零信任网络接入 (ZTNA)

什么是零信任网络接入 (ZTNA)？

• 基于身份的访问：ZTNA 在授予访问权限之前会使用并验证用户和设备的身份。它使用您现有 IDP 提供商的身份验证和授权来确保只有合法用户才能访问资源。
• 精细访问控制：ZTNA 不授予对网络的全面访问权限，而是根据用户角色、设备状态和上下文因素强制对特定应用或服务进行精细访问。
• 最低权限原则：只能访问用户执行任务所必需的内容，从而最大程度减少攻击面。
• 应用细分：ZTNA 确保用户和设备只能访问他们已获得授权的特定资源，通过零信任策略而非复杂的网络分段来防止网络内横向移动。
• 持续验证：ZTNA 持续监控并验证用户活动和设备健康状况。如果用户的会话变得可疑或者设备的安全状态发生变化，则可能会撤销访问权限。
• 远程和混合工作支持：ZTNA 非常适合拥有远程或混合办公团队的企业，无论用户身处何地，都能为其提供安全的应用访问。
• 云原生：ZTNA 通常基于云架构与多种现代化企业环境集成，包括 SaaS 应用、公有云、私有云和私有数据中心。

不同供应商的 ZTNA 实施方案各不相同，但普遍认为最佳实践是采用分阶段推进的方式：从前期准备入手，最终实现日常化运维。

• 第一阶段 – 规划与准备：清点私有应用和用户群体，确定初期高价值用例，例如将成熟应用迁移至 ZTNA 并替换 VPN。然后定义访问策略的输入参数，例如身份、设备和应用敏感度。
• 第二阶段 – 配置与启用：搭建 ZTNA 控制平面/策略层，集成身份提供商 (IdP)，并以结构化方式将 ZTNA 配置为可管理的 SSE 组件，包括策略和日志记录/可见性。
• 第三阶段 – 部署与过渡：接入首批应用与用户，将工作流程从 VPN 式网络访问迁移至应用专属访问，并验证最终用户的体验和访问效果。
• 第四阶段 – 发现、配置、循环：通过迭代方式扩展覆盖范围，不断发现更多应用/流程，应用已汲取的经验教训，并在横向扩展的同时持续收紧最小权限访问策略。
• 第五阶段 – 实施：标准化流程（包括策略生命周期、接入操作手册、监控、事件响应机制等），使 ZTNA 成为“常态化访问方式”，而非一个特殊项目。

从安全态势的角度看，ZTNA 通过将“远程访问”定义从“网络扩展”转变为“由策略代理的应用专属访问”，从而提升了组织的安全基线。您的内部资产反复强调三项安全态势改进：缩小攻击面、减少横向移动以及在不同地点实施更一致地策略。

• ZTNA 减少了暴露的基础设施和扫描机会：ZTNA 不会发布宽泛的 VPN 网关或开放入站路径，而是通过代理连接，仅能访问策略/代理层，却不会轻易发现私有应用。毕竟，恶意攻击者无法攻击他们看不见的目标。
• ZTNA 通过限制横向移动来缩小影响范围：ZTNA 的模式避免将用户置于企业网络中，而是将访问限定在特定应用之内。将用户隔离于企业网络之外,企业便能够大幅减少横向移动，从而降低风险。
• ZTNA 可提高混合环境的一致性和弹性：通用 ZTNA (UZTNA) 可以将相同的零信任实施策略扩展到所有访问路径（包括远程和本地），因此无论用户身处咖啡厅还是办公桌前，都适用相同的策略。此外，ZTNA 的 Private Edge 功能可将本地流量限制在本地，并在互联网不可用时支持业务连续性，从而在保持一致安全控制措施的同时，提升运营弹性。
• ZTNA 通常能在零信任项目早期加速降低风险：许多组织选择从 ZTNA 入手，因为它既实用又能通过改善用户体验、降低风险为团队带来快速成果，同时在第三方访问、VPN 替换，乃至加速并购整合等场景中发挥重要的助力作用。

• 实现随时随地工作的 VPN 替代解决方案：过去将远程用户连接到网络时，人们常用远程访问 VPN，如今 ZTNA 早已取而代之，可以提供更快、更安全的体验。
• 内部员工访问：避免天然地信任本地用户，并利用公共托管的零信任代理或您自己环境内部署的私有代理实现最低权限访问，以及更简单的分段、更快的用户体验和更轻松的合规性。
• 确保第三方访问安全：使用无代理访问使业务生态系统合作伙伴、供应商、厂商和客户能够安全地访问关键业务数据，同时无需授予整个企业网络的访问权限。
• 加速并购或剥离期间的 IT 集成：使用 ZTNA 后无需整合（或拆分）网络、处理重叠 IP 的网络地址转换 (NAT) 或建立 VDI 基础设施，便可将每个过程从 9-14 个月缩短到数天或数周。
• VDI 替代方案：用 ZTNA 取代复杂的虚拟环境，避免传统 VDI 的高成本、可扩展性以及延迟问题。ZTNA 基于用户身份、设备状态和上下文，通过与应用之间的基于策略的直接连接提供安全无缝的远程访问。