Czym jest perymetr definiowany programowo (SDP) i jak działa autoryzacja jednopakietowa?

Architektura perymetru definiowanego programowo (SDP) domyślnie czyni całą infrastrukturę niewidoczną: hosty nie odpowiadają na nieuwierzytelnione próby połączenia, nie pojawiają się w DNS ani tablicach routingu dostępnych dla niezaufanych sieci i odrzucają wszystkie pakiety, które nie niosą prawidłowego pukania autoryzacji jednopakietowej (SPA). SPA polega na tym, że klient wysyła kryptograficznie podpisany pakiet UDP — niosący tożsamość, znacznik czasu, jednorazowy nonce oraz żądaną usługę — do kontrolera SDP, zanim podjęta zostanie jakakolwiek próba połączenia TCP. Kontroler weryfikuje podpis pukania i, jeśli polityka na to pozwala, instruuje bramę SDP, aby otworzyła regułę zapory dla danej sesji dla adresu IP tego klienta i konkretnego portu docelowego. Ponieważ brama milczy przed pukaniem, skanery sieciowe i zautomatyzowane narzędzia eksploitujące w ogóle nie mogą wykryć powierzchni infrastruktury.

Jak wdraża się ZTNA w środowiskach odseparowanych (air-gapped) lub niejawnych?

Wdrożenia ZTNA w środowiskach odseparowanych zastępują chmurowe płaszczyzny sterowania kontrolerami lokalnymi lub działającymi w enklawie, które funkcjonują w całości w obrębie granicy sieci niejawnej. Kontroler SDP, dostawca tożsamości i silnik polityk są wdrożone jako utwardzone kontenery lub maszyny wirtualne wewnątrz enklawy. Agenci stanu urządzeń są rejestrowani i zarządzani za pośrednictwem wewnętrznego PKI, z certyfikatami wystawianymi przez urząd certyfikacji enklawy. Ponieważ nie ma łączności z internetem, kanały informacji o zagrożeniach i kontrole unieważnień certyfikatów, które zależą od zewnętrznej łączności, muszą być wstępnie buforowane lub zastąpione lokalnie utrzymywanymi odpowiednikami. Fundamentalna architektura — niewidoczna infrastruktura, pukania SPA, ocena polityki dla każdej sesji, pośredniczenie aplikacyjne świadome tożsamości — pozostaje identyczna; zmienia się jedynie model hostingu płaszczyzny sterowania.

Secure Cloud & Infrastructure

Alternatywy zero trust dla VPN w obronności: ZTNA, perymetry definiowane programowo i proxy świadome tożsamości

Autor: Zespół inżynieryjny Corvus Intelligence · O zespole →

19 czerwca 2026 9 min czytania

Starsze rozwiązania VPN zaprojektowano dla perymetru sieciowego, który już nie istnieje. Gdy każda aplikacja działała wewnątrz centrum danych, a każdy użytkownik siedział przy zarządzanej stacji roboczej w znanej podsieci, przyznawanie szerokiego dostępu tunelowego do sieci korporacyjnej było uzasadnioną postawą. Nowoczesne architektury obronne — z obciążeniami rozproszonymi w lokalnych enklawach, niejawnej chmurze, wysuniętych węzłach i mobilnych stanowiskach dowodzenia — czynią ten model nie tylko nieefektywnym, ale wręcz aktywnie niebezpiecznym. Koncentrator VPN staje się pojedynczym punktem ryzyka ruchu bocznego: jedno skompromitowane poświadczenie lub błędnie skonfigurowany tunel daje przeciwnikowi ten sam domyślny dostęp na warstwie sieciowej, jaki posiada uprawniony pracownik wewnętrzny. Architektura zero trust dla sieci wojskowych oferuje zasadniczo odmienny model, a niniejszy artykuł analizuje konkretne komponenty, które w praktyce zastępują VPN: Zero Trust Network Access, perymetry definiowane programowo oraz proxy świadome tożsamości.

