零信任網(wǎng)絡(luò)訪問 (ZTNA)是一種 IT 安全解決方案，可根據(jù)明確定義的訪問控制策略提供對組織應(yīng)用程序、數(shù)據(jù)和服務(wù)的安全遠程訪問。ZTNA 與虛擬專用網(wǎng)絡(luò)的不同之處在于，它們僅授予對特定服務(wù)或應(yīng)用程序的訪問權(quán)限，而虛擬專用網(wǎng)絡(luò)授予對整個網(wǎng)絡(luò)的訪問權(quán)限。隨著越來越多的用戶從家里或其他地方訪問資源，ZTNA 解決方案可以幫助消除其他安全遠程訪問技術(shù)和方法的差距。

ZTNA 是如何工作的？

在使用 ZTNA 時，只有在用戶通過 ZTNA 服務(wù)的身份驗證后，才能授予對特定應(yīng)用程序或資源的訪問權(quán)限。一旦通過身份驗證，ZTNA 就會使用安全的加密隧道授予用戶對特定應(yīng)用程序的訪問權(quán)限，該隧道通過將應(yīng)用程序和服務(wù)與原本可見的 IP 地址屏蔽起來，提供額外的安全保護層。

通過這種方式，ZTNA 的行為非常類似于軟件定義邊界 (SDP)，依靠相同的“暗云”理念來防止用戶看到他們無權(quán)訪問的任何其他應(yīng)用程序和服務(wù)。這也提供了針對橫向攻擊的保護，因為即使攻擊者獲得了訪問權(quán)限，他們也無法通過掃描來定位其他服務(wù)。

ZTNA 的用例是什么？

身份驗證和訪問 ——ZTNA 的主要用途是提供基于用戶身份的高度精細的訪問機制。一旦獲得授權(quán)，基于 IP 的虛擬專用網(wǎng)絡(luò)訪問可提供對網(wǎng)絡(luò)的廣泛訪問，而 ZTNA 則提供對特定應(yīng)用程序和資源的有限、細粒度訪問。ZTNA 可以通過特定于位置或設(shè)備的訪問控制策略提供更高級別的安全性，這可以防止不需要或受損的設(shè)備訪問組織的資源。這種訪問可以與一些為員工擁有的設(shè)備提供相同訪問權(quán)限的虛擬專用網(wǎng)絡(luò)進行對比。授予本地管理員。

整體控制和可見性——由于 ZTNA 不會在身份驗證后檢查用戶流量，因此如果惡意員工將其訪問權(quán)限用于惡意目的，或者用戶的憑據(jù)丟失或被盜，則可能會出現(xiàn)問題。通過將 ZTNA 整合到安全訪問服務(wù)邊緣 ( SASE ) 解決方案中，組織可以受益于安全遠程訪問所需的安全性、可擴展性和網(wǎng)絡(luò)功能，以及防止數(shù)據(jù)丟失、惡意操作或受損的連接后監(jiān)控用戶憑據(jù)。

ZTNA 的優(yōu)勢

ZTNA 提供了一種連接用戶、應(yīng)用程序和數(shù)據(jù)的方法，即使它們不駐留在組織的網(wǎng)絡(luò)上，這種情況在當(dāng)今的多云環(huán)境中越來越普遍，基于微服務(wù)的應(yīng)用程序可以駐留在多個云上以及前提。現(xiàn)代組織需要通過分布式用戶群隨時隨地從任何設(shè)備獲取其數(shù)字資產(chǎn)。

ZTNA 通過為關(guān)鍵業(yè)務(wù)應(yīng)用程序提供精細的上下文感知訪問來滿足這一需求，而無需將其他服務(wù)暴露給可能的攻擊者。

ZTNA 模型由 Gartner 創(chuàng)造，旨在幫助消除對只需要非常有限訪問權(quán)限的雇主、承包商和其他用戶的過度信任。該模型表達了這樣一個概念，即在被證明可信之前，沒有任何東西是可信的，更重要的是，每當(dāng)有關(guān)連接（位置、上下文、IP 地址等）的任何內(nèi)容發(fā)生變化時，都必須重新驗證信任。

虛擬專用網(wǎng)絡(luò)和 ZTNA 有什么區(qū)別？

虛擬專用網(wǎng)絡(luò)和 ZTNA 之間有幾個不同之處。首先，虛擬專用網(wǎng)絡(luò)旨在提供網(wǎng)絡(luò)范圍的訪問，其中 ZTNA 授予對特定資源的訪問權(quán)限并需要經(jīng)常重新驗證。

