Conditional Access vs. Extended Access: Bakit kailangan ng mga IT admin ng higit pa sa mga pangunahing kaalaman?

Hindi pa gaanong katagal, karamihan sa mga kumpanya ay umasa sa mga username, password, at marahil sa isang karagdagang hakbang sa pag-verify upang protektahan ang kanilang mga app. Gumagana iyon noon dahil nag-log in ang mga empleyado mula sa opisina, sa mga device na pinamamahalaan ng kumpanya, sa mga pinagkakatiwalaang network. Mas madaling kontrolin ang seguridad.

Iba na ang itsura ngayon. Nagsa-sign in ang mga tao mula sa Wi-Fi sa bahay, mga hotspot ng hotel, mga co-working space, mga network ng café, at mga personal na telepono. Ang edad ng mga device, napalampas ang mga patch, at natutunan ng mga umaatake kung paano magnakaw ng mga lehitimong kredensyal sa halip na mag-hack ng mga firewall.

Dahil sa mga pagbabagong ito, ang pagkakakilanlan lamang ay hindi na isang maaasahang tagapagpahiwatig ng tiwala. Ang modernong seguridad ay nangangailangan ng higit na konteksto. Ang pagbabagong iyon ang dahilan kung bakit naging tanyag ang Conditional Access, at ito rin ang dahilan kung bakit nagsimulang makakuha ng pansin ang Mga Patakaran sa Extended Access. Mas lumalalim ang mga ito, tumingin nang mas malawak, at tumutugon sa aktwal na kapaligiran sa paligid ng pagtatangkang mag-login.

Pinaghiwa-hiwalay ng artikulong ito ang parehong mga diskarte, kung paano gumagana ang mga ito, at kung bakit maaaring kailangan na ngayon ng mga IT admin ng higit pa kaysa sa mga pangunahing kaalaman.

Ano ang Conditional Access?

Kondisyong Pag-access ay isang diskarte sa seguridad na sumusuri ng mga karagdagang signal sa panahon ng pag-login. Sa halip na aprubahan ang pag-access batay lamang sa username at password, sinusuri nito ang konteksto. Nagtatanong ito ng mga katanungan tulad ng:

• Saan nanggagaling ang login na ito?
• Anong device ang ginagamit ng user?
• Pinagkakatiwalaan ba ang network?
• Kailangan ba ng user ang MFA?

Kung hindi natutugunan ang ilang partikular na panuntunan, maaaring i-block ang pag-access o maaaring kailanganin ang mga karagdagang pag-verify. Nagdaragdag ito ng higit na kontrol kaysa sa mga simpleng pagsusuri sa pag-log in at nakakatulong na maiwasan ang mga halatang panganib.

Paano gumagana ang Conditional Access?

Ang Conditional Access ay sumusunod sa lohika na nakabatay sa patakaran. Ang mga IT team ay gumagawa ng mga panuntunan na tumutukoy kung kailan pinapayagan, hinamon, o tinanggihan ang pag-access.

Kasama sa mga karaniwang pagsusuri ang:

• Mga saklaw ng IP: Pahintulutan ang pag-access mula lamang sa mga partikular na network.
• rental: I-block ang mga pagtatangka sa pag-log in mula sa ilang partikular na rehiyon.
• Platform ng device: Iba't ibang panuntunan para sa desktop, mobile, o tablet.
• Uri ng app: Cloud vs. on-premise.
• Antas ng panganib: Mga pattern sa pag-log in na mukhang kahina-hinala.
• Mga kinakailangan sa MFA: Karagdagang pag-verify para sa mga sensitibong app.

Kung mabigo ang alinman sa mga kundisyong ito, ang pag-access ay maaaring tinanggihan o pinaghihigpitan.

Ito ay kumikilos bilang isang security guard sa pinto, na nagbe-verify ng parehong pagkakakilanlan at kaunting konteksto.