Dlaczego starsze rozwiązania VPN zawodzą w nowoczesnych architekturach obronnych

Architektoniczna porażka starszych rozwiązań VPN w kontekstach obronnych nie wynika przede wszystkim z podatności samego protokołu VPN — tunelowanie IPsec i TLS pozostaje kryptograficznie solidne. Porażka tkwi w modelu dostępu, który VPN wymusza. Gdy użytkownik uwierzytelni się do koncentratora VPN, powstały tunel daje osiągalność na warstwie sieciowej do całej podsieci lub VLAN. VPN nie wie, do której konkretnej aplikacji użytkownik zamierza dotrzeć, nie ocenia kondycji łączącego się urządzenia ani nie stosuje polityki dla danej sesji opartej na wrażliwości żądanego zasobu. Każda sesja otrzymuje to samo domyślne zaufanie, gdy tylko przejdzie początkowa weryfikacja poświadczenia.

W operacyjnych środowiskach obronnych ten płaski model zaufania tworzy konkretne ryzyko. Skompromitowane urządzenia końcowe — laptopy odzyskane przez przeciwników, poświadczenia wydobyte od pojmanego personelu — niosą te same uprawnienia dostępu VPN, co urządzenia operacyjne w dobrej kondycji. Konfiguracje split-tunnel, wprowadzane w celu zmniejszenia zużycia pasma w wysuniętych bazach operacyjnych, tworzą asymetrie routingu, których zespoły bezpieczeństwa nie potrafią w pełni audytować. A gdy same koncentratory VPN niosą niezałatane podatności, wystawiona powierzchnia ataku jest bramą do całego chronionego segmentu sieci, a nie do pojedynczej aplikacji. Kilka głośnych włamań do sieci wykonawców obronnych przebiegło dokładnie według tego wzorca: początkowy dostęp przez podatność koncentratora VPN, a następnie ruch boczny przez podsieci, którym model VPN domyślnie ufał.

Tempo operacyjne dodaje drugą warstwę tarcia. Przydzielenie dostępu VPN nowemu wykonawcy, rozmieszczonej jednostce lub partnerowi koalicyjnemu wymaga ręcznych zmian reguł zapory i przypisań grup VPN. Odebranie dostępu po zakończeniu zaangażowania wymaga procesu odwrotnego. W środowisku zagrożenia, gdzie dostęp powinien być przyznawany na czas trwania konkretnego zadania i natychmiast odbierany po jego zakończeniu, gruboziarnistość zarządzania dostępem VPN tworzy zarówno nadmiernie uprzywilejowany dostęp stały, jak i czasochłonny narzut administracyjny. Argument operacyjny za zastąpieniem VPN dotyczy w równym stopniu zwinności dostępu, co postawy bezpieczeństwa.

Architektura Zero Trust Network Access (ZTNA): zasady i komponenty

Zero Trust Network Access (ZTNA) to wzorzec architektoniczny, który bezpośrednio zastępuje VPN w łączności użytkownik-aplikacja. Podstawowa zasada brzmi, że żadne połączenie nie jest zaufane na mocy lokalizacji sieciowej. Każda sesja — niezależnie od tego, czy pochodzi ze stacji roboczej wewnątrz centrum danych, czy z tabletu w wysuniętej bazie operacyjnej — musi przedstawić zweryfikowaną tożsamość, atestację stanu urządzenia i wystarczające uzasadnienie kontekstowe, zanim silnik polityk autoryzuje dostęp do konkretnej aplikacji. Tunel VPN zostaje zastąpiony połączeniem ograniczonym do sesji i do aplikacji, w którym pośredniczy brama ZTNA wymuszająca decyzję polityki.

