傳統(tǒng)的基于邊界的網(wǎng)絡(luò)保護將普通用戶和特權(quán)用戶、不安全連接和安全連接，以及外部和內(nèi)部基礎(chǔ)設(shè)施部分結(jié)合在一起，創(chuàng)建了一個可信區(qū)域的假象，很多潛在的安全問題無法解決，越來越多的企業(yè)開始轉(zhuǎn)向零信任網(wǎng)絡(luò)訪問來解決這個問題。

隨著云計算、虛擬化、物聯(lián)網(wǎng) (IoT)、BYOD概念以及遠程辦公的蓬勃發(fā)展，移動設(shè)備數(shù)量劇增，網(wǎng)絡(luò)的邊界正變得越來越模糊。不僅內(nèi)部系統(tǒng)和設(shè)備必須受到保護，外部系統(tǒng)和設(shè)備也需要額外的防御層。因此，傳統(tǒng)的以邊界為中心的方法正逐漸被淘汰。

零信任概念

2010 年，F(xiàn)orrester Research 分析師 John Kindervag 引入了零信任 (ZT) 的概念，作為對傳統(tǒng)網(wǎng)絡(luò)邊界保護方法的改進。它背后的基本思想是，在公司網(wǎng)絡(luò)內(nèi)外部都不設(shè)任何安全區(qū)域或可信用戶。以下是在企業(yè)生態(tài)系統(tǒng)中模擬該模型的假設(shè)：

1. 企業(yè)內(nèi)部網(wǎng)絡(luò)不被視為受信任區(qū)域。
2. 內(nèi)部網(wǎng)絡(luò)上的設(shè)備可以由企業(yè)人員以外的其他人安裝和配置。
3. 默認情況下，不允許信任任何用戶和資源。
4. 并非所有企業(yè)數(shù)字資產(chǎn)都位于企業(yè)內(nèi)部網(wǎng)絡(luò)上。
5. 所有的連接都可以被攔截和修改。
6. 必須監(jiān)控所有設(shè)備和資產(chǎn)的安全狀態(tài)，并驗證是否符合既定策略。

需要注意的是，零信任本身只是一個概念，是一組用于構(gòu)建企業(yè)基礎(chǔ)設(shè)施安全和控制訪問權(quán)限的模糊要求，其可以以不同的方式實施。 2018 年，F(xiàn)orrester的另一位專家 Chase Cunningham 提出了零信任擴展 (Zero Trust eXtended, ZTX) 方法，可以從技術(shù)、結(jié)構(gòu)和組織變化方面評估零信任實施的效率。

在這一點上，零信任網(wǎng)絡(luò)訪問（ZTNA）是幾乎所有市場參與者都認可的模式。ZTNA旨在將零信任的思想應(yīng)用于實踐。部署 ZTNA 后，邊界保護工具的范圍將超越傳統(tǒng)技術(shù)和身份驗證機制，例如代理、網(wǎng)絡(luò)訪問控制 (NAC) 和防火墻。此外，工作站和節(jié)點是否符合已建立的安全策略將受到持續(xù)監(jiān)控。出色的可擴展性是 ZTNA 模型有別于傳統(tǒng)模型的主要特征之一。

零信任網(wǎng)絡(luò)訪問

如前所述，零信任網(wǎng)絡(luò)訪問的目的是實現(xiàn)零信任原則。也就是說，它是一種模型，用于在網(wǎng)絡(luò)邊界內(nèi)外提供對最小資源范圍內(nèi)的最可控訪問，以便用戶可以完成其日常任務(wù)�；�于 ZTNA 的基礎(chǔ)設(shè)施的基本原理如下：

1. 受保護的區(qū)域分割。不要試圖一次覆蓋整個邊界，而是將其劃分為微邊界（應(yīng)用程序、設(shè)備、系統(tǒng)、網(wǎng)絡(luò)等），針對每個微邊界建立不同的安全策略、保護和控制。
2. 強制加密。所有通信和網(wǎng)絡(luò)流量都必須加密，防止惡意干擾。
3. 訪問控制。所有用戶、系統(tǒng)、應(yīng)用、設(shè)備和進程每次連接到任何受保護資源時都必須進行掃描。
4. 各級最低特權(quán)原則。僅授予最低權(quán)限，即使對用戶或系統(tǒng)有危害也不會導致對整個基礎(chǔ)設(shè)施的未授權(quán)訪問。
5. 完全控制。持續(xù)收集和分析所有基礎(chǔ)設(shè)施組件的事件、行為和狀態(tài)，確保對安全事件的前期響應(yīng)。

ZTNA 架構(gòu)和組件

策略引擎 (PE) 和策略管理員 (PA) 是 ZTNA 模型的基本邏輯元素。前者在用戶、設(shè)備、系統(tǒng)和應(yīng)用四個層面管理訪問策略，后者應(yīng)用分配的策略，控制對資源的訪問，并監(jiān)控訪問對象和主體的狀態(tài)。

兩者形成策略決策點 (PDP)——檢查用戶或設(shè)備以確定他們是否可以進行下一步，策略執(zhí)行點 (PEP)——負責根據(jù)PA的命令連接和斷開企業(yè)資源。這些組件構(gòu)成了系統(tǒng)基礎(chǔ)。用戶和企業(yè)服務(wù)之間的良性屏障還包括下一代防火墻 (NGFW) 和云訪問安全代理 (CASB)。

