Model keamanan jaringan tradisional – dengan perimeter yang aman dan saluran terenkripsi untuk akses eksternal ke perimeter itu – akan terpisah di jahitan. Layanan cloud dan kerja jarak jauh telah menantang gagasan “perimeter”, sementara metode utama mengakses perimeter – VPN – dalam beberapa tahun terakhir menjadi vektor serangan utama bagi penyusup. Banyak peretasan profil tinggi dimulai mengeksploitasi kerentanan Dalam Solusi VPN: CVE-2023-46805, CVE-2024-21887 dan CVE-2024-21893 di Ivanti Connect Secure, dan CVE-2023-4966 dalam Solusi Citrix. Dengan mengkompromikan server VPN, yang perlu diakses secara online, penyusup mendapatkan akses istimewa ke jaringan internal perusahaan dan banyak ruang untuk pengembangan serangan rahasia.
Aplikasi server dan perusahaan sering dikonfigurasi untuk dipercaya-dan dapat diakses-semua host berbasis intranet, membuatnya lebih mudah untuk menemukan dan mengeksploitasi kerentanan baru, dan mengekstrak, mengenkripsi, atau menghancurkan data penting.
Seringkali, akses VPN diberikan kepada kontraktor perusahaan juga. Jika seorang kontraktor melanggar persyaratan keamanan informasi sambil diberikan akses VPN standar dengan hak istimewa yang luas di jaringan perusahaan, penyerang dapat menembus jaringan dengan mengkompromikan kontraktor, dan mendapatkan akses ke informasi melalui akun dan hak istimewa yang terakhir. Dan aktivitas mereka bisa luput dari perhatian untuk waktu yang lama.
Solusi radikal untuk masalah keamanan jaringan ini membutuhkan pendekatan baru dalam hal organisasi jaringan – yang mana setiap koneksi jaringan dianalisis secara rinci, dan kredensial dan hak akses peserta diperiksa. Salah satu dari mereka yang tidak memiliki izin eksplisit untuk bekerja dengan sumber daya tertentu ditolak aksesnya. Pendekatan ini berlaku untuk layanan jaringan internal serta yang publik dan berbasis cloud. Tahun lalu, agen cybersecurity di Amerika Serikat, Kanada dan Selandia Baru dirilis Panduan Bersama tentang cara bermigrasi ke model keamanan ini. Ini terdiri dari alat dan pendekatan berikut.
Nol kepercayaan
Model Nol Trust berupaya mencegah akses yang tidak sah ke data dan layanan melalui kontrol akses granular. Setiap permintaan untuk akses ke sumber daya atau layanan mikro dianalisis secara terpisah, dan keputusan tersebut didasarkan pada model akses berbasis peran dan prinsip hak istimewa yang paling sedikit. Selama operasi, setiap pengguna, perangkat, dan aplikasi harus menjalani otentikasi dan otorisasi reguler – proses yang, tentu saja, membuat tidak terlihat oleh pengguna dengan cara teknis. Lihat kami posting khusus Untuk informasi lebih lanjut tentang nol kepercayaan dan implementasinya.
EDGE SERVICE SEVENT
Secure Service Edge (SSE) adalah satu set alat untuk mengamankan aplikasi dan data terlepas dari lokasi pengguna dan perangkat mereka. SSE membantu menerapkan nol kepercayaan, beradaptasi dengan realitas infrastruktur cloud hybrid, melindungi aplikasi SaaS, dan menyederhanakan verifikasi pengguna. Komponen SSE termasuk Zero Trust Network Access (ZTNA), Cloud Secure Web Gateway (CSWG), Cloud Access Security Broker (CASB) dan Firewall-as-A-Service (FWAAS).
Zero Trust Network Access
ZTNA menyediakan akses jarak jauh yang aman ke data dan layanan perusahaan berdasarkan kebijakan akses yang ditentukan secara ketat sesuai dengan prinsip nol kepercayaan. Bahkan jika pengganggu mengkompromikan perangkat karyawan, kemampuan mereka untuk mengembangkan serangan terbatas. Untuk ZTNA, aplikasi agen digunakan yang memeriksa identitas pengguna atau layanandan mengakses hak, kemudian mencocokkannya dengan kebijakan dan tindakan yang diminta pengguna. Faktor -faktor lain yang dapat dipantau adalah tingkat keamanan perangkat klien (versi perangkat lunak, pembaruan basis data solusi keamanan), lokasi klien, dan sejenisnya. Agen juga dapat digunakan Otentikasi multifaktor. Reatentikasi berkala terjadi selama sesi pengguna. Jika pengguna membutuhkan akses ke sumber daya dan aplikasi baru, proses otentikasi dan otorisasi diulang secara penuh. Namun, tergantung pada pengaturan solusi, ini mungkin transparan untuk pengguna.
