- 1. 什麼是 ZTNA?
- 什麼是 ZTNA?
什麼是零信任網路存取 (ZTNA)
- 什麼是 ZTNA?
什麼是 ZTNA?
零信任網路存取 (ZTNA) 是一種技術類別,可以根據定義的存取控制政策提供對於應用程式和服務的安全遠端存取。和 VPN 不同,ZTNA 解決方案並不會授予對於 LAN 的完整存取權限,而是僅針對使用者已獲得明確授權的服務提供存取權限。隨著越來越多的遠端使用者加入網路,了解 ZTNA 解決方案可能為企業帶來的安全漏洞和優勢至關重要。
ZTNA 如何運作?
透過 ZTNA,使用者在通過 ZTNA 服務驗證後即可進行存取。然後,ZTNA 服務會透過安全且加密的通道,代表使用者提供對於應用程式的存取權限。如此一來即可封鎖其他公開可見的 IP 位址,提升企業應用程式和服務的防護層級。
和軟體定義的周邊 (SDP) 一樣,ZTNA 同樣利用暗雲的概念,防止使用者看到他們無權存取的任何應用程式和服務。這樣就能防止攻擊者橫向移動,否則遭入侵的端點或憑證將允許掃描並轉向其他服務。
ZTNA 與 VPN/h3>
VPN 的目的在於授予對於 LAN 的完整存取權限,為遠端員工提供私人且加密的通道以連接至公司網路。雖然此一解決方案看起來似乎相當實用,但遺憾的是 VPN 仍然缺乏靈活度和精細度,因此難以準確地控制及查看使用者可以做什麼以及他們可以存取哪些應用程式。一旦使用者獲得存取權限,他們就可以存取網路上的任何內容,進而導致安全漏洞和政策執行問題。
另一方面,ZTNA 可以根據精細的存取控制政策提供對於應用程式的安全遠端存取。與 VPN「在驗證後就允許進入」的方法不同,當使用者連接到應用程式時,ZTNA 會對其持續進行檢查。因此,ZTNA 提供一種「永不信任,持續檢驗」的最低權限方法,也就是在整個使用者工作階段中持續檢查使用者、裝置和應用程式行為。
VPN 替換/安全遠端存取
現在許多企業的焦點關鍵領域就是替換過時的 VPN 技術,也就是不再將網路存取權限直接提供給遠端和混合工作者,而是升級至更現代化的 ZTNA 解決方案以克服效能瓶頸並簡化管理。通常這些 VPN 替換計劃是由以下幾個因素所推動:
- 應用程式已開始轉移至混合模式,充分利用內部部署、雲端和多雲端環境的優勢。因此,舊型 VPN 技術類似「伸縮喇叭」或者將流量回傳至內部部署「集訊器」的方式既無法擴展,也無法提供最佳使用者體驗。
- 目前我們對於存取企業應用程式的需求也有所改變。傳統上,使用者會利用受管理的裝置,但是現在已經有越來越多未受管理的裝置會透過各種方式進入公司網路並要求存取公司應用程式。
- 最後,企業會不斷尋找一致的防護和安全模式來保護所有的應用程式,並且非侷限於 Web 或舊型應用程式,而是所有的應用程式。
VPN 解決方案的設計初衷並不是為了快速擴展、提高效能和一致地提供進階安全服務,但是現在需要將混合使用者安全地連接到完成工作所需的大量應用程式。因此,企業已開始使用 ZTNA 解決方案來取代過時的 VPN 部署。
ZTNA 的優勢
相較於大多數 VPN 設定通常使用的 IP 式存取控制,ZTNA 服務中的身分式驗證和存取控制提供另一種選擇,有助於縮減企業的攻擊範圍。ZTNA 還可讓企業實施位置或裝置特定的存取控制政策,以防止未修補或易受攻擊的裝置連接到公司服務。這緩解與 VPN 有關的常見挑戰,即 BYOD 遠端使用者會被授予與公司辦公室使用者相同層級的存取權限,儘管事實上他們的安全控制措施通常會更少。一些代理程式型的 ZTNA 解決方案可以提供預先身分驗證信任評估以連接使用者和裝置,其中包括裝置狀況、身分驗證狀態和使用者位置。然而,朝向遠端和混合工作型態發展的快速轉變,加上雲端採用率的迅速提升,都暴露 ZTNA 初期或 1.0 疊代中的巨大差距。
ZTNA 2.0
零信任網路存取 2.0 克服傳統 ZTNA 解決方案的侷限性,可以提供更安全的連線,為擁有混合工作者的企業提供更好的安全成果。ZTNA 2.0 提供:
- 真實的最低權限存取:根據第 7 層 App-ID 識別應用程式。這樣便能在不受到 IP 和連接埠號碼等網路架構的影響之下,在應用程式和子應用程式層級啟用精確的存取控制。
- 持續信任驗證:一旦賦予應用程式的存取權限,系統就會持續根據裝置狀況的變動、使用者行為和應用程式行為進行信任評估。如果偵測到任何的可疑行為,可以即時撤銷存取權限。
- 持續安全檢查:會針對所有流量進行深入且持續的檢查,即使是允許的連線亦然,以防範包括零時差威脅在內的所有威脅。這對於合法的使用者憑證遭竊、以及經常針對應用程式或基礎結構發動攻擊的情況來說特別重要。
- 保護所有數據:透過單一的 DLP 政策,針對企業中使用的所有應用程式 (包括私有應用程式和 SaaS 在內) 實施一致的數據控制。
- 保護所有應用程式:持續保護企業中使用的所有應用程式,包括現代化雲端原生應用程式、舊型私有應用程式和 SaaS 應用程式,還有使用動態連接埠的應用程式,以及利用伺服器啟動連線的應用程式。
ZTNA 1.0 與 ZTNA 2.0
過去 24 個月,網路和安全領域最大的轉變就是工作已經不再是指我們前往辦公地點,而是指我們所執行的活動。混合工作是我們的新常態,這代表我們的應用程式和使用者現在無處不在,也顯著加大我們的攻擊範圍。在此同時,我們也看到試圖利用這種大幅增加的攻擊範圍所發動的網路攻擊次數和導致的複雜度均有所增加。
目前的 ZTNA 1.0 解決方案僅解決跟應用程式直連存取有關的一些問題。特別是 ZTNA 1.0 解決方案:
ZTNA 和 SASE
然而跟 SDP 一樣,ZTNA 在使用者建立連線之後,並不會針對應用程式的使用者流量提供內嵌檢查。因此,當使用者的裝置或憑證遭到入侵,或惡意內部人員利用其對資源的存取權限來破壞應用程式或主機時,這可能會導致潛在的安全問題。
安全存取服務邊緣 (SASE) 將廣域網路 (WAN) 和安全服務整合在雲端交付的服務「邊緣」中,其目的在於協助企業達到網路和安全基礎結構現代化,以滿足混合環境和混合工作者的需求。SASE 解決方案將包含 ZTNA、雲端 SWG、CASB、FWaaS 與 SD-WAN 在內的多種單點產品進行整合,推出單一整合服務,可以降低網路與安全複雜度,同時提升企業的敏捷性。
開始 SASE 旅程的方法有很多,ZTNA 就是其中之一。安全存取服務邊緣 (SASE) 解決方案整合 ZTNA 2.0 身分式驗證和精細存取控制功能,可以提供更完整且更全面的方法。
在此部落格中深入了解 ZTNA 的演變。