ZTNA部署

部署 ZTNA 模型有兩種常用方法。它們的不同之處在于訪問公司資源的設(shè)備上是否安裝了其他軟件（代理），由代理軟件負責身份驗證、建立連接、加密、狀態(tài)監(jiān)控等。

在有代理的情況下，用戶或設(shè)備使用預先安裝的代理啟動連接。這種技術(shù)與軟件定義邊界 (SDP) 模型有很多共同之處，SDP旨在通過身份驗證、基于身份的訪問和動態(tài)生成的連接選項來控制訪問。

這種 ZTNA 架構(gòu)的主要優(yōu)勢包括對設(shè)備的完全控制以及禁止連接未經(jīng)驗證的設(shè)備。但從另一個角度來看，這對企業(yè)來說也是不利的，因為它施加了額外的限制。代理必須兼容不同的操作系統(tǒng)和平臺版本，或者企業(yè)必須在設(shè)備上安裝支持的操作系統(tǒng)版本并及時進行安全更新。

另一種方法是提供基于 ZTNA 的解決方案作為云服務(wù)。在這種情況下，圍繞云基礎(chǔ)設(shè)施或數(shù)據(jù)中心中的企業(yè)資源創(chuàng)建了一個邏輯訪問邊界，以便它們對外部用戶隱藏。管理員工訪問、控制網(wǎng)絡(luò)流量和掃描連接的系統(tǒng)都是通過中介完成的，例如 CASB。

ZTNA架構(gòu)作為云服務(wù)的優(yōu)勢如下：

快速、簡單的部署。

成本相對較低。

集中管理。

良好的可擴展性。

無需安裝額外的軟件——因此，這消除了對連接設(shè)備的限制，并且在組織 BYOD 原則或遠程辦公時更方便。

主要缺點是缺乏對訪問點的實時控制，這降低了安全級別。此外，缺少預裝代理可能會增加DoS攻擊的幾率。

ZTNA實踐

將零信任原則完全集成到企業(yè)基礎(chǔ)設(shè)施中需要從頭開始重建。這包括改變內(nèi)部網(wǎng)絡(luò)架構(gòu)、設(shè)備、安全策略，甚至可能改變員工處理公司數(shù)字資產(chǎn)的方式。對于大多數(shù)大型組織而言，這樣是行不通的，過程非常耗時且成本高昂。

另一種選擇是基于當前資源和功能升級現(xiàn)有的基礎(chǔ)設(shè)施。這似乎更合理，也更可行。為了在這種情況下成功地實施ZTNA原則，必須首先對企業(yè)的信息安全戰(zhàn)略進行微調(diào)，使其符合零信任的概念。

然后對 IT 基礎(chǔ)設(shè)施組件進行分析，看看哪些已經(jīng)在使用的設(shè)備和技術(shù)可以成為 ZTNA 的基石，哪些需要更換。首先需要落實以下機制：

識別所有用戶和設(shè)備。

根據(jù)連接設(shè)備的狀態(tài)、所采用的安全策略的合規(guī)性以及漏洞掃描的結(jié)果，對連接設(shè)備進行訪問控制。

企業(yè)網(wǎng)絡(luò)的分段，包括數(shù)據(jù)中心。

基于 BYOD 原則的訪問控制。

與企業(yè)網(wǎng)絡(luò)托管服務(wù)和基礎(chǔ)設(shè)施交互的每個系統(tǒng)、設(shè)備和用戶的身份驗證和授權(quán)。

數(shù)據(jù)訪問控制。

網(wǎng)絡(luò)流量監(jiān)控。

接著公司就可以開始實施 ZTNA 模型，通過將其與保護企業(yè)邊界的傳統(tǒng)方法相結(jié)合來保護云資源和遠程連接。

全球 ZTNA 市場現(xiàn)狀

盡管零信任的概念早在十多年前就出現(xiàn)了，但疫情帶來的遠程辦公需求激增才是促使ZTNA發(fā)展的主要驅(qū)動力。

據(jù) Gartner 稱，到 2023 年，預計 60% 的公司將放棄使用 VPN 訪問企業(yè)資源，轉(zhuǎn)而使用零信任網(wǎng)絡(luò)訪問解決方案。 Pulse Secure 在其 2020 年零信任訪問報告中表示，大約 72% 的組織計劃利用零信任來降低信息安全風險。

ZTNA 也是SASE的關(guān)鍵組件，SASE 是Gartner 在 2019 年提出的云安全綜合方法。 除了 ZTNA，還包括軟件定義廣域網(wǎng) (SD-WAN)、安全 Web 網(wǎng)關(guān)(SWG)、云訪問安全代理 (CASB) 和防火墻即服務(wù) (FWaaS) 。

零信任網(wǎng)絡(luò)訪問的概念是傳統(tǒng)企業(yè)安全方法適應(yīng)當今環(huán)境而產(chǎn)生的。盡管零信任概念越來越受歡迎，但對于某些企業(yè)而言，傳統(tǒng)的信息安全方法仍然適用，因為云技術(shù)和遠程訪問對他們來說都是不可接受的。例如，這軍事結(jié)構(gòu)、政府以及處理機密信息的公司。

本文鏈接：http://m.51huadong.com/cloundnews/11007224.html