什么是零信任网络访问 (ZTNA)?

零信任网络访问 (ZTNA) 是让组织能够实施零信任安全模式的技术。

学习目标

阅读本文后,您将能够:

  • 定义零信任和 ZTNA
  • 说明 ZTNA 架构的工作方式
  • ZTNA 与 VPN 的对比

复制文章链接

什么是 ZTNA?

零信任网络访问 (ZTNA) 技术使实施零信任安全模式成为可能。“零信任”是一种 IT 安全模式,它假定网络内外都存在威胁。因此,零信任要求在授权每个用户和每台设备访问内部资源之前对其进行严格的验证。

ZTNA 类似于用于控制访问的软件定义边界 (SDP) 方法。在 ZTNA 中,与 SDP 一样,连接的设备只知道它们所连接的资源,对于网络上的其他任何资源(应用程序、服务器等)一无所知。

想象一下这样的场景:每个居民都有一本电话簿,上面有他们城市里其他每个居民的电话号码,任何人都可以拨打任何号码与其他人联系。然后,想象一下另一个情景:每个人都有一个未登记的电话号码,一个居民必须知道另一个居民的电话号码才能给他们打电话。这第二种情况有几个好处:没有不需要的电话,不会意外地打给错误的人,也没有不法分子利用城市的电话簿愚弄或诈骗居民的风险。

ZTNA 就像第二种情况。但是,ZTNA 使用的不是电话号码,而是“未列出”的 IP 地址、应用程序和服务。它在用户和他们需要的资源之间建立一对一的连接,就像两个需要相互联系的人交换电话号码一样。但与两个人交换号码不同的是,ZTNA 连接需要定期重新验证和重新创建。

ZTNA 与 VPN

许多组织使用虚拟专用网络 (VPN)控制访问,而非使用 ZTNA。一旦用户登录 VPN,他们就可以访问整个网络和该网络上的所有资源(这通常被称为城堡与护城河模式)。而 ZTNA 只允许访问所请求的特定应用程序,并默认拒绝访问应用程序和数据。

ZTNA 和 VPN 在技术层面上也有区别。其中的一些区别包括:

  1. OSI 模型层:许多 VPN 在 OSI 模型第 3 层(网络层)的 IPsec 协议上运行。ZTNA 通常在应用程序层上运行。(一些 VPN 确实在应用程序层上运行,但使用 TLS 协议进行加密,而非 IPsec;ZTNA 通常有相似的方法。)
  2. 端点软件安装:IPsec VPN 需要在所有用户设备上安装软件。ZTNA 有时也需要安装软件,但并非总是如此。
  3. 硬件:VPN 通常需要使用内部部署的 VPN 服务器,用户设备通常通过其组织的外围防火墙连接到这些服务器。ZTNA 可以以这种方式配置,但最常见的是通过,使用户能够从任何地方连接而不影响网络性能。
  4. 连接水平:ZTNA 在用户的设备和特定应用程序或服务器之间建立一对一的加密连接。VPN 一次性为用户提供访问整个 LAN 的加密访问权限。如果一个用户的 IP 地址与网络连接,它可以与该网络上的所有 IP 地址连接。

最后,VPN 并不精准,在很大程度上将用户和设备一视同仁,无论他们身在何处以及需要访问什么。随着“自带设备”(BYOD) 方法变得越来越普遍,允许这种访问十分危险,因为任何被恶意软件入侵的端点都可能感染整个网络。由于这些原因,VPN 是一个常见的攻击目标。

ZTNA 是如何工作的?

