BLOGS

ปกป้องภัยคุกคามทุกการเข้าใช้งาน Private Application ขององค์กร

Tangerine • 25/04/2023
Tangerine Co., Ltd.

Add Your Heading Text Here

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.

ในปัจจุบันการใช้งาน cloud ในองค์กรเริ่มแพร่หลายมากขึ้น โดยเหตุผลอันดับต้นๆ คือ

  1. ความรวดเร็วในการเริ่มต้นใช้งาน (องค์กรไม่ต้องรอสร้างบริการเหล่านั้นเอง)
  2. ค่าใช้จ่ายที่คิดตามการใช้งานจริง (ใช้น้อยจ่ายน้อย ใช้มากจ่ายมาก หลายๆ ครั้ง ค่าใช้จ่ายถูกกว่าสร้างบริการขึ้นมาเอง)
  3. ความปลอดภัย (ผู้ให้บริการ cloud มีการดำเนินการตามมาตรฐานความปลอดภัยต่างๆ และได้รับการรับรองจากหน่วยงานภายนอก)

         ZTNA สามารถใช้ข้อมูลประจำตัวของผู้ใช้ ข้อมูลประจำตัวของอุปกรณ์ และปัจจัยอื่น ๆ ในการกำหนดนโยบายการอนุญาตให้เข้าถึง Private Application และเครือข่ายพื้นฐานเป็นเฉพาะส่วนที่ผู้ใช้นั้นต้องเข้าใช้เท่านั้น เพื่อลดพื้นที่การถูกโจมตีและป้องกันการกระจายตัวของภัยคุกคามจาก บัญชีหรืออุปกรณ์ที่ถูกบุกรุก

         ZTNA สร้างขึ้นจากแนวคิดของ “Zero Trust” ซึ่งกล่าวว่าองค์กรต่าง ๆ ไม่ควรเชื่อถืออุปกรณ์ใด ๆ ไม่ว่าจะอยู่ภายในหรือภายนอกขอบเขตการรักษาความปลอดภัย และต้องตรวจสอบผู้ใช้และอุปกรณ์ทุกเครื่องก่อนที่จะอนุญาตให้เข้าถึงทรัพยากรที่ละเอียดอ่อน เพื่อให้มั่นใจในความปลอดภัยของข้อมูล

รูปแบบการใช้งาน ZTNA

1. การรักษาความปลอดภัยการเข้าถึง Private Application จากระยะไกล

     ขณะที่องค์กรต่าง ๆ ย้าย Application ที่มีความสำคัญต่อธุรกิจของตนไปยังระบบคลาวด์หลาย ๆ แห่งเพื่อการทำงานร่วมกันที่ราบรื่น จึงจำเป็นต้องตรวจสอบอุปกรณ์ที่เชื่อมต่อเข้าใช้งานแต่ละเครื่องเพื่อรักษาความปลอดภัยในการเข้าถึง Application และป้องกันการรั่วไหลของข้อมูล

     ZTNA จะช่วยให้เข้าถึง Private Application ได้จากทุกที่ โดยการเข้าถึง Application จะถูกปฏิเสธเป็นค่าเริ่มต้น เว้นแต่จะได้รับอนุญาตให้เข้าใช้งาน โดยการเข้าถึง Application จะมีการระบุตัวตนของผู้ใช้ ประเภทอุปกรณ์ ตำแหน่งของผู้ใช้ มาตรการรักษาความปลอดภัยของอุปกรณ์ เป็นต้น

2. แทนที่การเชื่อมต่อ VPN และ MPLS

     สถาปัตยกรรม VPN นั้นช้าและไม่สอดคล้องกับการปรับเปลี่ยนไปใช้งานระบบคลาวด์ที่มากขึ้นในปัจจุบัน และการรักษาความปลอดภัยการเชื่อมต่อของผู้ใช้ระยะไกลผ่าน VPN จะเพิ่มค่าใช้จ่ายด้านฮาร์ดแวร์และต้นทุนของแบนด์วิธ

     ZTNA จะให้การเข้าถึงทรัพยากรขององค์กรที่รวดเร็วและตรงไปยังคลาวด์ ลดความซับซ้อนของเครือข่าย ลดต้นทุน และเวลาในระหว่างที่ปรับปรุงประสิทธิภาพเพื่ออำนวยความสะดวกในการเข้าใช้ของพนักงานจากระยะไกล

