Geekflare
[gtranslate]
Geekflare wordt ondersteund door ons publiek. We kunnen affiliate commissies verdienen met het kopen van links op deze site.
In Beveiliging  |  Laatst bijgewerkt: 23 september 2023
Deel op:
Invicti beveiligingsscanner voor webtoepassingen - de enige oplossing die automatische verificatie van kwetsbaarheden levert met Proof-Based Scanning™.

7 Zero Trust-toepassing- en netwerkoplossingen voor bedrijven

Door

De traditionele grenzen van netwerken zijn verdwenen. Toegang tot de applicaties en digitale middelen van een organisatie vindt van veraf plaats, en het controleren van die toegang wordt een serieuze uitdaging. De tijd dat netwerkgrenzen beschermd konden worden, ligt al lang achter ons. Nu is het tijd voor nieuwe zero-trust beveiligingsstrategieën.

Wanneer de digitale activa van een bedrijf lange afstanden moeten afleggen over de onveilige paden van het internet, staat er zoveel op het spel dat u niets of niemand kunt vertrouwen. Daarom moet u het zero-trust netwerkmodel gebruiken om de toegang van alle gebruikers tot alle netwerkbronnen te allen tijde te beperken.

In zero-trust netwerken wordt elke poging om toegang te krijgen tot een bron beperkt voor een gebruiker of een apparaat, ongeacht of ze eerder toegang hebben gehad tot dezelfde bron. Elke gebruiker of elk apparaat moet altijd een authenticatie- en verificatieproces doorlopen om toegang te krijgen tot bronnen, zelfs als ze zich fysiek binnen de organisatie bevinden. Deze authenticaties en verificaties moeten snel zijn om te voorkomen dat het beveiligingsbeleid de prestaties van de applicaties en de gebruikerservaring vermindert.

Zero-trust vs. VPN

Het zero-trust netwerkmodel vervangt het VPN-model dat traditioneel door bedrijven wordt gebruikt om hun werknemers op afstand toegang te geven tot hun digitale activa. VPN's worden vervangen omdat ze een grote tekortkoming hebben die zero-trust netwerken kunnen oplossen. Bij VPN's geeft elke inbreuk op het versleutelde kanaal dat een gebruiker met het netwerk van de organisatie verbindt, potentiële aanvallers onbeperkte toegang tot alle bedrijfsmiddelen die met het netwerk verbonden zijn.

Op oude, on-premise infrastructuren werkten VPN's goed, maar ze brengen meer risico's met zich mee dan oplossingen op cloud- of gemengde infrastructuren.

Zero-trust netwerken verhelpen deze tekortkoming van VPN's, maar voegen een potentieel nadeel toe: ze kunnen leiden tot extra complexiteit op het gebied van implementatie en onderhoud, omdat autorisaties up-to-date moeten worden gehouden voor alle gebruikers, apparaten en bronnen. Dit vergt extra werk, maar in ruil daarvoor krijgen IT-afdelingen meer controle over resources en minder kwetsbaarheden.

Gelukkig kunnen de voordelen van een zero-trust netwerk gerealiseerd worden zonder extra inspanningen voor onderhoud en implementatie, dankzij tools die netwerkbeheertaken automatiseren en ondersteunen. De hieronder besproken tools helpen u om zero-trust beleidsregels toe te passen met minimale inspanningen en kosten.

NordLayer

NordLayer biedt een adaptieve oplossing voor netwerktoegangsbeveiliging op basis van het Security Service Edge framework. Geleverd als Software as a Service (SaaS) netwerkbeveiligingsoplossing, belichaamt het de belangrijkste Zero Trust principes en biedt het veilige toegang op afstand, waardoor de risico's voor de organisatie geminimaliseerd worden.

YouTube video

Impliciet vertrouwen wordt verwijderd uit alle infrastructuur, waarbij gebruik wordt gemaakt van Secure Web Gateways als portalen naar het interne bedrijfsnetwerk. De link van het eindpunt van de gebruiker naar de SWG is versleuteld met AES 256-bit codering, terwijl de gateway zelf het ingestelde beveiligingsbeleid afdwingt om verschillende bedreigingen te voorkomen. Geen enkele onbewaakte verbinding zal langs de verdedigingsmechanismen van NordLayer sluipen.

Het verkeer tussen de SWG en het apparaat van de gebruiker wordt ook vergemakkelijkt door geavanceerde tunnelprotocollen zoals NordLynx (een eigen versie van WireGuard ontwikkeld door Nord Security). Ondertussen verhogen andere opties zoals IKEv2 en OpenVPN (UDP en TCP) versies de compatibiliteit tussen apparaten. Op die manier is het mogelijk om NordLayer op routers en andere hardwareapparaten in te stellen.

