什麼是零信任網路存取?
零信任網路存取 (ZTNA) 是一款 IT 安全性解決方案,可提供安全的遠端存取機制,以根據明確的存取控制原則存取組織的應用程式、資料和服務。零信任網路存取不同於虛擬私人網路 (VPN),零信任網路存取只會授予特定服務或應用程式的存取權限,VPN 則會授予整個網路的存取權限。鑑於從家中或其他地點存取資源的使用者人數不斷增加,零信任網路存取解決方案有助於消弭其他安全遠端存取技術和方法中的漏洞。
《如何將現有做法轉換成零信任模式》(How To Get From Here To Zero Trust)
《簡化您的零信任旅程》(Simplify Your Zero Trust Journey)
零信任網路存取如何運作?
採用零信任網路存取機制時,使用者需要先行完成零信任網路存取服務的驗證作業,才能獲得特定應用程式或資源的存取權限。通過驗證後,零信任網路存取就會使用安全且加密的通道,向使用者提供特定應用程式的存取權限;該通道可設下一道防護措施,讓 IP 位址無法看到應用程式和服務,藉此提供額外的安全保護層。
在此一機制下,零信任網路存取的運作模式與軟體定義的周邊 (SDP) 極其相似,會仰賴相同的「隱藏雲端」概念,以防止使用者取得他們不具存取權限的其他任何應用程式和服務。零信任網路存取也可防範橫向攻擊,畢竟,即使攻擊者取得權限,仍舊無法透過掃描來找出其他服務。
零信任網路存取適合哪些使用情境?
驗證和存取:零信任網路存取的主要用途,在於提供高度精密的存取機制,以根據使用者的身分識別授予權限。IP 式的 VPN 存取機制,會為通過授權的對象提供廣泛的網路存取權限,零信任網路存取則提供有限且精密的存取權限,僅限存取特定應用程式和資源。零信任網路存取可透過地點或裝置專用的存取控制原則,避免惡意或遭到入侵的裝置存取組織資源,藉此提供更高層級的安全性。相較之下,有些 VPN 會對員工持有裝置授予地端管理員具備的相同存取權限,與零信任網路存取所授予的存取權限大不相同。
完整的控制能力和能見度:由於零信任網路存取不會在驗證完成後檢查使用者流量,如果懷有惡意的員工使用其存取權限進行惡意活動,或是使用者憑證遺失或遭到竊取,即有可能發生問題。如果將零信任網路存取整合至安全存取服務邊緣 (SASE) 解決方案中,組織就能享有安全遠端存取所需要的安全性、延展性和網路功能,同時在連線後進行監控,以防範資料遺失、惡意行動,或使用者憑證遭到入侵等情況。
零信任網路存取的優勢
在現今的多雲環境中,許多微服務型應用程式可能位於多個雲端和地端;因此,使用者位於組織網路外部的情況也越來越常見。有鑑於此,零信任網路存取可用來連接使用者、應用程式和資料,即使遇到上述情況,也無需擔心。現代化組織需要讓分散各地的使用者族群,透過任何裝置隨時隨地存取其數位資產。
零信任網路存取可順利滿足上述需求,為關鍵業務應用程式提供精密的情境感知存取權限,而且無需向潛在攻擊者公開其他服務。
由 Gartner 公司所開發的零信任網路存取模式,有助於避免向員工、約聘人員,以及其他僅需有限存取權限的使用者授予過多信任的情況。此一模式體現了「除非證明可受信任,否則一律抱持懷疑」的概念,更重要的是,每當連線發生任何變化 (地點、情境和 IP 位址等),就需重新驗證這層信任關係。
VPN 和零信任網路存取有何不同?
VPN 和零信任網路存取之間存在眾多差異。首先,VPN 旨在提供網路整體的存取權限,而零信任網路存取只會授予特定資源的存取權限,且需頻繁地重複驗證。
相較於零信任網路存取,VPN 有著以下缺點:
資源使用情況 - 隨著遠端使用者人數增加,VPN 的負載可能會發生非預期的高度延遲,而且需要新增資源,才能因應不斷高漲的需求或尖峰使用時段。此一情況也有可能造成 IT 部門的人力負擔。
彈性和靈活性 - VPN 無法提供零信任網路存取所具備的精細度。此外,要在需連接企業資源的所有終端使用者裝置上安裝和設定 VPN 軟體,也需耗費極大心力。相較之下,根據立即的業務需求來新增或移除安全性原則和使用者授權,則輕鬆不少。零信任網路存取中的屬性型存取控制 (ABAC) 和角色型存取控制 (RBAC),都有助於簡化這項作業。
精細度 - 使用者只要一進入 VPN 範圍,就能存取整個系統。零信任網路存取則採取截然不同的做法,除非該使用者已取得特定資產 (應用程式、資料或服務) 的授權,否則一律不會授予任何存取權限。零信任網路存取與 VPN 不同,會根據身分識別驗證來持續確認使用者的身分。每位使用者和每部裝置都需要先行通過確認和驗證,才能獲得特定應用程式、系統或其他資產的存取權限。VPN 和零信任網路存取可彼此搭配運用,例如用來強化特定敏感網路區段的安全性,在 VPN 遭到入侵時,提供額外的安全性層級。
如何實作零信任網路存取?
零信任網路存取提供兩種實作方法:端點啟動和服務啟動。如同名稱所示,在端點啟動的零信任網路架構中,使用者需要從端點連線裝置啟動應用程式存取,與 SDP 十分類似。裝置上安裝的代理程式會與零信任網路存取控制器進行通訊,該控制器會進行驗證,並連至所需服務。
相較之下,在服務啟動的零信任網路存取架構中,會由應用程式和使用者之間的中介程式啟動連線。這樣一來,地端或雲端供應商的業務應用程式前方,就需配置一個輕量型零信任網路存取控制器。所要求的應用程式會傳送輸出連線,以驗證使用者或其他應用程式,驗證完成後,流量將流經零信任網路存取服務供應商,進而透過 Proxy 防止直接存取應用程式。上述做法的優點,就是不必在終端使用者裝置上安裝代理程式,因此更適合運用在未受管理或用戶自攜裝置上,以因應顧問或合作夥伴的存取需求。
零信任網路存取也提供兩種交付模式:獨立式零信任網路存取或零信任網路存取即服務。兩者的主要差異如下:
獨立式零信任網路存取:組織需要部署和管理零信任網路存取的所有項目,而該架構會位於安全連線中介環境 (雲端或資料中心) 的邊緣。雖然這個做法相當適合對雲端接受度較低的組織,但舉凡部署、管理和維護等作業,都會衍生額外負擔。
雲端代管服務的零信任網路存取:組織可利用雲端供應商的基礎架構來進行各種作業,包括從部署到原則施行等。若採用這個做法,組織只需取得使用者授權、在受保護的應用程式前方部署連接器,然後由雲端供應商 / 零信任網路存取廠商提供連線、容量和基礎架構,即可大功告成。雲端交付的零信任網路存取可簡化管理和部署作業,並確保選用最佳流量路徑,以盡可能減輕所有使用者遇到的延遲情況。
根據 Gartner 公司估計,90% 以上的組織都選擇實作零信任網路存取即服務。
