Samenvatting
As data breaches become more common, organizations need a better way to protect their data. A zero trust network architecture (ZTNA) and a virtual private network (VPN) are two different solutions for user authentication and authorization.
Hoewel een zero trust netwerkarchitectuur (ZTNA) en een virtueel privénetwerk (VPN) beide veilige oplossingen bieden voor toegang op afstand tot uw omgeving, werken ze met verschillende frameworks en regels voor gebruikersauthenticatie en -autorisatie. Externe toegang tot uw netwerkomgeving brengt een groot risico met zich mee voor uw databeveiliging, maar ZTNA en VPN bieden strategieën om onbevoegde gebruikers en afluisteren van data te blokkeren. Als u het verschil kent tussen de twee strategieën, kunt u bepalen welke strategie geschikt is voor uw organisatie.
Wat is ZTNA?
Een zero trust-strategie omvat “nooit vertrouwen en altijd verifiëren”, wat betekent dat elk dataverzoek een verificatieproces ondergaat. Bij elk verzoek om data wordt ervan uitgegaan dat het netwerk in gevaar is gebracht en dat het verzoek uit een bedreiging kan komen. Dit betekent dat, ook al is een gebruiker al geverifieerd op het netwerk, de gebruiker nooit vertrouwd is om toegang te krijgen tot gegevens zonder dat het netwerksysteem heeft geverifieerd dat de gebruiker bevoegd is om het verzoek in te dienen.
Stel bijvoorbeeld dat een gebruiker op het netwerk wordt geverifieerd met behulp van zijn inloggegevens. Nu moeten ze toegang krijgen tot data met behulp van een interne bedrijfsapplicatie. ZTNA vereist aanvullende accountverificatie (bijv. gebruikersnaam en wachtwoord van de applicatie) om in de software te verifiëren en toegang te krijgen tot gegevens. Beheerders kunnen single sign-on (SSO)-oplossingen gebruiken, maar deze oplossingen moeten integreren met uw zero trust-netwerkarchitectuur voor dataprotectie.
Wat is VPN?
Een virtueel privénetwerk (VPN) authenticeert gebruikers wanneer ze toegang vragen tot de lokale omgeving. Gewoonlijk bevinden gebruikers zich op een externe locatie buiten het hoofdkantoor, maar sommige organisaties implementeren VPN voor gebruikers die zich op extra kantoorlocaties bevinden. VPN integreert met netwerkauthenticatiediensten, maar werkt ook met multi-factor (MFA)-oplossingen voor betere beveiliging.
Nadat gebruikers zich hebben geverifieerd met het VPN-systeem, hebben ze toegang tot elk gebied van het netwerk, mits de gebruiker deel uitmaakt van een geautoriseerde groep. Secundaire verificatie kan worden geïntegreerd met VPN, inclusief ZTNA. Het grootste voordeel van VPN is dat het eenvoudig te implementeren is en dat veel oplossingen rechtstreeks met Active Directory of LDAP werken.
Belangrijkste verschillen tussen ZTNA en VPN
Hoewel een VPN deel kan uitmaken van ZTNA-strategieën, volgt een VPN alleen het ZTNA-framework niet. ZTNA vereist dat beheerders altijd gebruikersaccounts verifiëren voordat ze toegang hebben tot bedrijfsmiddelen, dus het is een veel veiligere praktijk dan oudere beveiligingsframeworks. VPN authenticeert alleen gebruikers en verifieert dat ze toegang moeten hebben tot het bedrijfsnetwerk, maar verifieert niet na de initiële authenticatie.
In een ZTNA-omgeving krijgen gebruikers alleen toegang tot de middelen die nodig zijn om hun werk uit te voeren. Dit principe van least privilege-strategie beperkt de risico’s als een aanvaller een account in gevaar brengt. Een VPN maakt toegang mogelijk voor netwerkbeheerders die toegang hebben gekregen tot een resource of resourcegroep, zelfs als de privileges uitgebreid zijn en onnodig voor de functie van een gebruiker.
