通用 ZTNA 什么是通用 ZTNA?
通用零信任网络接入 (ZTNA) 是 ZTNA 的一种演变形式,它扩展了安全访问原则以涵盖组织整个 IT 生态系统中所有类型的用户和设备。传统 ZTNA 通常侧重于远程用户,通用 ZTNA 与此不同,为所有用户和设备(包括物联网)提供一致、无缝的安全控制,无论它们是位于本地还是远程位置。通用 ZTNA 采用整体方法,可确保从任何地方和任何设备安全访问所有组织资源,同时保持严格的零信任原则。
阅读时长:5 分 5 秒 | 发布日期:2025 年 1 月 25 日
目录
通用 ZTNA 如何发挥作用?
通用 ZTNA 遵循零信任的基本原则,即在授予特定资源的访问权限之前,需要对用户和设备进行持续验证。它的典型工作方式如下:
- 身份验证和授权:通用 ZTNA 首先验证尝试访问资源的用户和设备的身份。这通过多重身份验证 (MFA) 和其他身份验证技术实现。通过评估用户角色、设备运行状况以及访问位置和时间等环境因素来确定授权。
- 策略实施:用户或设备通过身份验证后,仅可访问经授权的特定应用或资源。集中定义策略并在所有环境中统一应用,确保一致的访问控制。策略可能包括附加条件,例如要求端点安全解决方案处于活动状态或限制高风险位置的访问。
- 精细化访问控制:与传统的网络访问解决方案不同,通用 ZTNA 可确保用户永远不会获得广泛的网络访问权限。相反,访问权限是根据每个资源授予的,从而最大限度地减少攻击面。内部服务保持隐藏,不向公众开放,从而降低了被恶意行为者利用的风险。
- 持续监控和验证:通用 ZTNA 解决方案持续监控用户活动和设备行为。可疑活动会触发警报或导致访问立即终止。这种动态方法使组织能够实时应对不断演变的威胁。
- 与现有系统集成:为增强安全态势,通用 ZTNA 与身份和访问管理 (IAM) 系统、安全信息与事件管理 (SIEM) 平台以及端点检测和响应 (EDR) 工具无缝集成。
为何应考虑使用通用 ZTNA?
远程工作、云采用和物联网快速扩展,用户和设备从任意位置进行连接,这重新定义了企业边界,同时将更多数据放在边缘保护,使得通用 ZTNA 成为必然。您的组织应考虑采用通用 ZTNA 的关键原因如下:
- 全面覆盖:与传统 ZTNA 解决方案不同,通用 ZTNA 可保障所有类型设备的访问安全,不受远程或本地限制,并将零信任原则扩展到非托管和物联网设备,确保没有端点成为安全漏洞。
- 增强的安全性:通用 ZTNA 通过消除隐性信任并确保对每个访问请求进行持续验证来降低风险。它将内部服务隐藏起来,不向公众开放,从而降低了未经授权访问的可能性。
- 可扩展性和灵活性:通用 ZTNA 的云原生架构使组织能够轻松扩展安全运营,适应不断壮大的团队和不断发展的 IT 环境。它支持混合工作环境,确保远程员工和第三方协作伙伴的安全访问。
- 运营效率:集中式策略管理简化了跨多个环境的访问控制实施。与现有 IAM、SIEM 和 EDR 系统的集成增强可见性并减少管理开销。
- 合规性和治理:通过提供详细的访问日志和监控功能,通用 ZTNA 可帮助组织满足监管要求并做好审计准备。同时,它能够执行数据保护策略,确保敏感信息的安全。
通用 ZTNA 的优势
通用 ZTNA 具有诸多优势,是现代 IT 安全策略的重要补充手段。主要优势概述如下:
- 减少攻击面:通用 ZTNA 限制对特定资源的访问,确保用户和设备只与被授权访问的内容进行交互。这种方法最大限度地减少了攻击者利用漏洞的机会。
- 改善用户体验:通过提供无缝且一致的访问控制,通用 ZTNA 让用户不必再浏览多个安全工具或工作流程。这确保了生产效率不会受到安全措施的阻碍。
- 保护非托管设备:通用 ZTNA 将安全性扩展到非托管设备,例如物联网、自带设备和访客设备。这确保了即使是非传统端点也能免遭潜在威胁。
- 简化策略管理:集中式策略管理使 IT 团队无需多种工具或平台即可在不同的环境中定义和实施访问控制。
- 应对不断演变的威胁:通过持续监控和实时验证,通用 ZTNA 主动检测并防范威胁,应对新出现的攻击点。
