什麼是 Zero Trust 網路存取 (ZTNA)?

Zero Trust 網路存取 (ZTNA) 是使組織能夠實作 Zero Trust 安全性模型的技術。

學習目標

閱讀本文後,您將能夠:

  • 定義 Zero Trust 和 ZTNA
  • 說明 ZTNA 架構的工作原理
  • 對比 ZTNA 與 VPN

複製文章連結

什麼是 ZTNA?

Zero Trust 網路存取 (ZTNA) 技術使實作 Zero Trust 安全性模型成為可能。「Zero Trust」是一種 IT 安全性模型,它假設網路內外都存在威脅。因此,Zero Trust 要求在授權每個使用者和每台裝置存取內部資源之前對其進行嚴格驗證。

Zero Trust 網路存取 ZTNA:對使用者和裝置進行多重安全性檢查

ZTNA 類似於控制存取的軟體定義邊界 (SDP) 方法。在 ZTNA 中,與 SDP 一樣,連接的裝置除了連接到的內容外,不知道網路上的任何其他資源(應用程式、伺服器等)。

想像一下這樣的場景:每個居民都有一本電話簿,上面有他們城市裡其他每個居民的電話號碼,任何人都可以撥打任何號碼與其他人聯絡。現在,想像一下另一個情景:每個人都有一個未登記的電話號碼,一個居民必須知道另一個居民的電話號碼才能給他打電話。這第二種情況有幾個好處:沒有不需要的電話,不會意外地打給錯誤的人,也沒有不法分子利用城市的電話簿愚弄或詐騙居民的風險。

ZTNA 就像第二種情況。但是,ZTNA 使用的不是電話號碼,而是「未列出的」 IP 位址、應用程式和服務。它在使用者和他們需要的資源之間建立一對一的連線,就像兩個需要相互聯絡的人交換電話號碼一樣。但與兩個人交換號碼不同的是,ZTNA 連線需要定期重新驗證和重新建立。

ZTNA 與 VPN

許多組織使用虛擬私人網路 (VPN)控制存取,而非使用 ZTNA。一旦使用者登入 VPN,他們就可以存取整個網路和該網路上的所有資源(這通常被稱為城堡加護城河模型)。而 ZTNA 僅授予對所要求的特定應用程式的存取權限,並預設拒絕對其他應用程式和資料的存取。

ZTNA 和 VPN 在技術層面上也存在區別。其中一些區別包括:

  1. OSI 模型層:許多 VPN 在 OSI 模型第 3 層(網路層)的 IPsec 通訊協定上執行。ZTNA 通常在應用程式層上執行。(一些 VPN 確實在應用程式層上執行,但使用 TLS 通訊協定進行加密,而非 IPsec;ZTNA 通常有相似的方法。)
  2. 端點軟體安裝:IPsec VPN 需要在所有使用者裝置上安裝軟體。ZTNA 有時也需要安裝軟體,但並非總是如此。
  3. 硬體:VPN 通常需要使用內部部署的 VPN 伺服器,使用者裝置通常透過其組織的周邊防火牆連接到這些伺服器。ZTNA 可以以這種方式設定,但最常見的是透過雲端,讓使用者能夠從任何地方連接而不影響網路效能。
  4. 連線層級:ZTNA 在使用者的裝置和特定應用程式或伺服器之間建立一對一的加密連線。VPN 一次性為使用者提供存取整個 LAN 的加密存取權限。如果一個使用者的 IP 位址與網路連接,它可以與該網路上的所有 IP 位址連接。

最後,VPN 並不精準,在很大程度上將使用者和裝置一視同仁,無論他們身在何處以及需要存取什麼。隨著「自帶裝置」(BYOD) 方法變得越來越普遍,允許這種存取十分危險,因為任何被惡意軟體入侵的端點都可能感染整個網路。由於這些原因,VPN 是一個常見的攻擊目標。

ZTNA 如何運作?

