2022-09-07
企業內部攻擊在過去兩年變得更為頻繁,隨著遙距辦公及「自攜裝置」(BYOD)越趨常見,內部威脅等網絡安全事件大幅增加,因此注重網絡安全的企業必須及早引入零信任網絡存取(ZTNA)解決方案。本文將介紹至關重要的「零信任」概念以及最佳方案,確保您的商業應用、數據和服務安全無恙。
零信任網絡存取(ZTNA)由先進的防範技術集成,按照需求向用戶及裝置的身份和環境進行驗證。
「零信任」技術會持續且精確地審核、調整對象的可信程度,受到許可方能訪問企業的IT資源。ZTNA還能夠無縫地優化複雜的現代企業網絡基建,為網絡安全思維及架構打開了新大門。
基於「最低權限原則」,ZTNA只會給予用戶執行所需功能之最低存取級別。用戶每次請求訪問特定的應用時,ZTNA必定會重新驗證其身份憑證,幫助企業盡早發現異常,在資產、數據或人員受影響前進行調查。
作為安全存取服務邊緣(SASE)的關鍵要素之一,ZTNA提供了技術框架,實現了身份驗證功能,確保企業能夠安全連接內部資源。透過融合SASE和ZTNA,企業可以減輕數據外洩的風險及縮小攻擊面,從而強化網絡安全邊界,令黑客難以滲透其中。
企業安全的最佳選擇:ZTNA還是VPN?
簡單來說,虛擬專用網絡(VPN)是以服務邊界為主的傳統安全策略,只要連接了VPN,誰都可以完全存取該組織的網絡及資源;相反,零信任網絡存取(ZTNA)建基於「零信任」原則,只會允許有限度訪問,同時要求用戶必須具有特殊許可才能存取資源。
兩者固然都具有基本的網絡安全功能,但值得留意的是ZTNA能夠協調多個應用和網絡系統,在消除惡意連接的風險上的效用更為顯著,正正為處於現今運算環境的企業提供了額外保護,同時改善了工作體驗。
ZTNA助您實現高度網絡安全
企業採用零信任網絡安全架構(ZTNA)能夠享受多重優勢,包括:
1. 安全管控更為嚴格
由於ZTNA是基於地點及裝置再授予相對應的存取級別,這種個別處理存取請求的做法加強了網絡安全,並按照「最小權限」原則有效控制存取級別,為企業建立強大又靈活的安全優勢。
2. 用戶體驗大幅改善
相比起以邊界為中心的安全模型,ZTNA 採用了集中控制存取的策略,允許用戶訪問多雲及混合雲的應用或資源,因此企業能夠輕易在雲端上管理用戶請求,整體性能得以提升,更能穩定地保護網絡安全。
3. 定期進行安全檢查
透過進行定期驗證及安全檢查,即使企業憑證被盜,抑或受到零日威脅等複雜攻擊入侵,ZTNA都會深入且持續不斷地監測所有流量,保證及時發現威脅,讓企業遠離一切網絡威脅。
4.安全基建隱蔽無形
鑒於ZTNA能夠最大限度地減少攻擊面,並隱身於網絡及應用中來強化網絡安全,只有可信用戶方可通過驗證及獲取授權, 黑客根本無法接近受ZTNA所保護的資源,這樣便能為企業提供額外保護。
零信任網絡存取(ZTNA) 由三項先進技術驅動,包括:
軟件定義邊界(SDP)涉及用戶驗證、裝置驗證、執行「零信任」程序及安全存取資源等數個階段,只有通過以上程序的用戶才能進行訪問。
有賴於身份管理技術,每當有用戶請求存取網絡資源時,ZTNA會驗證大量與身份背景有關的認證因素,例如用戶名稱、裝置類型、IP地址及物理地點。
與基於隱形信任來授予存取權的做法不同,ZTNA利用了微分段(Micro-segmentation) 技術,將特定應用的存取權分配給特定用戶,創建端到端的加密微管道,按照工作量對每個應用、裝置及用戶進行分段隔離。
ZTNA的驗證程序嚴苛至極,每次登錄不同應用都會有單獨的驗證步驟,以防外來攻擊損害企業的關鍵數碼資產。由於ZTNA需要掌握相關的身份背景,不論是在網絡邊界外或內都能激發驗證程序,不然企業的整個網絡可能會陷入危險之中。
憑藉「最小權限原則」,ZTNA只會授予當下必需的存取權,因此用戶及裝置只擁有在適當情況下訪問特定資源的權利,從而有效解決複雜的存取管控問題。
從零開始部署「零信任」 安全方案
第一步:探索及導航
隨著企業急速加快和擴大遙距連接的數量,他們必先判別出最為需要保護的數據和資訊,方便日後部署零信任網絡存取方案時迅速取得清晰的進展。
企業應先檢查內部網絡及其他相關網絡的流量情況,再整合哪些流量對業務運作至關重要,同時封鎖或減低其他流量。
第二步: 可視化及驗證
完成以上步驟後,企業可以預視存取點、資源及相關風險。通過勾勒詳細的流程圖,企業對每件組件及所有情況的相依性一目了然,部署程序不但更清晰,同時減少應用架構的混亂。
在全面實施嶄新的安全形態前,為確保系統符合標準,企業必須進行驗證測試,不然會引致網絡中斷或存取上的難題。在整個企業裡採取ZTNA模式實屬不易,務必要小心仔細地加以改動,並更加謹慎地處理自動化問題。
第三步: 設置及微調
內部基礎設施的變化經常會引發新威脅及問題,企業須持續不斷檢測自身的網絡配置和性能。
此外,實際部署方案時,可能會大改細節,所以定期檢查每個裝置特有的使用模式是完成ZTNA部署的關鍵一環,提高網絡安全環境的可見性之餘,還能調整策略方向,減少存取控制出錯等問題。
TrueCONNECT™ SASE安全存取服務邊緣- 助您邁向「零信任」
針對現代企業的網絡安全需求而設,TrueCONNECT™ SASE安全存取服務邊緣方案 是為分散式基建的創新範式,全面遷移網絡安全至軟件定義邊界,同步有效消除性能上的瓶頸。
作為當今分散式企業的綜合網絡及安全堆棧,TrueCONNECT™ SASE保證在不損害業務連續性的情況下,企業的數碼資產以及用戶裝置均能在所有存取點上享受到充分保護。服務還可與TrueCONNECT™ Hybrid無縫整合,結合全面的SD-WAN網絡連接管理解決方案,實現真正安全的SD-WAN網絡拓撲。
一般查詢 / 銷售熱線 +852 2170 7401
客戶服務熱線 +852 2331 8930
Copyright © 中信國際電訊(信息技術)有限公司 CITIC Telecom International CPC Limited
恭喜您提交信息成功