- 支持混合工作模式:随着组织采用混合工作环境,通用 ZTNA 可确保远程员工、承包商和第三方供应商的安全访问,从而实现业务连续性。
- 监管合规性:通用 ZTNA 提供满足严格监管要求(例如 GDPR、HIPAA 和 PCI DSS)所需的可见性和控制力。
HPE Aruba Networking 和通用 ZTNA
传统解决方案通常仅涉及零信任保护的特定领域,而 HPE Aruba Networking 则提供了一个全面平台,远超传统解决方案的狭窄关注范围。我们通过自己的边缘到云零信任平台,实现了单一供应商 SASE 解决方案与基于机器学习的高阶 NAC 功能的无缝集成。这种方式使组织能够采用通用 ZTNA 方法,在所有设备(无论是远程还是本地)上一致地应用零信任原则。
HPE Aruba Networking 边缘到云零信任平台
旅程从保护远程用户开始:ZTNA 提供对私有资源的安全访问并简化操作,以此来取代过时的 VPN。该解决方案的无代理选项使第三方用户能够安全地连接,从而降低第三方风险并确保无缝协作。为了进一步增强保护,安全网络网关 (SWG) 配有保护端点免受网络威胁的功能,而云接入安全代理 (CASB) 和数据丢失防护 (DLP) 功能可确保安全访问 SaaS 应用并防止数据泄露。
随着零信任原则扩展到园区和分支机构,HPE Aruba Networking 的 ZTNA Private Edge 可确保本地流量保持本地化。这消除了到云端的低效回传路由,同时为远程和本地用户实施一致的访问控制策略。
该解决方案提供深度网络可见性,利用高级机器学习以高达 99% 的准确率对设备进行分析,包括物联网 (IoT) 设备,而物联网设备通常是企业网络中最薄弱的环节。
组织可借助在 HPE Aruba Networking Central 中定义全局零信任策略,通过 CX 交换机、无线接入点和 EdgeConnect SD-WAN 中的嵌入式防火墙在所有端点上实施访问控制。对于数据中心,CX 10000 交换机提供突破性的零信任分段和东西向防火墙,从而无需将低效的流量回传到传统硬件设备。
HPE Aruba Networking 边缘到云零信任平台通过入侵侦测和防御系统 (IDS/IPS) 等内置功能持续监控网络并实时调整信任级别。采用 AI 技术的网络检测与响应 (NDR) 功能通过识别异常行为和精确检测勒索软件攻击等威胁进一步增强了安全性。这些功能由来自近 400 万台设备和超过 10 亿次客户端交互的大量训练数据提供支持,可提供高水平的威胁检测和响应准确性。
该平台提供了一种零信任整体方法,使组织能够保护基础设施的每一层和每个位置上的网络、用户和数据。从远程用户到物联网设备、分支机构和数据中心,该平台在日益复杂的威胁态势下提供无与伦比的安全性、可见性和效率。
通用 ZTNA 与 ZTNA
虽然传统 ZTNA 和通用 ZTNA 共享核心零信任原则,但它们在范围、功能和适用性方面有所不同。ZTNA 专注于远程用户,而通用 ZTNA 将零信任原则扩展到本地,以保护所有用户和设备。值得注意的是,ZTNA 的初衷更广泛,不仅仅关注远程用户。
对于希望在不同 IT 环境中实现安全性标准化的组织来说,通用 ZTNA 是一种更全面的解决方案。通过解决传统 ZTNA 的局限性,通用 ZTNA 提供了一种可扩展的统一安全访问方法。
以下比较突出了这两者的区别:
类别 | 传统 ZTNA | 通用 ZTNA |
|---|---|---|
| 范围 | 关注远程用户。 | 覆盖所有用户、设备和应用。 |
| 应用支持 | 主要支持 Web 和 SaaS 应用。 | 支持本地、云、混合、传统和 SaaS。 |
| 设备覆盖范围 | 仅限于托管设备。 | 扩展到非托管设备,包括物联网。 |
| 访问控制 | 特定应用的资源级访问。 | 整个生态系统的一致访问控制。 |
| 可扩展性 | 对于大型环境,可能需要额外的工具。 | 云原生架构实现无缝可扩展性。 |
| 灵活性 | 不太适应现代混合工作环境。 | 旨在适应多样化和分散的员工队伍。 |