De identiteit van een gebruiker kan meerdere keren worden gecontroleerd voordat toegang wordt verkregen tot gevoelige gegevens of werkbronnen. NordLayer ondersteunt ook Single Sign-On (SSO) met Azure AD, OneLogin, Okta & G Suite, wat de overgang tussen uw huidige tools en het Zero Trust netwerk vergemakkelijkt. Door gebruik te maken van de mogelijkheden van cloud access security broker, verbetert NordLayer de zichtbaarheid van het netwerk en behoudt het een betere toegangscontrole tot kritieke bronnen van de organisatie.

De oplossing vereist ook niet dat bedrijven hun huidige tools overboord gooien - NordLayer kan worden gecombineerd met bestaande infrastructuur. Het product stelt geen limiet aan het aantal gebruikers, waardoor het zeer schaalbaar is zonder de abonnementsprijs drastisch te verhogen. Dit maakt gebruikerssegmentatie eenvoudiger en effectiever door een duidelijk overzicht van de netwerkdeelnemers te bieden. Bovendien kunnen licenties eenvoudig tussen gebruikers worden overgedragen, zodat ze kunnen worden aangepast aan de snelle dynamiek van de werkomgeving.

Omtrek 81

Omtrek 81 biedt twee benaderingen voor het beheren en veilig houden van de applicaties en netwerken van een organisatie, zowel op cloud- als on-premise omgevingen. De twee voorstellen beginnen met het aanbieden van zero-trust netwerken als een dienst. Hiervoor maakt Perimeter 81 gebruik van een softwaregedefinieerde perimeterarchitectuur, die veel flexibiliteit biedt om nieuwe gebruikers aan te nemen en meer zichtbaarheid in het netwerk biedt. Bovendien is de dienst compatibel met de belangrijkste cloudinfrastructuurproviders.

Zero Trust Application Access is gebaseerd op de aanname dat elk bedrijf kritieke applicaties en diensten heeft waar de meeste gebruikers geen toegang toe hoeven te hebben. De dienst maakt het mogelijk om barrières op te werpen voor specifieke gebruikers op basis van hun rollen, apparaten, locaties en andere identifiers.

Ondertussen gedefinieerd Zero Trust-netwerktoegang een segmentatie van het netwerk van de organisatie door middel van vertrouwenszones, waarmee vertrouwenslimieten kunnen worden ingesteld die de gegevensstroom op een hoog granulariteitsniveau controleren. Vertrouwde zones bestaan uit sets van infrastructuurelementen met bronnen die op hetzelfde vertrouwensniveau werken en vergelijkbare functionaliteit bieden. Dit vermindert het aantal communicatiekanalen en minimaliseert de kans op bedreigingen.

YouTube video

De Zero Trust Network Access (ZTNA)-service van Perimeter 81 biedt een compleet en gecentraliseerd overzicht van het netwerk van de organisatie en zorgt voor de laagst mogelijke geprivilegieerde toegang voor elke bron. De beveiligingsfuncties voldoen aan het SASE-model van Gartner, omdat beveiliging en netwerkbeheer worden verenigd op één enkel platform.

De twee Permiter 81-diensten zijn opgenomen in een prijsschema met een groot aantal opties. Deze opties variëren van een basisplan met de essentiële functies voor het beveiligen en beheren van een netwerk tot een bedrijfsplan dat onbeperkt kan schalen en 24/7 ondersteuning biedt.

Onlangs werd Perimeter 81 uitgeroepen tot ZTNA-leider.

ZScaler privétoegang

ZScaler privétoegang (ZPA) is een cloudgebaseerde, zero-trust netwerkservice die de toegang tot de privéapplicaties van een organisatie controleert, ongeacht of deze zich in een eigen datacenter of een publieke wolk bevinden. Met ZPA zijn applicaties volledig onzichtbaar voor onbevoegde gebruikers.

YouTube video

In ZPA wordt de verbinding tussen applicaties en gebruikers uitgevoerd volgens een inside-out strategie. In plaats van het netwerk uit te breiden met gebruikers (zoals bij een VPN zou moeten gebeuren), bevinden gebruikers zich nooit binnen het netwerk. Deze aanpak minimaliseert de risico's aanzienlijk door de verspreiding van malware en de risico's van zijwaartse beweging te voorkomen. Bovendien is het bereik van ZPA niet beperkt tot webtoepassingen, maar tot elke privétoepassing.

