文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

深入了解零信任网络访问 (ZTNA)

2024-12-02 18:28

关注

[[431649]]

随着云计算、虚拟化、物联网 (IoT)、BYOD概念以及远程办公的蓬勃发展,移动设备数量剧增,网络的边界正变得越来越模糊。不仅内部系统和设备必须受到保护,外部系统和设备也需要额外的防御层。因此,传统的以边界为中心的方法正逐渐被淘汰。

零信任概念

2010 年,Forrester Research 分析师 John Kindervag 引入了零信任 (ZT) 的概念,作为对传统网络边界保护方法的改进。它背后的基本思想是,在公司网络内外部都不设任何安全区域或可信用户。

以下是在企业生态系统中模拟该模型的假设:

需要注意的是,零信任本身只是一个概念,是一组用于构建企业基础设施安全和控制访问权限的模糊要求,其可以以不同的方式实施。2018 年,Forrester的另一位专家 Chase Cunningham 提出了零信任扩展 (Zero Trust eXtended, ZTX) 方法,可以从技术、结构和组织变化方面评估零信任实施的效率。

在这一点上,零信任网络访问(ZTNA)是几乎所有市场参与者都认可的模式。ZTNA旨在将零信任的思想应用于实践。部署 ZTNA 后,边界保护工具的范围将超越传统技术和身份验证机制,例如代理、网络访问控制 (NAC) 和防火墙。此外,工作站和节点是否符合已建立的安全策略将受到持续监控。出色的可扩展性是 ZTNA 模型有别于传统模型的主要特征之一。

零信任网络访问

如前所述,零信任网络访问的目的是实现零信任原则。

也就是说,它是一种模型,用于在网络边界内外提供对最小资源范围内的最可控访问,以便用户可以完成其日常任务。

基于 ZTNA 的基础设施的基本原理如下:

ZTNA 架构和组件

策略引擎 (PE) 和策略管理员 (PA) 是 ZTNA 模型的基本逻辑元素。前者在用户、设备、系统和应用四个层面管理访问策略,后者应用分配的策略,控制对资源的访问,并监控访问对象和主体的状态。

两者形成策略决策点 (PDP)——检查用户或设备以确定他们是否可以进行下一步,策略执行点 (PEP)——负责根据PA的命令连接和断开企业资源。这些组件构成了系统基础。用户和企业服务之间的良性屏障还包括下一代防火墙 (NGFW) 和云访问安全代理 (CASB)。

ZTNA部署

部署 ZTNA 模型有两种常用方法。它们的不同之处在于访问公司资源的设备上是否安装了其他软件(代理),由代理软件负责身份验证、建立连接、加密、状态监控等。

在有代理的情况下,用户或设备使用预先安装的代理启动连接。这种技术与软件定义边界 (SDP) 模型有很多共同之处,SDP旨在通过身份验证、基于身份的访问和动态生成的连接选项来控制访问。

这种 ZTNA 架构的主要优势包括对设备的完全控制以及禁止连接未经验证的设备。但从另一个角度来看,这对企业来说也是不利的,因为它施加了额外的限制。代理必须兼容不同的操作系统和平台版本,或者企业必须在设备上安装支持的操作系统版本并及时进行安全更新。

另一种方法是提供基于 ZTNA 的解决方案作为云服务。在这种情况下,围绕云基础设施或数据中心中的企业资源创建了一个逻辑访问边界,以便它们对外部用户隐藏。管理员工访问、控制网络流量和扫描连接的系统都是通过中介完成的,例如 CASB。

ZTNA架构作为云服务的优势如下:

主要缺点是缺乏对访问点的实时控制,这降低了安全级别。此外,缺少预装代理可能会增加DoS攻击的几率。

ZTNA实践

将零信任原则完全集成到企业基础设施中需要从头开始重建。这包括改变内部网络架构、设备、安全策略,甚至可能改变员工处理公司数字资产的方式。对于大多数大型组织而言,这样是行不通的,过程非常耗时且成本高昂。

另一种选择是基于当前资源和功能升级现有的基础设施。这似乎更合理,也更可行。为了在这种情况下成功地实施ZTNA原则,必须首先对企业的信息安全战略进行微调,使其符合零信任的概念。

然后对 IT 基础设施组件进行分析,看看哪些已经在使用的设备和技术可以成为 ZTNA 的基石,哪些需要更换。

首先需要落实以下机制:

接着公司就可以开始实施 ZTNA 模型,通过将其与保护企业边界的传统方法相结合来保护云资源和远程连接。

全球 ZTNA 市场现状

尽管零信任的概念早在十多年前就出现了,但疫情带来的远程办公需求激增才是促使ZTNA发展的主要驱动力。

据 Gartner 称,到 2023 年,预计 60% 的公司将放弃使用虚拟专用网访问企业资源,转而使用零信任网络访问解决方案。Pulse Secure 在其 2020 年零信任访问报告中表示,大约 72% 的组织计划利用零信任来降低信息安全风险。

ZTNA也是SASE的关键组件,SASE是Gartner 在 2019 年提出的云安全综合方法。除了ZTNA,还包括软件定义广域网 (SD-WAN)、安全 Web 网关(SWG)、云访问安全代理 (CASB) 和防火墙即服务 (FWaaS) 。

零信任网络访问的概念是传统企业安全方法适应当今环境而产生的。尽管零信任概念越来越受欢迎,但对于某些企业而言,传统的信息安全方法仍然适用,因为云技术和远程访问对他们来说都是不可接受的。例如,这军事结构、政府以及处理机密信息的公司。

原文:Zooming Into Zero Trust Network Access (ZTNA) Philosophy

 

来源:SDNLAB内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