Architektura ZTNA ma cztery podstawowe komponenty. Dostawca tożsamości (IdP) wystawia kryptograficzne potwierdzenie tożsamości, które użytkownik wnosi do sesji. We wdrożeniach obronnych jest to zazwyczaj system oparty na PKI, wykorzystujący karty inteligentne, tokeny sprzętowe lub klucze FIDO2 — a nie poświadczenia oparte wyłącznie na hasłach. Silnik polityk ocenia oświadczenie tożsamości, sygnały stanu urządzenia i atrybuty żądania dostępu względem zestawu reguł polityki, aby wytworzyć decyzję zezwolenia lub odmowy. Brama ZTNA wymusza tę decyzję na warstwie sieciowej, pośrednicząc wyłącznie w autoryzowanych sesjach aplikacyjnych i odrzucając cały pozostały ruch. Agent stanu urządzenia, działający na punkcie końcowym, zbiera i atestuje sygnały kondycji wymagane przez silnik polityk. Te cztery komponenty współdziałają w sekwencji, która wytwarza ograniczony czasowo i ograniczony do aplikacji token dostępu dla każdej autoryzowanej sesji, zamiast trwałego tunelu sieciowego.

Praktycznym efektem jest mikrosegmentacja bez złożoności konfigurowania reguł zapory dla poszczególnych aplikacji w każdym segmencie sieci. Aplikacje nie są bezpośrednio osiągalne z żadnej sieci; cały ruch przepływa przez bramę ZTNA, która zna tożsamość każdej sesji, w której pośredniczy. Ta architektura jest szczegółowo opisana w kontekście architektury zero trust Corvus QUANTUM: projekt i komponenty, która implementuje pełny stos ZTNA dla obronnych wdrożeń chmurowych i lokalnych.

Perymetry definiowane programowo: autoryzacja jednopakietowa i projekt kontrolera

Perymetry definiowane programowo (SDP) rozszerzają zasadę ZTNA na warstwę wykrywania sieci: infrastruktura nie jest jedynie objęta kontrolą dostępu, ale uczyniona całkowicie niewidoczną dla nieuwierzytelnionych stron. Brama SDP nie odpowiada na pakiety TCP SYN, nie pojawia się w odpowiedziach DNS widocznych dla niezaufanych sieci i odrzuca cały ruch, który nie został poprzedzony prawidłowym pukaniem autoryzacji jednopakietowej (SPA). Z perspektywy skanera sieciowego lub zautomatyzowanego frameworku eksploitującego infrastruktura po prostu nie istnieje. Ta właściwość „ciemnej sieci” to definiująca cecha odróżniająca SDP od konwencjonalnej segmentacji wymuszanej zaporą, gdzie infrastruktura jest widoczna, nawet jeśli dostęp jest odmawiany.

Autoryzacja jednopakietowa działa poprzez precyzyjnie zdefiniowany uścisk dłoni. Klient SDP zbiera token tożsamości użytkownika, identyfikator żądanej usługi, znacznik czasu i jednorazowy nonce, podpisuje połączony ładunek kluczem prywatnym ze sprzętowego modułu bezpieczeństwa urządzenia lub TPM i przesyła podpisane pukanie jako pojedynczy datagram UDP do kontrolera SDP. Kontroler weryfikuje kryptograficzny podpis pukania względem zarejestrowanego klucza publicznego użytkownika, sprawdza znacznik czasu pod kątem ochrony przed powtórzeniem (zazwyczaj pięciosekundowe okno ważności), ocenia politykę dostępu dla żądanej usługi i, jeśli polityka na to pozwala, instruuje bramę SDP, aby otworzyła regułę zapory dla danej sesji dla tego konkretnego IP klienta i portu docelowego. Dopiero wtedy klient podejmuje próbę połączenia TCP. Obserwator monitorujący sieć widzi datagram pukania — który jest zaszyfrowany i nie niesie jawnego identyfikatora usługi — ale nie może go powtórzyć, nie może ustalić, jaka usługa została zażądana, ani nie może się połączyć bez prawidłowego poświadczenia tożsamości.

