Обзор нового решения Alphabyte ZTNA: сетевой доступ с «нулевым доверием»

Дата: 20.12.2022. Автор: Alphabyte. Категории: Главное по информационной безопасности, Обзоры средств защиты информации
Обзор нового решения Alphabyte ZTNA: сетевой доступ с «нулевым доверием»

Исчезновение физического периметра сети становится реальностью для все большего числа компаний. Удаленная работа, перенос корпоративных сервисов в облако, цифровая трансформация бизнес-процессов заставляют пересматривать принципы и политики кибербезопасности. 

Alphabyte ZTNA – облачное решение для организации безопасного доступа к корпоративной сети на основе «нулевого доверия»  – расширяет возможности VPN и уменьшает вероятность неавторизованного доступа. Вне зависимости от того, работает сотрудник в офисе или удаленно, расположен ресурс, к которому происходит обращение, на площадке организации или в облаке, обмен данными между ними происходит по защищенному каналу и не создает рисков информационной безопасности. 

Первая версия решения Alphabyte ZTNA увидела свет в ноябре 2022.

Описание функционала Alphabyte ZTNA

Функциональные возможности Alphabyte ZTNA включают в себя организацию и управление безопасным доступом к корпоративным сетевым ресурсам для пользователей, устройств и приложений вне зависимости от их физического местоположения.

  • Безопасные сетевые соединения между пользователями, приложениями и ресурсами корпоративной сети 

Alphabyte ZTNA создает зашифрованный туннель между удаленным пользователем и сетью, где расположены защищенные ресурсы. В отличие от VPN, удаленный доступ разрешен только к ресурсам, указанным в политике безопасности для данного пользователя.

  • Организация и управление доступом на основе ролей

Alphabyte ZTNA управляет доступом к защищаемым ресурсам, используя политики безопасности на основе ролей. В веб-интерфейсе панели управления можно добавлять, изменять и удалять роли в соответствии потребностями организации. Наглядное представление ролей и разрешенных ресурсов снижает вероятность появления избыточных прав доступа, позволяет использовать сколь угодно гранулярные правила безопасности и контролировать их выполнение. 

Есть два сценария настройки Alphabyte ZTNA. В первом случае c помощью решения можно соединить различные площадки или офисы между собой, а также предоставить доступ для удаленных пользователей, как это делает обычный VPN. Второй сценарий является логическим продолжением первого, позволяет настроить ограниченный доступ к отдельным ресурсам в зависимости от роли пользователя и внедрить в организации правило «нулевого доверия» для всех сетевых соединений. 

Архитектура решения

Обзор нового решения Alphabyte ZTNA: сетевой доступ с «нулевым доверием»

Alphabyte ZTNA включает в себя сервер маршрутизации, размещенный в облаке, который обрабатывает запросы на обмен данными и разрешает или запрещает доступ в соответствии с установленными политиками безопасности на базе ролей. 

Для связи с облачной частью решения в каждую локальную сеть организации устанавливается коннектор Alphabyte. Коннектор открывает зашифрованный безопасный туннель по протоколу WireGuard к серверу маршрутизации. Такой же туннель открывается со стороны пользователя. Коммуникационный протокол WireGuard проще в настройке и обгоняет другие технологии по скорости работы. 

Управление и настройка сервера маршрутизации происходит из панели администратора, которая также размещена в облаке Alphabyte и доступна по веб-интерфейсу. 

Alphabyte ZTNA работает на уровне транспортных протоколов L3 (TCP, UDP, ICMP, DCCP, SCTP). Это позволяет отсечь «технический» трафик, что положительно сказывается на производительности, так как обращение к маршрутизатору Alphabyte происходит только в момент запроса и передачи данных.

Использование раздельного туннелирования позволяет отправлять обращения к публичным серверам напрямую в интернет, только конфиденциальная и требующая защиты информация пропускается через зашифрованный канал Alphabyte. Раздельная маршрутизация DNS-запросов применяется для того, чтобы направлять обращения к корпоративным адресам в защищенный туннель Alphabyte, а все остальные запросы через сетевой адаптер рабочей станции на локальный DNS-сервер.

Вычислительные мощности облака Alphabyte, отвечающие за маршрутизацию трафика, размещены на площадках крупнейших провайдеров в разных регионах, что обеспечивает минимальное время отклика для клиентов по всей России. 

Установка и внедрение

Внедрение Alphabyte ZTNA начинается с регистрации в облачном сервисе. Для настройки связности с корпоративной сетью необходимо установить коннектор Alphabyte на виртуальную машину Linux или на Linux сервер в каждой локальной сети организации. 

Под сетью в данном контексте понимается группа подсетей, подключенных к одному роутеру. Если сетевые настройки таковы, что в локальной сети существуют подсети, не имеющие связи с остальными подсетями, то установка коннектора требуется в каждый изолированный сегмент, в котором находятся ресурсы, требующие защищенного и ограниченного доступа.