每個組織或廠商對 ZTNA 的設定都略有不同。然而,在所有 ZTNA 架構中,有幾個基本原則是一致的:

  • 應用程式與網路存取:ZTNA 將應用程式存取與網路存取分開處理。連接到一個網路並不會自動授予使用者存取一個應用程式的權利。
  • 隱藏 IP 位址:ZTNA 不向網路暴露 IP 位址。除了裝置所連接的應用程式或服務外,網路的其他部分對於連接的裝置來說仍然不可見。
  • 裝置安全:ZTNA 可以將裝置的風險和安全狀態作為存取決策的因素。它透過在裝置本身上執行軟體(見下文「基於代理程式的 ZTNA 與基於服務的 ZTNA」)或透過分析進出裝置的網路流量來實現。
  • 額外因素:與僅根據使用者身分和角色授予存取權限的傳統存取控制不同,ZTNA 可以評估與額外因素相關的風險,如使用者位置、請求的時間和頻率、被請求的應用程式和資料等等。使用者可以登入網路或應用程式,但如果他們的裝置不被信任,則存取會被拒絕。
  • 無 MPLS:ZTNA 使用透過 TLS 加密的網際網路連線,而不是基於 MPLSWAN 連線。傳統的企業網路建立在私人 MPLS 連線之上。ZTNA 則建立在公用網際網路上,使用 TLS 加密來保持網路流量的私密性。ZTNA 在使用者和應用程式之間建立小型加密通道,而不是將使用者連接到一個更大的網路。
  • IdP 和 SSO:大多數 ZTNA 解決方案與單獨的識別提供者 (IdP)單一登入 (SSO) 平台整合,或同時與兩者整合。SSO 允許使用者對所有應用程式進行身分驗證;IdP 儲存使用者身分並確定相關的使用者權限。
  • 代理程式與服務:ZTNA 可以使用端點代理程式或基於雲端。下面對二者的區別進行了說明。

基於代理程式的 ZTNA 與基於服務的 ZTNA

基於代理程式的 ZTNA 要求在所有端點裝置上安裝稱為「代理程式」的軟體應用程式。

基於服務或基於雲端的 ZTNA 是一種雲端服務,而不是一個端點應用程式。它不需要使用或安裝代理程式。

想要實作 Zero Trust 理念的組織應該考慮哪種 ZTNA 解決方案最適合他們的需求。例如,如果一個組織擔心受管理和未受管理裝置的組合越來越多,那麼基於代理程式的 ZTNA 可能是一個有效的選擇。或者,如果一個組織主要注重鎖定某些基於 Web 的應用程式,則可以迅速採用基於服務的模式。

另一個考慮因素是,基於服務的 ZTNA 可能很容易與雲端應用程式整合,但不太容易與內部基礎結構整合。如果所有網路流量都必須從內部部署端點裝置流到雲中中,然後再回到內部基礎結構,那麼效能和可靠性可能會受到極大的影響。

ZTNA 解決方案還有哪些重要的考量因素?

廠商專業性:因為身分識別與存取管理 (IAM) 、網路服務以及網路安全傳統上是互相獨立的,大多數 ZTNA 廠商通常專注於其中一個領域。組織應該尋找一個專業領域符合其需求的廠商,或者尋找將全部三個領域組合成一個統一解決方案的廠商。

實作水平:一些組織可能已經投資於相鄰的技術,以支援 Zero Trust 戰略(如 IdP 或端點保護提供者),而另一些組織可能需要從頭開始建立其整個 ZTNA 架構。ZTNA 廠商可以提供單一功能解決方案來幫助企業完善其 ZTNA 部署,或建立整個 ZTNA 架構,或兩者兼而有之。

對舊版應用程式的支援:許多組織仍有對其業務至關重要的內部部署舊版應用程式。由於 ZTNA 在網際網路上執行,因而可以輕鬆支援雲端應用程式,但可能需要額外的設定才能支援舊版應用程式。

IdP 整合:許多組織已經有了一個 IdP。一些 ZTNA 廠商只與某些 IdP 合作,迫使他們的客戶遷移其身分資料庫以使用他們的服務。其他廠商則是與 IdP 無關——他們可以與任何 IdP 整合。

如何開始使用 ZTNA

Cloudflare 提供了一個建立在 Cloudflare 全球邊緣網路上的 ZTNA 解決方案,以提供快速效能。請參閱 ZTNA 解決方案頁面

有關 Zero Trust 理念的更多背景資訊,請參閱我們關於 Zero Trust 安全性的文章