Projekt kontrolera to decyzja architektoniczna, która najbardziej wpływa na odporność operacyjną SDP. Pojedynczy scentralizowany kontroler jest pojedynczym punktem awarii dla całej płaszczyzny kontroli dostępu. Wdrożenia obronne zazwyczaj używają rozproszonego klastra kontrolerów z mechanizmem konsensusu (opartym na Raft lub Paxos), który toleruje utratę mniejszości węzłów. Dla jednostek wysuniętych, które muszą zachować zdolność dostępu podczas zakłóceń łączności, lokalną instancję kontrolera SDP można wdrożyć na brzegu sieci jednostki, synchronizowaną z kontrolerem centralnym, gdy łączność jest dostępna, i działającą autonomicznie na lokalnie buforowanym zrzucie polityki, gdy jej nie ma.

Proxy świadome tożsamości: wymuszanie polityki dostępu na warstwie aplikacji

Proxy świadome tożsamości (IAP) uzupełniają ZTNA i SDP, przenosząc punkt wymuszania dostępu z warstwy sieciowej na warstwę aplikacji. Tam, gdzie brama ZTNA kontroluje, czy sesja może dotrzeć do sieciowego punktu końcowego aplikacji, IAP terminuje sesję, inspekcjonuje protokół warstwy aplikacji, ocenia tożsamość i politykę oraz ponownie zestawia połączenie do zaplecza tylko wtedy, gdy autoryzacja dla danego żądania powiedzie się. IAP rozumie czasowniki HTTP, ścieżki URL, nazwy usług gRPC i podsystemy SSH — może wymuszać politykę dostępu z granularnością pojedynczych punktów końcowych API lub klas poleceń, a nie jedynie na poziomie aplikacji jako całości.

Dla aplikacji obronnych IAP zapewniają zdolność, której nie dają czyste kontrole na warstwie sieciowej: drobnoziarniste, audytowalne decyzje autoryzacyjne, rejestrowane ze zweryfikowaną tożsamością użytkownika, a nie z adresem źródłowym IP. IAP umieszczone przed niejawną usługą danych może wymusić, że analityk logistyki może odpytywać punkty końcowe odczytu, lecz nie zapisu, że tożsamość partnera koalicyjnego może uzyskać dostęp do jawnych obiektów danych, lecz spotka się z odmową przy żądaniu obiektów niejawnych, oraz że każdy dostęp do określonej kategorii danych wyzwala alert do zespołu operacji bezpieczeństwa. Te kontrole są niezależne od topologii sieci — zaplecze aplikacji nie musi być modyfikowane, aby je wymusić, i pozostają skuteczne nawet wtedy, gdy adres sieciowy punktu końcowego zmienia się z powodu roamingu lub łączności bez VPN.

IAP rozwiązuje też problem śladu audytowego, który nęka dzienniki dostępu oparte na IP. Ponieważ IAP uwierzytelnia każde żądanie i wstrzykuje zweryfikowane nagłówki tożsamości, które rejestruje zaplecze aplikacji, ślad audytowy wiąże każdy dostęp do danych z konkretną tożsamością użytkownika, a nie z adresem IP, który może być współdzielony, poddany NAT lub sfałszowany. Dla środowisk niejawnych podlegających wymogom audytowym ten dziennik dostępu przypisany do tożsamości stanowi znaczące usprawnienie operacyjne względem dzienników na poziomie sesji wytwarzanych przez koncentratory VPN.

Kluczowy wniosek: Najczęstszym błędnym przekonaniem we wdrożeniach ZTNA jest to, że weryfikacja tożsamości przy inicjacji sesji jest wystarczająca. W środowiskach obronnych, gdzie czas trwania sesji może obejmować godziny, a aktorzy zagrożeń mogą skompromitować sesję w trakcie jej trwania, ciągła ocena jest niezbędna. Prawidłowo zaprojektowany silnik polityk ZTNA ponownie ocenia stan urządzenia i świeżość tożsamości w konfigurowalnych odstępach — zazwyczaj co 15 do 60 minut — i kończy sesje, które przestają spełniać politykę stanu. Ten model ciągłego wymuszania jest tym, co oddziela autentyczny dostęp zero trust od VPN z lepszym frontonem uwierzytelniania.

