Uruchamiając program wczesnego dostępu (EAP) dla Sophos Zero Trust Network Access (ZTNA), chcieliśmy odpowiedzieć na wiele pytań dotyczących naszego rozwiązania i tego, czego się spodziewać. Z tego artykułu możesz dowiedzieć się więcej o rozwiązaniu ZTNA i zarejestrować się w programie wczesnego dostępu już dziś na stronie: https://events.sophos.com/ztna-eap  

Często zadawane pytania dotyczące Sophos ZTNA:

O co chodzi w ZTNA?

Zapoznaj się z poprzednim artykułem, aby uzyskać świetne omówienie zagadnienia dostępu do sieci o zerowym zaufaniu. W skrócie:

„ZTNA opiera się na zasadzie zerowego zaufania i polega na weryfikacji użytkownika. Zwykle wykorzystuje uwierzytelnianie wieloskładnikowe, aby zapobiec kradzieży danych uwierzytelniających przed włamaniem, a następnie weryfikuje kondycję i zgodność urządzenia, aby upewnić się, że jest zarejestrowane, aktualne i odpowiednio chronione. Następnie ZTNA wykorzystuje te informacje do podejmowania decyzji opartych na zasadach w celu określenia dostępu i uprawnień do ważnych aplikacji sieciowych.”

Jakie są zalety ZTNA w porównaniu z dostępem zdalnym poprzez VPN?

Chociaż zdalny dostęp VPN nadal dobrze nam służy, ZTNA oferuje szereg dodatkowych korzyści, które czynią go bardziej atrakcyjnym rozwiązaniem do łączenia użytkowników z ważnymi aplikacjami i danymi:

  • Bardziej szczegółowa kontrola: ZTNA zapewnia bardziej szczegółową kontrolę nad tym, kto może uzyskać dostęp do aplikacji i danych, minimalizując ruchy boczne i poprawiając segmentację. VPN to „wszystko albo nic”: gdy już jesteś w sieci, VPN na ogół oferuje dostęp do wszystkiego.
  • Lepsze bezpieczeństwo: ZTNA usuwa niejawne zaufanie i włącza stan i kondycję urządzenia do zasad dostępu, co dodatkowo zwiększa bezpieczeństwo. VPN nie bierze pod uwagę stanu urządzenia, co może narazić dane aplikacji na zagrożenie dla urządzenia, które zostało naruszone lub jest niezgodne z zasadami.
  • Łatwiejsze rekrutowanie pracowników: ZTNA jest znacznie łatwiejsze do wprowadzenia i zapisania nowych pracowników, zwłaszcza jeśli pracują zdalnie. VPN jest trudniejszy do skonfigurowania i wdrożenia.
  • Przejrzysty dla użytkowników: ZTNA oferuje użytkownikom przejrzystość i „po prostu działa” dzięki bezproblemowemu zarządzaniu połączeniami. VPN może być trudny i wymagać asysty ze strony pomocy technicznej.

Co zawiera Sophos ZTNA?

Sophos ZTNA to zupełnie nowy produkt dostarczany w chmurze i z niej zarządzany, który w łatwy i przejrzysty sposób zabezpiecza ważne aplikacje sieciowe za pomocą szczegółowej kontroli.

Sophos ZTNA składa się z trzech elementów:

  • Sophos Central zapewnia najlepsze rozwiązanie do zarządzania i raportowania w chmurze dla wszystkich produktów Sophos, w tym Sophos ZTNA. Sophos ZTNA jest w pełni przystosowany do chmury, a Sophos Central zapewnia łatwe wdrażanie, szczegółowe zarządzanie politykami i wnikliwe raportowanie z chmury.
  • Sophos ZTNA Gateway pojawi się jako urządzenie wirtualne dla różnych platform do zabezpieczania aplikacji sieciowych lokalnie lub w chmurze publicznej, z dostępną początkowo obsługą AWS i VMware ESXi, a następnie Azure, Hyper-V, Nutanix i innymi.
  • Sophos ZTNA Client zapewnia przejrzystą i bezproblemową łączność z kontrolowanymi aplikacjami dla użytkowników końcowych w oparciu o tożsamość i stan urządzenia. Zintegruje się z zsynchronizowanymi zabezpieczeniami (Synchronized Security) i protokołem Heartbeat dla oceny kondycji urządzenia. Jest bardzo łatwy do wdrożenia z konsoli Sophos Central, z opcją wdrożenia razem z Intercept X za pomocą jednego kliknięcia lub może pracować samodzielnie z dowolnym klientem AV dla komputerów stacjonarnych (uzyskując stanu zdrowia urządzenia z Windows Security Center). Początkowo będzie obsługiwał system Windows, a następnie macOS, a później również platformy Linux i urządzenia mobilne.

Kiedy Sophos ZTNA będzie dostępny?

