В связи с переходом на удаленную работу предприятиям все чаще приходится обеспечивать доступ к своим офисным приложениям через Интернет. Многие из этих приложений создавались с учетом совершенно иной модели безопасности и не имеют адекватных средств защиты. И даже те, которые имеют, требуют значительных инвестиций в постоянное поддержание их безопасности. Решение этих задач может стать тяжелым бременем для небольших компаний.

Одно из самых быстрых и экономичных решений - добавить дополнительный уровень защиты в виде ограничения доступа на основе IP-адресов, чтобы угрозы не могли обнаружить приложение или проверить его на наличие уязвимостей. Однако в современных средах с динамическими IP-адресами и пользователями, перемещающимися между сетями по нескольку раз в день, это быстро становится неуправляемым.

На помощь приходит ZenVPN. С помощью ZenVPN сотрудники могут подключаться к внутренним системам через один выделенный IP-адрес, который можно легко внести в белый список раз и навсегда. При этом они могут путешествовать, менять сети и устройства, но до тех пор, пока они могут аутентифицироваться с помощью ZenVPN и пока они авторизованы организацией, они будут сохранять доступ к приложениям бэк-офиса. Управление авторизацией осуществляется через удобный веб-интерфейс отдельно от белых списков IP-адресов в конфигурациях систем нижнего уровня, которые могут оставаться статичными.

В отличие от традиционного подхода, когда все приложения находятся внутри защищенного периметра, а удаленные пользователи получают доступ через VPN. В последнем случае взлом пользовательского устройства делает уязвимой всю сеть, поскольку злоумышленник может беспрепятственно перемещаться внутри периметра. При использовании белых списков IP-адресов (+ZenVPN) внутри защищенного периметра разрешен только определенный трафик для определенных приложений, поэтому взлом устройства конечного пользователя не открывает дополнительных возможностей для атак.

Сравнение безопасности и стоимости

Давайте сравним стоимость, безопасность и удобство вышеупомянутых подходов. Первый - это доступ к приложениям только в корпоративной сети и доступ удаленных сотрудников через VPN. Назовем это "Безопасный периметр". Второй (ниже он будет назван "Простым нулевым доверием") - это открытие отдельных приложений через публичную сеть с аутентификацией каждого запроса. И наконец, тот же подход, но с дополнительным ограничением доступа по IP-адресу с помощью ZenVPN, мы будем называть "Zero-trust + IP restriction".

Наведите курсор на отдельные элементы на графике, чтобы увидеть более подробное объяснение.

- статьи расходов
- вопросы безопасности
- удобство для пользователя
VPN-решение
Безопасность устройства
Поскольку нарушение работы устройств сотрудников чревато катастрофическими последствиями для бизнеса, необходимо вкладывать значительные средства в обеспечение безопасности устройств.
Приступы латерального движения
Если злоумышленник скомпрометирует одно из ваших приложений или устройств сотрудников, он немедленно получит доступ ко всей сети. Это известно как атака с боковым перемещением и является причиной перехода индустрии к архитектурам безопасности с нулевым доверием.
Снижение скорости сети
Поскольку весь трафик сотрудников проходит через сеть компании, они будут испытывать дополнительную задержку при доступе к любым сервисам за пределами сети работодателя.
Запуск геоограничений в сторонних сервисах
Поскольку в этом сценарии сотрудники получают доступ ко всем сторонним сервисам с IP-адреса компании, а не со своего собственного, это может вызвать неожиданные геоограничения и проверки безопасности.
Вопросы конфиденциальности
В условиях удаленного рабочего места сотрудники и особенно подрядчики могут испытывать проблемы с конфиденциальностью, отправляя весь свой трафик через сеть работодателя/клиента.
Комплексная проверка безопасности приложений
Приложение, которое смотрит в Интернет и проверяет подлинность каждого запроса, требует радикально иной системы безопасности, чем то, которое находится внутри защищенного периметра и имеет дело только с предварительно аутентифицированными агентами. Хотя разработка приложений для архитектуры безопасности с нулевым доверием, безусловно, оправдывает себя в долгосрочной перспективе, преобразование устаревших приложений, разработанных для защищенного периметра, требует всестороннего аудита и значительных инвестиций в доработку.
Постоянное поддержание безопасности приложений
В последние годы сообщество специалистов по безопасности столкнулось с множеством крупных уязвимостей нулевого дня в платформах, которые могут быть использованы даже неаутентифицированными пользователями. Поэтому для любого приложения, доступного через публичную сеть, очень важно поддерживать платформу и зависимости в актуальном состоянии с помощью самых последних исправлений безопасности. Поэтому нанимать постоянных сотрудников службы безопасности просто необходимо.
Уязвимости платформы
Подавляющее большинство кода, поддерживающего любое современное приложение, исходит от базовой платформы (платформ) и других зависимостей. Уязвимость, найденная в платформе или зависимостях, является уязвимостью в приложении. Поскольку потенциальная награда высока, количество работы, вложенной угрожающими субъектами в поиск уязвимостей платформы, огромно, поэтому вы можете ожидать постоянного обнаружения уязвимостей в вашем стеке.
Подписка ZenVPN
Одноразовая настройка
Настройка ограничения доступа на основе IP-адресов - довольно простая задача для большинства платформ, требующая порядка 1 часа работы системного администратора.
Охраняемый периметр
Обычное недоверие
Нулевое доверие + ограничение IP-адресов

Как показывает приведенная выше визуализация, использование ограничения доступа на основе IP-адресов вместе с ZenVPN может стать эффективным решением для предоставления удаленным сотрудникам доступа к внутренним приложениям, которое обеспечивает достаточно жесткую защиту и при этом легко вписывается в ограничения бюджета малого бизнеса.

Тематические исследования

Разверните контроль доступа на основе IP-адресов для ваших приложений с помощью ZenVPN

Настроить эту схему с ZenVPN легко, как дышать. А в более технических вопросах вам поможет наша служба поддержки.

  • 1. Зарегистрируйте учетную запись ZenVPN

    Создайте учетную запись и выберите план подписки.

  • 2. Пригласите членов своей команды

    Создайте команду в своем аккаунте ZenVPN и пригласите своих коллег по адресам электронной почты.

  • 3. Выделите выделенный сервер

    Выберите центр обработки данных и создайте свой выделенный VPN-сервер. Мы подготовим его менее чем за 5 минут.

  • 4. Внедрите в свои системы белые списки на основе IP-адресов

    Ограничьте доступ к своим приложениям IP-адресом, который вы получили на предыдущем шаге. Мы предлагаем плагины для многих популярных платформ, чтобы сделать это еще проще.

Начните прямо сейчас

Еще не готовы? Закажите демонстрацию!