Mám 2 otázky na administrátory s vzdálenými pracovníky nebo týmy na dálku (například cestování, mezinárodní kanceláře - obzvlášť tam, kde je internet obtížný mimo velká města) v technologiích - například vývoj, hraní, fintech, SaaS apod. - kolik z vás zaznamenává výzvy s rychlostí sítě při stahování repozitářů, schůzkách/Zoomu/Team videohovorech.
Mé 2 otázky jsou:
S předpovědí Gartnera o zániku VPN vs ZTNA - kolik z vás si myslí, že VPN jsou staré/zastaralé a zvažují ZTNA?
Myslíte si, že šířka pásma (jak uvádí ISP) je skutečná “dostupnost” nebo spojení, nebo si myslíte, že hlavním zabijákem je ztráta paketů a zda je možné ztrátu paketů překonat – poskytnout vašim stávajícím uživatelům/klientům lepší a rychlejší přístup na stejných ISP?
S předpovědí Gartnera o zániku VPN vs ZTNA - kolik z vás si myslí, že VPN jsou staré/zastaralé a zvažují ZTNA?
ZTNA je VPN, která používá buzzword “Zero Trust” a zahrnuje ACL. Do všeho toho už můžete již dnes dostat s tradiční VPN nebo SDN technologií jako Cradle point.
Nejsem si jistý, na co přesně narážíte ohledně otázky týkající se šířky pásma ISP nebo ztráty paketů. Bez ohledu na to, jaké řešení nasadíte, pokud mají vaši vzdálení zaměstnanci problémy s latencí od svého ISP, budou mít problémy ať už jde o VPN spojení, SDN nebo dokonce VDI řešení.
Pokud chcete lepší latenci, rychlost stahování/nahrávání mezi klientskými a serverovými aplikacemi, podívejte se na VDI řešení. Nicméně, VDI nedoporučuji, pokud mají vaši vzdálení pracovníci hrozné domácí internetové připojení.
Také, pokud mluvíte o “vzdálených pracovnících/týmech” jako jsou jiné stavby nebo mezinárodní kanceláře, zvažte nastavení S2S VPN spojení na HQ nebo Azure VNet či MPLS spojení. MPLS nabídne mnohem lepší výkon než S2S VPN relace, je spolehlivější, ale stojí hodně.
Zní to, že byste měli přijmout nějaké VDI řešení, které sníží dopad šířky pásma a latence a lépe vynutí bezpečnost vašeho zdrojového kódu.
S předpovědí Gartnera o zániku VPN vs ZTNA - kolik z vás si myslí, že VPN jsou staré/zastaralé a zvažují ZTNA?
ZTNA je prostě IPSec používaný jiným způsobem. Je to stále VPN.
Myslíte si, že šířka pásma (jak uvádí ISP) je skutečná “dostupnost” nebo spojení, nebo si myslíte, že hlavním zabijákem je ztráta paketů, a myslíte si, že je možné ztrátu paketů překonat – poskytnout vašim stávajícím uživatelům/klientům lepší a rychlejší přístup na stejných ISP?
Ztráty paketů v síti jednoho operátora by měly být téměř nulové.
Ztráta paketů na párovacím bodě mezi operátory A a B může zaznamenat některé ztráty během špiček. Ale pokud je to stálé nebo je ztráta extrémní, možná je čas přehodnotit výběr operátora.
Pokud vaši vývojáři stahují stovky megabajtů kódu a poté je posílají zpět nahoru periodicky, máte architektonický problém, nikoli problém sítě.
Problém je, že VPN/ZTNA může přidat hodně latence – zkuste si zkontrolovat jejich SLA. To zabíjí efektivní propustnost, zvlášť když je ztráta paketů.
Pokud si můžete dovolit pořídit si nějaké nástroje pro sledování digitálního zážitku, uvidíte špičkovou ztrátu paketů na síti uživatele – zvlášť pokud jsou na Wi-Fi ve vytíženém prostoru. Navíc na broadbandu mají tendenci přetěžovat se zbytkem sítě 50:1, takže v určitých časech dne můžete zažít problémy.
Měli jsme uživatele ve Velké Británii, kterému když děti odcházely ze školy, jeho šířka pásma tak klesla, že byla téměř nepoužitelná; mám podezření, že ISP je velmi nad normu 50:1. Naštěstí se přestěhoval a získal lepšího ISP.
Hlavní je, že ISP je na bázi nejlepší snahy (best-effort), pokud neplatíte prémii, a domácí sítě, kavárny a hotely nejsou čisté a dobře spravované sítě, jako jsou v kanceláři. To znamená, že na TCP může být 100 Mb link doručující zlomkovou část toho, co je požadováno podle konkrétní aplikace.
Nejsem si jistý, proč si myslíte, že ZTNA není VPN, je to totéž, jen s ACL. Nevidím žádný problém, protože VDI by mělo být nasazeno, ne VPN/ZTNA. Ano, mám několik tisíc klientů ZTNA, ale to jsou všichni klienti, kteří byli nasazeni s VDI (ze svých vlastních důvodů). Opravdu nevidím žádný prospěch v ZTNA vs VDI. Poskytnout uživateli pracovní prostředí, které je plně pod kontrolou politik a shody, je snem. Můžete dokonce vypnout kopírování/vkládání, je velmi těžké exfiltr správou z VDI bez WAN a jen s obrázkem (ano, můžete fotit s telefonem). VDI je také velmi pohodlné a používá méně šířky pásma než VPN/ZTNA, a žádná data nemusí opustit síť.
Zero Trust se tvrdí, že znamená různé věci od různých prodejců, ale v zásadě se vyhýbá Layer-3 VPN a místo toho využívá Layer-4 TLS, a místo autentizace na základě zdrojové IP adresy preferuje bezpečné explicitní ověřování jako OIDC.
Od roku 2012 jsme se zbavili klientských VPN a aktivně je nahrazujeme. Máme lepší bezpečnost a uživatelská zkušenost je neuvěřitelně lepší.
Většina “ZTNA” je TLS a každý koncový bod by měl být silně a explicitně ověřen. Je to opak VPN, kde VPN obvykle poskytuje “inside” adresu a ta pak má implicitní oprávnění (authz) k přístupu ke službám.
Je možné použít IPsec pro perimeterless, ale neviděl jsem to realizované. Viděl jsem jen mluvčí sítových prodejců mluvit o tom a mikrosegmentaci, protože to jsou jediné oblasti, kde mohou v de-perimeterizovaném prostředí přidat hodnotu.
Vím, že prodejci jsou plní s**t, ale všechny srovnávací grafy jasně ukazují rozdíl, a alespoň jeden prodejce, kterého jsem googlil, ukazuje end-to-end TLS 1.3 u ZTNA…