Minimize Risk with Data That’s Always Available
Keep your data available in the event of disasters or accidents, regardless of your required recovery point objectives (RPOs) and recovery time objectives (RTOs).
Voordelen van ZTNA ten opzichte van VPN
Naarmate er meer datalekken optreden, hebben organisaties een betere manier nodig om hun bestanden en data te beschermen. Gecompromitteerde gebruikersaccounts die VPN gebruiken, maken de hele omgeving kwetsbaar. Met VPN heeft een gebruiker toegang tot de gehele omgeving zonder andere validatie dan de authenticatie en autorisatie die met VPN-oplossingen wordt gebruikt. Met ZTNA kan een gebruikersaccount worden aangetast, maar aanvullende validatie voorkomt dat de aanvaller extra schade oploopt.
Een gebruiker kan zich bijvoorbeeld authenticeren in het netwerk, maar voor alle software die toegang heeft tot data is aanvullende authenticatie nodig. Gebruikers moeten een wachtwoord invoeren voordat ze de software openen, en gebruikers zonder hun softwarewachtwoord zouden het niet kunnen openen. Deze extra beveiliging beperkt de hoeveelheid data die wordt bekendgemaakt wanneer een gebruikersnetwerkaccount wordt gecompromitteerd.
Gebruikssituaties voor ZTNA
Elke organisatie moet ZTNA overwegen voor de beveiliging, maar omgevingen met externe gebruikers en gevoelige data moeten vooral ZTNA gebruiken. Met ZTNA moeten gebruikers altijd de toegang valideren voordat ze toegang krijgen tot data, zelfs als ze de data al eerder hebben geopend en op het netwerk zijn geverifieerd. Gebruikers moeten hun account valideren voor elk dataverzoek, dat meestal door het systeem wordt afgehandeld in plaats van gebruikers aan te zetten om voortdurend hun wachtwoord in te voeren.
Applicaties valideren ook hun autorisatie. Een script dat data aanvraagt, moet bijvoorbeeld elke keer dat het wordt uitgevoerd, worden geverifieerd. Als aanvallers het script compromitteren, zouden de data waartoe ze toegang hebben beperkt zijn. Ransomware zou ook worden gestopt voordat het toegang had tot data en deze kon versleutelen.
Gebruikssituaties voor VPN
Externe gebruikers hebben een manier nodig om toegang te krijgen tot het interne netwerk, en VPN is een geweldige oplossing. Het kan worden geïntegreerd met ZTNA, maar sommige kleine organisaties gebruiken alleen VPN-authenticatie. VPN is geweldig voor eenvoudige toegang tot een applicatie of server. Externe gebruikers met verzoeken om data uit het netwerk te halen terwijl ze werken, kunnen profiteren van een eenvoudige VPN-verbinding.
VPN is nodig voor toegang op afstand wanneer gebruikers zich op een onveilig wifi-netwerk bevinden. Openbare Wi-Fi kan in gevaar komen, maar VPN versleutelt data zodat ze niet afluisteren. VPN beschermt data ook tegen afluisteren als ze via het internet passeren. Het houdt ook het afluisteren van data tegen van een man-in-the-middle (MITM)-aanval.
Conclusie
Beveiliging voor gebruikers op afstand is nodig om bedrijfsgegevens te beschermen, maar ZTNA beschermt gegevens als een gebruikersaccount is aangetast. Zowel ZTNA als VPN hebben beveiligingsvoordelen en kunnen samen worden gebruikt om een volledig beveiligingsplan op te stellen dat cyberrisico’s beperkt.
Om te helpen bij disaster recovery en het bevorderen van betere ZTNA-beveiliging, heeft Pure Storage verschillende oplossingen:
- SafeMode™ Snapshots: Bescherm tegen ransomware met datasnapshots voor data recovery na een incident
- Evergreen-architectuur: Upgrade uw infrastructuur en houd deze veilig zonder onderbrekingen
- ActiveDR™: Actief, always-on disaster recovery
- ActiveCluster™: Synchrone replicatie in uw omgeving voor snelle failover
Master Data Security
Learn more about data protection solutions from Pure Storage.
