什么是零信任网络访问 (ZTNA)?

 

零信任网络访问 (ZTNA) 是一种 IT 安全解决方案,可根据明确定义的访问控制策略提供对企业的应用、数据和服务的安全远程访问权限。

 

ZTNA 与虚拟专用网络 (VPN) 的不同之处在于:ZTNA 只授予对特定服务或应用的访问权限,而 VPN 授予对整个网络的访问权限。随着越来越多的用户从家中或其他地方访问资源,ZTNA 解决方案可以帮助弥补其他安全远程访问技术和方法的缺漏。

 

 

 

零信任网络访问的工作原理

使用 ZTNA 时,只有在用户通过 ZTNA 服务的身份验证后,才能被授予对特定应用或资源的访问权限。

一旦通过身份验证,ZTNA 便会使用安全的加密隧道授予用户对特定应用的访问权限,该隧道通过针对某些 IP 地址屏蔽原本可见的应用和服务来提供额外的安全保护层。

零信任

《SASE 和 ZTNA 傻瓜入门》一书让您可以快速开始了解这些技术

免费下载 

零信任网络访问有哪些应用场景?

身份验证和访问 - ZTNA 的主要用途是提供基于用户身份的高度精细的访问机制。一旦被授抒基于 IP 的 VPN 访问权限,便可以对网络进行广泛的访问,而 ZTNA 则提供对特定应用和资源的有限且精细的访问权限。ZTNA 可以利用特定于位置或设备的访问控制策略提供更高级别的安全性,这可以防止有威胁的或遭受入侵的设备访问企业的资源。这种访问与通过某些 VPN 进行的访问不同,后者为员工自有的设备提供的访问权限与本地部署管理员被授予的访问权限相同。

 

全面控制和可见性 - ZTNA 不会在身份验证后检查用户流量,因此,如果恶意员工利用其访问权限来实现不法目的,或者,如果用户凭证丢失或被盗,则可能会出现问题。通过将 ZTNA 整合到 Secure Access Service Edge (SASE) 解决方案中,企业可以受益于实现安全远程访问所需的安全性、可扩展性和网络功能,以及用于防止数据丢失、恶意操作或用户凭证被盗用的连接后监控功能。

 

 

零信任网络访问带来的好处

ZTNA 提供了一种方法来连接那些甚至未驻留在企业网络上的用户、应用和数据,这种情况在当今的多云环境中越来越常见,基于微服务的应用可以驻留在多个云环境以及本地部署环境中。现代企业需要确保其分布在各地的用户群能够随时随地使用任何设备获得他们的数字资产。

 

ZTNA 通过以下方法满足了这一需求:提供对关键业务应用的、精细的环境感知型访问权限,且不会将其他服务暴露给可能的攻击者。

ZTNA 模型由 Gartner 创建,用于帮助避免过度信任雇主、合同工和其他仅需非常有限的访问权限的用户。该模型表达的概念是:对于任何未经证明值得信赖的东西,均不信任,更重要的是,连接的任何方面(位置、环境、IP 地址等)改变时,都必须重新验证是否可以信任。

 

 

VPN 和 ZTNA 之间有什么区别?

VPN 和 ZTNA 之间存在多项区别。首先,VPN 旨在提供网络级访问权限,而 ZTNA 授予对特定资源的访问权限,并且经常要求重新进行身份验证。

 

与 ZTNA 相比,VPN 具有以下一些缺点:

资源利用率 – 随着远程用户数量的增加,VPN 上的负载可能会导致意外的高延迟,并且可能要求向 VPN 添加新资源以满足不断增长的需求或应对高峰使用时间。这也会使 IT 部门的人力紧张。

灵活性和敏捷性– VPN 无法提供 ZTNA 所提供的精细度。此外,在需要连接到企业资源的所有终端用户设备上安装和配置 VPN 软件可能具有挑战性。相反,根据他们的即时业务需求添加或删除安全策略和用户授权要容易得多。ZTNA 中的 ABAC(基于属性的访问控制)和 RBAC(基于角色的访问控制)简化了这项任务。

精细度 – 一旦进入 VPN 边界,用户便可以访问整个系统。ZTNA 采用的方法相反,除非专门授权用户使用资产(应用、数据或服务),否则,根本不向该用户授予访问权限。与 VPN 不同,ZTNA 提供基于身份验证的持续性身份核实。每位用户和每台设备在被授予对特定应用、系统或其他资产的访问权限之前均经过核实和身份验证。VPN 和 ZTNA 可以相互结合使用,例如,增强特别敏感的网络分段的安全性,以在 VPN 受到威胁时提供额外的安全层。

 

 

如何实施 ZTNA?

实施 ZTNA 的方法有两种:端点发起的实施和服务发起的实施。顾名思义,在端点发起的零信任网络体系架构中,用户从端点连接的设备发起对应用的访问,与发起对 SDP 的访问类似。安装在设备上的代理可与 ZTNA 控制器通信,而后者提供身份验证并连接到所需的服务。

 

相反,在服务发起的 ZTNA 中,由代理在应用和用户之间发起连接。这需要内部部署环境或云服务提供程序中的业务应用前面部署一个轻量级 ZTNA 连接器。一旦来自所请求的应用的出站连接对用户或其他应用进行了身份验证,流量将流经 ZTNA 服务提供程序,通过代理避免应用遭到直接访问。这里的优势在于不需要在终端用户设备上安装代理,这更加吸引顾问或合作伙伴使用非代管设备或 BYOD(自带设备)进行访问。

 

此外,零信任网络访问的交付模式有两种:单行版 ZTNA 或 ZTNA 即服务。以下是两者的主要区别:

 

单行版 ZTNA 要求企业部署和管理 ZTNA 的所有元素,ZTNA 位于环境(云或数据中心)的边缘,代理建立安全连接的任务。尽管这非常适合不喜欢云的企业,但部署、管理和维护会增加负担。

 

使用 ZTNA 即云托管服务,各企业可以利用云服务提供商的基础架构执行从部署到策略实施的所有工作。在这种情况下,企业只需获取用户许可证,在受安全保护的应用前面部署连接器,并让云服务提供商/ZTNA 供应商提供连接、容量和基础架构。这简化了管理和部署,并且云端交付的 ZTNA 可以确保为所有用户选择最佳流量路径,实现最低延迟。


Gartner 估计,超过 90% 的企业将会实施 ZTNA 即服务。

VMware 零信任网络访问的相关产品、解决方案和资源

VMware SD-WAN

VMware SD-WAN 不仅仅提供基本功能,还提供了真正完整的 SASE 解决方案以支持企业向云转移。

实施零信任安全功能

利用原生的模块化零信任安全方法获得可见性和控制力,轻松保护整个数字化环境。

VMware SD-WAN 企业应用场景

企业面临着带宽成本和网络部署复杂性不断增加的问题。

Secure Access Service Edge (SASE)

Secure Access Service Edge (SASE) 是云网络与云安全性相融合的产物,可提供简便性、可扩展性、灵活性和普遍的安全性。

2020 年 Gartner WAN 边缘基础架构魔力象限

如需了解更多信息,请阅读 2020 年 Gartner 魔力象限报告。

Anywhere Workspace 解决方案

使员工能够随时随地开展工作并获得安全顺畅的体验。