Pontos-chave para Implementar ZTNA

VPN
1

Olá a todos,
Vamos fazer um projeto piloto onde implementaremos a abordagem Zero Trust.

Aqui está como será (pelo menos na minha visão):

  1. O usuário conecta à rede (com fio ou wireless)
  2. Todo usuário ficará inicialmente em uma sub-rede ‘não autenticada’ com acesso muito limitado à internet.
  3. O usuário se conecta ao nosso portal VPN
  • Autenticação SAML no Entra é realizada
  • MFA é obrigatório
  • O dispositivo precisa estar em conformidade para autenticação bem-sucedida
  • O usuário recebe um IP da sub-rede respectiva do Linha de Negócios
  1. Todas as regras de segurança serão baseadas na inscrição de Grupos de Usuários (aproveitando o CIE do Palo Alto com Azure AD)
  2. O Protect Surface será adicionalmente protegido com Regras de Autenticação (novamente, usando o CIE do Palo Alto)
  3. Sem tráfego explicitamente permitido entre zonas ou sub-redes

Sei que não é uma ZTNA verdadeira, mas já temos muitos firewalls de site, MPLS, etc. e estamos pensando em uma maneira de implementar o modelo de zero trust sem um serviço de nuvem ZTNA real, como o Prisma do Palo Alto.

Alguém já desenhou algo semelhante?
Você tem pontos-chave que devemos ter em mente ou possíveis problemas com os pontos acima?

Qualquer contribuição será valiosa :slight_smile:

2

Isto é muito parecido com como implementamos nosso ZT. Com nosso acesso de usuários finais internos, bem como com o acesso Prisma Access global protect. O acesso do usuário às aplicações é controlado por grupo AD, o mapa de IP para usuário é baseado no ID do usuário sem agente.

Lembre-se, estes são princípios de confiança zero, realmente não há uma abordagem certa vs errada.

3

Você tem a ideia certa. Estou atualmente no processo de fazer isso também. Zero trust é apenas um conjunto de diretrizes. Realmente cabe à sua organização estabelecer a política e segui-la.

Dito isso, sua abordagem é muito semelhante à minha.

4

Sim, também usei isso por anos, antes do ZTNA existir.