Alternative zero trust la VPN pentru apărare: ZTNA, perimetre definite prin software și proxy-uri conștiente de identitate

Q: Ce este un perimetru definit prin software (SDP) și cum funcționează autorizarea printr-un singur pachet?

O arhitectură de perimetru definit prin software (SDP) face întreaga infrastructură întunecată în mod implicit: gazdele nu răspund la tentativele de conectare neautentificate, nu apar în DNS sau în tabelele de rutare accesibile rețelelor neîncredere și abandonează toate pachetele care nu poartă o bătaie validă de autorizare printr-un singur pachet (SPA). SPA funcționează prin trimiterea de către client a unui pachet UDP semnat criptografic, care poartă identitatea, marca de timp, nonce-ul și serviciul solicitat, către controlerul SDP înainte de a se încerca orice conexiune TCP. Controlerul validează semnătura bătăii și, dacă politica permite, instruiește poarta SDP să deschidă o regulă de firewall per sesiune pentru IP-ul acelui client și portul de destinație specific. Deoarece poarta este tăcută înainte de bătaie, scanerele de rețea și instrumentele automate de exploatare nu pot descoperi deloc suprafața de infrastructură.

Q: Cum se implementează ZTNA în medii izolate (air-gapped) sau clasificate?

Implementările ZTNA izolate (air-gapped) înlocuiesc planurile de control găzduite în cloud cu controlere locale, on-premises sau în enclavă, care rulează în întregime în interiorul granitei rețelei clasificate. Controlerul SDP, furnizorul de identitate și motorul de politici sunt toate implementate ca containere sau mașini virtuale securizate în interiorul enclavei. Agenții de postură a dispozitivelor sunt înregistrați și gestionați printr-un PKI intern, cu certificate emise de autoritatea de certificare a enclavei. Deoarece nu există conectivitate la internet, fluxurile de informații despre amenințări și verificările de revocare a certificatelor care depind de conectivitatea externă trebuie să fie precachate sau înlocuite cu echivalente menținute local. Arhitectura fundamentală, adică infrastructura întunecată, bătăile SPA, evaluarea politicii per sesiune și medierea aplicațiilor conștientă de identitate, rămâne identică; se schimbă doar modelul de găzduire a planului de control.

De Echipa de inginerie Corvus Intelligence · Despre echipă →

19 iunie 2026 9 min de citit

VPN-urile clasice au fost concepute pentru un perimetru de rețea care nu mai există. Când fiecare aplicație trăia în interiorul unui centru de date și fiecare utilizator stătea la o stație de lucru gestionată pe o subrețea cunoscută, acordarea unui acces larg prin tunel la rețeaua corporativă era o postură justificabilă. Arhitecturile moderne de apărare, cu sarcini de lucru distribuite pe enclave on-premises, cloud clasificat, noduri avansate desfășurate și posturi de comandă mobile, fac acest model nu doar ineficient, ci activ periculos. Concentratorul VPN devine un singur punct de risc de mișcare laterală: o credențială compromisă sau un tunel configurat greșit acordă unui adversar același acces implicit la nivel de rețea pe care îl deține un membru legitim din interior. Arhitectura zero trust pentru rețelele militare oferă un model fundamental diferit, iar acest articol examinează componentele specifice care înlocuiesc VPN-ul în practică: Zero Trust Network Access, perimetrele definite prin software și proxy-urile conștiente de identitate.

De ce VPN-urile clasice eșuează în arhitecturile moderne de apărare

Eșecul arhitectural al VPN-urilor clasice în contextele de apărare nu este în primul rând o vulnerabilitate a protocolului VPN în sine, IPsec și tunelarea TLS rămânând solide din punct de vedere criptografic. Eșecul stă în modelul de acces pe care VPN-ul îl impune. Odată ce un utilizator se autentifică la concentratorul VPN, tunelul rezultat acordă accesibilitate la nivel de rețea către o subrețea sau un VLAN întreg. VPN-ul nu știe ce aplicație anume intenționează să atingă utilizatorul, nu evaluează sănătatea dispozitivului care se conectează și nu aplică o politică per sesiune bazată pe sensibilitatea resursei solicitate. Fiecare sesiune primește aceeași încredere implicită odată ce verificarea inițială a credențialei trece.

