Для каких сущностей технически применим принцип ZTNA?
Любой процесс с двусторонним обменом информацией.
Принцип сетевого доступа ZT применим к любому взаимодействию двух конечных сущностей, при котором необходима передача и прием информации через сеть. Примерами могут являться пары пользователь-приложение, приложение-приложение, IoT - база данных, и так далее.
Как осуществляется аутентификация пользователей и приложений в ZTNA?
Аутентификация и авторизация сущностей должна осуществляться с помощью MFA, также необходимо разделение физической точки предоставления доступа от контроллера или движка, где принимается решение о данном предоставлении, для исключения единой точки отказа. Каждое соединение должно быть авторизированно, не должны присутствовать наследуемые разрешения, основанные на принципах месторасположения. В некоторых реализациях местоположение влияет на предоставляемый доступ, однако это является лишь одним из индикаторов в комплексной оценке.
Каким образом формируются зоны доверия и микросегментация?
Зоны доверия и сегментация формируются динамически, на основе поступающих соединений, после авторизации, аутентификации и проверки прав доступа, с помощью контроллера ZTNA. По умолчанию зоны доверия отсутствуют, и трафик не имеет возможности передвижения по сети. Основными парами взаимодействия являются «Пользователь – приложение», которые создаются динамически на основе входных аутентификационных данных и определенных правил доступа. Одним из важных компонентов в основе построения сетей по принципу ZTNA является соблюдение принципа минимальных привилегий. Данное выражение пришло из военной терминологии.
Принцип минимальных привилегий – идея, применяемая при осуществлении рабочих процессов в критической среде. Главный резон состоит в том, что каждому пользователю присваиваются лишь те права доступа, которые необходимы для выполнения своих должностных обязанностей, исключительно с помощью способов, заранее установленных предприятием. В качестве иллюстративного примера, можно рассмотреть следующую ситуацию. Есть много способов загрузить файл на сервер, и это одна из обязанностей сотрудника, но разрешено использовать только sftp с авторизацией по сертификатам, а другие возможные способы заблокированы. Данный принцип максимально коррелируется с идеологией Zero Trust и обеспечивается в любой ее имплементации, динамически предоставляя только необходимый доступ.
Далее обсудим, какова область применения подхода ZTNA, имеются ли ограничения применимости данного подхода, и если имеются, то при каких обстоятельствах.
Когда применение концепции ZTNA невозможно?
Применение как таковой концепции возможно всегда, так как она не привязана к конкретным программно-аппаратным решениям. Если говорить о каком-либо теоретическом ограничении спектра применения именно ZTNA, а не ZT, то, вполне очевидно, можно заключить что ZTNA – Zero Trust Network Access относится к непосредственно сетевым взаимодействиям между сущностями, а следовательно, применима для конечных точек, будь то пользователь, сервер, приложение или устройство, которым необходим двусторонний обмен информацией между собой для выполнения своей основной функциональности или выполнение должностных обязанностей. Суммируя, если нет взаимодействующих сущностей – нет и ZTNA. Локальные изолированные хосты, не требующие сетевого соединения и предназначенные исключительно для выполнения локальных операций, например, clean station в лаборатории компьютерной форензики, не могут получить выгоды от какого-либо рассмотрения в рамках ZTNA.
Так же, хорошим примером могут являться публичные части ресурсов, любой тип взаимодействия, где невозможно установить пару взаимодействия, в том числе, посмотреть прямой эфир передачи, у которой главная задача - максимально возможное количество аудитории. Однако, это будет касаться исключительно части взаимодействия потребителя вещания с front интерфейсом стриминг системы, а не всей реализации. Ограничения, естественно, будут, если мы рассматриваем не саму концепцию, а конкретный продукт, реализованный индивидуальным вендором/разработчиком, в зависимости от их интерпретации концепции и списка непосредственных задач, справляться с которыми призвана конкретная разработка.
Частными лимитациями подобного рода являются - ограниченный список поддерживаемых приложений, методы развертывания решения, необходимость серьезной модификации текущей инфраструктуры в таком объёме, что это не подлежит бизнес-обоснованию на текущее время. В следующей части данной статьи предоставим некоторые моменты, которые можно принять во внимание, рассматривая практическое внедрение ZTNA подхода с помощью программного комплекса от компании Safe-T.