Ocena stanu urządzenia: weryfikacja kondycji punktu końcowego przed przyznaniem dostępu

Ocena stanu urządzenia to mechanizm, za pomocą którego systemy ZTNA weryfikują, że łączący się punkt końcowy znajduje się w znanym dobrym stanie, zanim wystawią token dostępu. Ocena stanu zamyka wektor ataku, który pozostawia otwartym kontrola oparta wyłącznie na poświadczeniu sieciowym: prawidłowe poświadczenie na skompromitowanym urządzeniu. Agent stanu, zainstalowany na zarządzanej flocie punktów końcowych, zbiera sygnały atestujące stan bezpieczeństwa urządzenia i przekazuje je do silnika polityk jako część żądania autoryzacji sesji. Sygnały zazwyczaj obejmują wersję systemu operacyjnego i poziom poprawek, status oraz znacznik czasu ostatniego skanowania agenta wykrywania i reagowania na punktach końcowych (EDR), stan szyfrowania dysku, obecność i ważność certyfikatu rejestracji wystawionego przez PKI organizacji oraz brak znanych złośliwych procesów.

Projekt polityki stanu wymaga zrównoważenia rygoru bezpieczeństwa z ciągłością operacyjną. Polityka wymagająca aktualnej bazy sygnatur EDR odmówi dostępu punktom końcowym, które były offline w środowisku z odciętą łącznością i nie otrzymały ostatnich aktualizacji — scenariusz rutynowy dla rozmieszczonych jednostek obronnych. Wdrożenia obronne ZTNA zazwyczaj definiują warstwowe poziomy stanu: w pełni zarządzane urządzenie z aktualnymi poprawkami i aktywnym EDR otrzymuje nieograniczony dostęp do wszystkich autoryzowanych aplikacji; zarządzane urządzenie z przeterminowanymi sygnaturami EDR otrzymuje dostęp do ograniczonego zestawu aplikacji z wyłączeniem najwrażliwszych zasobów; niezarządzane urządzenie bez certyfikatu rejestracji nie otrzymuje dostępu lub dostęp ograniczony do portalu informacyjnego tylko do odczytu, do czasu ręcznego przeglądu. Ten model warstwowy zachowuje dostęp operacyjny dla rozmieszczonego personelu przy jednoczesnym utrzymaniu znaczącego wymuszania stanu.

Ciągła ponowna ocena stanu podczas aktywnych sesji adresuje scenariusz urządzenia, które przechodzi początkową kontrolę stanu, a następnie ulega pogorszeniu — ponieważ agent EDR zostaje ubity, ponieważ użytkownik instaluje nieautoryzowane oprogramowanie lub ponieważ opublikowano nową podatność o wysokiej wadze dotyczącą komponentu na urządzeniu. Agent stanu raportuje zmiany kondycji do silnika polityk w konfigurowalnym odstępie. Gdy silnik polityk odbierze sygnał stanu, który obniża urządzenie poniżej minimalnego poziomu wymaganego dla jego bieżącej sesji, unieważnia token dostępu i wymusza ponowne uwierzytelnienie. Zakończenie sesji jest rejestrowane wraz z konkretnym sygnałem stanu, który je wyzwolił, dając operacjom bezpieczeństwa precyzyjny zapis, kiedy i dlaczego dostęp został odebrany.