În mediile operaționale de apărare, acest model de încredere plată creează un risc concret. Dispozitivele finale compromise, precum laptopuri recuperate de adversari sau credențiale extrase de la personal capturat, poartă aceleași drepturi de acces VPN ca dispozitivele operaționale în stare bună. Configurațiile de split-tunnel, introduse pentru a reduce consumul de lățime de bandă la bazele de operare avansate (FOB), creează asimetrii de rutare pe care echipele de securitate nu le pot audita pe deplin. Iar atunci când concentratoarele VPN însele poartă vulnerabilități neactualizate, suprafața de atac expusă este poarta către întregul segment de rețea protejat, nu către o singură aplicație. Câteva intruziuni de notorietate în rețelele contractanților de apărare au urmat exact acest tipar: acces inițial printr-o vulnerabilitate a concentratorului VPN, urmat de mișcare laterală pe subrețele în care modelul VPN avea încredere implicită.

Ritmul operațional adaugă un al doilea strat de fricțiune. Provizionarea accesului VPN pentru un nou contractant, o unitate desfășurată sau un partener de coaliție necesită modificări manuale ale regulilor de firewall și alocări de grupuri VPN. Revocarea accesului la sfârșitul unei misiuni necesită procesul invers. Într-un mediu de amenințare în care accesul ar trebui acordat pe durata unei sarcini specifice și revocat imediat când acea sarcină se încheie, granularitatea grosieră a gestionării accesului VPN creează atât acces permanent supraprivilegiat, cât și o povară administrativă consumatoare de timp. Argumentul operațional pentru înlocuirea VPN-ului ține la fel de mult de agilitatea accesului pe cât ține de postura de securitate.

Arhitectura Zero Trust Network Access (ZTNA): principii și componente

Zero Trust Network Access (ZTNA) este tiparul arhitectural care înlocuiește direct VPN-ul pentru conectivitatea utilizator-la-aplicație. Principiul fundamental este că nicio conexiune nu este de încredere în virtutea locației de rețea. Fiecare sesiune, fie că provine de la o stație de lucru din interiorul centrului de date, fie de la o tabletă la o bază de operare avansată, trebuie să prezinte o identitate verificată, o atestare a posturii dispozitivului și o justificare contextuală suficientă înainte ca motorul de politici să autorizeze accesul la o aplicație specifică. Tunelul VPN este înlocuit de o conexiune per sesiune, limitată la aplicație, mediată de o poartă ZTNA care impune decizia de politică.

Arhitectura ZTNA are patru componente de bază. Furnizorul de identitate (IdP) emite aserțiunea criptografică de identitate pe care utilizatorul o poartă în sesiune. În implementările de apărare, acesta este de obicei un sistem susținut de PKI care folosește smart-carduri, tokenuri hardware sau chei FIDO2, nu credențiale doar pe bază de parolă. Motorul de politici evaluează revendicarea de identitate, semnalele posturii dispozitivului și atributele cererii de acces față de un set de reguli de politică pentru a produce o decizie de permitere sau refuz. Poarta ZTNA impune acea decizie la nivel de rețea, proxând doar sesiunile de aplicație autorizate și abandonând tot celălalt trafic. Agentul de postură a dispozitivului, care rulează pe punctul final, colectează și atestă semnalele de sănătate cerute de motorul de politici. Aceste patru componente interacționează într-o secvență care produce un token de acces limitat în timp și restrâns la aplicație pentru fiecare sesiune autorizată, mai degrabă decât un tunel de rețea persistent.

