什么是零信任网络访问(ZTNA)?
零信任网络访问(ZTNA)是一种安全体系结构,其中仅将来自经过身份验证的用户,设备和应用程序的流量授予组织内其他用户,设备和应用程序的访问权限。作为身份验证过程的一部分,任何流量或流量来源都不会受到恶意意图的信任。除未知的互联网流量外,来自已知设备和应用程序的所有流量均受到同等怀疑。
一、零信任网络访问原则
ZTNA哲学最重要的方面是零信任的概念。这个概念可以用经常引用的短语“永远不要信任,永远要验证”来概括。基本上,管理员及其系统在未经检查恶意内容的情况下,切勿让任何人查看或访问设备,应用程序或网络。这意味着这些元素的内容对黑客和恶意程序是隐藏的。
零信任原则与传统的安全性方法背道而驰,在传统的安全性方法中,仅因为用户,设备和应用程序在网络范围内而被认为是安全的。
具有隐式信任的网络外围方法存在弊端。黑客需要做的就是穿越边界,使网络自由横向移动,并访问许多设备甚至数据库上的数据。还有一个内部威胁问题,即已经受到信任的个人可以滥用信任并访问他们不应该访问的应用程序或数据。
类似于ZTNA的另一种哲学是最小特权原则。本质上,该原则规定应仅向用户授予他们有效执行工作所需的对应用程序,数据和资源的访问权限。
ZTNA和最低特权原则都依赖于用户,设备和应用程序身份。当ZTNA软件知道这三个中的任何一个时,它们将被授权进行网络访问。在某些情况下,用户,设备和应用程序具有相同或相似的角色或功能时会被分组。
二、ZTNA体系结构
ZTNA有两种主要架构:端点启动的ZTNA和服务启动的ZTNA。端点启动的ZTNA的特点是在用户设备上使用代理。服务启动的ZTNA的特点是基于云。
在组织开始使用ZTNA之前,它必须为其员工,他们的设备以及他们使用的应用程序创建一组身份。可以提供帮助的一些工具是身份访问管理(IAM)和单点登录工具。
设置好身份后,就可以制定与身份有关的策略,以限制每个员工和设备对组织网络和应用程序的访问。
三、端点启动的ZTNA
根据Gartner的“ 零信任网络访问市场指南 ”,端点发起的ZTNA接近Cloud Security
Alliance的软件定义边界(SDP)规范。ZTNA是SDP的一种,它在用户,设备和应用程序周围创建较小的边界,并进行了虚拟化。
端点启动的ZTNA中的信息传输过程如下,从上面提到的用户设备上的代理开始。代理将用户的安全上下文发送到ZTNA控制器。安全上下文包括地理位置,时间或日期。例如,上下文可以告诉ZTNA控制器什么是用户是否正在尝试从台式PC和来自不同国家/地区的移动设备访问应用程序,这意味着这些设备之一受到了损害。
ZTNA控制器还查看用户和设备的身份,以确定它们是否被识别以及用户是否正在请求访问他们被授权访问的应用程序。如果没有红色标记,则对用户和设备进行身份验证。然后,控制器将连接授予网关,网关可以是能够执行多种安全策略的下一代防火墙(NGFW)。网关可以防止应用程序直接从Internet访问。
授予访问权限后,流量可以通过端到端加密连接前往网关,然后转到应用程序。在一般的ZTNA体系结构中,网关描绘在网络的中心。
四、什么是零信任网络访问(ZTNA)?
零信任网络架构的此图将网关放置在网络的中心,各种元素在连接到彼此或公共互联网之前都先与它连接。每个元素都在其自己的外围。
五、服务启动的ZTNA
同样根据Gartner市场指南,由服务启动的ZTNA与Google
BeyondCorp技术类似。服务启动的体系结构基于云,并且不需要将代理放在设备上。
在Gartner的描述中,使用的是连接器而不是控制器。该文件没有解释差异。无论如何,连接器都与应用程序存在于同一网络上,并维持与应用程序云的连接。
请求访问该应用程序的用户将通过云中的服务进行身份验证,然后通过身份管理产品(如单点登录工具)进行验证。此时,用户现在可以访问应用程序的代理,从而使应用程序免受直接访问和攻击。
六、零信任网络访问:要点
零信任网络访问(ZTNA)的概念在2010年由John Kindervag巩固,他当时是Forrester Research的副总裁兼首席分析师。
1.用于描述ZTNA方法的最常用短语是“永远不要信任,永远要验证”;
2.ZTNA的理念是最低特权原则,软件定义的边界以及高级安全工具和策略的结合;
3.ZTNA有两种主要的体系结构:端点发起的和服务发起的;
4.端点启动的ZTNA使用设备代理,而服务启动的ZTNA使用云。
页:
[1]