ZTNA: dit moet je weten over Zero Trust Network Access

Wat is ZTNA?

ZTNA staat voor Zero Trust Network Access. Het is een geheel van technologieën en systemen dat gebruikers op een veilige manier toegang verleent tot applicaties en data, zonder hen ooit op het netwerk te plaatsen of apps bloot te stellen aan het internet. Het maakt daarbij niet uit waar de gebruikers zich bevinden, en of de applicaties en data in een private cloud, publieke cloud of on-premises staan.

Hoe werkt ZTNA in de praktijk?

ZTNA verleent een gebruiker toegang tot specifieke applicaties of bronnen, nadat de gebruiker zich heeft geauthenticeerd bij de ZTNA-service. Dit gebeurt via een beveiligde, versleutelde tunnel. Deze tunnel biedt een extra beveiligingslaag door applicaties en services af te schermen van IP-adressen die anders zichtbaar zouden zijn.

Wat is het verschil tussen ZTNA en VPN?

Met een Virtual Private Network (VPN) krijgen gebruikers via een versleutelde verbinding toegang tot het bedrijfsnetwerk. VPN was jarenlang een betrouwbare technologie voor het veilig verbinden van medewerkers met het bedrijfsnetwerk. Het komt echter ook met een aantal nadelen. Zo is onderhoud en support vaak tijdrovend, en de technologie niet altijd goed schaalbaar. Medewerkers ervaren al snel een merkbare vertraging. VPN is namelijk nooit ontworpen om veel gebruikers tegelijkertijd stelselmatig op afstand te laten werken.

Het grootste nadeel van VPN is echter het enorme potentiële aanvalsoppervlak dat het met zich meebrengt. Is een aanvaller eenmaal in bezit van de juiste inloggegevens, dan kan het eenvoudig door het gehele bedrijfsnetwerk bewegen. Ze hebben dan toegang tot alle middelen en data, terwijl VPN die toegang zou moeten beperken.

ZTNA kent dit nadeel niet. Deze technologie reguleert toegang op applicatieniveau. Het verstrekt alleen toegang tot de benodigde applicatie(s) en data, en niet tot het hele bedrijfsnetwerk. Dat verkleint de kans dat aanvallers veel schade kunnen aanrichten sterk. Bovendien hebben gebruikers met ZTNA geen last van hinderlijke vertragingen.

Wat is de relatie tussen ZTNA en Zero Trust?

ZTNA verleent toegang op basis van Zero Trust. Dat is een beveiligingsfilosofie die uitgaat van een aantal principes. Zo is geen enkele gebruiker, applicatie of apparaat te vertrouwen, tot het tegendeel bewezen is. Dat vertrouwen moet bij iedere nieuwe interactie opnieuw worden vastgesteld. Dat gebeurt aan de hand van een zeer fijnmazig policymodel, waar naast de identiteit ook de context van een interactie een grote rol speelt. Denk aan de locatie van een gebruiker, of het tijdstip van een interactie. Daarbij krijgen gebruikers steeds slechts de minimale hoeveelheid rechten die nodig is om de beoogde taak te voltooien.

Zero Trust is de opvolger van het aloude beveiligingsmodel rondom de firewall. Dat laatstgenoemde model schiet tegenwoordig steeds vaker tekort. Dat model gaat immers uit van het principe van een veilig intern bedrijfsnetwerk, en een buitenwereld vol gevaren. De realiteit is inmiddels veel weerbarstiger. Denk aan hackers die al maanden ‘binnen’ zijn in het netwerk en daar informatie verzamelen voor een grootschalige aanval. Bovendien is het niet meer zo dat het interne bedrijfsnetwerk de spil is van alle dataverkeer. Applicaties en data staan steeds vaker in allerlei cloudomgevingen.

Zero Trust is geen beveiligingstechnologie, maar een visie. ZTNA geeft dit model een concrete invulling.

Wat zijn de voordelen van ZTNA?

1. Overal veilige toegang tot data en applicaties

Medewerkers werken tegenwoordig overal: thuis, op kantoor of onderweg. Zij moeten daarbij veilig bij data en applicaties kunnen die de ene keer in de cloud staan, en de andere keer op een server op kantoor. ZTNA biedt een veilige manier om die toegang te verlenen, waar gebruikers zich ook bevinden en met welk apparaat ze ook werken.

