许多企业组织对零信任网络访问(简称ZTNA)非常感兴趣,因为它是传统虚拟专用网络技术的有效替代方案。方法,但企业普遍缺乏实施经验。Gartner分析师近期列出了尝鲜者给出的五个良好实践,供企业借鉴。这些经验可以让企业未来对ZTNA的应用更加顺畅和高效。图1.实施零信任网络访问(ZTNA)的最佳实践图片来源:Gartner1.根据应用场景实施ZTNA一些最终用户组织表示,他们最初配置ZTNA以授予用户访问所有应用程序的权限,这与配置不同传统的VPN以类似的方式工作。这种方法的问题是组织无法获得ZTNA的全部好处。在部署ZTNA之前,确定ZTNA的用例(例如控制对敏感应用程序的访问或向承包商授予访问权限)并将特定策略应用于适当的用户组。如果可以快速应用策略来限制对敏感应用程序的访问,最终用户组织可以更轻松地从ZTNA中受益。2.提前了解应用程序的使用情况许多组织在实施ZTNA解决方案时经常开始研究用户和应用程序之间的关系。然而,一些早期采用者表示,他们在实施ZTNA解决方案之前就开始调查两者之间的关系。例如,他们要求特定部门(如营销和财务)的业务负责人确定他们的团队正在使用哪些应用程序,他们需要访问哪些承包商,等等。这种方法使他们能够为每个团队设定标准,并使他们在部署ZTNA时取得更快的进展。ZTNA项目经理说,即使有了应用程序发现工具,要确定哪些用户需要访问哪些应用程序也需要做大量工作,因此最好尽早开始。3.刷新应用程序访问权限与业务团队和负责应用程序的团队会面,确保所有用户访问权限都是最新的。一些ZTNA的早期采用者表示,他们能够更改或消除换工作或离开公司的用户的访问权限,并终止与他们不再有业务关系的第三方(承包商)的访问权限。4.根据业务需求及时调整访问策略具有部署ZTNA经验的最终用户组织表示,对ZTNA策略采用“一劳永逸”的方法是不切实际的。随着业务需求的不断变化,远程访问策略也应适时调整。例如:随着新应用程序(或季节性应用程序)的部署,ZTNA团队将需要添加新的访问策略;政策也可能需要更新。ZTNA团队必须有不断改进和完善访问策略的理念。5、与业务部门充分沟通。对于迁移到ZTNA带来的用户体验变化,一些业务负责人可能会提出异议。应该向这些商业领袖表明,新的ZTNA模型提供了比传统VPN更大的灵活性。基于上下文的多因素身份验证(MFA)就是一个例子。如果用户尝试使用企业拥有和管理的设备访问应用程序,则可以绕过MFA。但是,如果用户尝试使用个人拥有的设备访问应用程序,则需要MFA。ZTNA解决方案固有的更大灵活性可能有助于减轻对切换到这项新技术的担忧。
