现有的零信任网络访问(ZTNA)1.0框架已得到广泛应用,但有分析人士认为,该技术框架并不完善,导致组织攻击面防护不完善、应用管理分散、较为复杂等缺陷技术栈。为了帮助现有ZTNA用户弥补技术应用上的不足,ZTNA2.0架构应用应运而生。根据研究人员的说法,这种新架构的核心目标是对所有威胁路径中的所有流量进行持续的信任验证和安全检查。ZTNA1.0目前的缺点是它依赖于OSI模型的较低级别来连接整个企业的应用程序、平台和网络连接,因此更容易受到攻击。ZTNA2.0的创建者认为,基于OSI模型第3层和第4层的连接、端点(人和机器)、网络流量和集成仍然容易受到破坏。这是由于这些层上的流量依赖于TCP/UDP网络协议的核心组件,以及需要依赖IP地址来定义物理路径。批评者认为,传统的ZTNA技术在实时执行最低权限访问和信任验证方面极具挑战性。另一方面,随着组织中虚拟员工数量的快速增加、混合云基础设施应用的普及以及新的数字化商业模式,OSI模型的上层无法实时验证,这将导致安全防护漏洞的出现。因此,ZTNA2.0的拥护者认为,从OSI模型的第三层到第七层,需要更加严格地执行最小权限访问控制策略。从理论上讲,ZTNA2.0具有一定的技术优势,已经引起了业界的关注。不过,ZTNA2.0还需要更多实际的落地案例,才能真正兑现承诺。PaloAlto最近推出了PrismaAccess解决方案,这意味着安全厂商正在从产品化的角度来实现ZTNA2.0。据了解,PrismaAccesses可以在技术栈的基础设施层扩展和保护工作负载,同时为访问和完成数据交易的用户提供ZTNA2.0安全性。PrismaAccess还可以在基础设施层对设备工作负载、网络访问和数据传输进行统一的ZTNA2.0安全控制。目的是帮助企业整合技术栈,将多种不同的安全服务组合在一个平台上。每一层都需要遵循ZTNA2.0设计原则才能使策略发挥作用。ZTNA2.0的核心概念正在落实到产品中。目前,网络攻击已经达到了一个新的高度,许多组织的应用系统可能仅仅因为钓鱼活动就被攻破。ZTNA2.0表明,为了有效控制企业(包括一些已构建零信任系统的组织)的防御缺口,安全团队需要更好地控制OSI模型上层的活动,然后尽快采取有针对性的反制措施尽可能。ZTNA2.0要真正成熟为标准,需要在很多行业有更广泛的应用和可量化的应用效果,让其他组织在制定预算时能够说服企业管理层。
