零信任网络访问 (ZTNA) 是让组织能够实施零信任安全模式的技术。
阅读本文后,您将能够:
复制文章链接
Zero Trust 网络访问 (ZTNA) 技术使实施 Zero Trust 安全模式成为可能。“Zero Trust”是一种 IT 安全模式,它假定网络内外都存在威胁。因此,Zero Trust 要求在授权每个用户和每台设备访问内部资源之前对其进行严格的验证。
ZTNA 类似于用于控制访问的软件定义边界 (SDP) 方法。在 ZTNA 中,与 SDP 一样,连接的设备只知道它们所连接的资源,对于网络上的其他任何资源(应用程序、服务器等)一无所知。
想象一下这样的场景:每个居民都有一本电话簿,上面有他们城市里其他每个居民的电话号码,任何人都可以拨打任何号码与其他人联系。然后,想象一下另一个情景:每个人都有一个未登记的电话号码,一个居民必须知道另一个居民的电话号码才能给他们打电话。这第二种情况有几个好处:没有不需要的电话,不会意外地打给错误的人,也没有不法分子利用城市的电话簿愚弄或诈骗居民的风险。
ZTNA 就像第二种情况。但是,ZTNA 使用的不是电话号码,而是“未列出”的 IP 地址、应用程序和服务。它在用户和他们需要的资源之间建立一对一的连接,就像两个需要相互联系的人交换电话号码一样。但与两个人交换号码不同的是,ZTNA 连接需要定期重新验证和重新创建。
许多组织使用虚拟专用网络 (VPN) 来控制访问,而非使用 ZTNA。一旦用户登录 VPN,他们就可以访问整个网络和该网络上的所有资源(这通常被称为城堡与护城河模式)。而 ZTNA 只允许访问所请求的特定应用程序,并默认拒绝访问应用程序和数据。
ZTNA 和 VPN 在技术层面上也有区别。其中的一些区别包括:
最后,VPN 并不精准,在很大程度上将用户和设备一视同仁,无论他们身在何处以及需要访问什么。随着“自带设备”(BYOD) 方法变得越来越普遍,允许这种访问十分危险,因为任何被恶意软件入侵的端点都可能感染整个网络。由于这些原因,VPN 是一个常见的攻击目标。
每个组织或供应商对 ZTNA 的配置都略有不同。然而,在所有 ZTNA 架构中,有几个基本原则是一致的:
基于代理的 ZTNA 要求在所有终端设备上安装一个称为“代理”的软件应用程序。
基于服务或基于云的 ZTNA 是一种云服务,而不是一个终端应用程序。它不需要使用或安装代理。
想要实施零信任理念的组织应该考虑哪种 ZTNA 解决方案最适合他们的需求。例如,如果一个组织担心受管理和未受管理设备的组合越来越多,那么基于代理的 ZTNA 可能是一个有效的选择。或者,如果一个组织主要注重锁定某些基于 Web 的应用程序,则可以迅速采用基于服务的模式。
另一个考虑因素是,基于服务的 ZTNA 可能很容易与云应用程序集成,但不太容易与内部基础设施集成。如果所有网络流量都必须从内部终端设备流到云中,然后再回到内部基础设施,那么性能和可靠性可能会受到极大的影响。
供应商专业性:因为身份和访问管理 (IAM)、网络服务和网络安全传统上是互相独立的,大多数 ZTNA 供应商通常专注于其中一个领域。组织应该寻找一个专业领域符合其需求的供应商,或者寻找将全部三个领域组合成一个统一网络安全解决方案的供应商。
实施水平:一些组织可能已经投资于相邻的技术,以支持零信任战略(如 IdP 或端点保护提供商),而另一些组织可能需要从头开始建立其整个 ZTNA 架构。ZTNA 供应商可以提供单一功能解决方案来帮助企业完善其 ZTNA 部署,或创建整个 ZTNA 架构,或两者兼而有之。
对旧版应用程序的支持:许多组织仍有对其业务至关重要的内部旧版应用程序。由于 ZTNA 在互联网上运行,因而可以轻松支持云应用,但可能需要额外的配置才能支持旧版应用程序。
IdP 集成:许多组织已经有了一个 IdP。一些 ZTNA 供应商只与某些 IdP 合作,迫使他们的客户迁移其身份数据库以使用他们的服务。其他供应商则是与 IdP 无关的——他们可以与任何 IdP 集成。
Zero Trust 应用程序访问 (ZTAA),也称为 Zero Trust 应用程序安全,它会将与 ZTNA 相同的原则应用于应用程序访问,而非网络访问。ZTAA 解决方案通过与 IdP 和 SSO 提供商集成,对连接进行加密,单独考虑应用程序的每个访问请求,并根据“具体情况具体分析”的原则逐一阻止或允许请求,从而验证用户对应用程序的访问。可以通过无代理的浏览器,或使用端点代理,提供 ZTAA。
要了解更多信息,请参阅 Zero Trust Security。
Cloudflare 提供了一个建立在 Cloudflare 全球边缘网络上的 ZTNA 解决方案,以提供快速性能。 请参阅 ZTNA 解决方案页面。
如需有关零信任理念的更多背景信息,请参阅我们的零信任安全文章。