Вывести новое решение на Российский рынок, а тем более объяснить, зачем оно кому-либо нужно, задача не из простых, и выбор Safe-T в качестве вендора ZTNA для нас был не случайным. Суть нашей работы раскрывает наша цель - дистрибуция новых технологий, которая заключается не в том чтобы "подгонять" уже знакомые всем решения под актуальные на рынке тренды по определению, а в том чтобы предопределять эти тренды перспективными решениями и делать их доступными каждому.

Изучив актуальное состояние мирового рынка ZTNA и ключевых игроков, в контексте особенностей Российского рынка, мы выявили следующие часто встречающиеся недостатки различных решений:

• Поставщики ZTNA предлагают новый подход, однако забывают о необходимости поддерживать уже развернутую инфраструктуру в работоспособном состоянии, как следствие – legacy, самописные и локально развернутые приложения не способны взаимодействовать с предлагаемым ZTNA решением, вызывая необходимость трудозатратной и дорогостоящей модернизации инфраструктуры;

• Часто внедрение ZTNA предполагает отказ от уже применяемого способа организации удаленного доступа через VPN – тем самым обесценивая уже инвестированные средства и трудозатраты на его развертывание;

• Несмотря на то, что тенденция отказа от локальных мощностей в пользу миграции на облачные сервисы очевидная и зрелая, это не значит автоматически, что подход универсален- будь то требования регуляторов, политика компании, или неприятие факта аутсорсинга критических для функциональности бизнеса IT процессов;

• Многие производители ZTNA решений предполагают необходимость установки агентского ПО, что приводит к дополнительным расходам времени для развертывания и поддержки. Возможное отсутствие версии агента для конкретной конечной станции оставит ее вне функциональности применяемой платформы;

• Место начальной аутентификации - установления личности пользователя, совмещено с точкой вынесения решения об авторизации - непосредственном предоставлении прав доступа до сервисов и приложений, тем самым сосредотачивая две критичные функции в единой точке отказа.

Решение Safe-T – ZoneZero смогло адресовать все вышеизложенные опасения, доказав в результате экстенсивного тестирования свою способность интеграции в текущую инфраструктуру компании без необходимости существенных модификаций, обширные возможности по поддержке legacy приложений, опцией полностью локального развертывания, исключая передачу обрабатываемых данных наружу третьим лицам, будь то вендор решения, или его партнеры, а так же обеспечивая максимальный контроль над средой установки. Отсутствие необходимости установки агента на конечные точки позволило значительно расширить список поддерживаемых соединений. Физически разделенные слои аутентификации и авторизации позволяют изолировать критичные функции друг от друга и уменьшить вероятность компрометации. Решение способно успешно взаимодействовать с уже используемыми VPN, добавляя дополнительный слой защиты и приводя систему в соответствие с принципами нулевого доверия, такими как разделение слоев аутентификации и авторизации, MFA, динамическое сегментирование инфраструктуры до элементарных пар взаимодействия “приложение-пользователь”, таким образом не оставляя наследованных правил доверия сетевого уровня при подключении через VPN и соблюдая принцип минимальных привилегий.

Основная отличительная особенность решения – использование технологии реверсивного доступа, тем самым решение о предоставлении прав принимается внутри периметра контроллером, и передается на шлюз доступа, находящийся в DMZ либо публичном пространстве – тем самым, позволяя обойтись без правил, позволяющих прием входящих соединений на брандмауэре компании для функциональности сервиса. Так же имеется возможность интегрировать решение с уже имеющимся либо планируемым к внедрению MFA (напр. Thales), поддерживающим Rest API, либо реализовать полностью бесплатный вариант MFA на основе Telegram.