VPN kontra Zero Trust

W początkowym okresie pandemii bardzo dużą popularnością wśród klientów biznesowych cieszyły się usługi VPN. Wiele firm, które przeniosły personel z biur do domów, właśnie to rozwiązanie postrzegało jako jedyną formę kontroli i zabezpieczenia firmowych danych. Zresztą VPN do dziś w niektórych przedsiębiorstwach pozostaje istotnym elementem polityki bezpieczeństwa, aczkolwiek część z nich zaczyna szukać alternatywy.

– W ostatnim czasie obserwujemy zmniejszony popyt na usługi VPN, co wynika ze zmiany podejścia do kwestii związanych z zapewnieniem bezpiecznego zdalnego dostępu. Bardziej nowoczesne przedsiębiorstwa dążą do modelu VPN-less i wdrożenia koncepcji Zero Trust. Takie rozwiązanie zapewnia każdemu użytkownikowi końcowemu możliwość elastycznego korzystania z wybranych aplikacji z dowolnego urządzenia i miejsca, nakładając kontekstową politykę dostępową – mówi Aleksandra Rybak, Cybersecurity Sales Specialist w Cisco.

VPN pozwala użytkownikom uzyskać szeroki zdalny dostęp do różnego rodzaju zasobów w środowisku IT, co niesie ze sobą poważne zagrożenia. Natomiast zgodnie z zasadami Zero Trust każdy użytkownik i urządzenie są traktowane indywidualnie. Zamiast pozwolić pracownikom na swobodę poruszania się po sieci, tworzone są indywidualne tunele między użytkownikiem a konkretną aplikacją.

Zdaniem analityków Gartnera model Zero Trust jest szczególnie pożądany w firmach, w których liczba pracowników zdalnych wzrosła wykładniczo, co uwypukliło pewne mankamenty w zakresie przepustowości i bezpieczeństwa VPN-u. Przy czym źle wdrożona architektura bazująca na koncepcji zerowego zaufania nie będzie stanowić skutecznej odpowiedzi na ograniczenia VPN. Biorąc pod uwagę, że mamy do czynienia z bardzo świeżą architekturą, o popełnienie błędów nietrudno.

Co ciekawe, na rynku zaczynają się pojawiać pierwsze oferty Zero Trust as a Service. Część ekspertów uważa, że Zero Trust nie jest produktem ani platformą, lecz strukturą bezpieczeństwa zbudowaną wokół koncepcji „nigdy nie ufaj, zawsze weryfikuj i zakładaj możliwość naruszenia”. Zdaniem analityków Forrester Research próba zakupu Zero Trust jako produktu naraża firmy na porażkę. Deloitte wprowadziło jednak w bieżącym roku na rynek usługę zarządzaną Zero Trust Access, która zabezpiecza komunikację między użytkownikami na dowolnym urządzeniu i aplikacjami korporacyjnymi, niezależnie od tego, gdzie się znajdują.

Również szerzej nieznana holenderska firma ON2IT oferuje Zero Trust as a Managed Service. Zdaniem Johna Kindervaga, wiceprezesa tego usługodawcy, nadszedł czas na nową kategorię cyberobrony bazującej na zerowym zaufaniu. Natomiast elementy budujące Zero Trust stały się na tyle dojrzałe, że mogą być dostarczane w modelu usługowym. Z tego samego założenia wychodzą specjaliści z firmy Zscaler, która ma w swoim portfolio usługę o nazwie Zscaler Private Access, umożliwiającą uprawnionym użytkownikom korzystanie z określonych firmowych aplikacji poprzez tworzenie bezpiecznych segmentów pomiędzy poszczególnymi urządzeniami i poprogramowaniem.

Backup do usług

O ile Zero Trust as a Service to nowa usługa, o tyle Backup as a Service (BaaS) dostępny jest już od kilkunastu lat i cieszy się dość dużą popularnością szczególnie wśród małych i średnich firm. Ostatni okres przyczynił się do jego spopularyzowania, gdyż administratorzy IT musieli opanować chaos związany z migracją pracowników z biur do mieszkań, a przede wszystkim chronić dane przetwarzane przez osoby pracujące zdalnie. BaaS wydawał się być tutaj naturalnym wyborem.

– Przedsiębiorstwa borykają się też z ryzykiem przestoju i utraty danych, związanym z ograniczonymi zasobami i dostępnością personelu, jak też zagrożeniem atakami ransomware. Współpraca z dostawcami usług zarządzanych, takich jak BaaS i DRaaS, zapewnia dostęp do eksperckiej wiedzy i zmniejsza złożoność codziennych operacji – mówi Wojciech Cegliński, Channel Manager Poland and Baltics w Veeam Software.

Dostawcy usług BaaS utrzymują niezbędny sprzęt oraz aplikacje, instalując po stronie klientów agentów backupu lub niekiedy urządzenia do backupu. W związku z tym usługobiorca nie musi posiadać serwerów, oprogramowania do tworzenia kopii zapasowych czy też deduplikatorów. Inaczej wygląda to w przypadku DRaaS, gdzie usługodawca odpowiada nie tylko za ochronę danych, ale również zabezpieczenie sprzętu, który może ulec uszkodzeniu w wyniku nieprzewidywalnych zdarzeń losowych, takich jak pożar czy zalanie serwerowni. Tego typu usługi, biorąc pod uwagę sytuację geopolityczną, a także niespotykaną nigdy wcześniej falę cyberataków, powinny cieszyć się dużym popytem. Jednak w Polsce jest on wciąż daleki od oczekiwań dostawców.

– Ze względu na bardzo duże nasycenie polskiego rynku tanimi rozwiązaniami do backupu danych, możliwości rozwoju BaaS i DRaaS wydają się być ograniczone w stosunku do innych usług bezpieczeństwa IT. Backup czy odzyskiwanie danych w chmurze z założenia wychodzą przede wszystkim naprzeciw potrzebom małych i średnich firm, a tak się składa, że akurat one korzystają od wielu lat z tanich i masowych produktów do ochrony danych – zauważa Krzysztof Hałgas.

Według specjalistów przedsiębiorcy wciąż są przyzwyczajeni do tradycyjnych systemów pracujących w środowisku lokalnym. Na ogół nie mają zwyczaju korzystać z tego, co jest optymalne, czyli usług dostosowanych do zmieniającego się środowiska.