Má nějaká MSP dobré zkušenosti s používáním ZTNA pro své vlastní účely, ochranu přístupu k O365 a běžným MSP zdrojům jako RMM, produktové řízení konzolí atd? Nemyslím si, že je to něco, na co bychom mohli získat souhlas většiny našich klientů, ale chci chránit naši vlastní síť. Máme přibližně 20 techniků, někteří pracují z domova na plný úvazek a někteří jsou v terénu každý den. Zdá se, že je to lepší řešení než VPN, které nyní používáme a často způsobují problémy a nezabezpečují vše. Na jaké dodavatele se mám podívat?
Použili jsme Cloudflare k ochraně přihlašovacích portálů pro Screen Connect i Automate. Uživatelé se musí přihlásit nejdříve svými přihlašovacími údaji Office365, aby mohli přistupovat k našim relacím RMM / Screen Connect.
Toto také zabránilo tomu, aby se naše relace zobrazovaly na shodě a zastavilo všechny pokusy o útok hrubou silou na naše relace.
Začali jsme používat Todyl
Máte zkušenosti s Zscaler? Zdá se zajímavá, ale zatím jsme nedostali zpětnou vazbu.
Můžete se podívat na open source OpenZiti - https://openziti.io/.
Timus Networks
Používáme je jak pro náhradu VPN pomocí ZTNA (SSO s Entra a má spoustu pravidel/kontrol, aby ověřily například nemožné cestování, přítomnost určitého EDR na připojujícím se stroji atd.), tak i pro fungování podmíněných přístupových politik v Azure prostředích pro vzdálené uživatele připojující se k WVD prostředím a podobně.
Super spolehlivé a skvělá spolupráce.
Vyzkoušeli jsme ControlOne a funguje docela dobře. Hlavním problémem je, že není v souladu s Fedramp. Pokud ve vašem portfoliu nemáte žádné zákazníky v této oblasti, tak to funguje.
Používáme Twingate pro náš MSP i jako doprodej pro klienty, kteří musí mít ZTNA. Velmi snadná implementace SSO s jejich účtem O365 a také může vynutit politiky na připojujících se stanicích a granulární přístup ke zdrojům. Podpora byla také nápomocná. Marže jsou malé, 1 dolar na uživatele (MSP je 4 dolary/uživatel a MSRP je 5 dolarů/uživatel), ale funguje to dobře, podle mého názoru.
Před několika měsíci jsem nastoupil do firmy, která se rozhodla nahradit VPN a přejít na ZTNA. Musel jsem prozkoumat některé poskytovatele, a tyto nám nejlépe vyhovovaly.
Thinfinity Workspace: Snadno se nastaví a spravuje, velmi flexibilní pro práci z domova i z terénu. Integruje se s O365 a RMM, ukázal se jako nejlepší volba pro naši konfiguraci, právě dokončujeme implementaci bez problémů.
Zscaler Private Access: Spolehlivá a na úrovni podniku, ale přišlo mi to trochu přehnané pro menší tým jako je náš a cena byla vyšší než u ostatních možností.
Perimeter 81: Velmi uživatelsky přívětivé a jednoduché, ale výkon byl občas nekonzistentní, zejména při vzdáleném připojení v špičkových hodinách.
Používáme Twingate zde. Funguje docela dobře.
Začali jsme právě toto hledat. Perimeter 81 / Checkpoint nás zatím nejvíce oslovily.
Používáme Cloudflare, máme asi deset techniků po celé USA. Mám také firewall Sophos, který drží Cloudflare v kontrole. S Cloudflare je tunel zdarma pro 50 uživatelů (může to být 25, ale myslím, že je to 50) a po těchto 50 je to 2 dolary za uživatele. (51 uživatelů je 2 dolary měsíčně). A většinu provozu jsme přes to směřovali. Fungovalo to docela dobře.
Můžete se podívat na Securden PAM pro vzdálený přístup bez VPN, https://www.securden.com/privileged-account-manager/how-to-grant-secure-remote-access-for-employees.html
Jako partner společnosti Sophos, Sonicwall a Datto používáme interně Datto Secure Edge, protože to funguje nejlépe ze tří.
Líbí se mi Cloudflare pro Zero trust, ale neposkytují jednoduchý způsob, jak získat dedikovanou egress IP. Vyžadují předplatné Enterprise a nezveřejňují cenu. Když jsem mluvil s prodejním týmem před několika měsíci, znělo to, že to bude stát velmi draho pro mou malou firmu.
Momentálně používáme Tailscale. Někteří tvrdí, že to není přesně to samé jako ostatní ZTNA řešení, ale je velmi kompatibilní s většinou hardware, super snadno nasaditelné a můžeš nakonfigurovat své koncové body jako exitové uzly. Stále to ladím, ale myšlenka je, že mohu mít 2x exitové uzly s pevnými IPs pro přístup k SaaS s omezením IP a udržet naše interní zdroje jako Unifi Controller v bezpečí.
Teoreticky byste to mohli dělat, ale nechcete provozovat týmové videohovory přes svou kancelářskou lokalitu. To by ovlivnilo šířku pásma. Místo toho používejte podmíněný přístup, který dovolí pouze zařízení spravovaná prostřednictvím Intune nebo připojená k doméně. V podstatě pak uděláte postavení zařízení jako dodatečný prvek autentizace.
Nejsem administrátor O365, jsem jen bezpečnostní architekt, takže musíte ověřit možnosti podmíněného přístupu.
Máte statické IP od Cloudflare? Zdá se, že vaše náklady jsou rozumné, ale měl jsem dojem, že statickou IP získáte pouze v podnikových plánech jako příplatku.
Myslíte, že je to přívětivé pro použití externími dodavateli, kteří by přistupovali do sítě mých klientů, obvykle přes RDP?
Ničeho by se přes naši kancelářskou lokalitu v konfiguraci, na kterou zvažujeme, nemělo proxyovat. Klient se připojuje k nulové důvěryhodné síti (někde v cloudu) a odtud k O365. Omezujeme to na adresu cloudového brány pomocí podmíněného přístupu.
Koukám na konfiguraci, je to v sekci Zero Trust → Applications.
Pro cestu mám dvě položky, Login* a Services/AuthenticationService.ashx/TryLogin
Nastavil jsem Přístupové skupiny jako naše doménové e-maily s autentizací přes Office365.