Efectul practic este microsegmentarea fără complexitatea configurării regulilor de firewall per aplicație pe fiecare segment de rețea. Aplicațiile nu sunt direct accesibile din nicio rețea; tot traficul trece prin poarta ZTNA, care cunoaște identitatea fiecărei sesiuni pe care o proxează. Această arhitectură este descrisă în detaliu în contextul arhitecturii zero trust Corvus QUANTUM: proiectare și componente, care implementează întregul stack ZTNA pentru implementările de apărare în cloud și on-premises.

Perimetre definite prin software: autorizarea printr-un singur pachet și proiectarea controlerului

Perimetrele definite prin software (SDP) extind principiul ZTNA la nivelul de descoperire a rețelei: infrastructura nu este doar controlată din punctul de vedere al accesului, ci făcută complet invizibilă pentru părțile neautentificate. O poartă SDP nu răspunde la pachetele TCP SYN, nu apare în răspunsurile DNS vizibile rețelelor neîncredere și abandonează tot traficul care nu a fost precedat de o bătaie validă de autorizare printr-un singur pachet (SPA). Din perspectiva unui scaner de rețea sau a unui cadru automat de exploatare, infrastructura pur și simplu nu există. Această proprietate de „rețea întunecată” este caracteristica definitorie care distinge SDP-ul de segmentarea convențională impusă prin firewall, unde infrastructura este vizibilă chiar dacă accesul este refuzat.

Autorizarea printr-un singur pachet funcționează printr-o strângere de mână definită cu precizie. Clientul SDP colectează tokenul de identitate al utilizatorului, identificatorul serviciului solicitat, o marcă de timp și un nonce, semnează sarcina utilă combinată cu o cheie privată din modulul de securitate hardware sau TPM-ul dispozitivului și transmite bătaia semnată ca o singură datagramă UDP către controlerul SDP. Controlerul validează semnătura criptografică a bătăii față de cheia publică înregistrată a utilizatorului, verifică marca de timp pentru protecția împotriva reluării (de obicei o fereastră de validitate de cinci secunde), evaluează politica de acces pentru serviciul solicitat și, dacă politica permite, instruiește poarta SDP să deschidă o regulă de firewall per sesiune pentru acel IP de client și port de destinație specific. Doar atunci clientul încearcă conexiunea TCP. Un observator care monitorizează rețeaua vede datagrama bătăii, care este criptată și nu poartă niciun identificator de serviciu în text simplu, dar nu o poate relua, nu poate determina ce serviciu a fost solicitat și nu se poate conecta fără o credențială de identitate validă.

Proiectarea controlerului este decizia arhitecturală care afectează cel mai mult reziliența operațională a SDP. Un singur controler centralizat este un punct unic de eșec pentru întregul plan de control al accesului. Implementările de apărare folosesc de obicei un cluster de controlere distribuit cu un mecanism de consens (bazat pe Raft sau Paxos) care tolerează pierderea unei minorități de noduri. Pentru unitățile desfășurate în avanpost care trebuie să își păstreze capacitatea de acces în timpul perturbării comunicațiilor, o instanță locală a controlerului SDP poate fi implementată la marginea rețelei unității, sincronizată cu controlerul central atunci când conectivitatea este disponibilă și operând autonom pe un instantaneu de politică cachetat local atunci când nu este.

Proxy-uri conștiente de identitate: impunerea politicii de acces la nivelul aplicației

Proxy-urile conștiente de identitate (IAP) completează ZTNA și SDP prin mutarea punctului de impunere a accesului de la nivelul de rețea la nivelul aplicației. Acolo unde o poartă ZTNA controlează dacă o sesiune poate atinge punctul final de rețea al unei aplicații, un IAP termină sesiunea, inspectează protocolul la nivel de aplicație, evaluează identitatea și politica și reemite conexiunea către backend doar dacă autorizarea per cerere reușește. IAP-ul înțelege verbele HTTP, căile de URL, numele de servicii gRPC și subsistemele SSH; poate impune politica de acces la granularitatea punctelor finale individuale de API sau a claselor de comenzi, nu doar la nivelul aplicației ca întreg.

