零信任网络访问 (ZTNA)是一种 IT 安全解决方案,可根据明确定义的访问控制策略提供对组织应用程序、数据和服务的安全远程访问。ZTNA 与虚拟专用网络的不同之处在于,它们仅授予对特定服务或应用程序的访问权限,而虚拟专用网络授予对整个网络的访问权限。随着越来越多的用户从家里或其他地方访问资源,ZTNA 解决方案可以帮助消除其他安全远程访问技术和方法的差距。
ZTNA 是如何工作的?
在使用 ZTNA 时,只有在用户通过 ZTNA 服务的身份验证后,才能授予对特定应用程序或资源的访问权限。一旦通过身份验证,ZTNA 就会使用安全的加密隧道授予用户对特定应用程序的访问权限,该隧道通过将应用程序和服务与原本可见的 IP 地址屏蔽起来,提供额外的安全保护层。
通过这种方式,ZTNA 的行为非常类似于软件定义边界 (SDP),依靠相同的“暗云”理念来防止用户看到他们无权访问的任何其他应用程序和服务。这也提供了针对横向攻击的保护,因为即使攻击者获得了访问权限,他们也无法通过扫描来定位其他服务。
ZTNA 的用例是什么?
身份验证和访问 ——ZTNA 的主要用途是提供基于用户身份的高度精细的访问机制。一旦获得授权,基于 IP 的虚拟专用网络访问可提供对网络的广泛访问,而 ZTNA 则提供对特定应用程序和资源的有限、细粒度访问。ZTNA 可以通过特定于位置或设备的访问控制策略提供更高级别的安全性,这可以防止不需要或受损的设备访问组织的资源。这种访问可以与一些为员工拥有的设备提供相同访问权限的虚拟专用网络进行对比。授予本地管理员。
整体控制和可见性——由于 ZTNA 不会在身份验证后检查用户流量,因此如果恶意员工将其访问权限用于恶意目的,或者用户的凭据丢失或被盗,则可能会出现问题。通过将 ZTNA 整合到安全访问服务边缘 ( SASE ) 解决方案中,组织可以受益于安全远程访问所需的安全性、可扩展性和网络功能,以及防止数据丢失、恶意操作或受损的连接后监控用户凭据。
ZTNA 的优势
ZTNA 提供了一种连接用户、应用程序和数据的方法,即使它们不驻留在组织的网络上,这种情况在当今的多云环境中越来越普遍,基于微服务的应用程序可以驻留在多个云上以及前提。现代组织需要通过分布式用户群随时随地从任何设备获取其数字资产。
ZTNA 通过为关键业务应用程序提供精细的上下文感知访问来满足这一需求,而无需将其他服务暴露给可能的攻击者。
ZTNA 模型由 Gartner 创造,旨在帮助消除对只需要非常有限访问权限的雇主、承包商和其他用户的过度信任。该模型表达了这样一个概念,即在被证明可信之前,没有任何东西是可信的,更重要的是,每当有关连接(位置、上下文、IP 地址等)的任何内容发生变化时,都必须重新验证信任。
虚拟专用网络和 ZTNA 有什么区别?
虚拟专用网络和 ZTNA 之间有几个不同之处。首先,虚拟专用网络旨在提供网络范围的访问,其中 ZTNA 授予对特定资源的访问权限并需要经常重新验证。
与 ZTNA 相比,虚拟专用网络的一些缺点是:
资源利用率 ——随着远程用户数量的增加,虚拟专用网络上的负载可能会导致意外的高延迟,并且可能需要向虚拟专用网络添加新资源以满足不断增长的需求或高峰使用时间。这也会使 IT 组织的人力紧张。
灵活性和敏捷性——虚拟专用网络不提供 ZTNA 的粒度。此外,在需要连接到企业资源的所有最终用户设备上安装和配置虚拟专用网络软件可能具有挑战性。相反,根据他们的直接业务需求添加或删除安全策略和用户授权要容易得多。ZTNA 中的 ABAC(基于属性的访问控制)和 RBAC(基于角色的访问控制)简化了这项任务。
粒度——一旦进入虚拟专用网络边界,用户就可以访问整个系统。ZTNA 采取相反的方法,根本不授予访问权限,除非资产——应用程序、数据或服务——被专门授权给该用户。与虚拟专用网络相比,ZTNA 提供基于身份验证的持续身份验证。每个用户和每个设备在被授予访问特定应用程序、系统或其他资产之前都经过验证和身份验证。虚拟专用网络和 ZTNA 可以相互结合使用,例如加强特别敏感网段的安全性,提供如果虚拟专用网络受到威胁,则需要额外的安全层。
您如何实施 ZTNA?
ZTNA 实现有两种方法,端点发起和服务发起。顾名思义,在端点发起的零信任网络架构中,用户从端点连接的设备发起对应用程序的访问,类似于 SDP。安装在设备上的代理与 ZTNA 控制器通信,后者提供身份验证并连接到所需的服务。
相反,在服务发起的 ZTNA 中,连接由应用程序和用户之间的代理发起。这需要一个轻量级的 ZTNA 连接器来放置在位于云提供商本地的业务应用程序的前面。一旦来自请求的应用程序的出站连接对用户或其他应用程序进行身份验证,流量将流经 ZTNA 服务提供商,从而将应用程序与通过代理的直接访问隔离开来。此处的优势是最终用户设备上不需要代理,这使得它对于顾问或合作伙伴访问的非托管或 BYOD 设备更具吸引力。
零信任网络访问还有两种交付模式:独立 ZTNA 或 ZTNA 即服务。以下是主要区别:
独立 ZTNA 要求组织部署和管理 ZTNA 的所有元素,这些元素位于环境(云或数据中心)的边缘,提供安全连接。尽管这非常适合不喜欢云的组织,但部署、管理和维护成为额外的负担。
借助 ZTNA 作为云托管服务,组织可以利用云提供商的基础架构进行从部署到策略执行的所有工作。在这种情况下,组织只需获取用户许可,在安全应用程序前部署连接器,并让云提供商/ZTNA 供应商提供连接、容量和基础设施。这简化了管理和部署,云交付的 ZTNA 可以确保为所有用户选择最佳的流量路径,以获得最低的延迟。