ZPA maakt gebruik van een microtunneltechnologie waarmee netwerkbeheerders het netwerk per toepassing kunnen segmenteren, zodat er geen kunstmatige segmentatie in het netwerk hoeft te worden gemaakt of controle kan worden toegepast door middel van firewallbeleid of het beheren van toegangscontrolelijsten (ACL's). De microtunnels maken gebruik van TLS-encryptie en aangepaste privésleutels die de beveiliging versterken bij de toegang tot bedrijfstoepassingen.

Dankzij de API en ML (machine learning) verbeteringen, kunnen IT-afdelingen met ZPA zero-trust mechanismen automatiseren door apps te ontdekken en er toegangsbeleid voor te creëren en door automatisch segmentatie te genereren voor elke verschillende app workload.

Cloudflare-toegang

Cloudflare's zero-trust netwerkservice wordt ondersteund door een eigen netwerk met toegangspunten verspreid over de hele wereld. Dit stelt IT-afdelingen in staat om snelle, veilige toegang te bieden tot alle bronnen van een organisatie - apparaten, netwerken en applicaties.

De service van Cloudflare vervangt traditionele, netwerkgerichte veiligheidsperimeters en gebruikt in plaats daarvan veilige toegang op korte afstand die optimale snelheid garandeert voor gedistribueerde werkgroepen.

Cloudflare's zero-trust toegang werkt overkoepelend voor applicaties in een organisatie en authenticeert gebruikers via haar eigen wereldwijde netwerk. Hierdoor kunnen IT-managers elke gebeurtenis en elke poging tot toegang tot een resource registreren. Daarnaast is het gemakkelijk om gebruikers te onderhouden en extra gebruikers toe te voegen.

Met Cloudflare Access kan de organisatie haar identiteit, beschermingsproviders, apparaathouding, locatievereisten per applicatie en zelfs haar bestaande cloudinfrastructuur onderhouden. Voor identiteitscontrole integreert Cloudflare met Azure AD, Okta, Ping en apparaatposture met Tanium, Crowdstrike en Carbon Black.

Cloudflare biedt een gratis versie van haar service die de belangrijkste tools biedt en waarmee u tot 50 gebruikers en applicaties kunt beschermen. U moet de betaalde versies van de service kiezen om op te schalen naar veel gebruikers of applicaties, die andere voordelen toevoegen zoals 24x7x365 telefonische en chatondersteuning.

Wandera

Wandera Privé Toegang zero-trust netwerkoplossing biedt snelle, eenvoudige en veilige externe toegang tot de applicaties van een organisatie, of deze nu in SaaS werken of intern zijn geïmplementeerd. De service onderscheidt zich door zijn eenvoud, met installatieprocedures die in enkele minuten kunnen worden voltooid en waarvoor geen gespecialiseerde hardware, certificaten of afmetingen nodig zijn.

Wandera Private Access biedt flexibiliteit voor gedistribueerde werkteams, die werken op heterogene platforms, met beheerde of eigen apparaten (BYOD). De oplossing biedt realtime inzicht in de toegang tot applicaties, identificeert schaduw-IT en beperkt automatisch de toegang vanaf geïnfecteerde of onveilige apparaten dankzij een risicobewust toegangsbeleid.

Met Wandera Private Access kunnen identiteitsgerichte beveiligingsmodellen worden geïmplementeerd, die ervoor zorgen dat alleen geautoriseerde gebruikers verbinding kunnen maken met de applicaties van de organisatie. Het gebruik van applicatiegebaseerde microtunnels verbindt gebruikers alleen met de applicaties waartoe zij gemachtigd zijn. De toepassing van het beveiligingsbeleid blijft consistent op alle infrastructuren, of het nu gaat om cloud-, datacenter- of SaaS-applicaties.

Het beveiligingssysteem van Wandera wordt aangedreven door een intelligente engine voor het opsporen van bedreigingen, MI:RIAM genaamd. Deze engine wordt dagelijks gevoed met de informatie die wordt geleverd door 425 miljoen mobiele sensoren, wat zorgt voor bescherming tegen het breedste scala aan bekende en zero-day bedreigingen.

Okta

Okta biedt een zero-trust beveiligingsmodel dat een breed scala aan diensten omvat, waaronder applicatie-, server- en API-bescherming; uniforme en veilige gebruikerstoegang tot on-prem en cloud applicaties; adaptieve, contextgebaseerde, multi-factor authenticatie en automatische off-boarding om risico's van weesaccounts te beperken.