Pentru aplicațiile de apărare, IAP-urile oferă o capacitate pe care controalele pur la nivel de rețea nu o pot oferi: decizii de autorizare cu granularitate fină, auditabile, care sunt înregistrate cu o identitate de utilizator verificată, nu cu o adresă IP sursă. Un IAP plasat în fața unui serviciu de date clasificat poate impune ca un analist de logistică să poată interoga punctele finale de citire, dar nu pe cele de scriere, ca o identitate de partener de coaliție să poată accesa obiecte de date neclasificate, dar să fie refuzată atunci când solicită unele clasificate, și ca orice acces la o categorie de date specifică să declanșeze o alertă către echipa de operațiuni de securitate. Aceste controale sunt independente de topologia rețelei; aplicația backend nu trebuie modificată pentru a le impune, iar ele rămân eficace chiar dacă adresa de rețea a punctului final se schimbă din cauza roamingului sau a conectivității fără VPN.

IAP-ul rezolvă și problema pistei de audit care afectează jurnalele de acces bazate pe IP. Deoarece IAP-ul autentifică fiecare cerere și injectează anteturi de identitate verificată pe care aplicația backend le înregistrează, pista de audit asociază fiecare acces la date cu o identitate de utilizator specifică, mai degrabă decât cu o adresă IP care poate fi partajată, supusă NAT sau falsificată. Pentru mediile clasificate supuse cerințelor de audit, acest jurnal de acces atribuit identității reprezintă o îmbunătățire operațională semnificativă față de jurnalele la nivel de sesiune produse de concentratoarele VPN.

Idee-cheie: Cea mai frecventă concepție greșită în implementările ZTNA este că verificarea identității la inițierea sesiunii este suficientă. În mediile de apărare unde durata sesiunilor poate cuprinde ore, iar actorii de amenințare pot compromite o sesiune în plin zbor, evaluarea continuă este esențială. Un motor de politici ZTNA bine proiectat reevaluează postura dispozitivului și prospețimea identității la intervale configurabile, de obicei la fiecare 15 până la 60 de minute, și termină sesiunile care nu mai satisfac politica de postură. Acest model de impunere continuă este ceea ce separă accesul zero trust autentic de un VPN cu un front-end de autentificare mai bun.

Evaluarea posturii dispozitivului: verificarea sănătății punctului final înainte de acordarea accesului

Evaluarea posturii dispozitivului este mecanismul prin care sistemele ZTNA verifică faptul că punctul final care se conectează se află într-o stare cunoscută ca bună înainte de a emite un token de acces. Evaluarea posturii închide vectorul de atac pe care îl lasă deschis o verificare bazată doar pe credențiale de rețea: o credențială validă pe un dispozitiv compromis. Agentul de postură, instalat pe flota gestionată de puncte finale, colectează semnale care atestă starea de securitate a dispozitivului și le transmite motorului de politici ca parte a cererii de autorizare a sesiunii. Semnalele includ de obicei versiunea și nivelul de actualizare al sistemului de operare, starea și marca de timp a ultimei scanări a agentului de detecție și răspuns la nivelul punctelor finale (EDR), starea criptării discului, prezența și validitatea unui certificat de înregistrare emis de PKI-ul organizației și absența proceselor cunoscute ca fiind malițioase.

Proiectarea politicii de postură necesită echilibrarea rigorii de securitate cu continuitatea operațională. O politică ce cere o bază de date de semnături EDR actuală va refuza accesul punctelor finale care au fost offline într-un mediu cu comunicații negate și nu au primit actualizări recente, un scenariu care este de rutină pentru unitățile de apărare desfășurate. Implementările ZTNA de apărare definesc de obicei niveluri de postură pe trepte: un dispozitiv complet gestionat, cu actualizări la zi și EDR activ, primește acces nerestricționat la toate aplicațiile autorizate; un dispozitiv gestionat cu semnături EDR învechite primește acces la un set redus de aplicații, excluzând cele mai sensibile resurse; un dispozitiv negestionat, fără certificat de înregistrare, nu primește niciun acces, sau primește un acces limitat la un portal de informații doar în citire, în așteptarea unei revizuiri manuale. Acest model pe trepte păstrează accesul operațional pentru personalul desfășurat, menținând în același timp o impunere semnificativă a posturii.