3. การจำกัดการเข้าถึงของผู้ใช้

       แนวทางการรักษาความปลอดภัยของโซลูชันการรักษาความปลอดภัยแบบดั้งเดิมทำให้ผู้ใช้ทุกคนสามารถเข้าถึงเครือข่ายได้อย่างเต็มที่ด้วยรหัสการเข้าสู่ระบบที่ถูกต้อง และมีการเปิดเผยข้อมูล ทรัพยากรที่ละเอียดอ่อนขององค์กรมากเกินไป เมื่อบัญชีผู้ใช้ถูกบุกรุก แฮ็กเกอร์จะเข้าถึงเครือข่ายพื้นฐานและข้อมูล ทรัพยากรทั้งหมดได้

       ZTNA สามารถกำหนดการเข้าถึงให้มีสิทธิ์น้อยที่สุด โดยจำกัดการเข้าถึงของผู้ใช้ไปยัง Application เฉพาะตาม “จำเป็นต้องใช้” อย่างเคร่งครัด และการเชื่อมต่อ ทั้งหมดจะได้รับการตรวจสอบก่อนที่จะให้สิทธิ์การเข้าถึงทรัพยากรภายใน

ประโยชน์ของ ZTNA

  • Micro-segmenting the networks
    ZTNA ช่วยให้องค์กรต่าง ๆ สามารถสร้างขอบเขตที่กำหนดโดยซอฟต์แวร์และแบ่งเครือข่ายองค์กรออกเป็นส่วนย่อยหลายส่วน ป้องกันการกระจายของภัยคุกคาม และลดพื้นที่การถูกโจมตี

  • Making the applications invisible on internet
    ZTNA สร้างเครือข่ายเสมือนและป้องกันการค้นพบ Application ขององค์กรบนอินเทอร์เน็ตสาธารณะ เพื่อปกป้ององค์กรจากการเปิดเผยข้อมูลทางอินเทอร์เน็ต มัลแวร์ และการโจมตี DDoS

  • Securing access to legacy applications
    ZTNA สามารถขยายประโยชน์ไปยัง Application ที่อยู่ภายในศูนย์ข้อมูลภายในองค์กร อำนวยความสะดวกในการเชื่อมต่อที่ปลอดภัย โดยให้ความปลอดภัยในระดับเดียวกันกับ Application บนระบบคลาวด์

  • Elevating the user experience
    ZTNA ช่วยให้สามารถเข้าถึง Private Application ได้โดยตรงอย่างปลอดภัย และรวดเร็ว ไม่หยุดชะงัก แก่ผู้ใช้งาน

ความแตกต่างระหว่าง VPN และ ZTNA

  • Network-level access vs Application-level access
    VPN อนุญาตให้เข้าถึงเครือข่ายส่วนตัวเต็มรูปแบบสำหรับผู้ใช้ที่มีรหัสเข้าสู่ระบบที่ถูกต้อง
    ZTNA จำกัดการเข้าถึงของผู้ใช้ไปยังแอปพลิเคชันเฉพาะ จำกัดการเปิดเผยข้อมูลและการกระจายของภัยคุกคามในกรณีที่มี
    การโจมตีทางไซเบอร์
  • Deep visibility into user activity
    VPN ขาดการควบคุมระดับแอปพลิเคชันและไม่สามารถมองเห็นการกระทำของผู้ใช้เมื่อเขาอยู่ในเครือข่ายส่วนตัว
    ZTNA บันทึกทุกการกระทำของผู้ใช้และให้การมองเห็นที่ลึกขึ้น และคอยตรวจสอบพฤติกรรมของผู้ใช้ สามารถบันทึกข้อมูลพฤติกรรมการใช้งานของผู้ใช้ไปยังระบบ SIEM แบบเรียลไทม์
  • Endpoint posture assessment
    การเชื่อมต่อ VPN ไม่ได้กำหนดถึงความเสี่ยงที่เกิดจากอุปกรณ์ของผู้ใช้ปลายทาง อุปกรณ์อาจถูกบุกรุกหรือติดมัลแวร์สามารถเชื่อมต่อกับเซิร์ฟเวอร์ และเข้าถึงทรัพยากรภายในได้อย่างง่ายดาย
    ZTNA ทำการประเมินอุปกรณ์ที่เชื่อมต่อโดยตรวจสอบสถานะความปลอดภัยอย่างต่อเนื่อง ทั้งก่อนอนุญาตให้เชื่อมต่อ และระหว่างการเชื่อมต่อ และเปิดการเข้าถึงทรัพยากรตามความน่าเชื่อถือของอุปกรณ์ในขณะนั้น และจะยุติการเชื่อมต่ออุปกรณ์ทันทีเมื่อตรวจพบความเสี่ยง