每个组织或供应商对 ZTNA 的配置都略有不同。然而,在所有 ZTNA 架构中,有几个基本原则是一致的:

  • 应用程序与网络访问:ZTNA 将应用程序访问与网络访问分开处理。连接到一个网络并不会自动授予用户访问一个应用程序的权利。
  • 隐藏 IP 地址:ZTNA 不向网络暴露 IP 地址。除了设备所连接的应用程序或服务外,网络的其他部分对于连接的设备来说仍然不可见。
  • 设备安全:ZTNA 可以将设备的风险和安全态势作为访问决策的因素。它通过在设备本身上运行软件(见下文“基于代理的 ZTNA 与基于服务的 ZTNA”)或通过分析进出设备的网络流量来实现。
  • 额外因素:与仅根据用户身份和角色授予访问权限的传统访问控制不同,ZTNA 可以评估与额外因素相关的风险,如用户位置、请求的时间和频率、被请求的应用程序和数据等等。用户可以登录网络或应用程序,但如果他们的设备不被信任,则访问会被拒绝。
  • 无 MPLS:ZTNA 使用通过 TLS 加密的互联网连接,而不是基于 MPLSWAN 连接。传统的企业网络建立在专用 MPLS 连接之上。ZTNA 则建立在公共互联网上,使用 TLS 加密来保持网络流量的私密性。ZTNA 在用户和应用程序之间建立小型加密隧道,而不是将用户连接到一个更大的网络。
  • IdP 和SSO:大多数 ZTNA 解决方案与单独的身份提供商 (IdP)单点登录 (SSO) 平台集成,或同时与两者集成。SSO 允许用户对所有应用程序进行身份验证;IdP 存储用户身份并确定相关的用户权限。
  • 代理与服务:ZTNA 可以使用终端代理或基于云。下面对二者的区别进行了说明。

基于代理的 ZTNA 与基于服务的 ZTNA

基于代理的 ZTNA 要求在所有终端设备上安装一个称为“代理”的软件应用程序。

基于服务或基于云的 ZTNA 是一种云服务,而不是一个终端应用程序。它不需要使用或安装代理。

想要实施零信任理念的组织应该考虑哪种 ZTNA 解决方案最适合他们的需求。例如,如果一个组织担心受管理和未受管理设备的组合越来越多,那么基于代理的 ZTNA 可能是一个有效的选择。或者,如果一个组织主要注重锁定某些基于 Web 的应用程序,则可以迅速采用基于服务的模式。

另一个考虑因素是,基于服务的 ZTNA 可能很容易与云应用程序集成,但不太容易与内部基础设施集成。如果所有网络流量都必须从内部终端设备流到云中,然后再回到内部基础设施,那么性能和可靠性可能会受到极大的影响。

ZTNA 解决方案还有哪些重要的考量因素?

供应商专业性:因为身份和访问管理 (IAM) 、网络服务和网络安全传统上是互相独立的,大多数 ZTNA 供应商通常专注于其中一个领域。组织应该寻找一个专业领域符合其需求的供应商,或者寻找将全部三个领域组合成一个统一解决方案的供应商。

实施水平:一些组织可能已经投资于相邻的技术,以支持零信任战略(如 IdP 或端点保护提供商),而另一些组织可能需要从头开始建立其整个 ZTNA 架构。ZTNA 供应商可以提供单一功能解决方案来帮助企业完善其 ZTNA 部署,或创建整个 ZTNA 架构,或两者兼而有之。

对旧版应用程序的支持:许多组织仍有对其业务至关重要的内部旧版应用程序。由于 ZTNA 在互联网上运行,因而可以轻松支持云应用,但可能需要额外的配置才能支持旧版应用程序。

IdP 集成:许多组织已经有了一个 IdP。一些 ZTNA 供应商只与某些 IdP 合作,迫使他们的客户迁移其身份数据库以使用他们的服务。其他供应商则是与 IdP 无关的——他们可以与任何 IdP 集成。

如何开始使用 ZTNA

Cloudflare 提供了一个建立在 Cloudflare 全球边缘网络上的 ZTNA 解决方案,以提供快速性能。 请参阅 ZTNA 解决方案页面

如需有关零信任理念的更多背景信息,请参阅我们的零信任安全文章