Reevaluarea continuă a posturii pe parcursul sesiunilor active abordează scenariul unui dispozitiv care trece verificarea inițială a posturii și apoi se degradează, fie pentru că agentul EDR este oprit, fie pentru că un utilizator instalează software neautorizat, fie pentru că o nouă vulnerabilitate de severitate ridicată este publicată împotriva unei componente de pe dispozitiv. Agentul de postură raportează deltele de sănătate către motorul de politici la un interval configurabil. Când motorul de politici primește un semnal de postură care coboară dispozitivul sub nivelul minim cerut pentru sesiunea sa curentă, revocă tokenul de acces și forțează reautentificarea. Terminarea sesiunii este înregistrată împreună cu semnalul de postură specific care a declanșat-o, oferind operațiunilor de securitate o evidență precisă a momentului și motivului pentru care accesul a fost revocat.

Implementarea ZTNA în medii izolate (air-gapped) și clasificate: constrângeri și adaptări

Implementările ZTNA concepute pentru mediile de întreprindere conectate la internet presupun că furnizorul de identitate, motorul de politici și fluxurile de informații despre amenințări pe care se bazează evaluarea posturii sunt accesibile prin internetul public sau o coloană vertebrală cloud. Rețelele izolate (air-gapped) și clasificate impun un set diferit de constrângeri: lipsa conectivității la internet, cerințe stricte de diodă de date sau soluție inter-domeniu (CDS) la orice graniță externă și procese de acreditare care guvernează ce componente software pot rula în interiorul granitei de clasificare. Aceste constrângeri necesită adaptări arhitecturale care păstrează modelul de acces zero trust, eliminând în același timp orice dependență de conectivitatea externă.

Adaptarea principală este găzduirea tuturor componentelor planului de control ZTNA în interiorul granitei de clasificare. Furnizorul de identitate, autoritatea de certificare care emite certificatele de înregistrare a dispozitivelor, motorul de politici, clusterul de controlere SDP și implementarea IAP sunt toate operate ca sarcini de lucru on-premises în interiorul enclavei. Deoarece nu există conectivitate PKI externă, revocarea certificatelor trebuie gestionată de un respondent OCSP găzduit intern sau de o listă de revocare a certificatelor (CRL) distribuită regulat, care este actualizată prin procesul de gestionare a schimbărilor al enclavei. Fluxurile de informații despre amenințări care informează politica de postură, precum CVE-uri nou publicate împotriva componentelor sistemului de operare, sunt ingerate printr-un proces de transfer controlat la o cadență de actualizare definită, mai degrabă decât în timp real.

O a doua constrângere este procesul de înregistrare a dispozitivelor. În implementările ZTNA de întreprindere, dispozitivele sunt înregistrate de utilizatorul care vizitează un portal de înregistrare găzduit de IdP prin internet. În mediile izolate (air-gapped), înregistrarea trebuie să se producă printr-un proces in-band: dispozitivul este conectat la un segment de rețea dedicat înregistrării, agentul PKI este instalat și certificatul de înregistrare este emis, iar apoi dispozitivul este reconectat la rețeaua operațională. Acest proces trebuie documentat și impus în pachetul de acreditare, iar segmentul de rețea de înregistrare trebuie izolat de traficul operațional pentru a preveni folosirea emiterii certificatelor ca vector de atac. Tiparele de securizare pentru sarcinile de lucru Kubernetes de apărare care găzduiesc componentele planului de control ZTNA aplică același principiu de izolare și expunere minimă a interfețelor de gestionare ale clusterului.