與 ZTNA 相比，虛擬專用網(wǎng)絡(luò)的一些缺點是：

資源利用率 ——隨著遠程用戶數(shù)量的增加，虛擬專用網(wǎng)絡(luò)上的負載可能會導(dǎo)致意外的高延遲，并且可能需要向虛擬專用網(wǎng)絡(luò)添加新資源以滿足不斷增長的需求或高峰使用時間。這也會使 IT 組織的人力緊張。

靈活性和敏捷性——虛擬專用網(wǎng)絡(luò)不提供 ZTNA 的粒度。此外，在需要連接到企業(yè)資源的所有最終用戶設(shè)備上安裝和配置虛擬專用網(wǎng)絡(luò)軟件可能具有挑戰(zhàn)性。相反，根據(jù)他們的直接業(yè)務(wù)需求添加或刪除安全策略和用戶授權(quán)要容易得多。ZTNA 中的 ABAC（基于屬性的訪問控制）和 RBAC（基于角色的訪問控制）簡化了這項任務(wù)。

粒度——一旦進入虛擬專用網(wǎng)絡(luò)邊界，用戶就可以訪問整個系統(tǒng)。ZTNA 采取相反的方法，根本不授予訪問權(quán)限，除非資產(chǎn)——應(yīng)用程序、數(shù)據(jù)或服務(wù)——被專門授權(quán)給該用戶。與虛擬專用網(wǎng)絡(luò)相比，ZTNA 提供基于身份驗證的持續(xù)身份驗證。每個用戶和每個設(shè)備在被授予訪問特定應(yīng)用程序、系統(tǒng)或其他資產(chǎn)之前都經(jīng)過驗證和身份驗證。虛擬專用網(wǎng)絡(luò)和 ZTNA 可以相互結(jié)合使用，例如加強特別敏感網(wǎng)段的安全性，提供如果虛擬專用網(wǎng)絡(luò)受到威脅，則需要額外的安全層。

您如何實施 ZTNA？

ZTNA 實現(xiàn)有兩種方法，端點發(fā)起和服務(wù)發(fā)起。顧名思義，在端點發(fā)起的零信任網(wǎng)絡(luò)架構(gòu)中，用戶從端點連接的設(shè)備發(fā)起對應(yīng)用程序的訪問，類似于 SDP。安裝在設(shè)備上的代理與 ZTNA 控制器通信，后者提供身份驗證并連接到所需的服務(wù)。

相反，在服務(wù)發(fā)起的 ZTNA 中，連接由應(yīng)用程序和用戶之間的代理發(fā)起。這需要一個輕量級的 ZTNA 連接器來放置在位于云提供商本地的業(yè)務(wù)應(yīng)用程序的前面。一旦來自請求的應(yīng)用程序的出站連接對用戶或其他應(yīng)用程序進行身份驗證，流量將流經(jīng) ZTNA 服務(wù)提供商，從而將應(yīng)用程序與通過代理的直接訪問隔離開來。此處的優(yōu)勢是最終用戶設(shè)備上不需要代理，這使得它對于顧問或合作伙伴訪問的非托管或 BYOD 設(shè)備更具吸引力。

零信任網(wǎng)絡(luò)訪問還有兩種交付模式：獨立 ZTNA 或 ZTNA 即服務(wù)。以下是主要區(qū)別：

獨立 ZTNA 要求組織部署和管理 ZTNA 的所有元素，這些元素位于環(huán)境（云或數(shù)據(jù)中心）的邊緣，提供安全連接。盡管這非常適合不喜歡云的組織，但部署、管理和維護成為額外的負擔(dān)。

借助 ZTNA 作為云托管服務(wù)，組織可以利用云提供商的基礎(chǔ)架構(gòu)進行從部署到策略執(zhí)行的所有工作。在這種情況下，組織只需獲取用戶許可，在安全應(yīng)用程序前部署連接器，并讓云提供商/ZTNA 供應(yīng)商提供連接、容量和基礎(chǔ)設(shè)施。這簡化了管理和部署，云交付的 ZTNA 可以確保為所有用戶選擇最佳的流量路徑，以獲得最低的延遲。