2022-09-07

何謂「ZTNA」? 一文掌握零信任網絡存取（ZTNA）

零信任? ZTNA原則、優勢及解決方案

企業內部攻擊在過去兩年變得更為頻繁，隨著遙距辦公及「自攜裝置」（BYOD）越趨常見，內部威脅等網絡安全事件大幅增加，因此注重網絡安全的企業必須及早引入零信任網絡存取（ZTNA）解決方案。本文將介紹至關重要的「零信任」概念以及最佳方案，確保您的商業應用、數據和服務安全無恙。

甚麼是零信任網絡存取（ZTNA）?

零信任網絡存取（ZTNA）由先進的防範技術集成，按照需求向用戶及裝置的身份和環境進行驗證。

「零信任」技術會持續且精確地審核、調整對象的可信程度，受到許可方能訪問企業的IT資源。ZTNA還能夠無縫地優化複雜的現代企業網絡基建，為網絡安全思維及架構打開了新大門。

基於「最低權限原則」，ZTNA只會給予用戶執行所需功能之最低存取級別。用戶每次請求訪問特定的應用時，ZTNA必定會重新驗證其身份憑證，幫助企業盡早發現異常，在資產、數據或人員受影響前進行調查。

作為安全存取服務邊緣（SASE）的關鍵要素之一，ZTNA提供了技術框架，實現了身份驗證功能，確保企業能夠安全連接內部資源。透過融合SASE和ZTNA，企業可以減輕數據外洩的風險及縮小攻擊面，從而強化網絡安全邊界，令黑客難以滲透其中。

企業安全的最佳選擇：ZTNA還是VPN？

簡單來說，虛擬專用網絡（VPN）是以服務邊界為主的傳統安全策略，只要連接了VPN，誰都可以完全存取該組織的網絡及資源；相反，零信任網絡存取（ZTNA）建基於「零信任」原則，只會允許有限度訪問，同時要求用戶必須具有特殊許可才能存取資源。

兩者固然都具有基本的網絡安全功能，但值得留意的是ZTNA能夠協調多個應用和網絡系統，在消除惡意連接的風險上的效用更為顯著，正正為處於現今運算環境的企業提供了額外保護，同時改善了工作體驗。

ZTNA助您實現高度網絡安全

企業採用零信任網絡安全架構（ZTNA）能夠享受多重優勢，包括：

1. 安全管控更為嚴格

由於ZTNA是基於地點及裝置再授予相對應的存取級別，這種個別處理存取請求的做法加強了網絡安全，並按照「最小權限」原則有效控制存取級別，為企業建立強大又靈活的安全優勢。

2. 用戶體驗大幅改善

相比起以邊界為中心的安全模型，ZTNA 採用了集中控制存取的策略，允許用戶訪問多雲及混合雲的應用或資源，因此企業能夠輕易在雲端上管理用戶請求，整體性能得以提升，更能穩定地保護網絡安全。

3. 定期進行安全檢查

透過進行定期驗證及安全檢查，即使企業憑證被盜，抑或受到零日威脅等複雜攻擊入侵，ZTNA都會深入且持續不斷地監測所有流量，保證及時發現威脅，讓企業遠離一切網絡威脅。

4.安全基建隱蔽無形

鑒於ZTNA能夠最大限度地減少攻擊面，並隱身於網絡及應用中來強化網絡安全，只有可信用戶方可通過驗證及獲取授權，黑客根本無法接近受ZTNA所保護的資源，這樣便能為企業提供額外保護。

「零信任」架構之關鍵技術

零信任網絡存取（ZTNA）由三項先進技術驅動，包括：

軟件定義邊界

軟件定義邊界（SDP）涉及用戶驗證、裝置驗證、執行「零信任」程序及安全存取資源等數個階段，只有通過以上程序的用戶才能進行訪問。

強化身份監管

有賴於身份管理技術，每當有用戶請求存取網絡資源時，ZTNA會驗證大量與身份背景有關的認證因素，例如用戶名稱、裝置類型、IP地址及物理地點。

微分段

與基於隱形信任來授予存取權的做法不同，ZTNA利用了微分段（Micro-segmentation）技術，將特定應用的存取權分配給特定用戶，創建端到端的加密微管道，按照工作量對每個應用、裝置及用戶進行分段隔離。

「零信任」架構之核心原則

逐一驗證用戶及裝置

ZTNA的驗證程序嚴苛至極，每次登錄不同應用都會有單獨的驗證步驟，以防外來攻擊損害企業的關鍵數碼資產。由於ZTNA需要掌握相關的身份背景，不論是在網絡邊界外或內都能激發驗證程序，不然企業的整個網絡可能會陷入危險之中。

最小權限原則

憑藉「最小權限原則」，ZTNA只會授予當下必需的存取權，因此用戶及裝置只擁有在適當情況下訪問特定資源的權利，從而有效解決複雜的存取管控問題。

從零開始部署「零信任」安全方案

第一步：探索及導航

隨著企業急速加快和擴大遙距連接的數量，他們必先判別出最為需要保護的數據和資訊，方便日後部署零信任網絡存取方案時迅速取得清晰的進展。

企業應先檢查內部網絡及其他相關網絡的流量情況，再整合哪些流量對業務運作至關重要，同時封鎖或減低其他流量。

第二步：可視化及驗證

完成以上步驟後，企業可以預視存取點、資源及相關風險。通過勾勒詳細的流程圖，企業對每件組件及所有情況的相依性一目了然，部署程序不但更清晰，同時減少應用架構的混亂。

在全面實施嶄新的安全形態前，為確保系統符合標準，企業必須進行驗證測試，不然會引致網絡中斷或存取上的難題。在整個企業裡採取ZTNA模式實屬不易，務必要小心仔細地加以改動，並更加謹慎地處理自動化問題。

第三步：設置及微調

內部基礎設施的變化經常會引發新威脅及問題，企業須持續不斷檢測自身的網絡配置和性能。

此外，實際部署方案時，可能會大改細節，所以定期檢查每個裝置特有的使用模式是完成ZTNA部署的關鍵一環，提高網絡安全環境的可見性之餘，還能調整策略方向，減少存取控制出錯等問題。

TrueCONNECT™ SASE安全存取服務邊緣- 助您邁向「零信任」

針對現代企業的網絡安全需求而設，TrueCONNECT™ SASE安全存取服務邊緣方案是為分散式基建的創新範式，全面遷移網絡安全至軟件定義邊界，同步有效消除性能上的瓶頸。

作為當今分散式企業的綜合網絡及安全堆棧，TrueCONNECT™ SASE保證在不損害業務連續性的情況下，企業的數碼資產以及用戶裝置均能在所有存取點上享受到充分保護。服務還可與TrueCONNECT™ Hybrid無縫整合，結合全面的SD-WAN網絡連接管理解決方案，實現真正安全的SD-WAN網絡拓撲。

歡迎下載產品單頁或直接向我們諮詢。.

相關網誌