BLOGS

ปกป้องภัยคุกคามทุกการเข้าใช้งาน Private Application ขององค์กร

Tangerine • 25/04/2023
Tangerine Co., Ltd.

การเข้าถึงเครือข่ายแบบ Zero Trust Network Access (ZTNA) จะมีการบังคับใช้นโยบายแบบละเอียด ทั้งก่อนอนุญาตให้เชื่อมต่อและระหว่างการเชื่อมต่อไปยัง Private Application ที่อยู่บนคลาวด์หรือศูนย์ข้อมูลภายในขององค์กร จากอุปกรณ์ที่ใช้งานอยู่ภายนอกองค์กร โดยจะเป็นการผสมผสานระหว่างข้อมูลระบุตัวตนของผู้ใช้ ตำแหน่งของผู้ใช้ เวลา ประเภทของบริการ และมาตรการรักษาความปลอดภัยของอุปกรณ์

         ZTNA สามารถใช้ข้อมูลประจำตัวของผู้ใช้ ข้อมูลประจำตัวของอุปกรณ์ และปัจจัยอื่น ๆ ในการกำหนดนโยบายการอนุญาตให้เข้าถึง Private Application และเครือข่ายพื้นฐานเป็นเฉพาะส่วนที่ผู้ใช้นั้นต้องเข้าใช้เท่านั้น เพื่อลดพื้นที่การถูกโจมตีและป้องกันการกระจายตัวของภัยคุกคามจาก บัญชีหรืออุปกรณ์ที่ถูกบุกรุก

         ZTNA สร้างขึ้นจากแนวคิดของ “Zero Trust” ซึ่งกล่าวว่าองค์กรต่าง ๆ ไม่ควรเชื่อถืออุปกรณ์ใด ๆ ไม่ว่าจะอยู่ภายในหรือภายนอกขอบเขตการรักษาความปลอดภัย และต้องตรวจสอบผู้ใช้และอุปกรณ์ทุกเครื่องก่อนที่จะอนุญาตให้เข้าถึงทรัพยากรที่ละเอียดอ่อน เพื่อให้มั่นใจในความปลอดภัยของข้อมูล

รูปแบบการใช้งาน ZTNA

1. การรักษาความปลอดภัยการเข้าถึง Private Application จากระยะไกล

     ขณะที่องค์กรต่าง ๆ ย้าย Application ที่มีความสำคัญต่อธุรกิจของตนไปยังระบบคลาวด์หลาย ๆ แห่งเพื่อการทำงานร่วมกันที่ราบรื่น จึงจำเป็นต้องตรวจสอบอุปกรณ์ที่เชื่อมต่อเข้าใช้งานแต่ละเครื่องเพื่อรักษาความปลอดภัยในการเข้าถึง Application และป้องกันการรั่วไหลของข้อมูล

     ZTNA จะช่วยให้เข้าถึง Private Application ได้จากทุกที่ โดยการเข้าถึง Application จะถูกปฏิเสธเป็นค่าเริ่มต้น เว้นแต่จะได้รับอนุญาตให้เข้าใช้งาน โดยการเข้าถึง Application จะมีการระบุตัวตนของผู้ใช้ ประเภทอุปกรณ์ ตำแหน่งของผู้ใช้ มาตรการรักษาความปลอดภัยของอุปกรณ์ เป็นต้น

2. แทนที่การเชื่อมต่อ VPN และ MPLS

     สถาปัตยกรรม VPN นั้นช้าและไม่สอดคล้องกับการปรับเปลี่ยนไปใช้งานระบบคลาวด์ที่มากขึ้นในปัจจุบัน และการรักษาความปลอดภัยการเชื่อมต่อของผู้ใช้ระยะไกลผ่าน VPN จะเพิ่มค่าใช้จ่ายด้านฮาร์ดแวร์และต้นทุนของแบนด์วิธ

     ZTNA จะให้การเข้าถึงทรัพยากรขององค์กรที่รวดเร็วและตรงไปยังคลาวด์ ลดความซับซ้อนของเครือข่าย ลดต้นทุน และเวลาในระหว่างที่ปรับปรุงประสิทธิภาพเพื่ออำนวยความสะดวกในการเข้าใช้ของพนักงานจากระยะไกล

