1. Описание сервиса Alphabyte

Об Alphabyte

Сервис Alphabyte предназначен для обеспечения защищенного удаленного доступа к ресурсам организации. Для использования в вашей организации, он может быть развернут в двух вариантах:

• как VPN-сервис;

• как сервис сетевого доступа с нулевым доверием (Zero-Trust Network Access, ZTNA).

Преимущества использования Alphabyte VPN:

• Вам не потребуется открывать порты для входящего трафика или изменять какие-либо настройки вашей сети. После полного перехода на Alphabyte VPN, вы можете закрыть все ранее открытые порты, и тем самым сделать свои сети полностью невидимыми для удаленных сканеров. Хакеры не могут взломать то, чего они не видят.

• Пользователь может получить доступ к нескольким сетям в рамках одной сессии.

• Через VPN-туннель Alphabyte направляется только трафик, относящийся к вашей организации. Весь остальной трафик маршрутизируется вне туннеля.

• DNS-серверы Alphabyte разрешают только домены вашей организации. Все остальные DNS-запросы направляются непосредственно с устройства пользователя на стандартные DNS-серверы.

• Подсетям назначается узкий диапазон виртуальных IP-адресов, не зависимых от соответствующих реальных IP-диапазонов. Это практически исключает возможность пересечения с локальными сетями пользователя.

• Alphabyte VPN может разворачиваться пошагово. Для вас нет необходимости единовременно отключать существующий VPN: начните предлагать Alphabyte новым сотрудникам и подрядчикам, постепенно переводя существующих пользователей из действующего VPN.

Преимущества использования Alphabyte ZTNA:

Обычные VPN представляют значительный риск для безопасности. В рамках VPN, даже ваши наименее доверенные удаленные пользователи (например, временные подрядчики, консультанты или новые сотрудники на испытательном сроке) могут взаимодействовать с каждым ресурсом внутри вашей защищенной сети.

Злоумышленник, получивший доступ к защищенной сети, может использовать несколько методов «горизонтального перемещения» («lateral movement») для более глубокого проникновения в сеть в поисках конфиденциальных данных и других ценных активов. После входа в сеть через VPN, злоумышленник может скомпрометировать сетевое окружение, получить повышенные привилегии и сохранить постоянный доступ даже после отключения VPN как таковой. Горизонтальные перемещения являются ключевым этапом для атак программ-вымогателей. Они также часто используются для заражения сетей криптомайнерами или превращения их в части ботнета.

Горизонтальные перемещения трудно обнаружить даже с помощью хороших инструментов SIEM. Технологии сетевого доступа с нулевым доверием (ZTNA) устраняют эти риски, предоставляя удаленным пользователям только специально определенный, ограниченный доступ. В отличие от сервисов VPN, которые предоставляют полный доступ к локальной сети, сервисы ZTNA по умолчанию запрещают любой доступ, который не был намеренно разрешен. Каждому пользователю разрешается только доступ к ресурсам, необходимым для выполнения его обязанностей.

Из-за своей важности для кибербезопасности, ZTNA стал популярным маркетинговым термином, значение которого достаточно размыто. Некоторые продукты используют название «ZTNA» для решений динамической аутентификации, не контролируя правила доступа разрешенных пользователей в течение VPN сессии. Другие контролируют доступ к отдельным компьютерам с установленными клиентами VPN, не контролируя доступ к другим ресурсам в той же сети. Некоторые решения ZTNA контролируют доступ по IP-адресам, но не по типам трафика (комбинации протокола и порта).

Помимо вышеуказанного, продукты ZTNA относительно сложны в настройке и обслуживании. Администратору приходится создавать индивидуальные сетевые политики, комбинирующие IP-адреса, порты и протоколы.

Цель сервиса Alphabyte – предоставить полную функциональность ZTNA в сочетании с простой настройкой, администрированием и использованием:

• Как и в случае с Alphabyte VPN, вам не потребуется отключать действующий VPN. Вы можете развернуть Alphabyte ZTNA пошагово: предложить Alphabyte VPN новым пользователям, мигрировать действующих пользователей из старой VPN, а затем настроить пользовательские роли для включения ZTNA.

• Alphabyte ZTNA легко масштабируется: для добавления новых сетей и подсетей вам нужно добавить их на портале администратора и установить коннекторы на нужных серверах или виртуальных машинах.

• Гибкие политики пользовательского доступа на основе ролей (RBAC) позволяют в кратчайшие сроки разграничивать пользовательский доступ к ресурсам организации.

Дальнейшие статьи

• 1.1. Компоненты сервиса
  • 1.1.1. Сеть
  • 1.1.2. Подсеть
  • 1.1.3. Виртуальные IP-адреса
  • 1.1.4. Ресурс
  • 1.1.5. Коннектор
  • 1.1.6. Пользователь
  • 1.1.7. Клиентское приложение
  • 1.1.8. Сервер маршрутизации
  • 1.1.9. Роль
• 1.2. Схема сети с использованием Alphabyte