零信任网络接入 (ZTNA) 什么是零信任网络接入 (ZTNA)?
零信任网络接入 (ZTNA) 指代一套旨在确保安全访问私有应用的创新技术。ZTNA 技术也称为软件定义边界 (SDP),此类技术使用精细访问策略将授权用户连接到特定应用,而无需访问整个公司网络,同时建立应用级的最低权限分段来取代网络分段,而且不同于 VPN 集中器,它避免了将应用位置暴露在公共互联网上。
- ZTNA 释义
- ZTNA 的关键概念
- ZTNA 有哪些主要功能?
- ZTNA 的工作原理
- ZTNA 有哪些优势?
- ZTNA 用例
- HPE Aruba Networking ZTNA
ZTNA 释义
ZTNA 应用日益普遍的原因是人们需要随时随地工作,因此现在每个用户、应用和设备都需要通过互联网安全地进行连接。这很好理解,因为越来越多的商业应用都基于 SaaS,且私有应用继续在混合或多云环境中运行。
但问题是,互联网的设计纯粹是为了连接事物,而不是阻挡它们。只要有适当的 IP 地址和出站呼叫功能,所有设备都可以通过互联网进行通信。威胁行为者会利用未部署适当零信任策略的组织存在的漏洞。
与 VPN 或防火墙不同,ZTNA 服务旨在将特定实体安全地互连,而不需要全面的网络访问。大多数情况下,这些实体是在家、路上或办公室进行连接的员工和第三方用户。但不仅限于用户;ZTNA 还可以以微分段的形式应用于应用到应用通信流。
ZTNA 的关键概念
- 零信任基础:ZTNA 建立在零信任原则之上,这意味着默认情况下,无论用户或系统在哪里或如何连接,都不受信任。每个访问请求都必须经过全面的身份验证、授权和加密,然后才会授予访问权限。
- 以应用为中心的访问权限:与授予网络访问权限的传统网络访问不同,ZTNA 确保仅授予对特定应用的访问权限。这是通过仅出站连接实现的,这种方式不会将企业网络暴露在互联网上,减少了攻击面。
- 最低权限访问:ZTNA 通过为用户提供有效工作所需的最低访问权限级别来执行最低权限原则。这是通过精细访问策略实现的,这些策略在整个组织中得到一致且全局地应用,无论用户在哪里。
- 云原生确保速度和可扩展性:ZTNA 利用云基础设施来确保访问既快速又可靠。这实现了可扩展性以满足不同的带宽需求,并确保用户可以立即连接到他们需要的应用,且不会影响安全性。
ZTNA 有哪些主要功能?
- 基于身份的访问:ZTNA 在授予访问权限之前会使用并验证用户和设备的身份。它使用您现有 IDP 提供商的身份验证和授权来确保只有合法用户才能访问资源。
- 精细访问控制:ZTNA 不授予对网络的全面访问权限,而是根据用户角色、设备状态和上下文因素强制对特定应用或服务进行精细访问。
- 最低权限原则:只能访问用户执行任务所必需的内容,从而最大程度减少攻击面。
- 应用细分:ZTNA 确保用户和设备只能访问他们已获得授权的特定资源,通过零信任策略而非复杂的网络分段来防止网络内横向移动。
- 持续验证:ZTNA 持续监控并验证用户活动和设备健康状况。如果用户的会话变得可疑或者设备的安全状态发生变化,则可能会撤销访问权限。
- 远程和混合工作支持:ZTNA 非常适合拥有远程或混合办公团队的企业,无论用户身处何地,都能为其提供安全的应用程序访问。
- 云原生:ZTNA 通常基于云架构与多种现代化企业环境集成,包括 SaaS 应用、公有云、私有云和私有数据中心。
ZTNA 的工作原理
ZTNA 在用户的设备与其需要访问的私人应用或服务之间创建安全加密的连接。它通常包括以下流程:
- 验证:用户提供凭证,然后通过多因素身份验证 (MFA) 或身份提供程序 (IdP) 验证其身份。
- 设备确认:评估设备是否符合安全策略(例如,操作系统版本、防病毒状态等)。
- 策略执行:一旦身份验证,即可基于预定义的零信任策略授予访问权限,该策略将考虑用户的角色、设备安全情况、位置和其他背景因素。
- 特定于应用程序的访问:ZTNA 确保用户只能看到和访问他们已获得授权的应用程序 - 而无法看到或访问网络的其余部分。
ZTNA 有哪些优势?
- 增强安全性:ZTNA 遵循“从不信任,始终验证”的核心原则,可显著降低未授权访问带来的安全风险。ZTNA 通过实施严格的身份验证和上下文访问控制,确保用户和设备在访问任何资源前都必须经过持续的身份认证和授权。即使攻击者获得初始访问权限,这种机制也最大限度减少了网络内横向移动的可能性。
- 减少攻击面:ZTNA 的核心优势之一是使应用和服务对未授权用户完全不可见。ZTNA 将内部资源隐藏于认证层之后,仅向已通过验证的身份开放访问权限,大幅减少了攻击者可利用的潜在入口点。这种“乌云”防护机制确保了即使系统成为攻击目标,在没有正确凭证和上下文验证的情况下,攻击者仍无法访问系统资源。
- 改善用户体验:与通常需要手动连接且会降低性能的传统 VPN 不同,ZTNA 提供了更加无缝且透明的体验。用户可以从任何位置或设备安全地访问应用,无需繁琐的 VPN 客户端。这可以缩短访问时间、减少中断并提供更直观的工作流程——对于远程办公和混合办公环境尤为有利。
- 可扩展性:ZTNA 设计为支持动态和分布式 IT 环境。无论您的企业需要扩展云业务规模、支持日益壮大的远程团队,还是整合第三方供应商,ZTNA 都能轻松实现弹性扩展。其云原生架构允许跨多个环境轻松部署和管理资源,降低了传统网络安全模式的复杂性。
ZTNA 用例
- 实现随时随地工作的 VPN 替代解决方案:过去将远程用户连接到网络时,人们常用远程访问 VPN,如今 ZTNA 早已取而代之,可以提供更快、更安全的体验。
- 办公室员工访问:避免天然地信任本地用户,并利用公共托管的零信任代理或您自己环境内部署的私有代理实现最低权限访问,以及更简单的分段、更快的用户体验和更轻松的合规性。
- 确保第三方访问安全:使用无代理访问使业务生态系统合作伙伴、供应商、厂商和客户能够安全地访问关键业务数据,同时无需授予整个企业网络的访问权限。
- 加速并购或剥离期间的 IT 集成:使用 ZTNA 后无需整合(或拆分)网络、处理重叠 IP 的网络地址转换 (NAT) 或建立 VDI 基础设施,便可将每个过程从 9-14 个月缩短到数天或数周。
- VDI 替代方案:用 ZTNA 取代复杂的虚拟环境,避免传统 VDI 的高成本、可扩展性以及延迟问题。ZTNA 基于用户身份、设备状态和上下文,通过与应用之间的基于策略的直接连接提供安全无缝的远程访问。
HPE Aruba Networking ZTNA
作为 HPE Aruba Networking SSE 平台的一部分,HPE Arube Networking ZTNA 采用零信任策略,使任何用户、任何设备和任何私有应用都可以安全地进行全球连接,提供了传统远程访问 VPN 解决方案的现代化替代方案。
如前所述,ZTNA 是 HPE Aruba Networking Security Service Edge (SSE) 平台不可或缺的组成部分。而该总体平台将 ZTNA、SWG、CASB 和数字体验监控的强大功能整合到一个云交付解决方案中,并通过单个易于操作的面板来管理相关的一切内容。