Zero Trust 網路存取 (ZTNA) 是使組織能夠實作 Zero Trust 安全性模型的技術。
閱讀本文後,您將能夠:
複製文章連結
Zero Trust 網路存取 (ZTNA) 技術使實作 Zero Trust 安全性模型成為可能。「Zero Trust」是一種 IT 安全性模型,它假設網路內外都存在威脅。因此,Zero Trust 要求在授權每個使用者和每台裝置存取內部資源之前對其進行嚴格驗證。
ZTNA 類似於控制存取的軟體定義邊界 (SDP) 方法。在 ZTNA 中,與 SDP 一樣,連接的裝置除了連接到的內容外,不知道網路上的任何其他資源(應用程式、伺服器等)。
想像一下這樣的場景:每個居民都有一本電話簿,上面有他們城市裡其他每個居民的電話號碼,任何人都可以撥打任何號碼與其他人聯絡。現在,想像一下另一個情景:每個人都有一個未登記的電話號碼,一個居民必須知道另一個居民的電話號碼才能給他打電話。這第二種情況有幾個好處:沒有不需要的電話,不會意外地打給錯誤的人,也沒有不法分子利用城市的電話簿愚弄或詐騙居民的風險。
ZTNA 就像第二種情況。但是,ZTNA 使用的不是電話號碼,而是「未列出的」 IP 位址、應用程式和服務。它在使用者和他們需要的資源之間建立一對一的連線,就像兩個需要相互聯絡的人交換電話號碼一樣。但與兩個人交換號碼不同的是,ZTNA 連線需要定期重新驗證和重新建立。
許多組織使用虛擬私人網路 (VPN) 來控制存取,而非使用 ZTNA。一旦使用者登入 VPN,他們就可以存取整個網路和該網路上的所有資源(這通常被稱為城堡加護城河模型)。而 ZTNA 僅授予對所要求的特定應用程式的存取權限,並預設拒絕對其他應用程式和資料的存取。
ZTNA 和 VPN 在技術層面上也存在區別。其中一些區別包括:
最後,VPN 並不精準,在很大程度上將使用者和裝置一視同仁,無論他們身在何處以及需要存取什麼。隨著「自帶裝置」(BYOD) 方法變得越來越普遍,允許這種存取十分危險,因為任何被惡意軟體入侵的端點都可能感染整個網路。由於這些原因,VPN 是一個常見的攻擊目標。
每個組織或廠商對 ZTNA 的設定都略有不同。然而,在所有 ZTNA 架構中,有幾個基本原則是一致的:
基於代理程式的 ZTNA 要求在所有端點裝置上安裝稱為「代理程式」的軟體應用程式。
基於服務或基於雲端的 ZTNA 是一種雲端服務,而不是一個端點應用程式。它不需要使用或安裝代理程式。
想要實作 Zero Trust 理念的組織應該考慮哪種 ZTNA 解決方案最適合他們的需求。例如,如果一個組織擔心受管理和未受管理裝置的組合越來越多,那麼基於代理程式的 ZTNA 可能是一個有效的選擇。或者,如果一個組織主要注重鎖定某些基於 Web 的應用程式,則可以迅速採用基於服務的模式。
另一個考慮因素是,基於服務的 ZTNA 可能很容易與雲端應用程式整合,但不太容易與內部基礎結構整合。如果所有網路流量都必須從內部部署端點裝置流到雲中中,然後再回到內部基礎結構,那麼效能和可靠性可能會受到極大的影響。
廠商專業性:因為身分識別與存取管理 (IAM)、網路服務以及網路安全傳統上是互相獨立的,大多數 ZTNA 廠商通常專注於其中一個領域。組織應該尋找一個專業領域符合其需求的廠商,或者尋找將全部三個領域組合成一個統一網路安全解決方案的廠商。
實作水平:一些組織可能已經投資於相鄰的技術,以支援 Zero Trust 戰略(如 IdP 或端點保護提供者),而另一些組織可能需要從頭開始建立其整個 ZTNA 架構。ZTNA 廠商可以提供單一功能解決方案來幫助企業完善其 ZTNA 部署,或建立整個 ZTNA 架構,或兩者兼而有之。
對舊版應用程式的支援:許多組織仍有對其業務至關重要的內部部署舊版應用程式。由於 ZTNA 在網際網路上執行,因而可以輕鬆支援雲端應用程式,但可能需要額外的設定才能支援舊版應用程式。
IdP 整合:許多組織已經有了一個 IdP。一些 ZTNA 廠商只與某些 IdP 合作,迫使他們的客戶遷移其身分資料庫以使用他們的服務。其他廠商則是與 IdP 無關——他們可以與任何 IdP 整合。
Zero Trust 應用程式存取 (ZTAA) 也稱為 Zero Trust 應用程式安全性,將與 ZTNA 相同的原則套用至應用程式存取而不是網路存取。ZTAA 解決方案透過與 IdP 和 SSO 提供者整合、加密連線、單獨考慮對應用程式的每個存取請求以及逐一封鎖或允許請求,來驗證使用者對應用程式的存取。ZTAA 可以透過瀏覽器以無代理形式提供,也可以使用端點代理程式提供。
若要深入了解,請參閱 零信任安全性。
Cloudflare 提供了一個建立在 Cloudflare 全球邊緣網路上的 ZTNA 解決方案,以提供快速效能。請參閱 ZTNA 解決方案頁面。
有關 Zero Trust 理念的更多背景資訊,請參閱我們關於 Zero Trust 安全性的文章。