Calea de migrare: trecerea de la VPN clasic la ZTNA fără întreruperea serviciului

Migrarea de la VPN clasic la ZTNA este rareori un eveniment de comutare unic în mediile de apărare. Diversitatea aplicațiilor, eterogenitatea flotei de puncte finale și criticitatea operațională a accesului continuu fac dintr-o abordare etapizată, cu operare în paralel, singura cale de migrare realistă. Migrarea se desfășoară în cinci faze care mută incremental grupurile de aplicații de la accesul mediat de VPN la accesul impus de ZTNA, menținând în același timp o disponibilitate operațională continuă.

Prima fază este un inventar cuprinzător al utilizării VPN curente: ce utilizatori accesează ce aplicații, prin ce protocoale, de pe ce tipuri de dispozitive și în ce perioade operaționale. Acest inventar dezvăluie dependențe care nu sunt evidente din diagramele de rețea, precum aplicații care folosesc tunelul VPN pentru autentificarea serviciu-la-serviciu, sisteme legacy care leagă controlul accesului de adresele IP sursă și procese automatizate care folosesc credențiale VPN pentru sarcini programate. Aceste dependențe ascunse devin blocajele de migrare care trebuie rezolvate înainte ca aplicația corespunzătoare să poată fi mutată în spatele porții ZTNA. Operarea în mod umbră, adică rularea motorului de politici ZTNA în mod doar-jurnal în timp ce VPN-ul rămâne activ, scoate la suprafață aceste dependențe fără a perturba operațiunile, necesitând de obicei două până la patru săptămâni de observare per grup de aplicații înainte ca politica să fie suficient de completă pentru a fi de încredere.

Comutarea incrementală se desfășoară de la grupurile de aplicații cu criticitate cea mai scăzută la cele cu criticitate cea mai ridicată. Fiecare grup este comutat într-o fereastră de mentenanță: rutele de split-tunnel VPN pentru subrețelele acelei aplicații sunt eliminate, poarta ZTNA devine singura cale de acces și urmează o perioadă de monitorizare intensificată pentru a surprinde orice eșecuri de acces ratate de observarea în mod umbră. Faza finală, dezafectarea concentratoarelor VPN, ar trebui precedată de o revizuire completă a accesului care confirmă faptul că nicio aplicație nu rămâne accesibilă prin accesul rezidual prin tunel VPN și că toate jurnalele de acces la sesiune poartă acum identitatea utilizatorului, mai degrabă decât IP-ul tunelului, ca identificator de acces principal. Rezultatul operațional este o rețea în care fiecare sesiune de aplicație este atribuibilă unei identități verificate, starea de sănătate a fiecărui punct final este atestată continuu, iar traseele de mișcare laterală pe care le-a creat topologia VPN clasică nu mai există.

Înlocuiește perimetrele VPN cu impunerea accesului conștient de identitate

Corvus QUANTUM implementează controale de acces zero trust la nivel de rețea, înlocuind perimetrele VPN clasice cu o impunere a accesului conștientă de identitate și verificată pe baza posturii dispozitivului, în implementările de apărare în cloud și on-premises.

Descoperă Corvus QUANTUM → Programează o sesiune de informare

Această analiză a fost pregătită de inginerii Corvus Intelligence care construiesc infrastructură de cloud securizat și acces la rețea esențială pentru misiune, destinată organizațiilor de apărare și guvernamentale. Află despre echipa noastră →

Întrebări frecvente

Ce este Zero Trust Network Access (ZTNA) și prin ce diferă de VPN?

Zero Trust Network Access (ZTNA) înlocuiește modelul VPN de „conectare mai întâi, autentificare apoi” cu o verificare continuă, per sesiune, a identității, a posturii dispozitivului și a contextului cererii înainte de a se acorda accesul la orice resursă. Un VPN creează un tunel de rețea larg care acordă punctului final conectat acces lateral la subrețele întregi odată ce tunelul este stabilit. ZTNA mediază în schimb fiecare sesiune individuală de aplicație printr-un motor de politici care evaluează revendicările de identitate, semnalele de sănătate ale dispozitivului și atributele contextuale înainte de a autoriza conexiunea specifică. Nu există niciun tunel persistent la nivel de rețea, nicio încredere implicită extinsă la subrețeaua punctului final și niciun traseu de mișcare laterală pentru un atacator care compromite o singură credențială de sesiune.