Mga Benepisyo ng Conditional Access

Pinalalakas ng Conditional Access ang seguridad na nakabatay sa pagkakakilanlan sa pamamagitan ng pagdaragdag ng konteksto at mga panuntunan sa kung paano pinapayagan ang mga user na mag-sign in. Sa halip na tratuhin nang pareho ang bawat pag-log in, sinusuri nito ang mga kundisyon gaya ng lokasyon, network, device, at mga signal ng panganib bago magbigay ng access. Narito ang ilan sa mga pangunahing bentahe:

• Mas mahusay na proteksyon laban sa mga kahina-hinalang pag-sign in: Kung may sumubok na mag-log in mula sa isang hindi pangkaraniwang bansa o network, maaaring hamunin ng Conditional Access ang session o ganap itong i-block. Pinipigilan nito ang mga umaatake na umaasa sa mga ninakaw na password o pagpupuno ng kredensyal.
• Mas matalinong pagpapatupad ng MFA: Imbes na pilitin multi-factor authentication (MFA) kahit saan, inilalapat lamang ito ng Conditional Access kapag kinakailangan. Halimbawa, ang pag-log in mula sa isang pinagkakatiwalaang network ay maaaring hindi nangangailangan ng mga karagdagang hakbang, habang ang isang pag-login mula sa isang hotel Wi-Fi ay maaaring mag-trigger ng MFA. Binabalanse nito ang kaginhawahan at seguridad.
• Mga desisyon sa pag-access na batay sa konteksto: Maaaring magtakda ang mga admin ng mga panuntunan batay sa mga tungkulin ng user, sensitivity ng application, uri ng device, at platform. Pinipigilan nito ang malawak na pag-access at pinoprotektahan ang mga mapagkukunang may mataas na halaga na may mas malakas na kontrol.
• Nabawasan ang pagkakalantad sa mga mapanganib na network: Maaaring tanggihan ng Conditional Access ang mga login na nagmumula sa hindi kilalang mga IP address, anonymous na proxy, o mga naka-block na rehiyon. Nililimitahan nito kung gaano kalayo ang mararating ng mga umaatake kapag nagtatago sa likod ng mga VPN.
• Mas mahusay na suporta para sa hybrid na trabaho: Habang nagpapalipat-lipat ang mga empleyado sa pagitan ng Wi-Fi ng opisina, mobile data, at mga home network, tinitiyak ng Conditional Access na mananatiling pare-pareho ang mga pangunahing pagsusuri sa kaligtasan sa lahat ng dako.
• Visibility sa mga panganib na kaganapan: Pinapadali ng mga audit log na makita kung kailan ipinatupad ang mga panuntunan, na tumutulong sa mga security team na mag-imbestiga ng kahina-hinalang aktibidad nang mas mabilis.
• Zero Trust alignment: ZeroTrust ay nangangahulugang "huwag magtiwala, palaging i-verify." Ipinapatupad ng Conditional Access ang mga pagsusuri sa pagkakakilanlan sa yugto ng pag-login, na ginagawa itong isang pundasyong bahagi ng balangkas na iyon.
• Nabawasan ang manu-manong pangangasiwa: Sa halip na suriin ang mga kahilingan sa pag-access nang paisa-isa, ino-automate ng Conditional Access ang mga desisyon. Pinangangasiwaan ng mga patakaran ang mga pag-apruba, hamon, at pagharang nang walang interbensyon sa IT.

Ang Conditional Access ay nagbibigay sa mga organisasyon ng matibay na baseline. Sinusuri nito ang pagkakakilanlan at kapaligiran bago payagan ang isang tao sa cloud apps, na binabawasan ang mga pinakakaraniwang uri ng hindi awtorisadong pag-access.

Ano ang Extended Access?

Mga Patakaran sa Extended Access (XAP) kunin ang ideya ng konteksto at itulak pa ito. Sa halip na huminto sa pagkakakilanlan at mga pangunahing signal, sinusuri ng XAP ang mas malalalim na detalye tungkol sa kapaligiran sa pag-login. Nakatuon ito sa kung paano kumikilos ang device, kung ito ay sumusunod, at kung anong mga panganib ang maaaring nagtatago sa likod ng mga eksena.

Isinasaalang-alang ng Mga Patakaran sa Pinalawak na Pag-access:

• Postura ng device
• Nawawala ang mga update sa OS o mga patch ng seguridad
• Mga kinakailangang aplikasyon at ahente
• Reputasyon ng IP
• Mga signal ng pagsunod sa device
• Mga hindi pagkakapare-pareho ng lokasyon

Kung ang anumang bagay ay lumilitaw, ang pag-access ay maaaring limitado o mai-block kaagad.