Pierwsza faza programu wczesnego dostępu (EAP) jest przewidziana na początek marca. Uruchomienie ma nastąpić około połowy 2021 r. Możesz teraz zarejestrować się w EAP.

Jakie typy aplikacji są idealne dla ZTNA?

Sophos ZTNA może zapewnić bezpieczną łączność dla dowolnej aplikacji sieciowej hostowanej w lokalnej sieci firmy, w chmurze publicznej lub w dowolnej innej witrynie hostingowej. Wszystko, od dostępu RDP do sieciowych udziałów plików po aplikacje takie jak Jira, repozytoria kodu źródłowego, aplikacje wsparcia technicznego, aplikacje sprzedaży biletów, itp.

ZTNA nie kontroluje dostępu do aplikacji SaaS, takich jak Salesforce.com czy Office365, które są publicznymi aplikacjami internetowymi obsługującymi wielu klientów z założenia. Bezpieczny dostęp do tych aplikacji jest zapewniany przez dostawcę SaaS i aplikację, a często jest dodatkowo ulepszany poprzez uwierzytelnianie wieloskładnikowe.

Które platformy klienta, bramy i tożsamości będą obsługiwane?

  • Platformy klienckie będą początkowo obejmować opcję bez klienta na wszystkich platformach klienckich (EAP1), natywną obsługę systemu Windows (EAP2 i GA), obsługę macOS (początek 2022 r.), a w przyszłości Linux i platformy urządzeń mobilnych (iOS i Android). Stan urządzenia będzie początkowo oceniany na podstawie stanu Synchronized Security Heartbeat (EAP2 i GA), a następnie Windows Security Center (początek 2022 r.), z dodatkowymi ocenami urządzeń, które mają zostać zintegrowane w przyszłości.
  • Platformy gateway będą wyłącznie urządzeniami wirtualnymi (bez sprzętu) i początkowo będą obejmować VMware ESXi dla EAP1, a następnie publiczną chmurę AWS dla EAP2 i GA. Zostanie to rozszerzone o inne platformy, takie jak Azure, Hyper-V, Nutanix, K8S i GCP w przyszłości.
  • Jeśli chodzi o tożsamość, Sophos ZTNA będzie początkowo obsługiwać Azure Active Directory (AD) dla EAP 1 i Okta w EAP2. Obsługiwane usługi katalogowe dla EAP 2 i GA obejmują platformę Azure i lokalną usługę AD (w tym usługa AD Sync obsługiwana obecnie przez Sophos Central). Klienci mogą od razu skorzystać z opcji usługi MFA platformy Azure dzięki obsłudze rozwiązań MFA innych firm, które zostaną wprowadzone w przyszłej wersji.

Czy ZTNA jest samodzielnym produktem, czy wymaga innego produktu Sophos?

Sophos ZTNA jest samodzielnym produktem i nie wymaga żadnych innych produktów Sophos. Jest zarządzany przez Sophos Central, który jest bezpłatny i oczywiście oferuje mnóstwo korzyści, gdy klienci mają inne produkty Sophos. Można go łatwo wdrożyć razem z Intercept X, ale Intercept X nie jest wymagany. Sophos ZTNA może również współpracować z oprogramowaniem AV lub zaporą sieciową dowolnego producenta.

Jak będzie działać wdrożenie klienta Sophos ZTNA?

Sophos ZTNA będzie łatwą do wdrożenia opcją wraz z Intercept X i szyfrowaniem urządzeń podczas ochrony urządzeń przed Sophos Central, jak pokazano poniżej…

Czy ZTNA zintegruje się z Sophos XG Firewall i Intercept X?

Sophos ZTNA jest w pełni kompatybilny z XG Firewall i Sophos Intercept X. W rzeczywistości wykorzystuje Security Heartbeat do oceny stanu urządzenia, co może być użyte w zasadach ZTNA.

Jak wspomniano powyżej, wdrożenie klienta ZTNA może łatwo odbyć się w ramach wdrożenia Intercept X: wystarczy zaznaczyć pole. Oczywiście Sophos ZTNA może również doskonale współpracować z produktami AV lub firewallami innych dostawców, ale będzie działać lepiej z produktami Sophos, takimi jak XG Firewall i Intercept X.

Jak będą działać licencje i ceny?

Sophos ZTNA będzie licencjonowana na podstawie liczby użytkowników, tak jak nasze produkty końcowe, a nie na urządzenie użytkownika. Jeśli więc użytkownik ma trzy urządzenia, potrzebuje tylko jednej licencji.

Klienci mogą wdrożyć tyle bram ZTNA, ile potrzebują do ochrony wszystkich swoich aplikacji. Nie ma żadnych opłat za bramę ani za zarządzanie Sophos Central.

Jak wypada ZTNA w porównaniu z…

DUO?

