Partner blog

Waarom de meeste Zero Trust Network Access Solutions te veel vertrouwen hebben

Veel organisaties gebruiken ZTNA-oplossingen (Zero Trust Network Access) om de uitdagingen van het bieden van veilige toegang tot gegevens, apps en het netwerk aan gebruikers vanaf elke locatie aan te gaan. ZTNA kan grofweg worden gedefinieerd als een set van technologieën die veilige, externe en beperkte toegang tot applicaties bieden. De uitdrukkingen "net op tijd, en net genoeg" en "minst geprivilegieerde toegang" worden vaak gebruikt om deze technologie te beschrijven. Bij het beoordelen van ZTNA-leveranciers is het echter belangrijk om ervoor te zorgen dat zij niet impliciet op gebruikers vertrouwen als zij eenmaal zijn aangesloten.

ZTNA in drie stappen uitgelegd

Palo Alto Networks werd onlangs als een representatieve leverancier vermeld in Gartner's Market Guide for Zero Trust Network Access, waarin staat: "ZTNA vergroot de traditionele VPN-technologieën voor toegang tot applicaties en verwijdert het buitensporige vertrouwen dat ooit nodig was om medewerkers en partners in staat te stellen verbinding te maken en samen te werken. " Om beter te begrijpen waarom dit zo is, kunnen we ZTNA in drie stappen verdelen.

  1. Een gebruiker krijgt beveiligde toegang tot een authenticatiesysteem, hetzij via een agent, hetzij via een agent loze benadering. Een voorbeeld hiervan is een gebruiker op een onbeheerd apparaat die toegang heeft tot een beveiligde toegangsdienst (Secure Access Service Edge, SASE) via een webbrowser waar een SSL- of TLS-tunnel is gevestigd.  
  2. De identiteit van de gebruiker wordt bevestigd vanaf een bedrijfsauthenticatieserver en toegang tot een geprivilegieerde bron - zoals een datacenter of applicatie - wordt verleend op basis van het beleid van de organisatie. Deze kunnen in kaart worden gebracht bij soorten werknemers, zoals freelancers of fulltime werknemers, of bij afdelingen, als financiën of marketing. 
  3. Er wordt veilige toegang verleend tot de bron of applicatie.

Deze laatste stap is waar de meeste ZTNA-oplossingen stoppen: ze controleren de gebruikersactiviteit niet op bedreigingen nadat ze verbinding hebben gemaakt. Deze aanpak maakt twee verkeerde aannames. De eerste is dat de referenties die worden gebruikt om te authenticeren niet zijn gecompromitteerd. De tweede is dat er alleen toegang is verleend tot de applicaties die de gebruiker "moet gebruiken" en dat men de gebruiker niet vertrouwt. Dat is natuurlijk niet waar - je vertrouwt ze nog steeds met die applicatie!

Een betere aanpak van ZTNA met Prisma Access

Als organisaties op zoek zijn naar oplossingen om hen te helpen de mogelijkheden van ZTNA toe te passen, is het belangrijk om te zoeken naar oplossingen die een betere benadering van vertrouwen bieden - oplossingen die deel kunnen uitmaken van een echte Zero Trust strategie. Dit betekent dat er gezocht moet worden naar oplossingen die niet alleen authenticeren voordat een gebruiker toegang krijgt, maar die dat ook blijven doen gedurende de hele sessie van de gebruiker die op het netwerk is aangesloten. 

Prisma Access is de Palo Alto Networks oplossing voor ZTNA. Het levert de kernprincipes van het beperken van de toegang van gebruikers tot alleen de applicaties waar ze toegang toe zouden moeten hebben, terwijl het tegelijkertijd voorkomt dat data exfiltratie of bedreigingen van gecompromitteerde endpoints plaatsvinden. Prisma Access stelt organisaties in staat om het volgende te doen:

  • Applicaties afschermen van blootstelling aan het openbare internet - Prisma Access maakt gebruik van agent-gebaseerde en agent-loze beveiligde VPN's om gebruikers te verbinden met een cloud-gebaseerde SASE. Prisma Access voert vervolgens volledige gegevens inspectie en authenticatie uit voordat de gebruiker verbinding kan maken met de afgeschermde applicatie. De applicatie wordt nooit blootgesteld aan het publieke internet en er zijn geen niet-geauthenticeerde gebruikers die toegang hebben tot de applicatie.
  • "Net op tijd en net genoeg" Authenticatie en toegangscontrole - Prisma Access identificeert, verifieert en kent granulaire, op rollen gebaseerde toegangscontrole toe aan gebruikers, ongeacht of de gebruiker zich op een bedrijfseigen of onbeheerd apparaat bevindt. Dit stelt organisaties in staat om een uniform beveiligingsbeleid te implementeren, ongeacht waar de gebruiker zich bevindt. In de geest van Zero Trust werkt Prisma Access in default-deny modus, waardoor gebruikers alleen die applicaties kunnen zien en openen waartoe ze toegang hebben gekregen.
  • Scannen op bedreigingen en kwetsbaarheden - In tegenstelling tot de meeste ZTNA-oplossingen biedt Prisma Access de volledige detectiemogelijkheden van een firewall van de volgende generatie. Als gegevens een datacenter of applicatie binnenkomen of verlaten, voert Prisma Access single-pass inspectie uit op al het web- en niet-webverkeer voor malware signaturen, inbreukgedrag en indicatoren van gegevensverlies. Prisma Access voert ook een check uit op het apparaat van de gebruiker voordat het verbinding maakt - waarbij de patch historie, de firewall en de anti-malware status van de endpoints worden gecontroleerd - om te voorkomen dat een kwetsbaar apparaat risico's met zich meebrengt voor de applicatie.

Bij de inzet van ZTNA moeten organisaties zich volledig inzetten voor het omarmen van het Zero Trust-concept van expliciet op identiteit gebaseerd vertrouwen. Veilige toegang op afstand door middel van identiteits- of rolgebaseerde authenticatie is belangrijk, maar het is slechts een deel van werkelijk effectieve ZTNA. Om trouw te blijven aan de filosofie van Zero Trust moet de gebruikersactiviteit worden gecontroleerd op bedreigingen, zelfs nadat een gebruiker verbinding heeft gemaakt met geprivilegieerde bronnen.

Download Market Guide for Zero Trust Network Access

Ben Foster - 5 november 2020

Contact met een expert

Wil je meer weten over dit onderwerp, of heb je specifieke vragen? Bel ons of laat een bericht achter. 

Infradata is een bekroonde Palo Alto Networks partner en reseller. Onze gecertificeerde engineers leveren premium support en realiseren projecten op elke schaal.

Pagina delen:

Deze website maakt gebruik van cookies. Door verder te gaan op de site ga je akkoord met ons gebruik van cookies. Lees meer.