2022-09-07
企业内部攻击在过去两年变得更为频繁,随着遥距办公及「自携装置」(BYOD)越趋常见,内部威胁等网络安全事件大幅增加,因此注重网络安全的企业必须及早引入零信任网络存取(ZTNA)解决方案。本文将介绍至关重要的「零信任」概念以及最佳方案,确保您的商业应用、数据和服务安全无恙。
零信任网络存取(ZTNA)由先进的防范技术集成,按照需求向用户及装置的身份和环境进行验证。
「零信任」技术会持续且精确地审核、调整对象的可信程度,受到许可方能访问企业的IT资源。 ZTNA还能够无缝地优化复杂的现代企业网络基建,为网络安全思维及架构打开了新大门。
基于「最低权限原则」,ZTNA只会给予用户执行所需功能之最低存取级别。用户每次请求访问特定的应用时,ZTNA必定会重新验证其身份凭证,帮助企业尽早发现异常,在资产、数据或人员受影响前进行调查。
作为安全存取服务边缘(SASE)的关键要素之一,ZTNA提供了技术框架,实现了身份验证功能,确保企业能够安全连接内部资源。透过融合SASE和ZTNA,企业可以减轻数据外泄的风险及缩小攻击面,从而强化网络安全边界,令黑客难以渗透其中。
企业安全的最佳选择:ZTNA还是VPN?
简单来说,虚拟专用网络(VPN)是以服务边界为主的传统安全策略,只要连接了VPN,谁都可以完全存取该组织的网络及资源;相反,零信任网络存取(ZTNA)建基于「零信任」原则,只会允许有限度访问,同时要求用户必须具有特殊许可才能存取资源。
两者固然都具有基本的网络安全功能,但值得留意的是ZTNA能够协调多个应用和网络系统,在消除恶意连接的风险上的效用更为显著,正正为处于现今运算环境的企业提供了额外保护,同时改善了工作体验。
ZTNA助您实现高度网络安全
企业采用零信任网络安全架构(ZTNA)能够享受多重优势,包括:
1. 安全管控更为严格
由于ZTNA是基于地点及装置再授予相对应的存取级别,这种个别处理存取请求的做法加强了网络安全,并按照「最小权限」原则有效控制存取级别,为企业建立强大又灵活的安全优势。
2. 用户体验大幅改善
相比起以边界为中心的安全模型,ZTNA 采用了集中控制存取的策略,允许用户访问多云及混合云的应用或资源,因此企业能够轻易在云端上管理用户请求,整体性能得以提升,更能稳定地保护网络安全。
3. 定期进行安全检查
透过进行定期验证及安全检查,即使企业凭证被盗,抑或受到零日威胁等复杂攻击入侵,ZTNA都会深入且持续不断地监测所有流量,保证及时发现威胁,让企业远离一切网络威胁。
4. 安全基建隐蔽无形
鉴于ZTNA能够最大限度地减少攻击面,并隐身于网络及应用中来强化网络安全,只有可信用户方可通过验证及获取授权, 黑客根本无法接近受ZTNA所保护的资源,这样便能为企业提供额外保护。
零信任网络存取(ZTNA) 由三项先进技术驱动,包括:
软件定义边界(SDP)涉及用户验证、装置验证、执行「零信任」程序及安全存取资源等数个阶段,只有通过以上程序的用户才能进行访问。
有赖于身份管理技术,每当有用户请求存取网络资源时,ZTNA会验证大量与身份背景有关的认证因素,例如用户名称、装置类型、IP地址及物理地点。
与基于隐形信任来授予存取权的做法不同,ZTNA利用了微分段(Micro-segmentation) 技术,将特定应用的存取权分配给特定用户,创建端到端的加密微管道,按照工作量对每个应用、装置及用户进行分段隔离。
ZTNA的验证程序严苛至极,每次登录不同应用都会有单独的验证步骤,以防外来攻击损害企业的关键数码资产。由于ZTNA需要掌握相关的身份背景,不论是在网络边界外或内都能激发验证程序,不然企业的整个网络可能会陷入危险之中。
凭借「最小权限原则」,ZTNA只会授予当下必需的存取权,因此用户及装置只拥有在适当情况下访问特定资源的权利,从而有效解决复杂的存取管控问题。
从零开始部署「零信任」 安全方案
第一步:探索及导航
随着企业急速加快和扩大遥距连接的数量,他们必先判别出最为需要保护的数据和资讯,方便日后部署零信任网络存取方案时迅速取得清晰的进展。
企业应先检查内部网络及其他相关网络的流量情况,再整合哪些流量对业务运作至关重要,同时封锁或减低其他流量。
第二步: 可视化及验证
完成以上步骤后,企业可以预视存取点、资源及相关风险。通过勾勒详细的流程图,企业对每件组件及所有情况的相依性一目了然,部署程序不但更清晰,同时减少应用架构的混乱。
在全面实施崭新的安全形态前,为确保系统符合标准,企业必须进行验证测试,不然会引致网络中断或存取上的难题。在整个企业里采取ZTNA模式实属不易,务必要小心仔细地加以改动,并更加谨慎地处理自动化问题。
第三步: 设置及微调
内部基础设施的变化经常会引发新威胁及问题,企业须持续不断检测自身的网络配置和性能。
此外,实际部署方案时,可能会大改细节,所以定期检查每个装置特有的使用模式是完成ZTNA部署的关键一环,提高网络安全环境的可见性之余,还能调整策略方向,减少存取控制出错等问题。
TrueCONNECT™ SASE安全存取服务边缘- 助您迈向「零信任」
针对现代企业的网络安全需求而设, TrueCONNECT™ SASE安全存取服务边缘方案 是为分散式基建的创新范式,全面迁移网络安全至软件定义边界,同步有效消除性能上的瓶颈。
作为当今分散式企业的综合网络及安全堆栈,TrueCONNECT™ SASE保证在不损害业务连续性的情况下,企业的数码资产以及用户装置均能在所有存取点上享受到充分保护。服务还可与TrueCONNECT™ Hybrid无缝整合,结合全面的SD-WAN网络连接管理解决方案,实现真正安全的SD-WAN网络拓扑。
一般查询 / 销售热线 +60 3 2280 1500
客户服务热线 +60 03 2280 1488
Copyright © 中信国际电讯(信息技术)有限公司 CITIC Telecom International CPC Limited
恭喜您提交信息成功