DUO to dostawca technologii tożsamości, który koncentruje się na uwierzytelnianiu wieloskładnikowym (MFA), aby pomóc użytkownikom zweryfikować swoją tożsamość. Tożsamość i MFA - a tym samym DUO - są częściami rozwiązania ZTNA. ZTNA weryfikuje również stan urządzenia. Sophos ZTNA będzie początkowo obsługiwać usługę Azure MFA i dowolnego dostawcę tożsamości, który integruje się z platformą Azure, w tym również Duo i inne rozwiązania MFA.

NAC?

Technologie NAC i ZTNA mogą brzmieć podobnie, ponieważ obie zapewniają dostęp, ale na tym podobieństwa się kończą. Kontrola dostępu do sieci (NAC) zajmuje się kontrolowaniem fizycznego dostępu do lokalnej sieci lokalnej, podczas gdy ZTNA zajmuje się kontrolowaniem dostępu do danych i określonych aplikacji sieciowych, niezależnie od tego, w której sieci się znajdują.

VPN?

Chociaż VPN z dostępem zdalnym dobrze nam służył, ZTNA ma wiele zalet w porównaniu z VPN, jak opisano powyżej. Oczywiście zdarzają się sytuacje, w których VPN nadal będzie dobrym rozwiązaniem: gdzie stosunkowo niewielka liczba osób (np. Dział IT) potrzebuje szerokiego dostępu do aplikacji sieciowych i usług, aby nimi zarządzać.

VPN będzie nadal odgrywał kluczową rolę w łączeniu się z lokalizacjami, ale dla użytkowników większości organizacji ZTNA może zastąpić VPN z dostępem zdalnym, aby zapewnić lepsze, bardziej szczegółowe rozwiązanie bezpieczeństwa - a wszystko to jest bardziej przejrzyste i łatwiejsze dla użytkowników.

zaporami sieciowymi?

ZTNA jest uzupełnieniem zapory sieciowej, tak jak VPN. Zapora sieciowa nadal odgrywa kluczową rolę w ochronie firmowej sieci i zasobów centrum danych przed atakami, zagrożeniami i nieautoryzowanym dostępem. ZTNA wzmacnia zaporę, dodając szczegółową kontrolę i zabezpieczenia dla aplikacji sieciowych w chmurze lub lokalnie.

WAF?

WAF (Web Application Firewall) i ZTNA zostały zaprojektowane w celu ochrony różnych typów aplikacji dla różnych typów użytkowników. WAF został zaprojektowany, aby chronić i zabezpieczać aplikacje publiczne, zapewniając zaporę aplikacyjną, wykrywanie zagrożeń i inne zabezpieczenia, takie jak zabezpieczenia przed atakami SQL injection. ZTNA służy do kontroli dostępu do aplikacji wewnętrznych. Nie ma na celu zapewnienia publicznego dostępu; w rzeczywistości ma na celu zapewnienie, że użytkownicy publiczni nie będą mieli dostępu do aplikacji chronionych ZTNA.

Synchronized Security?

ZTNA i Synchronized Security są koncepcyjnie podobne, ponieważ oba mogą używać stanu urządzenia do określania uprawnień dostępu do sieci. W rzeczywistości Sophos ZTNA wykorzysta Security Heartbeat jako kluczowy element do oceny stanu urządzenia.

Jeśli użytkownik ma urządzenie ze stanem „zagrożony (status „czerwony” w Security Heartbeat), jego dostęp do aplikacji można ograniczyć za pomocą zasad, podobnie jak dostęp do sieci można ograniczyć na zaporze. Jednak ZTNA idzie dalej niż Synchronized Security, integrując również weryfikację tożsamości użytkownika.

ZTNA to także bardziej kontrola uprawnień i dostępu do aplikacji, podczas gdy Synchronized Security to bardziej automatyczna reakcja na zagrożenia i zapobieganie przenoszeniu lub kradzieży danych przez zagrożenia.

SASE?

SASE (wymawiane jako „sassy”) lub Secure Access Service Edge, dotyczy dostarczania sieci i zabezpieczeń w chmurze i obejmuje wiele elementów, takich jak zapory sieciowe, SD-WAN, bezpieczne bramy internetowe, CASB i ZTNA. Został zaprojektowany, aby chronić każdego użytkownika w dowolnej sieci, w dowolnym miejscu w chmurze. Jak więc widzisz, ZTNA jest składnikiem SASE i będzie istotną częścią naszej ogólnej strategii SASE.

Aby dowiedzieć się więcej o Sophos ZTNA i zarejestrować się w programie wczesnego dostępu, odwiedź naszą witrynę internetową ZTNA.

 

Oryginalny artykuł przygotował Chris McCormack z firmy Sophos: https://news.sophos.com/en-us/2021/02/23/sophos-zero-trust-network-access-early-access-registration-and-faq/?cmp=30726

__________________________________________________

Zainteresowały Cię rozwiązania Sophos?
Zapraszam do kontaktu

Marceli Matczak
Security / SDN Business Development Manager

+48 785 051 978
marceli.matczak@s4e.pl