Чем активнее компании переносят инфраструктуру в облака и переводят сотрудников на удалённую работу, тем острее встаёт вопрос выбора между двумя популярными подходами к защите доступа — Software-Defined Perimeter (SDP) и привычным VPN. Оба решения шифруют соединение и ограничивают доступ к сети, но устроены по-разному, и выбор между ними напрямую влияет на уровень защиты бизнеса.
Что такое SDP
SDP — программно-определяемый периметр — построен на принципе нулевого доверия (Zero Trust): по умолчанию не доверяют ни одному пользователю или устройству. В отличие от классических моделей, опирающихся на файрволы и защиту по периметру, SDP выстраивает прямое зашифрованное соединение «из конца в конец» между конкретным пользователем и конкретным приложением. Вокруг защищаемого ресурса формируется так называемое «чёрное облако» — слой контроля доступа, который виден и доступен только аутентифицированным и авторизованным клиентам.
Откуда взялся SDP
Концепцию предложил в 2013 году Cloud Security Alliance (CSA) как ответ на недостатки традиционных моделей сетевой безопасности, рассчитанных на совсем другую вычислительную среду. В 2014 году CSA собрал рабочую группу по SDP, в которую вошли специалисты по безопасности, исследователи, а также представители Cisco, Intel и Microsoft. В 2015 году группа опубликовала спецификацию SDP с принципами и требованиями к внедрению. С тех пор технология постепенно набирает популярность как современная альтернатива периметровой защите на фоне усложнения кибератак.
Как работает SDP
Процесс строится в несколько шагов:
- Аутентификация пользователя — как правило, через многофакторную аутентификацию (MFA): токен, биометрия или пара логин/пароль.
- Аутентификация устройства — проверяется не только человек, но и гаджет, с которого он подключается, чтобы скомпрометированное устройство не стало точкой входа.
- Авторизация — система определяет, к каким именно ресурсам пользователь получит доступ, исходя из его роли в компании.
- Формирование «чёрного облака» — вокруг защищаемого приложения или данных создаётся слой контроля доступа, невидимый и недоступный неавторизованным пользователям.
- Шифрование — соединение между пользователем и приложением шифруется, что затрудняет перехват данных.
Зачем нужен SDP
Разработчики SDP стремились закрыть ограничения классических файрволов и VPN, которые создавались для другой эпохи ИТ и не всегда справляются с современными атаками. Среди заявленных преимуществ:
- повышенная безопасность — модель нулевого доверия снижает риск утечек и несанкционированного доступа;
- масштабируемость — решение хорошо подходит для облачных сред и распределённых команд;
- простота внедрения — по сравнению с традиционными решениями SDP обычно требует меньше усилий на настройку;
- меньшая сложность — упрощается модель безопасности и сокращается число используемых инструментов.
Что такое VPN
VPN — виртуальная частная сеть — создаёт приватное зашифрованное соединение между устройством пользователя и интернетом. Трафик шифруется и направляется через удалённый сервер провайдера, что затрудняет отслеживание активности в сети. Помимо приватности, VPN часто используют для доступа к сайтам и сервисам, заблокированным в определённой стране или регионе. Технологией активно пользуются журналисты, активисты, путешественники и удалённые сотрудники, которым нужен защищённый доступ из разных точек. Важная оговорка: не все VPN одинаково надёжны — некоторые сервисы предоставляют сомнительные компании, поэтому провайдера стоит выбирать после тщательной проверки.
Как работает VPN
При подключении устройство устанавливает зашифрованное соединение с сервером VPN — весь трафик между устройством и сервером шифруется. Устройство получает новый IP-адрес, принадлежащий серверу VPN, а не реальному местоположению пользователя, поэтому со стороны кажется, что активность исходит от сервера. Запросы с устройства идут на сервер VPN, тот пересылает их на нужный сайт или сервис, а ответ возвращается тем же зашифрованным маршрутом. Благодаря сквозному шифрованию перехват трафика существенно затрудняется — это особенно важно при работе через публичный Wi-Fi.
В чём разница между SDP и VPN
Оба решения обеспечивают защищённый доступ к сетевым ресурсам, но делают это по-разному. VPN создаёт единый зашифрованный туннель между устройством пользователя и корпоративной сетью, открывая доступ к внутренним ресурсам — файловым серверам, приложениям, базам данных. SDP вместо туннеля ко всей сети выстраивает вокруг каждого пользователя, приложения и ресурса динамический периметр на основе идентичности. Модель нулевого доверия допускает к ресурсам только авторизованных пользователей и устройства, постоянно сверяясь с политиками безопасности, и устанавливает защищённую сессию непосредственно с целевым приложением, а не со всей сетью целиком. За счёт этого доступ ограничивается конкретным ресурсом, не подвергая риску остальную инфраструктуру.
Преимущества SDP перед VPN
Разработчики решений на базе SDP, например Perimeter81, выделяют несколько сильных сторон подхода:
- более высокая безопасность — модель нулевого доверия проверяет личность и состояние безопасности каждого пользователя перед выдачей доступа к конкретному ресурсу, а не просто открывает соединение целиком, как VPN;
- лучшая масштабируемость — доступ выдаётся на основе политик и контекста к отдельным ресурсам, а не ко всей сети, что упрощает управление в крупных и сложных инфраструктурах;
- меньшая поверхность атаки — вместо открытия всей сети через туннель SDP ограничивает доступ конкретными ресурсами, затрудняя злоумышленникам горизонтальное перемещение внутри сети;
- более удобный пользовательский опыт — доступ к ресурсам не требует долгой настройки и установки клиента, как в случае с VPN, и выглядит одинаково на разных платформах и устройствах;
- соответствие требованиям и аудируемость — SDP ведёт более подробные журналы доступа и активности пользователей, что упрощает контроль соблюдения политик безопасности и подтверждение регуляторного соответствия.
Что выбрать
Итоговое решение зависит от конкретных задач компании — от пользовательского опыта и масштабируемости до требований к безопасности. VPN остаётся отработанным вариантом для защищённого удалённого доступа к внутренним ресурсам. SDP привлекателен для организаций, которым нужно предоставлять безопасный доступ удалённым сотрудникам, сторонним подрядчикам и другим внешним сторонам, — и по совокупности критериев (аудируемость, масштабируемость, поверхность атаки, удобство использования, общий уровень защиты) он выигрывает у VPN. Это более новый и пока менее распространённый подход, но его популярность растёт по мере того, как компании переходят на облачные сервисы и приложения.
Источник: Cybersecurity News.