Universal ZTNA

We zijn in 2024. Cybersecurity is een integraal onderdeel geworden van onze samenleving. Veel bedrijven schakelen daarom voortdurend om hun cybersecurityniveau te verhogen.

Dit jaar staat ook NIS2 voor de deur, dat verschillende kaders definieert waarbinnen een bedrijf moet opereren om te voldoen aan de cybersecuritymaatregelen die door overheden zijn opgelegd.

Dit vormt een grote uitdaging voor netwerk-/beveiligingsingenieurs die omgevingen moeten opzetten zodat iedereen in de organisatie veilig en efficiënt toegang heeft tot de benodigde applicaties, of deze nu on-premises of in de cloud draaien.

Binnen dit connectiviteitscomponent sta je voor twee uitdagingen. Enerzijds: hoe zorg ik ervoor dat mijn gebruikers die op locatie zijn, veilig en geauthenticeerd verbinding maken met het netwerk? Anderzijds: hoe zorg ik ervoor dat mijn gebruikers, waar ze zich ook bevinden (thuis, bij klanten, in een koffiebar, enz.), veilig verbinding kunnen maken met de benodigde applicaties?

Oplossingen zoals Network Access Control (NAC) en Zero Trust Network Access (ZTNA) bestaan al voor deze uitdagingen. Het probleem ligt echter meer in het feit dat dit aparte producten zijn en er geen mogelijkheid is om één uniform beleid te introduceren dat beide uitdagingen oplost en centraal beheerd kan worden.

Omdat verschillende leveranciers dit probleem erkenden, werd een nieuwe term geïntroduceerd: Universal Zero Trust Network Access. Universal ZTNA zorgt ervoor dat er één beleid wordt geïntroduceerd voor gebruikers, ongeacht waar ze zich bevinden.

Universal ZTNA wordt echter door verschillende leveranciers op uiteenlopende manieren gepresenteerd. Sommige leveranciers gaan ervan uit dat je, waar je ook bent, een client instelt die verbinding maakt met een centraal punt (full-tunnel) en dat al het netwerkverkeer door die tunnel gaat.

Centraal wordt al het verkeer geïnspecteerd en verwerkt volgens een set beleidsregels, en je verkeer wordt ook gerouteerd naar het relevante netwerk (IPSec, SaaS, enz.). Andere leveranciers hanteren in plaats daarvan het hierboven besproken principe, waarbij zowel een Cloud NAC als een ZTNA-oplossing voor externe medewerkers wordt aangeboden.

In dit artikel bespreken we de oplossing van Extreme Networks in meer detail.

Extreme Networks heeft onlangs Universal ZTNA toegevoegd aan zijn portfolio. Deze oplossing combineert Cloud NAC voor de campus met ZTNA voor externe medewerkers. Hieronder wordt in detail beschreven hoe de verschillende oplossingen zijn samengesteld en hoe het uniforme beleid precies werkt.

Het bovenstaande diagram toont hoe de Cloud NAC correct werkt en welke componenten aanwezig zijn.

Binnen de Cloud NAC zijn er verschillende componenten:

Identity Providers:

Een Identity Provider is nodig om de gebruikers te importeren die de UZTNA-oplossing gaan gebruiken. Binnen Cloud NAC worden deze gebruikt als de backend-authenticatieserver voor 802.1X Radius. Een gebruiker die verbinding maakt met het netwerk (draadloos of bedraad) wordt via de Radius-service geauthenticeerd aan de hand van de inloggegevens die bekend zijn bij de Identity Provider (Entra ID, Google Workspace, On-prem AD).

ExtremeCloud:

Binnen ExtremeCloud zijn er twee applicaties:

• ExtremeCloud IQ: De SaaS-netwerkbeheeroplossing van Extreme Networks waarmee switches en access points worden beheerd. Voor deze oplossing configureer je de koppeling tussen LAN/WLAN en de UZTNA Cloud NAC binnen ExtremeCloud IQ.
• ExtremeCloud Universal ZTNA: Dit is de UZTNA-applicatie waarin je alle beleidsregels, regels, enz. configureert.

Campus:

Binnen de campus draaien de switches en AP’s die een RADSEC-tunnel naar ExtremeCloud creëren. ExtremeCloud verwerkt de authenticatie en stuurt een reactie terug. Er zijn switches en AP’s die RADSEC rechtstreeks naar ExtremeCloud sturen. Oudere switches en latere 3rd-party switches sturen eerst Radius naar een Radius Proxy die lokaal aanwezig is, en deze stuurt vervolgens RADSEC naar ExtremeCloud.