Všechny naše hraniční zařízení jsou Cisco Meraki a momentálně používáme klienta Anyconnect, především proto, že za to nic neplatíme. Z různých důvodů se snažíme přejít na placené řešení. Můj dotaz zní, jestli je vhodné opustit tradiční SSL VPN a přejít na něco jako ZTNA, pokud je více než 90 % našich zdrojů na místě, například sdílené složky na serverech. Máme více než 20 lokalit v USA, přičemž každá má svůj server.
Viděl jsem demo od Twingate a Cato, ale nejsem přesvědčen, protože mluví o přístupu k aplikacím a SMB sdílené složky zmiňují spíše jako doplněk.
Výhodou ZTNA je nulová důvěra. Máte systém, který může ověřit pravost nebo důvěryhodnost zařízení? Například hybridní přihlášení přes Intune? SentinelOne nebo CrowdStrike? Šifrování disku, spořič obrazovky? Twingate toto používá jako integrace, na které můžete stavět zásady pro zvýšení bezpečnosti organizace.
Vybral jsem Twingate pro klienty svého MSP. Nízká latence. Schopnosti SBL, takže můžete připojit počítač k místnímu AD na dálku a/nebo spouštět GPO při přihlášení. Můžete detailně definovat, ke kterým interním zdrojům mají přístup konkrétní uživatelé. Integruji se s Entra ID, zařadím uživatele do skupiny, což mu udílí přístup ke zdrojům. Uživatelé se přihlašují do Twingate s jejich Entra přihlášením, vrstveným za politikami Azure CA. Doporučuji vyzkoušet Twingate. Máme přibližně 100 endpointů, málo ticketů/rušení, prostě to funguje.
Uvažujete o jiných řešeních? Například, pokud je to čistě kvůli nákladům, proč nekouknete na bezplatné a open source možnosti, například OpenZiti - https://openziti.io/. Firma, ve které pracuji (NetFoundry), to vyvíjí a udržuje, a má také SaaS nabídku. Klíčové je, že můžete nasadit jak řídicí, tak datové části lokálně, takže nemusíte zálohovat do cloudu, pokud to není potřeba. Podporuje všechny typy použití.
Ahoj, moderátor na r/twingate zde: máme spoustu zákazníků, kteří používají Twingate k přístupu k místním sdíleným složkám a jejich pobočkám po celém světě, takže věřím, že je to pro nás docela běžný případ použití. Rád vám pomohu dále, neváhejte se zeptat na cokoli specifického!
Jedinný způsob, jak zjistit, je vyzkoušet několik a zkontrolovat, jaká je latence.
Někteří lepší poskytovatelé internetových služeb vybírají nějaké možnosti ZTNA pro spolupráci a mají jejich brokery běžící v jejich síti, takže to může být další cesta, kterou stojí za to zvážit.
Používám to pro svůj domácí setup a mám to nastavené tak, že zálohuji do cloudu, a je to dostatečně rychlé, nikdy jsem s tím neměl problém. Používám to k přístupu k různým webovým aplikacím, také ke sdíleným složkám Samba a dalším věcem. Je to spíš něco, co nastavíte a zapomenete, opravdu, za měsíc jsem s tím nemusel nic dělat.
Všechny naše endpointy jsou hybridní, ale připojené k Intune a používáme CrowdStrike. Šifrování disku a další nastavení jsou řízena politikami Intune.
Už jsem to zkoušel s Twingate a i když jsme měli nějaké problémy s MacOS, fungovalo to. Myslím, že je to ale trochu předražené na to, co nabízí. Budeme muset přejít na Business plán a možná i na enterprise, což je drahé.
Ve střední teorii by to mělo být nejjednodušší na nastavení, ale ve skutečnosti je to nejkomplikovanější na uživatelském rozhraní. Nastavil jsem asi 10 ZTNA a stále mám otevřený problém, který se mi nedaří vyřešit.
Je také poměrně levné.
Co třeba řešení od Cisco? Je sice několik let pozadu za nejlepšími konkurenty, ale může to být vhodné podle použití. Můžete také připojit své Meraki k tomu.
Pak byste měli kouknout na https://netfoundry.io/ , to je komerční verze. Nejsem tak zběhlý v Netskope a Cato, mám částečnou znalost Twingate (ačkoliv to může být zastaralé).
NetFoundry má širší sadu endpointů včetně vložené aplikace, bez klienta, K8S a IoT. Lze použít pro jakékoli použití od vzdáleného přístupu, přes multi-cloud, DevOps až po IoT – včetně spojení iniciovaného serverem. Můj dojem z Twingate byl, že má silnou architekturu klient/server a aplikuje ZTNA (síťový přístup) pouze na straně serveru. Na rozdíl od toho má NetFoundry žádný koncept klient/server; jakýkoli endpoint/identita může navázat služby nebo hostit. I když může spolupracovat s externím IdP, není to nutné, protože má vlastní PKI/CA – což také poskytuje