Cloud Secure Web Gateway
CSWG melindungi pengguna dan perangkat dari ancaman online dan membantu menegakkan kebijakan jaringan. Fitur termasuk memfilter koneksi web berdasarkan URL dan konten, mengendalikan akses ke layanan web, dan menganalisis koneksi TLS/SSL terenkripsi. Ini juga terlibat dalam otentikasi pengguna dan memberikan analitik tentang penggunaan aplikasi web.
Pialang Keamanan Akses Cloud
CASB membantu menegakkan kebijakan akses untuk aplikasi Cloud SaaS – menjembatani mereka kepada penggunanya, serta mengelola data yang ditransfer antara berbagai layanan cloud. Hal ini memungkinkan untuk mendeteksi ancaman yang menargetkan layanan cloud dan upaya yang tidak sah untuk mengakses data cloud, serta membawa kendali berbagai aplikasi SaaS di bawah satu kebijakan keamanan.
Firewall-as-a-service
FWAAS berbasis cloud melakukan fungsi firewall tradisional-kecuali bahwa analisis lalu lintas dan penyaringan terjadi di cloud alih-alih pada perangkat terpisah di kantor perusahaan. Selain kenyamanan skalabilitas, FWAA memudahkan untuk melindungi infrastruktur terdistribusi yang terdiri dari cloud dan pusat data, kantor, dan cabang di tempat.
EDGE LAYANAN AKSES ACCESS
Menggabungkan jaringan yang ditentukan perangkat lunak (SD-WAN) Dengan fungsionalitas SSE penuh, SASE memberikan integrasi kontrol jaringan dan manajemen keamanan yang paling efektif. Ada beberapa keuntungan bagi perusahaan dalam hal tidak hanya keamanan, tetapi juga efisiensi biaya:
- Mengurangi biaya pengaturan jaringan terdistribusi dan menggabungkan berbagai saluran komunikasi untuk meningkatkan kecepatan dan keandalan
- Mengambil keuntungan dari manajemen jaringan terpusat, visibilitas tinggi, dan kemampuan analisis yang luas
- Biaya administrasi yang lebih rendah karena konfigurasi otomatis dan respons kegagalan
- Semua fungsi SSE (SWG, CASB, ZTNA, NGFW) dapat diintegrasikan ke dalam solusi, memberikan pembela visibilitas penuh dari semua server, layanan, pengguna, port, dan protokol – ditambah aplikasi otomatis kebijakan keamanan saat menggunakan layanan baru atau segmen jaringan atau segmen jaringan atau segmen jaringan atau segmen jaringan atau segmen jaringan atau segmen jaringan atau segmen jaringan atau segmen jaringan atau segmen jaringan –
- Menyederhanakan administrasi dan penegakan kebijakan dengan antarmuka manajemen terpusat
Arsitektur SASE memungkinkan semua lalu lintas dialihkan secara dinamis dan otomatis, dengan mempertimbangkan kecepatan, keandalan, dan persyaratan keamanan. Dengan persyaratan keamanan informasi yang terintegrasi jauh ke dalam arsitektur jaringan, ada kontrol granular atas semua acara jaringan – lalu lintas diklasifikasikan dan diperiksa di berbagai tingkatan, termasuk tingkat aplikasi. Ini memberikan kontrol akses otomatis sebagaimana ditentukan oleh nol kepercayaan, dengan granularity meluas ke fungsi aplikasi tunggal dan hak pengguna dalam konteks saat ini.
Penggunaan platform tunggal secara dramatis meningkatkan kinerja pemantauan dan mempercepat dan meningkatkan respons insiden. SASE juga menyederhanakan pembaruan dan manajemen umum perangkat jaringan, yang merupakan manfaat keamanan lainnya.
Teknis Migrasi
Menyebarkan solusi di atas akan membantu perusahaan Anda menggantikan pendekatan “perimeter tradisional di balik firewall plus VPN” dengan model yang lebih aman, dapat diskalakan, dan hemat biaya, yang faktor-faktor dalam solusi cloud dan mobilitas karyawan. Pada saat yang sama, lembaga keamanan siber yang merekomendasikan serangkaian solusi ini memperingatkan bahwa setiap kasus memerlukan analisis mendalam tentang persyaratan perusahaan dan keadaan saat ini, ditambah analisis risiko dan rencana migrasi langkah demi langkah. Saat beralih dari VPN ke solusi berbasis SSE/SASE, Anda harus:
- Batasi akses yang ketat ke pesawat kontrol jaringan
- Memisahkan dan mengisolasi antarmuka untuk mengelola solusi dan jaringan
- Perbarui solusi VPN dan analisis telemetri secara rinci untuk mengesampingkan kemungkinan kompromi
- Menguji proses otentikasi pengguna dan mengeksplorasi cara untuk menyederhanakannya, seperti otentikasi terlebih dahulu
- Gunakan otentikasi multifaktor
- Menerapkan kontrol versi konfigurasi manajemen, dan melacak perubahan