Ang diskarteng ito ay nagsasara ng mga puwang sa panganib na karaniwang tinatarget ng mga umaatake.

Paano gumagana ang Extended Access?

Gumagana ang Mga Patakaran sa Pinalawak na Pag-access sa pamamagitan ng patuloy na pagsusuri sa estado ng device sa panahon ng pag-login. Tinitingnan nila kung ang device ay malusog, secure, at pinapayagang i-access ang hiniling na application. Nangyayari ang pagsusuring ito sa real time.

Ang ilan sa mga signal na sinuri ay kinabibilangan ng:

• Kung naka-install ang mga kinakailangang panseguridad na app
• Kung ang bersyon ng OS ay napapanahon
• Kung aktibo ang configuration ng pagsunod sa device
• Data ng panganib sa IP address
• Kasaysayan ng lokasyon
• Mga antas ng patch

Kapag may nakitang panganib, ang Extended Access ay maaaring:

• I-block ang pag-login nang buo
• Humingi ng karagdagang pag-verify
• Limitahan ang pag-access sa mga partikular na mapagkukunan
• I-trigger ang mga awtomatikong hakbang sa remediation

Sa halip na ipagpalagay na sapat na ang pagkakakilanlan, sinusuri nito ang kapaligiran at pustura din.

Mga Benepisyo ng Mga Patakaran sa Pinalawak na Pag-access

Ang Mga Patakaran sa Pinalawak na Pag-access ay higit pa sa mga pagsusuri sa pagkakakilanlan at sinusuri ang kundisyon ng device, ang pagkakaroon ng mga kinakailangang tool sa seguridad, ang kapaligiran ng network, at iba pang mga signal sa oras ng pag-login. Nagdaragdag ito ng isa pang layer ng kasiguruhan sa ibabaw ng Conditional Access.

• Pinahusay na depensa laban sa mga nakompromisong kredensyal: Kahit na nakakakuha ng wastong username at password ang mga umaatake, maaaring tanggihan sila ng XAP dahil hindi kilala, hindi nakarehistro, o walang kontrol sa seguridad ang kanilang device.
• Mas malalim na pagkakahanay sa mga prinsipyo ng Zero Trust: Binibigyang-diin ng Zero Trust ang patuloy na pag-verify. Patuloy na sinusuri ng Extended Access ang posture ng device sa bawat pag-login, hindi lang isang beses sa enrollment.
• Pinapababa ang panganib mula sa mga hindi pinamamahalaang device: Ang mga hindi nakokontrol na endpoint ay kadalasang nagpapakilala ng mga nakatagong banta. Pinipigilan sila ng XAP na ma-access ang mga sensitibong application sa unang lugar.
• Real-time na pagtuklas ng mga pagkabigo sa pagsunod: Kung biglang luma na ang isang device o nawalan ng ahente ng seguridad pagkatapos ng pag-update, maaaring i-block ang susunod na pagtatangka sa pag-log in hanggang sa maayos ito.
• Adaptive authentication kapag nagbago ang panganib: Ang Extended Access ay nagdaragdag lamang ng friction kapag ang mga signal ay nagpapahiwatig ng isang bagay na hindi karaniwan, na nagpapahintulot sa karamihan ng mga user na mag-sign in nang maayos sa mga normal na kondisyon.
• Pinasimpleng pag-audit at pag-uulat sa pagsunod: Ipinapaliwanag ng mga access log kung bakit pinapayagan, hinamon, o tinanggihan ang isang session. Ginagawa nitong mas mabilis at mas transparent ang mga regulatory audit.
• Pag-iwas sa lateral na paggalaw: Pinipigilan ng Extended Access ang mga nakompromisong endpoint mula sa paglukso sa pagitan ng mga system sa loob, na nagpoprotekta laban sa ransomware at pagdami ng pribilehiyo.
• User-friendly na postura ng seguridad: Sa halip na mahigpit na panuntunan na nalalapat sa lahat, ang XAP ay tumutugon sa mga signal ng panganib. Ang mga empleyado ay hindi nahaharap sa mga hindi kinakailangang hadlang kapag ang mga kondisyon ay mukhang malusog.