Okta's universele directoryservice biedt een enkele, geconsolideerde weergave van elke gebruiker in een organisatie. Dankzij de integratie van gebruikersgroepen met AD en LDAP, en verbindingen met HR-systemen, SaaS-toepassingen en identiteitsproviders van derden, integreert Okta Universal Directory alle soorten gebruikers, of ze nu werknemers, partners, aannemers of klanten van het bedrijf zijn.

Okta onderscheidt zich door zijn API-beschermingsservice, omdat API's worden beschouwd als een nieuwe vorm van schaduw-IT. Okta's API-toegangsbeheer vermindert de uren van ontwerpen en toepassen van XML-gebaseerd beleid tot een kwestie van minuten, en vergemakkelijkt onboarding van nieuwe API's en integratie met partners voor het gebruik van API's. Okta's beleidsengine maakt het mogelijk om best practices in API-beveiliging te implementeren en integreert gemakkelijk met identiteitsframeworks zoals OAuth. API-autorisatiebeleidslijnen worden aangemaakt op basis van applicaties, gebruikerscontext en groepslidmaatschap om ervoor te zorgen dat alleen de juiste gebruikers toegang hebben tot elke API.

Okta's integratienetwerk vermijdt vendor lock-in en geeft organisaties de vrijheid om te kiezen uit meer dan 7.000 vooraf gebouwde integraties met cloud- en on-prem-systemen.

CrowdStrike Valk

De CrowdStrike Falcon Identiteitsbescherming zero-trust beveiligingsoplossing stopt snel beveiligingslekken als gevolg van gecompromitteerde identiteiten en beschermt identiteiten voor alle gebruikers, locaties en toepassingen in een organisatie met behulp van zero-trust beleidsregels.

YouTube video

Falcon Identity Protection is gericht op het verminderen van kosten en risico's en het verhogen van de ROI van gebruikte tools door het verminderen van technische resource vereisten en het elimineren van overbodige beveiligingsprocessen.

De uniforme controle van alle identiteiten maakt het gemakkelijk om strategieën voor voorwaardelijke toegang en adaptieve authenticatie te implementeren, en zorgt voor een betere gebruikerservaring en een grotere dekking van multi-factor authenticatie (MFA), zelfs voor legacy systemen.

De CrowdStrike oplossing voor externe toegang biedt volledig inzicht in de verificatieactiviteit van alle accounts en eindpunten, met onder andere locatiegegevens, bron/bestemming, type login (menselijke of dienstaccount). Op zijn beurt beschermt het netwerk tegen bedreigingen van binnenuit, zoals afgeschreven geprivilegieerde accounts, verkeerd toegewezen serviceaccounts, abnormaal gedrag en credentials die gecompromitteerd zijn door side-movement-aanvallen.

Door de integratie met bestaande beveiligingsoplossingen wordt de implementatie van Falcon Identity Protection in minimale tijd en zonder wrijving uitgevoerd. CrowdStrike biedt niet alleen directe integratie met beveiligingsoplossingen voor kritieke bedrijfsmiddelen, zoals CyberArk en Axonius, maar biedt ook hoogwaardige API's waarmee bedrijven met vrijwel elk systeem kunnen integreren.

Conclusie

Het nieuwe normaal lijkt te blijven, en IT-beheerders moeten eraan wennen. Werken op afstand zal een dagelijkse realiteit blijven, en organisatienetwerken zullen nooit meer duidelijk gedefinieerde grenzen hebben.

In deze context moeten IT-beheerders zo snel mogelijk zero-trust netwerk- en applicatieoplossingen implementeren als ze de kostbaarste digitale activa van hun organisaties niet in gevaar willen brengen.

  • Lakshman Sharma
    Auteur
Met dank aan onze sponsors
Meer geweldige lezingen over veiligheid
Energie voor uw bedrijf
Enkele van de tools en services om je bedrijf te helpen groeien.
  • Invicti
    Invicti maakt gebruik van Proof-Based Scanning™ om de geïdentificeerde kwetsbaarheden automatisch te verifiëren en binnen enkele uren bruikbare resultaten te genereren.
    Probeer Invicti
  • Brightdata
    Web scraping, residentiële proxy, proxy manager, web unlocker, zoekmachine crawler en alles wat je nodig hebt om webgegevens te verzamelen.
    Probeer Brightdata
  • maandag.nl
    Monday.com is een alles-in-één werk OS om je te helpen bij het beheren van projecten, taken, werk, verkoop, CRM, operaties, workflows en meer.
    Probeer maandag
  • Indringer
    Intruder is een online kwetsbaarhedenscanner die zwakke plekken in de cyberbeveiliging van uw infrastructuur vindt om kostbare datalekken te voorkomen.
    Probeer indringer