Никаких дополнительных работ на текущем оборудовании и изменения конфигурации сети проводить не нужно, в том числе нет необходимости создавать публичный IP адрес, открывать порты для входящего трафика, менять другие компоненты. Если ранее были открыты порты для работы VPN, после переключения на Alphabyte их можно закрыть и сделать сеть невидимой для сканеров.  

После установки коннектор Alphabyte настраивает и открывает туннель к серверу маршрутизации автоматически. В случае изменений, например, добавления подсетей, коннектор обновляет себя без вмешательства администратора. 

Коннектор может быть установлен на любом сервере или виртуальной машине имеющей Linux ОС, например Ubuntu 20.04 или 22.04. Пропускная способность сетевого адаптера должна быть не меньше заявленной от провайдера,  так как через него будет проходить трафик к разрешенным ресурсам от каждого удаленного пользователя.   

Описание ресурсов сети

После установки коннекторов в панель администратора Alphabyte требуется внести описание сетей, добавить подсети и ресурсы, доступ к которым возможен только для определенного круга пользователей. Каждый ресурс связан с реальным или виртуальным устройством: сервером, виртуальной машиной, ноутбуком, IoT-устройством и т.д.

Если сервер или приложение не имеют ограничений по доступу, нет необходимости вносить их в список панели управления. Добавлением элемента считается присвоение ему имени в системе и указание фактического IP адреса. Также можно указать имя домена для доступа по https. 

Обзор нового решения Alphabyte ZTNA: сетевой доступ с «нулевым доверием»

Обзор нового решения Alphabyte ZTNA: сетевой доступ с «нулевым доверием»

Обзор нового решения Alphabyte ZTNA: сетевой доступ с «нулевым доверием»

Маршрутизация запросов и подключение пользователей в Alphabyte ZTNA происходит с помощью виртуальных IP адресов, далее через защищенные туннели запрос достигает ресурса внутри корпоративной сети.

Виртуальные IP адреса организации компактно распределены внутри редко используемого /12 диапазона (1 048 574 доступных IP-адресов) и присваиваются при занесении элемента в панель управления. Каждая подсеть, внесенная в панель Alphabyte, получает уникальный диапазон IP адресов такого же размера, как и оригинальная подсеть, но сохраняет номер хоста. 

Чтобы получить доступ к нескольким сетям в рамках одного сеанса и избежать конфликтов с локальными сетями, удаленный пользователь должен указать виртуальные IP адреса вместо физических. Все запросы к IP адресам в диапазоне 10.224.0.0/12 перенаправляются в сеть Alphabyte.

Удаленный пользователь имеет доступ к порталу, на котором перечислены виртуальные IP адреса для всех разрешенных ресурсов.

Описание ролей в организации

После внесения в панель администратора Alphabyte ресурсов сети можно переходить к ролям. Роль определяет, какие права доступа есть у пользователя, и представлена списком ресурсов с указанием типа разрешенного трафика (протокола передачи и порта соединения).  

У каждой роли может быть доступ к сетямподсетям и отдельным ресурсам для указанных типов трафика.

Обзор нового решения Alphabyte ZTNA: сетевой доступ с «нулевым доверием»

Назначение ролей пользователям

После заведения ролей можно присваивать роли пользователям. Пользователь идентифицируется с помощью адреса электронной почты. Один пользователь может иметь несколько ролей, которые задает для него администратор.

Для получения доступа в сеть пользователь регистрируется в сервисе Alphabyte ZTNA по ссылке, которая приходит в регистрационном письме. Вторая ссылка в письме позволяет скачать клиентское приложение. После запуска приложения и авторизации в нем, рабочая станция пользователя включена в корпоративную сеть с предоставлением доступа по правилу «нулевого доверия». 

Каждый пользователь может установить клиент под своим именем на несколько устройств, личных и корпоративных. В панели управления видно, какие устройства он использует.

Обзор нового решения Alphabyte ZTNA: сетевой доступ с «нулевым доверием»

Обзор нового решения Alphabyte ZTNA: сетевой доступ с «нулевым доверием»

Сценарии использования Alphabyte ZTNA: эволюция сетевого доступа

Процесс установки Alphabyte ZTNA легко разделить на этапы, которые являются самостоятельными сценариями использования. Пошаговое внедрение дает возможность реализовать Zero Trust подход к организации сетевого доступа путем безболезненной миграции с одного решения на другое. Кроме того, разворачивать решение не обязательно сразу на всех сотрудников компании. На первом этапе к сервису Alphabyte можно подключить конкретную команду или, например, всех новых сотрудников или подрядчиков, затем переводить всех остальных пользователей на новое решение. 