Wdrażanie ZTNA w środowiskach odseparowanych i niejawnych: ograniczenia i adaptacje

Implementacje ZTNA zaprojektowane dla środowisk korporacyjnych połączonych z internetem zakładają, że dostawca tożsamości, silnik polityk i kanały informacji o zagrożeniach, na których opiera się ocena stanu, są osiągalne przez publiczny internet lub szkielet chmurowy. Sieci odseparowane i niejawne narzucają inny zestaw ograniczeń: brak łączności z internetem, ścisłe wymogi diody danych lub rozwiązania międzydomenowego (CDS) na każdej zewnętrznej granicy oraz procesy akredytacyjne regulujące, które komponenty oprogramowania mogą działać w obrębie granicy klauzulowania. Ograniczenia te wymagają adaptacji architektonicznych, które zachowują model dostępu zero trust przy jednoczesnym wyeliminowaniu wszelkiej zależności od zewnętrznej łączności.

Główną adaptacją jest hostowanie wszystkich komponentów płaszczyzny sterowania ZTNA w obrębie granicy klauzulowania. Dostawca tożsamości, urząd certyfikacji wystawiający certyfikaty rejestracji urządzeń, silnik polityk, klaster kontrolerów SDP oraz wdrożenie IAP są obsługiwane jako lokalne obciążenia wewnątrz enklawy. Ponieważ nie ma zewnętrznej łączności PKI, unieważnianie certyfikatów musi być obsługiwane przez wewnętrznie hostowany responder OCSP lub regularnie dystrybuowaną listę unieważnień certyfikatów (CRL), aktualizowaną poprzez proces zarządzania zmianą enklawy. Kanały informacji o zagrożeniach, które zasilają politykę stanu — takie jak nowo opublikowane CVE dotyczące komponentów systemu operacyjnego — są pozyskiwane poprzez kontrolowany proces transferu w określonym rytmie aktualizacji, a nie w czasie rzeczywistym.

Drugim ograniczeniem jest proces rejestracji urządzeń. We wdrożeniach korporacyjnych ZTNA urządzenia są rejestrowane przez użytkownika odwiedzającego portal rejestracji hostowany przez IdP w internecie. W środowiskach odseparowanych rejestracja musi odbywać się poprzez proces w paśmie: urządzenie jest podłączane do dedykowanego segmentu sieci rejestracyjnej, agent PKI jest instalowany, a certyfikat rejestracji wystawiany, po czym urządzenie jest ponownie podłączane do sieci operacyjnej. Proces ten musi być udokumentowany i egzekwowany w pakiecie akredytacyjnym, a segment sieci rejestracyjnej musi być odizolowany od ruchu operacyjnego, aby zapobiec wykorzystaniu wystawiania certyfikatów jako wektora ataku. Wzorce utwardzania dla obronnych obciążeń Kubernetes, które hostują komponenty płaszczyzny sterowania ZTNA, stosują tę samą zasadę izolacji i minimalnej ekspozycji interfejsów zarządzania klastrem.

Ścieżka migracji: przejście ze starszego VPN do ZTNA bez przerwy w usługach

Migracja ze starszego VPN do ZTNA rzadko jest pojedynczym zdarzeniem przełączenia w środowiskach obronnych. Różnorodność aplikacji, heterogeniczność floty punktów końcowych oraz operacyjna krytyczność ciągłego dostępu sprawiają, że jedynym realistycznym podejściem migracyjnym jest etapowe działanie równoległe. Migracja przebiega w pięciu fazach, które stopniowo przesuwają grupy aplikacji z dostępu pośredniczonego przez VPN do dostępu wymuszanego przez ZTNA, zachowując ciągłą dostępność operacyjną.

