAN и UCaaS, с 1900 точками присутствия в облаке. Одна из основных причин — медленное подключение к репозиториям SW-Dev и Zoom/Meet/Teams, особенно у тех, кто в Азиатско-Тихоокеанском регионе или в США, где пропускная способность была недостаточной, поскольку у большинства пользователей было минимум 50 Мбит/с, а эти видеоконференцсистемы требуют максимум 5 Мбит/с — причина была в потере пакетов, что значительно ухудшало качество соединения.
IT-команда, протестировавшая это по сравнению с тремя другими решениями и без VPN, выяснила, что скорость увеличилась до 30 раз…
Это не просто переделка VPN под ZTNA, как думают многие.
Не чтобы рекомендовать что-то конкретное, а чтобы сказать, что обычный VPN тоже может иметь проверки состояния. Мы сейчас используем Ivanti (Pulse) VPN с hostchecker, который запускается перед входом и проверяет наличие соединения, антивируса, обновлений и т.п. Думаю, разница между классическим VPN и ZTNA в том, что ZTNA разграничивает доступ. С VPN вы получаете полный доступ к внутренней сети (хотя для доступа к некоторым ресурсам нужны разрешения), а с ZTNA — только к выбранным ресурсам. Мы тоже рассматриваем ZTNA. По моим предварительным оценкам, это потребует много настройки, что пользователь или группа могут получить доступ к чему. Сейчас мы не можем точно знать, что именно пользователь обращает — веб-приложения, RDP, серверы, сетевые диски. Им достаточно подключиться через VPN, и это больше не наша головная боль. Пока очень рано говорить о выбранных поставщиках, возможно, в следующем году будут демонстрации. Но у моей небольшой команды, отвечающей за VPN, много работы и сопротивления из-за разных команд, особенно потому, что наше приложение очень разнородное — есть файлы, старые приложения, работают и Windows XP. В некоторых случаях Ivanti хорошо работает, но есть проблемы с продлением лицензий, и наши лидеры по безопасности не любят всеобщий доступ, поэтому идея перейти на решение ZTNA становится популярнее.
Да — есть решения на базе архитектуры ZTNA, которые быстрее VPN.
VPN действительно создают много накладных расходов. ZTNA + SD-WAN + UCaaS и облачные точки присутствия обеспечивают интеграционную безопасность и улучшают соединение за счет уменьшения потерь пакетов — это как улучшение скорости и безопасности.
Честно говоря, я никогда не вижу firewall VPN (Sonicwall, Sophos, Meraki или Fortinet), которое не предоставляло бы правила доступа, управление пользователями или интеграцию с AD прямо в интерфейсе.
Понимаю, что это больше шагов, чем сразу перейти к