Ang Extended Access ay nagbibigay sa mga IT team ng mas malakas na kontrol sa pag-uugali sa pag-login nang hindi nagpapabagal sa pang-araw-araw na gawain. Nakakatulong itong ipatupad ang seguridad nang tahimik at matalino, lalo na sa mga kapaligiran kung saan patuloy na nagbabago ang mga device.

Conditional Access vs. Extended Access: Ipinaliwanag ang mga pangunahing pagkakaiba

Ang Mga Patakaran ng Conditional Access at Extended Access ay madalas na binabanggit nang magkasama, ngunit hindi sila mapapalitan. Nilulutas nila ang iba't ibang bahagi ng puzzle ng seguridad, at ang pag-unawa sa agwat sa pagitan nila ay nakakatulong sa mga IT admin na magpasya kung oras na para mag-level up.

Pangunahing tinitingnan ng Conditional Access mga senyales ng pagkakakilanlan. Nagtatanong ito ng mga bagay tulad ng:

• Sino ang gumagamit?
• Saan sila nagsa-sign in?
• Anong app ang sinusubukan nilang i-access?
• Dapat bang kailanganin ang MFA?

Nagagawa nito ang isang mahusay na trabaho ng pagkuha ng mga halatang panganib tulad ng mga kahina-hinalang lokasyon o hindi kilalang mga network.

Lalong lumalalim ang Mga Patakaran sa Pinalawak na Pag-access. Sa halip na huminto sa mga pangunahing kondisyon, sinisiyasat nila ang kalagayan ng kalusugan, postura, at pagsunod ng device na ginagamit. Mahalaga ito dahil ang mga umaatake ay madalas na gumagamit ng mga ninakaw na kredensyal sa mga hindi pinamamahalaang laptop o mas lumang mga device na walang mga patch ng seguridad.

Sinusuri ng Extended Access Policy ang mga bagay tulad ng:

• Napapanahon ba ang OS?
• Naka-install ba ang security agent?
• Sumusunod ba ang device?
• May pinakialaman ba?

Kung ang alinman sa mga ito ay nabigo, ang pag-access ay maaaring mai-block kaagad, bago pa man ang isang banta ay maging isang paglabag.

Narito ang isang mas malapit na pagtingin sa kung paano naghahambing ang parehong mga diskarte:

Upang ilagay ito sa pananaw:

• Maaaring payagan ng Conditional Access ang isang login mula sa isang kilalang corporate network.
• Maaari pa rin itong i-block ng Extended Access dahil ang laptop ay walang antivirus software o kamakailang mga patch.

Parehong kapaki-pakinabang, ngunit ang Extended Access ay nagsasara ng mga puwang na aktibong tina-target ng mga umaatake ngayon.

Bakit kailangan ng mga IT admin ng Higit pa sa mga pangunahing kaalaman?

Karamihan sa mga IT team ay pamilyar na sa Conditional Access. Sinusuri nito ang pagkakakilanlan, lokasyon, platform ng device, at ilang iba pang signal bago magbigay ng access. Sa ilang sandali, sapat na iyon. Ngunit ang tanawin ng banta ay nagbago.

Ang mga umaatake ay hindi na tumutuon sa pag-crack ng mga password. Tina-target nila ang mga puwang sa pagitan ng pagkakakilanlan at seguridad ng device. Ang mga pahina ng phishing ay maaaring mangolekta ng mga wastong detalye sa pag-log in, ang mga diskarte sa pag-replay ng token ay maaaring mag-hijack ng mga session, at ang mga pag-atake sa pagkapagod ng MFA ay maaaring linlangin ang mga user sa pag-apruba ng mga nakakahamak na prompt. Sa pagtaas ng VPN obfuscation, ang isang attacker ay maaari pang itago ang kanilang tunay na lokasyon at magmukhang pinagkakatiwalaan.

Simple lang ang problema. Sinusuri ng Conditional Access ang pagkakakilanlan at pangunahing konteksto. Hindi nito palaging pinapatunayan ang aparato sa likod ng pag-login. Hangga't ang mga kredensyal ay mukhang tama at ang lokasyon ay tila pinapayagan, ang pag-access ay madalas na ibinibigay.