Pierwszą fazą jest kompleksowa inwentaryzacja obecnego użycia VPN: którzy użytkownicy uzyskują dostęp do których aplikacji, przez które protokoły, z których typów urządzeń i w których okresach operacyjnych. Ta inwentaryzacja ujawnia zależności, które nie są oczywiste z diagramów sieci — aplikacje używające tunelu VPN do uwierzytelniania usługa-usługa, starsze systemy wiążące kontrolę dostępu z adresami źródłowymi IP oraz zautomatyzowane procesy używające poświadczeń VPN do zaplanowanych zadań. Te ukryte zależności stają się blokadami migracji, które muszą zostać rozwiązane, zanim odpowiadającą aplikację będzie można przenieść za bramę ZTNA. Działanie w trybie cienia — uruchomienie silnika polityk ZTNA w trybie wyłącznie rejestrującym przy aktywnym VPN — ujawnia te zależności bez zakłócania operacji, zazwyczaj wymagając dwóch do czterech tygodni obserwacji na grupę aplikacji, zanim polityka będzie wystarczająco kompletna, by jej zaufać.

Stopniowe przełączanie przebiega od grup aplikacji o najniższej do najwyższej krytyczności. Każda grupa jest przełączana w oknie serwisowym: trasy split-tunnel VPN dla podsieci danej aplikacji są usuwane, brama ZTNA staje się jedyną ścieżką dostępu, po czym następuje wzmożony okres monitorowania, aby wychwycić wszelkie awarie dostępu, które umknęły obserwacji w trybie cienia. Ostatnią fazę — wycofanie koncentratorów VPN — powinien poprzedzać pełny przegląd dostępu potwierdzający, że żadna aplikacja nie pozostaje osiągalna poprzez pozostały dostęp tunelem VPN i że wszystkie dzienniki dostępu sesji niosą teraz tożsamość użytkownika, a nie IP tunelu jako podstawowy identyfikator dostępu. Operacyjnym rezultatem jest sieć, w której każda sesja aplikacyjna jest przypisywalna do zweryfikowanej tożsamości, stan kondycji każdego punktu końcowego jest ciągle atestowany, a ścieżki ruchu bocznego, które tworzyła topologia starszego VPN, już nie istnieją.

Zastąp perymetry VPN wymuszaniem dostępu świadomym tożsamości

Corvus QUANTUM implementuje kontrole dostępu zero trust na warstwie sieciowej, zastępując perymetry starszych rozwiązań VPN wymuszaniem dostępu świadomym tożsamości i weryfikującym stan urządzenia w obronnych wdrożeniach chmurowych i lokalnych.

Poznaj Corvus QUANTUM → Umów odprawę

Niniejszą analizę przygotowali inżynierowie Corvus Intelligence, którzy budują krytyczną dla misji infrastrukturę bezpiecznej chmury i dostępu sieciowego dla organizacji obronnych i rządowych. Poznaj nasz zespół →

Najczęściej zadawane pytania

Czym jest Zero Trust Network Access (ZTNA) i czym różni się od VPN?

Zero Trust Network Access (ZTNA) zastępuje model VPN „najpierw połącz, potem uwierzytelnij” ciągłą weryfikacją tożsamości, stanu urządzenia i kontekstu żądania dla każdej sesji, zanim zostanie przyznany jakikolwiek dostęp do zasobu. VPN tworzy szeroki tunel sieciowy, który po jego zestawieniu daje podłączonemu punktowi końcowemu boczny dostęp do całych podsieci. ZTNA natomiast pośredniczy w każdej pojedynczej sesji aplikacyjnej poprzez silnik polityk, który ocenia oświadczenia tożsamości, sygnały kondycji urządzenia i atrybuty kontekstowe, zanim autoryzuje konkretne połączenie. Nie istnieje trwały tunel na warstwie sieciowej, nie ma domyślnego zaufania rozszerzonego na podsieć punktu końcowego ani ścieżki ruchu bocznego dla atakującego, który skompromituje pojedyncze poświadczenie sesji.

Czym jest perymetr definiowany programowo i jak działa autoryzacja jednopakietowa?