2. Betere gebruikservaring
ZTNA zit gebruikers nauwelijks in de weg. Het zorgt in tegenstelling tot VPN niet voor mindere netwerkprestaties. Ook niet als gebruikers zich thuis of ergens onderweg bevinden.

3. Beperking van onnodige rechten

Gebruikers beschikken vaak over veel meer rechten dan nodig. ZTNA rekent daarmee af. De oplossing verkleint zo het aanvalsoppervlak en beperkt de bewegingsruimte van kwaadwillenden. Ook vermindert ZTNA het risico dat medewerkers bedoeld of onbedoeld schade aanrichten.

4. Goed schaalbaar
ZTNA is heel goed schaalbaar. Het kan probleemloos meegroeien met een organisatie, zonder merkbare prestatievermindering of onevenredig grotere beheerlast.

5. Bescherming tegen malware

ZTNA verbetert de bescherming tegen malware. Ten eerste controleert het regelmatig de gezondheid van apparaten die met de applicaties verbinding proberen te leggen. Ten tweede beperkt microsegmentatie laterale bewegingen en vermindert het de mogelijke schade van een cyberaanval.

6. Ontlasting van het eigen netwerk

Geauthentiseerde gebruikers krijgen alleen directe toegang tot geautoriseerde applicaties, niet tot het onderliggende netwerk. Dit vermindert ook het digitale aanvalsoppervlak.

Op welke manier is ZTNA inzetbaar?

ZTNA is breed inzetbaar. Een aantal voorbeelden van usecases:

●       Als vervanger voor VPN
Volgens Gartner zal in 2023 60% van de enterprise-organisaties hun VPN-verbindingen uitfaseren en vervangen door ZTNA. Niet voor niets: VPN’s kennen de nodige nadelen, zoals latency en matige schaalbaarheid en een groot potentieel aanvalsoppervlak (zie: 'Wat is het verschil tussen ZTNA en VPN?’).

●       Als veilige toegangspoort tot IaaS
ZTNA kan een veilige toegang bieden tot eigen cloudomgevingen. ZTNA past dan ook perfect in een (multi)cloudstrategie.

●       Het verminderen van risico’s van gasttoegang
Gastgebruikers krijgen in de praktijk vaak te veel rechten. Dat zorgt voor allerlei risico’s, zoals datalekken en een vergroot aanvalsoppervlak. ZTNA verkleint die risico’s door te verzekeren dat gastgebruikers nooit toegang tot het bedrijfsnetwerk krijgen.

●       Versnellen van bedrijfsintegraties
Bedrijfsintegraties zijn vaak complexe trajecten van jaren. ZTNA verkort en vereenvoudigt deze integraties. Het werkt namelijk onafhankelijk van bestaande netwerkinfrastructuren, maar baseert het verlenen van toegang op afzonderlijke identiteiten en applicaties.

Wat is de relatie tussen ZTNA en SASE?

SASE (Secure Access Service Edge) is een geheel van oplossingen en technologieën voor het bieden van veilige connectiviteit en security aan de rand van de cloud, in beheer bij een provider. ZTNA kan daar een onderdeel van zijn. Voor de volledigheid: het is een oplossing binnen SSE (Secure Service Edge), de subset binnen SASE waarbinnen de securityoplossingen vallen, net als bijvoorbeeld SWG (Secure Web Gateway) en CASB (Cloud Access Security Broker).

Levert KPN ook ZTNA?

KPN levert ZTNA als onderdeel van SASE KPN. Dat iseen coherente, geïntegreerde set aan security- en netwerkinfrastructuurdiensten, waaronder ZTNA. In tegenstelling tot veel andere marktpartijen kan KPN daarbij gebruikmaken van de eigen infrastructuur voor connectiviteit.

Interesse?

Heb je interesse in de mogelijkheden van ZTNA, of wil je meer informatie over KPN SASE? Neem gerust vrijblijvend contact met ons op. We helpen je graag.