What is ZTNA?
ZTNA 是一種安全的遠端存取解決方案,透過應用程式特定的權限實施零信任安全原則。要求存取公司資產的遠端工作人員將會根據個別情況授與特定資源的存取權限,並考慮以角色為基礎的存取控制和上下文驗證資料 (例如 IP 位址、位置、使用者群組或角色以及時間限制)。
什麼是VPN?
VPN 為遠端使用者提供類似於直接連接到公司網路的體驗。企業網路上的 VPN 用戶端軟體和 VPN 端點建立一個加密通道,所有資料在路由到目的地之前都會透過該通道傳送。這可防止竊聽,並使所有業務流量都可以通過基於周邊的安全解決方案檢查,無論其來源為何。
VPN 的限制
VPN 是安全遠端存取的傳統選擇,因為它們可以與舊式基於周邊的安全模型一起使用。 但是,它們有幾個限制,使它們不適合現代企業的安全需求,包括:
- 以外圍為重點的安全性: VPN 有助於強化傳統的基於外圍的安全模型,因為經過身份驗證的使用者被授予對公司網路的完全存取權。這允許攻擊者在透過受損的 VPN 憑證或利用 VPN 脆弱性來獲得存取權限後,在企業網路中橫向移動。
- 網路層級存取控制: VPN 在網路層級實施存取控制,無需檢視或控制應用程式層。這為使用者提供了過於寬鬆的存取權限,授予對不同應用程式中的資源的讀取、寫入和執行存取權限。
- 無雲端支援: VPN 通常旨在提供對企業網路的安全遠端存取。通常,他們對位於傳統邊界之外的基於雲端的資源的支援有限。
- 對 BYOD 裝置的支援較差:允許 BYOD 裝置存取企業 VPN 可以從非託管、非企業端點存取企業資源。這可能允許惡意軟體或其他網路威脅直接存取公司網路。
VPN 與零信任方法的崛起
VPN 專為傳統的周邊聚焦安全策略而設計。 然而,這個策略具有重大問題,結合 VPN 的限制,激發 Forrester 創建零信任安全模型。
與基於邊界的策略不同,零信任不會向傳統網路邊界內的任何裝置、使用者和應用程式授予隱式信任。相反,根據最小權限原則授與公司資源的存取權限,其中僅指派實體執行其角色所需的最低權限集合。
為什麼 ZTNA 解決方案比企業 VPN 更好
使用零信任安全策略,VPN 不再是可行的安全遠端存取解決方案。 與 VPN 相比,ZTNA 提供了一種替代方案,其中包括:
- 邏輯存取邊界: ZTNA 將「邊界」實作為軟體而不是實體網路邊界。這使 ZTNA 能夠用於微分段,並保護傳統周圍以外的資產。
- 每個請求授權:ZTNA 個別授權每個訪問請求。 這可確保使用者不會獲得對其角色不需要的資源的存取權。
- 外部裝置和用戶支援: ZTNA 是無客戶端的,無需在用戶裝置上安裝軟體。這使得外部合作夥伴和 BYOD 裝置能夠更輕鬆地連接到企業資源。
- 黑暗的 IT 基礎架構: ZTNA 只向使用者顯示他們需要存取的資源。這使得攻擊者更難透過網路橫向移動,也更難讓公司資產成為DDoS 攻擊的目標。
- 應用程式層級存取管理: ZTNA 具有應用程式層的可見性,可讓組織在應用程式、查詢和命令層級管理策略。
- 使用者活動的精細可見性:透過獨立驗證每個使用者請求,ZTNA 可以針對使用者與企業應用程式和 IT 資產的交互建立安全性資訊與事件管理友善的審核日誌。
透過 Harmony Connect 遷移到 ZTNA
除了安全限制外,VPN 還存在可擴充性和效能問題。對於希望升級安全遠端存取解決方案並實施零信任架構的公司來說,ZTNA 是傳統企業 VPN 的良好替代方案。
ZTNA 最好是作為安全存取服務邊緣 ( SASE ) 解決方案的一部分進行部署,該解決方案將完整的網路安全堆疊與軟體定義廣域網路(軟體定義廣域網路)等網路最佳化功能相結合。透過部署 SASE,組織可以從以周邊為基礎的安全模型轉移到針對分散式企業建立的零信任架構。
Check Point’s Harmony SASE enables organizations to deploy network and security functionality that meets their needs. To learn more about how Harmony SASE works and see it in action, request a demo.
反映意見