Perymetr definiowany programowo (SDP) domyślnie czyni całą infrastrukturę niewidoczną: hosty nie odpowiadają na nieuwierzytelnione próby połączenia, nie pojawiają się w DNS ani tablicach routingu dostępnych dla niezaufanych sieci i odrzucają wszystkie pakiety, które nie niosą prawidłowego pukania autoryzacji jednopakietowej (SPA). SPA polega na tym, że klient wysyła kryptograficznie podpisany pakiet UDP — niosący tożsamość, znacznik czasu, nonce i żądaną usługę — do kontrolera SDP, zanim podjęta zostanie jakakolwiek próba połączenia TCP. Kontroler weryfikuje podpis pukania i, jeśli polityka na to pozwala, instruuje bramę, aby otworzyła regułę zapory dla danej sesji dla IP tego klienta i konkretnego portu docelowego. Ponieważ brama milczy przed pukaniem, skanery sieciowe i zautomatyzowane narzędzia eksploitujące w ogóle nie mogą wykryć infrastruktury.

Czym jest proxy świadome tożsamości i dlaczego stosuje się je w środowiskach obronnych?

Proxy świadome tożsamości (IAP) znajduje się pomiędzy użytkownikami a zapleczami aplikacji, terminując każde połączenie i ponownie zestawiając je dopiero po zweryfikowaniu tożsamości żądającego i ocenie polityki regulującej, do czego ta tożsamość może uzyskać dostęp. W przeciwieństwie do VPN, IAP działa na warstwie aplikacji: rozumie HTTP, gRPC i SSH, może wymuszać polityki dostępu na poziomie pojedynczego URL lub RPC oraz może wstrzykiwać uwierzytelnione nagłówki tożsamości, których zaplecza używają do drobnoziarnistej autoryzacji. W środowiskach obronnych IAP są cenne, ponieważ oddzielają decyzję o dostępie od topologii sieci, pozwalając hostować niejawne obciążenia w infrastrukturze chmurowej lub hybrydowej bez wystawiania ich na ruch boczny przez szeroki tunel VPN.

Jak działa ocena stanu urządzenia we wdrożeniu ZTNA?

Ocena stanu urządzenia zbiera sygnały z łączącego się punktu końcowego — wersję systemu, poziom poprawek, status agenta EDR, stan szyfrowania dysku i obecność certyfikatu — i ocenia je względem polityki stanu, zanim silnik polityk ZTNA wystawi token dostępu. Kontrola stanu uruchamia się przy inicjacji sesji oraz, w modelach oceny ciągłej, w konfigurowalnych odstępach przez cały czas trwania sesji. Jeśli stan urządzenia pogorszy się podczas sesji — ponieważ agent EDR zostanie ubity lub certyfikat wygaśnie — sesja zostaje zakończona, a użytkownik musi ponownie uwierzytelnić się ze zgodnym urządzeniem. Wdrożenia obronne zazwyczaj definiują warstwowe poziomy stanu, które zachowują dostęp dla rozmieszczonego personelu przy jednoczesnym utrzymaniu znaczącego wymuszania.

Jak wdraża się ZTNA w środowiskach odseparowanych lub niejawnych?

Wdrożenia ZTNA w środowiskach odseparowanych hostują wszystkie komponenty płaszczyzny sterowania — dostawcę tożsamości, urząd certyfikacji, silnik polityk, klaster kontrolerów SDP i IAP — w obrębie granicy klauzulowania jako lokalne obciążenia. Unieważnianie certyfikatów obsługuje wewnętrznie hostowany responder OCSP lub regularnie dystrybuowana lista CRL. Kanały informacji o zagrożeniach zasilające politykę stanu są pozyskiwane poprzez kontrolowany proces transferu w określonym rytmie aktualizacji. Rejestracja urządzeń odbywa się poprzez proces w paśmie na dedykowanym segmencie sieci rejestracyjnej, odizolowanym od ruchu operacyjnego. Fundamentalna architektura — niewidoczna infrastruktura, pukania SPA, ocena polityki dla każdej sesji, pośredniczenie aplikacyjne świadome tożsamości — pozostaje identyczna jak we wdrożeniach połączonych z internetem; zmienia się jedynie model hostingu płaszczyzny sterowania.