什么是零信任网络访问 (ZTNA)？

• IAM 词汇表
• 什么是零信任网络访问 (ZTNA)？

零信任网络访问 (ZTNA) 是一个网络安全框架，专注于维护严格的访问控制和身份验证机制，无论用户或设备是位于网络边界内部还是外部。

ZTNA 的工作原理

不久之前，大多数员工几乎完全是在企业的内部场所上班，大部分电脑硬件也位于那里。出于这些原因，网络安全模型历来是依赖基于边界的安全措施，其假定任何试图从网络边界内部进行连接的设备或人类用户都是可信的。

但是，随着云服务、移动设备和远程办公的日益普及，现代网络已不再有“边界”。 用户和设备现在几乎可以从任何地方访问网络。

ZTNA 假定任何用户或设备默认都不应受到信任，即使是已位于网络内。它运作的原则是“永不信任，始终验证”。 这种方法可确保每个访问请求都经过身份验证和授权，无论用户的位置或使用的网络如何。ZTNA 将重点从保护网络边界转向保护单个资源和数据。

通过实施 ZTNA，组织可以最大限度地缩小其攻击面，提高可见性和访问控制，并增强其整体安全态势。ZTNA 还允许用户进行更加灵活和安全的远程访问，支持采用云服务，并为基于云的现代数据环境提供更有效的安全模型。

ZTNA 的好处

ZTNA 是一个现代而稳健的安全框架，与当今的混合劳动力和数据环境保持一致，提供了比过时的基于边界的访问模型更好的保护。

以下是实施 ZTNA 的主要优点：

提升安全性

ZTNA 并不验证用户是从何处连接，而是验证他们是否是所声称的人。这降低了未经授权访问的风险，并有助于防范在发生泄露事件时网络内的横向移动。

缩小攻击面

在 ZTNA 中，随着重点转向保护单个资源和数据，网络边界变得不那么重要了。通过实施访问控制和微分段，组织可以根据用户身份、情境和其他因素限制对特定资源的访问。这缩小了攻击面，使攻击者更难在网络内横向移动。

提高可见性和控制力

ZTNA 解决方案提供了对用户活动和网络流量的更高可见性。访问控制和策略是在细粒度级别强制执行，使组织能够更有效地监视和跟踪用户行为。这有助于组织实时检测和应对潜在的安全威胁。

简化合规

ZTNA 解决方案通常包括用户身份验证、设备验证和审核日志等功能，这些功能可以帮助组织满足监管合规要求。通过实施 ZTNA，组织可以更轻松地强制执行访问控制、跟踪用户活动并展示合规。

灵活安全的远程访问

ZTNA 支持对资源进行安全远程访问，无论用户位于何处。员工可以使用各种设备，从任何地方安全地连接至网络并访问必要的资源。ZTNA 解决方案通常包括安全访问代理或网关，可提供加密连接，从而确保通过网络传输的数据的机密性和完整性。

无缝采用云服务

随着组织越来越多地采用云服务，ZTNA 可以提供安全且可扩展的解决方案。它允许组织对访问基于云的资源的用户进行身份验证和授权，确保只有经过授权的用户才能访问敏感数据和应用。

改善用户体验

ZTNA 可以通过提供对资源进行无缝便捷的访问来改善用户体验。通过 ZTNA，用户无需复杂而耗时的身份验证过程即可访问所需的资源，并保持高度的安全性。

ZTNA 与 VPN 对比：有什么区别？

ZTNA 和虚拟专用网络 (VPN) 都用于进行安全的远程访问，但它们的实施和用例有很大不同。

以下是 ZTNA 和 VPN 之间的主要区别：

产品与框架

VPN 是一种特定类型的产品，通常是安装在最终用户设备上的客户端应用，它可以在用户设备和公司网络之间建立安全的加密隧道。

ZTNA 专注于验证用户和设备身份，无论其位置或网络如何。ZTNA 在细粒度级别应用访问控制，保护单个资源和数据的安全，而不是仅仅依赖于网络级别的安全。

安全模型

VPN 依赖于可信网络边界的概念。连接到 VPN 后，用户将被视为可信网络的一部分。

ZTNA 专注于验证用户和设备身份，无论其位置或网络如何。ZTNA 在细粒度级别应用访问控制，保护单个资源和数据的安全，而不是仅仅依赖于网络级别的安全。

访问控制

建立连接后，VPN 通常会授予用户访问整个网络的权限。用户可以访问可信网络边界内的所有可用资源和服务。

ZTNA 可根据用户身份、设备态势和其他情境因素强制执行访问控制。它提供了更加细粒度的访问控制，允许组织限制对特定资源或应用的访问，缩小攻击面并防范网络内的横向移动。