1. Объединение площадок и офисов в единую сеть, подключение удаленных пользователей. 

После регистрации на платформе коннекторы устанавливаются на всех площадках организации, для которых нужен удаленный доступ. Каждой локальной сети присваивается имя; “Администратор” по умолчанию имеет доступ ко всем защищенным ресурсам без ограничений по портам и протоколам и может назначить роль “Администратор” каждому новому пользователю.

После установки клиентского приложения пользователи имеют сетевой доступ ко всем ресурсам на разных площадках, как если бы они находились в одной сети.

С точки зрения видимости инфраструктуры этот этап соответствует ситуации классической локальной сети или VPN, когда авторизованная в сети рабочая станция может «достучаться» до любого устройства. При этом процесс установки и настройки занимает всего несколько минут.

Пример 1

Пользователь, у которого роль включает доступ ко всем локальным сетям компании, видит на уровне сети все подключенные к ней устройства.  Результат работы сканера LAN на машине пользователя с установленным клиентским приложением Alphabyte ZTNA отображает список всех устройств, доступных в локальной сети.

Обзор нового решения Alphabyte ZTNA: сетевой доступ с «нулевым доверием»

Обзор нового решения Alphabyte ZTNA: сетевой доступ с «нулевым доверием»

2. Сетевой доступ с «нулевым доверием» ZTNA

Для создания правил гранулярного доступа необходимо внести в систему требующие особого контроля ресурсы и определить разрешенные параметры доступа в соответствии с ролями. На выходе получаем строго ограниченный набор прав доступа для каждой учетной записи, необходимый для выполнения задач сотрудника. Для любого пользователя локальная сеть выглядит как список разрешенных ресурсов. В случае компрометации отдельного пользователя или рабочей станции большая часть сети оказывается скрыта от глаз злоумышленников.

Критериями для доступа в текущей версии Alphabyte ZTNA являются IP адрес ресурса, протокол передачи данных и порт соединения. В следующих версиях продукта будут добавлены дополнительные параметры, например, ограничение по дням недели, времени суток, наличию ключевых слов в скачиваемых файлах.

Пример 2

Администратор сети имеет неограниченный доступ ко всем ресурсам сети.

Обзор нового решения Alphabyte ZTNA: сетевой доступ с «нулевым доверием»

Обзор нового решения Alphabyte ZTNA: сетевой доступ с «нулевым доверием»

Пользователь с ролью Devops имеет доступ ко всем IP адресам специальной подсети в дата-центре IPMI (Intelligent Platform Management Interface), которая контролирует, как работают сервера. Доступ разрешен только по ICMP и HTTPS. Также у пользователя с ролью Devops есть доступ к отдельным ресурсам: серверам, приложениям и коммутаторам.

Обзор нового решения Alphabyte ZTNA: сетевой доступ с «нулевым доверием»

Обзор нового решения Alphabyte ZTNA: сетевой доступ с «нулевым доверием»

Пользователь с ролью Разработчик не имеет доступа ни к сетям, ни к подсетям, а только к отдельным ресурсам, для каждого из которых установлен разрешенный тип трафика. С точки зрения сканера локальной сети корпоративная инфраструктура для девелопера ограничена буквально несколькими элементами. Ограничения по типу трафика позволяют ему получить доступ по SSH к Development серверу, в то же самое время ping к Dev серверу не будет проходить, потому что в параметрах трафика нет ICMP. 

Обзор нового решения Alphabyte ZTNA: сетевой доступ с «нулевым доверием»

Обзор нового решения Alphabyte ZTNA: сетевой доступ с «нулевым доверием»

Варианты поставки и схема лицензирования

Для доступа к решению необходимо оставить заявку на сайте и получить доступ к облачному сервису Alphabyte ZTNA на 90 дней.  С февраля 2023 бесплатный пробный период без ограничения функциональности для вновь зарегистрировавшихся составит 30 дней. После его окончания система предложит выбрать подходящий тарифный план или остаться на бесплатной версии с ограничением по числу пользователей и локаций. 

Параметры лицензирования

  1. Число пользователей;
  2. Число устройств на каждого пользователя;
  3. Число офисных локаций (включая офисы, датацентры, филиалы и т.д.).
Обзор нового решения Alphabyte ZTNA: сетевой доступ с «нулевым доверием»

Roadmap

Alphabyte ZTNA – это облачное решение, поэтому обновление функциональности и добавление новых возможностей происходит без усилий со стороны компании и не требует переустановки.

На 2023 год в плане расширение списка критериев доступа, добавление графических отчетов о работе приложения и сетевых соединениях, выпуск on-premise версии, а также получение государственных сертификатов: ФСБ и ФСТЭК России.

Об авторе Alphabyte

Alphabyte - Zero Trust доступ, который так просто развернуть и администрировать
Читать все записи автора Alphabyte

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *