传统的基于边界的网络保护结合了普通用户和特权用户、不安全和安全连接以及外部和内部基础设施部件来创建信任区域许多潜在的安全问题无法解决,越来越多的企业转向零信任网络访问来解决这个问题。随着云计算、虚拟化、物联网(IoT)、BYOD概念和远程办公的蓬勃发展,移动设备的数量激增,网络的边界越来越模糊。不仅内部系统和设备必须受到保护,外部系统和设备也需要额外的防御层。因此,传统的以边界为中心的方法正在逐渐被淘汰。零信任概念2010年,ForresterResearch分析师JohnKindervag引入了零信任(ZT)概念,作为对传统网络边界保护方法的改进。其背后的基本思想是在公司网络内外没有安全区域或受信任的用户。以下是在企业生态系统中模拟模型的假设:企业内部网络不被视为受信任区域。内部网络上的设备可以由除公司人员以外的人员安装和配置。默认情况下,不允许信任任何用户和资源。并非所有企业数字资产都驻留在企业内部网上。所有连接都可以被拦截和修改。必须监控和验证所有设备和资产的安全状况,以确保符合既定策略。需要注意的是,零信任本身只是一个概念,是一组模糊的要求,用于构建安全性和控制对企业基础设施的访问,可以通过不同的方式实现。2018年,另一位Forrester专家ChaseCunningham提出了零信任扩展(ZTX)方法,可以从技术、结构和组织变革等方面评估零信任实施的效率。在这一点上,零信任网络访问(ZTNA)是几乎所有市场参与者都接受的模型。ZTNA旨在将零信任的理念付诸实践。部署ZTNA时,边界保护工具将超越代理、网络访问控制(NAC)和防火墙等传统技术和身份验证机制。此外,还会持续监控工作站和节点是否符合既定的安全策略。出色的可扩展性是ZTNA模型区别于传统模型的主要特征之一。零信任网络访问如前所述,零信任网络访问的目的是实施零信任原则。也就是说,它是一种模型,用于提供对网络边界内外最小资源的最受控制的访问,以便用户可以完成他们的日常任务。基于ZTNA的基础设施的基本原则如下:保护区分割。不要试图一次覆盖整个边界,而是将其划分为微边界(应用程序、设备、系统、网络等),并为每个微边界建立不同的安全策略、保护和控制。强制加密。所有通信和网络流量都必须加密以防止恶意干扰。访问控制。每次连接到任何受保护资源时,都必须扫描所有用户、系统、应用程序、设备和进程。各级最小特权原则。只授予最低限度的权限,即使对用户或系统有害,也不会导致对整个基础设施的未授权访问。完全控制。持续收集和分析所有基础设施组件的事件、行为和状态,以确保及早响应安全事件。ZTNA架构和组件策略引擎(PE)和策略管理器(PA)是ZTNA模型的基本逻辑元素。前者管理用户、设备、系统和应用四个级别的访问策略,后者应用分配的策略,控制对资源的访问,监控访问对象和主体的状态。两者形成策略决策点(PDP)-检查用户或设备以确定他们是否可以继续下一步,以及策略执行点(PEP)-负责根据PA的命令连接和断开企业资源。这些组件构成了系统基础。用户和企业服务之间的良性障碍还包括下一代防火墙(NGFW)和云访问安全代理(CASB)。ZTNA部署有两种常见的方式来部署ZTNA模型。它们的区别在于访问公司资源的设备上是否安装了其他软件(代理),代理软件负责认证、建立连接、加密、状态监控等。在有代理的情况下,用户或设备使用预安装的代理启动连接。该技术与软件定义边界(SDP)模型有很多共同之处,后者旨在通过身份验证、基于身份的访问和动态生成的连接选项来控制访问。这种ZTNA架构的主要优势包括对设备的完全控制和禁止连接未经身份验证的设备。但从另一个角度来看,这对业务也不利,因为它施加了额外的限制。代理必须兼容不同的操作系统和平台版本,或者企业必须在设备上安装支持的操作系统版本并保持安全更新。另一种方法是提供基于ZTNA的解决方案作为云服务。在这种情况下,围绕云基础设施或数据中心中的企业资源创建逻辑访问边界,以便它们对外部用户隐藏。管理员工访问、控制网络流量和扫描连接的系统都是通过中介机构(例如CASB)来完成的。ZTNA架构作为云服务的优势如下:快速简单的部署。成本相对较低。集中管理。良好的可扩展性。无需安装额外的软件-因此,这消除了对连接设备的限制,并且在组织BYOD原则或远程办公时更加方便。主要缺点是缺乏对接入点的实时控制,这降低了安全级别。此外,缺少预安装的代理可能会增加DoS攻击的机会。ZTNA实践将零信任原则完全整合到需要从头开始重建的企业基础架构中。这包括更改内部网络架构、设备、安全策略,甚至可能包括员工处理公司数字资产的方式。对于大多数大型组织来说,这是不可行的,而且这个过程既费时又费钱。另一种选择是根据当前资源和能力升级现有基础设施。这似乎更合理、更可行。为了在此背景下成功实施ZTNA原则,企业的信息安全策略必须首先进行微调,以与零信任的概念保持一致。然后对IT基础设施组件进行分析,以确定哪些已经在使用的设备和技术可以成为ZTNA的基石,哪些需要更换。首先,需要建立以下机制:识别所有用户和设备。根据连接设备的状态、对采用的安全策略的遵守情况以及漏洞扫描的结果来控制对连接设备的访问。企业网络的分段,包括数据中心。基于BYOD原则的访问控制。与企业网络托管服务和基础设施交互的每个系统、设备和用户的身份验证和授权。数据访问控制。网络流量监控。然后,公司可以开始实施ZTNA模型,通过将其与保护企业边界的传统方法相结合来保护云资源和远程连接。全球ZTNA市场现状虽然零信任概念早在十多年前就已出现,但疫情带来的远程办公需求激增是ZTNA发展的主要推动力。据Gartner称,到2023年,预计60%的公司将放弃使用虚拟专用网络访问公司资源,转而采用零信任网络访问解决方案。PulseSecure在其2020年零信任访问报告中表示,大约72%的组织计划利用零信任来降低信息安全风险。ZTNA也是SASE的关键组成部分,SASE是Gartner在2019年提出的一种全面的云安全方法。除了ZTNA,这还包括软件定义广域网(SD-WAN)、安全Web网关(SWG)、云访问安全代理(CASB)和防火墙即服务(FWaaS)。零信任网络访问的概念是传统企业安全方法对当今环境的适应。尽管零信任概念越来越受欢迎,但对于某些企业而言,传统的信息安全方法仍然适用,因为云和远程访问对他们来说都是不可接受的。例如,处理机密信息的军事机构、政府和公司。原文:深入探讨零信任网络访问(ZTNA)理念