3. การจำกัดการเข้าถึงของผู้ใช้

       แนวทางการรักษาความปลอดภัยของโซลูชันการรักษาความปลอดภัยแบบดั้งเดิมทำให้ผู้ใช้ทุกคนสามารถเข้าถึงเครือข่ายได้อย่างเต็มที่ด้วยรหัสการเข้าสู่ระบบที่ถูกต้อง และมีการเปิดเผยข้อมูล ทรัพยากรที่ละเอียดอ่อนขององค์กรมากเกินไป เมื่อบัญชีผู้ใช้ถูกบุกรุก แฮ็กเกอร์จะเข้าถึงเครือข่ายพื้นฐานและข้อมูล ทรัพยากรทั้งหมดได้

       ZTNA สามารถกำหนดการเข้าถึงให้มีสิทธิ์น้อยที่สุด โดยจำกัดการเข้าถึงของผู้ใช้ไปยัง Application เฉพาะตาม “จำเป็นต้องใช้” อย่างเคร่งครัด และการเชื่อมต่อ ทั้งหมดจะได้รับการตรวจสอบก่อนที่จะให้สิทธิ์การเข้าถึงทรัพยากรภายใน

ประโยชน์ของ ZTNA

  • Micro-segmenting the networks
    ZTNA ช่วยให้องค์กรต่าง ๆ สามารถสร้างขอบเขตที่กำหนดโดยซอฟต์แวร์และแบ่งเครือข่ายองค์กรออกเป็นส่วนย่อยหลายส่วน ป้องกันการกระจายของภัยคุกคาม และลดพื้นที่การถูกโจมตี
  • Making the applications invisible on internet
    ZTNA สร้างเครือข่ายเสมือนและป้องกันการค้นพบ Application ขององค์กรบนอินเทอร์เน็ตสาธารณะ เพื่อปกป้ององค์กรจากการเปิดเผยข้อมูลทางอินเทอร์เน็ต มัลแวร์ และการโจมตี DDoS
  • Securing access to legacy applications
    ZTNA สามารถขยายประโยชน์ไปยัง Application ที่อยู่ภายในศูนย์ข้อมูลภายในองค์กร อำนวยความสะดวกในการเชื่อมต่อที่ปลอดภัย โดยให้ความปลอดภัยในระดับเดียวกันกับ Application บนระบบคลาวด์
  • Elevating the user experience
    ZTNA ช่วยให้สามารถเข้าถึง Private Application ได้โดยตรงอย่างปลอดภัย และรวดเร็ว ไม่หยุดชะงัก แก่ผู้ใช้งาน

ความแตกต่างระหว่าง VPN และ ZTNA

  • Network-level access vs Application-level access
    VPN อนุญาตให้เข้าถึงเครือข่ายส่วนตัวเต็มรูปแบบสำหรับผู้ใช้ที่มีรหัสเข้าสู่ระบบที่ถูกต้อง
    ZTNA จำกัดการเข้าถึงของผู้ใช้ไปยังแอปพลิเคชันเฉพาะ จำกัดการเปิดเผยข้อมูลและการกระจายของภัยคุกคามในกรณีที่มี
    การโจมตีทางไซเบอร์
  • Deep visibility into user activity
    VPN ขาดการควบคุมระดับแอปพลิเคชันและไม่สามารถมองเห็นการกระทำของผู้ใช้เมื่อเขาอยู่ในเครือข่ายส่วนตัว
    ZTNA บันทึกทุกการกระทำของผู้ใช้และให้การมองเห็นที่ลึกขึ้น และคอยตรวจสอบพฤติกรรมของผู้ใช้ สามารถบันทึกข้อมูลพฤติกรรมการใช้งานของผู้ใช้ไปยังระบบ SIEM แบบเรียลไทม์
  • Endpoint posture assessment
    การเชื่อมต่อ VPN ไม่ได้กำหนดถึงความเสี่ยงที่เกิดจากอุปกรณ์ของผู้ใช้ปลายทาง อุปกรณ์อาจถูกบุกรุกหรือติดมัลแวร์สามารถเชื่อมต่อกับเซิร์ฟเวอร์ และเข้าถึงทรัพยากรภายในได้อย่างง่ายดาย
    ZTNA ทำการประเมินอุปกรณ์ที่เชื่อมต่อโดยตรวจสอบสถานะความปลอดภัยอย่างต่อเนื่อง ทั้งก่อนอนุญาตให้เชื่อมต่อ และระหว่างการเชื่อมต่อ และเปิดการเข้าถึงทรัพยากรตามความน่าเชื่อถือของอุปกรณ์ในขณะนั้น และจะยุติการเชื่อมต่ออุปกรณ์ทันทีเมื่อตรวจพบความเสี่ยง
  • User experience
    VPN ไม่ได้ออกแบบมาเพื่อจัดการกับสถานการณ์ที่มีพนักงานกระจายตัวกันเข้าใช้งานจากที่ใดก็ได้ที่มากขึ้น ทุกการเชื่อมต่อของผู้ใช้จะผ่านฮับ VPN แบบรวมศูนย์จะสร้างปัญหาด้านแบนด์วิธและประสิทธิภาพ ซึ่งนำไปสู่ประสบการณ์การใช้งานที่ไม่ดีต่อผู้ใช้
    ZTNA ทำให้ผู้ใช้สามารถสร้างการเชื่อมต่อโดยตรงกับแอปพลิเคชัน ทำให้เข้าถึงทรัพยากรขององค์กรได้อย่างรวดเร็วและปลอดภัยในสภาพแวดล้อมคลาวด์ IaaS หรือศูนย์ข้อมูลภายในองค์กร
  • Cost saving
    ZTNA ลดความจำเป็นในการจัดหาฮาร์ดแวร์ VPN ที่มีราคาแพง และการตั้งค่าโครงสร้างพื้นฐานที่ซับซ้อนที่ศูนย์ข้อมูลแต่ละแห่ง นอกจากนี้ ผู้ใช้ระยะไกลไม่ต้องลง Client VPN ที่ใช้ทรัพยากรมากเพื่อสร้างการเชื่อมต่อที่ปลอดภัย