用户体验

在使用 VPN 时，用户的设备以虚拟方式连接至公司网络，使其看起来好像实际存在于网络中。从理论上讲，这应该可提供无缝的用户体验。然而，由于所有流量都需通过 VPN 路由，因此连接速度是出了名的慢。

ZTNA 允许用户直接访问特定资源，而无需完整的网络连接，从而提供对用户更加友好的体验。ZTNA 解决方案通常采用实时 (JIT) 访问，根据特定要求授予临时、受限的访问权限，从而提供更加精简、高效的用户体验。

网络体系结构

VPN 通常要求 IT 管理员直接在用户的设备上安装客户端应用，以建立与公司网络的直接连接。如果用户要从多台设备进行连接，则必须在每台设备上都安装该应用，从而为繁忙的 IT 团队带来了更多的工作量。此外，最终用户经常发现 VPN 应用笨拙且难以使用。

ZTNA 解决方案通常是利用安全的访问代理或网关充当用户和资源之间的中介。ZTNA 可以利用各种网络协议和传输机制，安全地将用户连接至特定资源，从而减少通过中央网络对所有流量进行路由的依赖。用户可以从运行几乎是任何操作系统的任何设备连接至网络。

云就绪

VPN 最初设计用于保护远程办公室之间相对短期的连接，或者将远程用户连接至中央网络。其设计初衷并不是为了让大量用户直接访问基于云的资源和服务，也不是要在用户的整个工作日中一直开启。

相反，ZTNA 非常适合云时代。其模型的扩展性非常好，并可为大量用户提供对组织云资源和服务的安全访问。ZTNA 允许组织对访问基于云的应用的用户进行身份验证和授权，从而确保安全的连接和数据保护。

如何实施 ZTNA

由于 ZTNA 是一个框架而不是产品，因此每个组织进行实施时都会有所不同。虽然具体情况因组织的具体需求和数据环境而异，但以下是流程的大致概述：

评估您的环境

首先，对您的现有网络基础设施进行全面评估，包括网络拓扑、应用、资源和用户访问模式。确定安全方面的潜在漏洞和需要改进的地方。

定义访问策略

根据最低特权原则定义访问策略。确定哪些用户或组可以访问特定的资源或应用，以及授予访问权限的条件。考虑用户身份、设备态势、位置和情境信息等因素。

实施身份和访问管理 (IAM) 解决方案

您需要能够处理 IAM 流程的软件解决方案，例如密码管理、用户身份验证和多步验证。考虑诸如实施简便性、可扩展性、集成能力、用户体验以及与现有基础设施的兼容性等因素。

实施安全的远程访问解决方案

ZTNA 的实施通常包括安全访问代理或远程连接网关，以使 IT 和 DevOps 人员能够安全地连接至内部机器和系统。

微分段

实施微分段，将您的网络划分为更小的分段，并在细粒度级别强制执行访问控制。这有助于遏制潜在的安全泄露事件，并限制网络内的横向移动。根据敏感度和最低特权原则对资源进行划分。

监视和审核

实施监视和审核机制，以跟踪用户活动、访问尝试和潜在的安全事件。使用日志和分析来识别异常或可疑行为。根据不断变化的需求和威胁形势，定期审查和更新访问策略。

用户教育和培训

向用户介绍 ZTNA 的实施、好处以及如何安全地访问资源。提供有关安全远程访问、密码卫生和识别潜在网络钓鱼或社会工程攻击的最佳做法的培训。

持续改进

ZTNA 是一个持续的过程。定期审查和更新您的访问策略，监视安全控制措施，并随时了解新出现的威胁和漏洞。