Ce este un perimetru definit prin software și cum funcționează autorizarea printr-un singur pachet?

Un perimetru definit prin software (SDP) face întreaga infrastructură întunecată în mod implicit: gazdele nu răspund la tentativele de conectare neautentificate, nu apar în DNS sau în tabelele de rutare accesibile rețelelor neîncredere și abandonează toate pachetele care nu poartă o bătaie validă de autorizare printr-un singur pachet (SPA). SPA funcționează prin trimiterea de către client a unui pachet UDP semnat criptografic, care poartă identitatea, marca de timp, nonce-ul și serviciul solicitat, către controlerul SDP înainte de a se încerca orice conexiune TCP. Controlerul validează semnătura bătăii și, dacă politica permite, instruiește poarta să deschidă o regulă de firewall per sesiune pentru IP-ul acelui client și portul de destinație specific. Deoarece poarta este tăcută înainte de bătaie, scanerele de rețea și instrumentele automate de exploatare nu pot descoperi deloc infrastructura.

Ce este un proxy conștient de identitate și de ce este folosit în mediile de apărare?

Un proxy conștient de identitate (IAP) se află între utilizatori și backendurile aplicațiilor, terminând fiecare conexiune și reemițând-o doar după validarea identității solicitantului și evaluarea unei politici care guvernează ce poate accesa acea identitate. Spre deosebire de un VPN, un IAP operează la nivelul aplicației: înțelege HTTP, gRPC și SSH, poate impune politici de acces per URL sau per RPC și poate injecta anteturi de identitate autentificată pe care backendurile le folosesc pentru autorizare cu granularitate fină. În mediile de apărare, IAP-urile sunt valoroase deoarece decuplează decizia de acces de topologia rețelei, permițând ca sarcinile de lucru clasificate să fie găzduite în infrastructură cloud sau hibridă fără a le expune la mișcare laterală printr-un tunel VPN larg.

Cum funcționează evaluarea posturii dispozitivului într-o implementare ZTNA?

Evaluarea posturii dispozitivului colectează semnale de la punctul final care se conectează, precum versiunea sistemului de operare, nivelul de actualizare, starea agentului EDR, starea de criptare a discului și prezența certificatului, și le evaluează față de o politică de postură înainte ca motorul de politici ZTNA să emită un token de acces. Verificarea posturii rulează la inițierea sesiunii și, în modelele de evaluare continuă, la intervale configurabile pe parcursul sesiunii. Dacă postura unui dispozitiv se degradează în timpul unei sesiuni, pentru că agentul EDR este oprit sau un certificat expiră, sesiunea este terminată, iar utilizatorul trebuie să se reautentifice cu un dispozitiv conform. Implementările de apărare definesc de obicei niveluri de postură pe trepte care păstrează accesul pentru personalul desfășurat, menținând în același timp o impunere semnificativă.

Cum se implementează ZTNA în medii izolate (air-gapped) sau clasificate?

Implementările ZTNA izolate (air-gapped) găzduiesc toate componentele planului de control, adică furnizorul de identitate, autoritatea de certificare, motorul de politici, clusterul de controlere SDP și IAP-ul, în interiorul granitei de clasificare, ca sarcini de lucru on-premises. Revocarea certificatelor este gestionată de un respondent OCSP găzduit intern sau de un CRL distribuit regulat. Fluxurile de informații despre amenințări care informează politica de postură sunt ingerate printr-un proces de transfer controlat la o cadență de actualizare definită. Înregistrarea dispozitivelor se produce printr-un proces in-band pe un segment de rețea dedicat înregistrării, izolat de traficul operațional. Arhitectura fundamentală, adică infrastructura întunecată, bătăile SPA, evaluarea politicii per sesiune și medierea aplicațiilor conștientă de identitate, rămâne identică cu implementările conectate la internet; se schimbă doar modelul de găzduire a planului de control.