การทำงานของ ZTNA

        จะมีการติดตั้งซอฟต์แวร์สำหรับเชื่อมต่อ (Connector ตามรูปด้านบน) ในเครือข่ายเดียวกันกับ Private Application ของลูกค้า เพื่อสร้างการเชื่อมต่อไปยังบริการบนคลาวด์ผ่าน Secure Tunnel ที่เข้ารหัส ซึ่งจะเป็นเส้นทางสำหรับการรับส่งข้อมูลส่วนตัวเข้าสู่เครือข่ายลูกค้าและทำหน้าที่รับผิดชอบหลักสำหรับ

  • การยืนยันตัวตนผู้ใช้ที่ต้องการเชื่อมต่อเข้าใช้งาน กับผู้ให้บริการข้อมูลประจำตัว
  • ตรวจสอบความปลอดภัยของอุปกรณ์ผู้ใช้
  • การจัดเตรียมการเข้าถึงแอปพลิเคชันผ่าน Secure Tunnel

       เนื่องจากการเชื่อมต่อกับบริการ ZTNA บนคลาวด์เป็นการเชื่อมต่อขาออกเท่านั้นหรือ “Inside Out” องค์กรจึงไม่จำเป็นต้องเปิดพอร์ตไฟร์วอลล์ขาเข้า เป็นการป้องกันการเชื่อมต่อโดยตรงบนอินเทอร์เน็ตสาธารณะ ช่วยรักษาความปลอดภัยจาก DDoS มัลแวร์ และการโจมตีอื่น ๆ ผ่านระบบอินเทอร์เน็ตสาธารณะ

       ZTNA สามารถรองรับได้ทั้ง Managed Device และ Unmanaged Device

  • Managed Device
    จะมีการติดตั้ง Client ในอุปกรณ์ โดยการเชื่อมต่อกับ Private Application จะมีการตรวจสอบความถูกต้องของข้อมูลประจำตัวของผู้ใช้ และมีการตรวจสอบมาตรการรักษาความปลอดภัยของอุปกรณ์ที่เชื่อมต่อ
  • Unmanaged Device
    จะใช้ Reverse Proxy ซึ่งจะเป็นการใช้งานผ่าน Web Browsers โดยมีข้อจำกัด คือใช้ได้เฉพาะโปรโตคอลที่แอปพลิเคชัน Web Browsers รองรับ เช่น RDP, SSH, VNC และ HTTP

REF : SkyHighSecurity.com

หากท่านสนใจบริการต่าง ๆ หรือต้องการคำปรึกษาเพิ่มเติมติดต่อเรา
ได้ที่ marketing@tangerine.co.th หรือ โทร 02 285 5511
ท่านจะได้รับคำตอบจากผู้เชี่ยวชาญที่ได้รับการรับรองมาตรฐาน

สอบถามข้อมูลเพิ่มเติม
Contact Form_TH Sources