2022-09-07

何谓「ZTNA」? 一文掌握零信任网络存取（ZTNA）

零信任? ZTNA原则、优势及解决方案

企业内部攻击在过去两年变得更为频繁，随着遥距办公及「自携装置」（BYOD）越趋常见，内部威胁等网络安全事件大幅增加，因此注重网络安全的企业必须及早引入零信任网络存取（ZTNA）解决方案。本文将介绍至关重要的「零信任」概念以及最佳方案，确保您的商业应用、数据和服务安全无恙。

什么是零信任网络存取（ZTNA）?

零信任网络存取（ZTNA）由先进的防范技术集成，按照需求向用户及装置的身份和环境进行验证。

「零信任」技术会持续且精确地审核、调整对象的可信程度，受到许可方能访问企业的IT资源。 ZTNA还能够无缝地优化复杂的现代企业网络基建，为网络安全思维及架构打开了新大门。

基于「最低权限原则」，ZTNA只会给予用户执行所需功能之最低存取级别。用户每次请求访问特定的应用时，ZTNA必定会重新验证其身份凭证，帮助企业尽早发现异常，在资产、数据或人员受影响前进行调查。

作为安全存取服务边缘（SASE）的关键要素之一，ZTNA提供了技术框架，实现了身份验证功能，确保企业能够安全连接内部资源。透过融合SASE和ZTNA，企业可以减轻数据外泄的风险及缩小攻击面，从而强化网络安全边界，令黑客难以渗透其中。

企业安全的最佳选择：ZTNA还是VPN？

简单来说，虚拟专用网络（VPN）是以服务边界为主的传统安全策略，只要连接了VPN，谁都可以完全存取该组织的网络及资源；相反，零信任网络存取（ZTNA）建基于「零信任」原则，只会允许有限度访问，同时要求用户必须具有特殊许可才能存取资源。

两者固然都具有基本的网络安全功能，但值得留意的是ZTNA能够协调多个应用和网络系统，在消除恶意连接的风险上的效用更为显著，正正为处于现今运算环境的企业提供了额外保护，同时改善了工作体验。

ZTNA助您实现高度网络安全

企业采用零信任网络安全架构（ZTNA）能够享受多重优势，包括：

1. 安全管控更为严格

由于ZTNA是基于地点及装置再授予相对应的存取级别，这种个别处理存取请求的做法加强了网络安全，并按照「最小权限」原则有效控制存取级别，为企业建立强大又灵活的安全优势。

2. 用户体验大幅改善

相比起以边界为中心的安全模型，ZTNA 采用了集中控制存取的策略，允许用户访问多云及混合云的应用或资源，因此企业能够轻易在云端上管理用户请求，整体性能得以提升，更能稳定地保护网络安全。

3. 定期进行安全检查

透过进行定期验证及安全检查，即使企业凭证被盗，抑或受到零日威胁等复杂攻击入侵，ZTNA都会深入且持续不断地监测所有流量，保证及时发现威胁，让企业远离一切网络威胁。

4. 安全基建隐蔽无形

鉴于ZTNA能够最大限度地减少攻击面，并隐身于网络及应用中来强化网络安全，只有可信用户方可通过验证及获取授权，黑客根本无法接近受ZTNA所保护的资源，这样便能为企业提供额外保护。

「零信任」架构之关键技术

零信任网络存取（ZTNA）由三项先进技术驱动，包括：

软件定义边界

软件定义边界（SDP）涉及用户验证、装置验证、执行「零信任」程序及安全存取资源等数个阶段，只有通过以上程序的用户才能进行访问。

强化身份监管

有赖于身份管理技术，每当有用户请求存取网络资源时，ZTNA会验证大量与身份背景有关的认证因素，例如用户名称、装置类型、IP地址及物理地点。

微分段

与基于隐形信任来授予存取权的做法不同，ZTNA利用了微分段（Micro-segmentation）技术，将特定应用的存取权分配给特定用户，创建端到端的加密微管道，按照工作量对每个应用、装置及用户进行分段隔离。

「零信任」架构之核心原则

逐一验证用户及装置

ZTNA的验证程序严苛至极，每次登录不同应用都会有单独的验证步骤，以防外来攻击损害企业的关键数码资产。由于ZTNA需要掌握相关的身份背景，不论是在网络边界外或内都能激发验证程序，不然企业的整个网络可能会陷入危险之中。

最小权限原则

凭借「最小权限原则」，ZTNA只会授予当下必需的存取权，因此用户及装置只拥有在适当情况下访问特定资源的权利，从而有效解决复杂的存取管控问题。

从零开始部署「零信任」安全方案

第一步：探索及导航

随着企业急速加快和扩大遥距连接的数量，他们必先判别出最为需要保护的数据和资讯，方便日后部署零信任网络存取方案时迅速取得清晰的进展。

企业应先检查内部网络及其他相关网络的流量情况，再整合哪些流量对业务运作至关重要，同时封锁或减低其他流量。

第二步：可视化及验证

完成以上步骤后，企业可以预视存取点、资源及相关风险。通过勾勒详细的流程图，企业对每件组件及所有情况的相依性一目了然，部署程序不但更清晰，同时减少应用架构的混乱。

在全面实施崭新的安全形态前，为确保系统符合标准，企业必须进行验证测试，不然会引致网络中断或存取上的难题。在整个企业里采取ZTNA模式实属不易，务必要小心仔细地加以改动，并更加谨慎地处理自动化问题。

第三步：设置及微调

内部基础设施的变化经常会引发新威胁及问题，企业须持续不断检测自身的网络配置和性能。

此外，实际部署方案时，可能会大改细节，所以定期检查每个装置特有的使用模式是完成ZTNA部署的关键一环，提高网络安全环境的可见性之余，还能调整策略方向，减少存取控制出错等问题。

TrueCONNECT™ SASE安全存取服务边缘- 助您迈向「零信任」

针对现代企业的网络安全需求而设， TrueCONNECT™ SASE安全存取服务边缘方案是为分散式基建的创新范式，全面迁移网络安全至软件定义边界，同步有效消除性能上的瓶颈。

作为当今分散式企业的综合网络及安全堆栈，TrueCONNECT™ SASE保证在不损害业务连续性的情况下，企业的数码资产以及用户装置均能在所有存取点上享受到充分保护。服务还可与TrueCONNECT™ Hybrid无缝整合，结合全面的SD-WAN网络连接管理解决方案，实现真正安全的SD-WAN网络拓扑。

欢迎下载产品单页或直接向我们咨询。.

相关网志