Isinasara ng Mga Patakaran sa Pinalawak na Pag-access ang puwang na ito sa pamamagitan ng pagsuri sa mga mas malalalim na signal at pagsusuri ng postura sa real time upang ang mga IT team ay maaaring:

• I-block ang mga device na hindi nakakasunod
• Ihinto ang mga hindi pinamamahalaan o hindi kilalang mga endpoint bago sila makarating sa mga sensitibong app
• Mahuli ang mga nawawalang patch, hindi pinagana ang antivirus, o inalis na mga tool sa seguridad
• Bawasan ang pag-ilid na paggalaw sa pamamagitan ng pagkumpirma ng tiwala ng device sa bawat pag-login
• Tukuyin ang mga peligrosong kondisyon na maaaring hindi mapansin sa ilalim ng mga pangunahing patakaran

Tinatanggal nito ang isang karaniwang blind spot. Ang pagkakakilanlan lamang ay hindi magagarantiya ng kaligtasan, lalo na kapag ang mga empleyado ay nagtatrabaho mula sa mga home network, mga personal na hotspot, o naglalakbay sa pagitan ng mga lokasyon.

Ang isa pang kalamangan ay ang kakayahang umangkop. Ang Mga Patakaran sa Pinalawak na Pag-access ay nagsasaayos batay sa konteksto. Kung tila nakagawian ang pag-log in, normal na nagsa-sign in ang user. Kung ang isang bagay ay lumilitaw, ang isang karagdagang pagsusuri o hamon ay na-trigger. Makinis ang pakiramdam kapag normal ang lahat, at nagiging mahigpit kapag nagbago ang sitwasyon.

Ang ganitong uri ng adaptive authentication ay umaangkop sa mga modernong pattern ng trabaho. Nagpalipat-lipat ang mga tao sa pagitan ng mga laptop, tablet, at telepono. Sumasali sila mula sa mga hotel, co-working space, o pampublikong Wi-Fi. Ang kapaligiran ay patuloy na nagbabago, kaya ang mga patakaran sa pag-access ay kailangang umangkop dito.

Ang Extended Access ay hindi tungkol sa pagpapahirap sa buhay. Ito ay tungkol sa paggawa ng mas matalinong pagpapatotoo.

Ipatupad ang Mga Patakaran sa Conditional Access at Extended Access gamit ang Scalefusion OneIdP

Ang pagsuri sa pagkakakilanlan lamang ay hindi na sapat. Maaaring magnakaw ng mga password ang mga umaatake, gumamit ng mga VPN para itago ang mga lokasyon, o subukang mag-sign in mula sa mga hindi pinamamahalaang device. Dahil ang mga empleyado ay lumilipat sa pagitan ng mga network at device, ang mga desisyon sa pag-access ay nangangailangan ng higit na konteksto kaysa sa isang username at password lamang.

Scalefusion OneIdP tumutulong sa paglutas nito sa pamamagitan ng pagsasama-sama ng Conditional Access at Extended Access Policy sa isang platform. Sinusuri nito ang mga pag-sign in nang real time at awtomatikong inilalapat ang tamang antas ng pag-verify.

Sinusuri ng OneIdP ang mga signal tulad ng:

• Ang postura ng device mula sa Veltar
• Mga bersyon ng OS at patch
• Reputasyon ng IP
• Heyograpikong lokasyon
• Mga kinakailangang panseguridad na app

Kung mukhang mapanganib ang isang bagay, maaaring humiling ang OneIdP ng karagdagang pag-verify, limitahan ang pag-access, o i-block ang pag-login. Kapag ang lahat ay mukhang normal, ang pag-access ay mananatiling mabilis at maayos. Ang mga patakaran ay pinamamahalaan mula sa isang dashboard, na nagpapanatili ng mga panuntunan na pare-pareho sa buong organisasyon.

Tinutulungan ng diskarteng ito ang mga IT team na mahuli ang mga isyu nang maaga at isara ang mga blind spot na madalas na hindi nakuha ng mga pangunahing pagsusuri sa pagkakakilanlan. Ang Extended Access ay nagdaragdag ng mas malalim na konteksto na kailangan ng mga modernong kapaligiran nang hindi nagpapabagal sa mga tao.

Kung gusto mong bawasan ang panganib at pagbutihin ang kontrol sa pag-access, ang pagsasama-sama ng dalawang pamamaraan ay isang matalinong susunod na hakbang.