  • User experience
    VPN ไม่ได้ออกแบบมาเพื่อจัดการกับสถานการณ์ที่มีพนักงานกระจายตัวกันเข้าใช้งานจากที่ใดก็ได้ที่มากขึ้น ทุกการเชื่อมต่อของผู้ใช้จะผ่านฮับ VPN แบบรวมศูนย์จะสร้างปัญหาด้านแบนด์วิธและประสิทธิภาพ ซึ่งนำไปสู่ประสบการณ์การใช้งานที่ไม่ดีต่อผู้ใช้
    ZTNA ทำให้ผู้ใช้สามารถสร้างการเชื่อมต่อโดยตรงกับแอปพลิเคชัน ทำให้เข้าถึงทรัพยากรขององค์กรได้อย่างรวดเร็วและปลอดภัยในสภาพแวดล้อมคลาวด์ IaaS หรือศูนย์ข้อมูลภายในองค์กร

  • Cost saving
    ZTNA ลดความจำเป็นในการจัดหาฮาร์ดแวร์ VPN ที่มีราคาแพง และการตั้งค่าโครงสร้างพื้นฐานที่ซับซ้อนที่ศูนย์ข้อมูลแต่ละแห่ง นอกจากนี้ ผู้ใช้ระยะไกลไม่ต้องลง Client VPN ที่ใช้ทรัพยากรมากเพื่อสร้างการเชื่อมต่อที่ปลอดภัย

การทำงานของ ZTNA

        จะมีการติดตั้งซอฟต์แวร์สำหรับเชื่อมต่อ (Connector ตามรูปด้านบน) ในเครือข่ายเดียวกันกับ Private Application ของลูกค้า เพื่อสร้างการเชื่อมต่อไปยังบริการบนคลาวด์ผ่าน Secure Tunnel ที่เข้ารหัส ซึ่งจะเป็นเส้นทางสำหรับการรับส่งข้อมูลส่วนตัวเข้าสู่เครือข่ายลูกค้าและทำหน้าที่รับผิดชอบหลักสำหรับ

  • การยืนยันตัวตนผู้ใช้ที่ต้องการเชื่อมต่อเข้าใช้งาน กับผู้ให้บริการข้อมูลประจำตัว
  • ตรวจสอบความปลอดภัยของอุปกรณ์ผู้ใช้
  • การจัดเตรียมการเข้าถึงแอปพลิเคชันผ่าน Secure Tunnel

       เนื่องจากการเชื่อมต่อกับบริการ ZTNA บนคลาวด์เป็นการเชื่อมต่อขาออกเท่านั้นหรือ “Inside Out” องค์กรจึงไม่จำเป็นต้องเปิดพอร์ตไฟร์วอลล์ขาเข้า เป็นการป้องกันการเชื่อมต่อโดยตรงบนอินเทอร์เน็ตสาธารณะ ช่วยรักษาความปลอดภัยจาก DDoS มัลแวร์ และการโจมตีอื่น ๆ ผ่านระบบอินเทอร์เน็ตสาธารณะ

       ZTNA สามารถรองรับได้ทั้ง Managed Device และ Unmanaged Device

  • Managed Device
    จะมีการติดตั้ง Client ในอุปกรณ์ โดยการเชื่อมต่อกับ Private Application จะมีการตรวจสอบความถูกต้องของข้อมูลประจำตัวของผู้ใช้ และมีการตรวจสอบมาตรการรักษาความปลอดภัยของอุปกรณ์ที่เชื่อมต่อ

  • Unmanaged Device
    จะใช้ Reverse Proxy ซึ่งจะเป็นการใช้งานผ่าน Web Browsers โดยมีข้อจำกัด คือใช้ได้เฉพาะโปรโตคอลที่แอปพลิเคชัน Web Browsers รองรับ เช่น RDP, SSH, VNC และ HTTP

หากท่านสนใจบริการต่าง ๆ หรือต้องการคำปรึกษาเพิ่มเติมติดต่อเรา
ได้ที่
 marketing@tangerine.co.th หรือ โทร 02 285 5511
ท่านจะได้รับคำตอบจากผู้เชี่ยวชาญที่ได้รับการรับรองมาตรฐาน

Share on social media

Highlight Story
Related Blog
Tangerine Expertise

Related Solution

Expand Interests

All and More

สอบถามข้อมูลเพิ่มเติม
Contact Form_TH Sources