零信任網(wǎng)絡(luò)訪問(ZTNA)是一種安全模型,遵循“永不信任,始終驗證”的原則。與依賴傳統(tǒng)網(wǎng)絡(luò)邊界安全不同,ZTNA要求所有訪問請求,無論其來源,都必須經(jīng)過嚴(yán)格驗證后才允許訪問,這意味著每個用戶、設(shè)備和應(yīng)用程序都必須持續(xù)進行身份驗證和授權(quán),以確保只有具備合法憑據(jù)的人才能訪問網(wǎng)絡(luò)資源。
“零信任”這一術(shù)語在十多年前由Forrester Research的一位分析師提出,并迅速在行業(yè)內(nèi)獲得廣泛認(rèn)可。隨后,商業(yè)化的零信任安全解決方案逐漸出現(xiàn),其在全球各行業(yè)的采用率穩(wěn)步上升。
ZTNA近年來的日益流行,特別是在全球疫情之后,可以歸因于工作環(huán)境的變化。如今,員工經(jīng)常在不同地點、使用各種設(shè)備遠程訪問公司網(wǎng)絡(luò)、應(yīng)用程序和數(shù)據(jù)。這一趨勢,加上對云服務(wù)和數(shù)字化轉(zhuǎn)型的日益增長的需求,使得傳統(tǒng)的基于邊界的安全模型失效。
例如,許多銀行客戶已經(jīng)多年沒有去過實體網(wǎng)點,為什么呢?因為互聯(lián)網(wǎng)和移動銀行的功能和便利性讓實體網(wǎng)點對大多數(shù)人來說變得無關(guān)緊要,這些后臺技術(shù)的實現(xiàn)依賴于云計算和開放銀行帶來的能力。
舊有的靜態(tài)安全方法,即盲目信任網(wǎng)絡(luò)內(nèi)部實體并不信任外部實體,已經(jīng)無法有效保護現(xiàn)代企業(yè)。為應(yīng)對這一挑戰(zhàn),需要一種新的框架,該框架關(guān)注用戶身份、設(shè)備、應(yīng)用程序、數(shù)據(jù)和網(wǎng)絡(luò)的安全,提供持續(xù)、動態(tài)和安全的訪問,這正是ZTNA的作用所在。
ZTNA不是獨立的解決方案
零信任是一個綜合框架的一部分,該框架涵蓋了用戶身份、設(shè)備、應(yīng)用程序、數(shù)據(jù)和網(wǎng)絡(luò)安全。作為首席信息安全官(CISOs),評估我們在這些領(lǐng)域的當(dāng)前狀況,了解現(xiàn)有的訪問控制機制,并確定如何進行初始和持續(xù)的驗證至關(guān)重要。優(yōu)先考慮關(guān)鍵資產(chǎn)的ZTNA實施,以及創(chuàng)建用戶友好、以客戶為中心的安全體驗,是ZTNA成功的關(guān)鍵。
那么,ZTNA如何幫助我們滿足支持遠程工作和推動數(shù)字化轉(zhuǎn)型的需求呢?雖然數(shù)字化轉(zhuǎn)型通常涉及技術(shù)進步,但它始于文化的變革,并涵蓋基礎(chǔ)設(shè)施、治理、業(yè)務(wù)運營、客戶互動等多方面的變化。ZTNA是這一變革旅程中的關(guān)鍵組成部分,事實上,它是驅(qū)動整個旅程的引擎!
重要的是,不要僅將ZTNA視為遠程工作的解決方案。在疫情之前,世界已經(jīng)日益互聯(lián),ZTNA為這個全球村莊提供了基礎(chǔ)性的理念。自疫情以來,隨著越來越多的人群開始遠程工作,ZTNA的重要性也呈指數(shù)級增長。
ZTNA增強了從用戶身份、設(shè)備到應(yīng)用程序、數(shù)據(jù)和網(wǎng)絡(luò)的全面安全性。通過持續(xù)演進和適應(yīng),ZTNA提供了一種動態(tài)且強大的訪問控制方法。
讓我們看看一些行業(yè)中ZTNA實施的真實案例。
案例一:ZTNA在多云訪問控制中的應(yīng)用
越來越多的企業(yè)采用多云策略,以利用多個云環(huán)境的優(yōu)勢。安全訪問這些環(huán)境中的資源已經(jīng)成為一項關(guān)鍵需求。零信任網(wǎng)絡(luò)訪問(ZTNA)通過實施最小特權(quán)訪問控制,并考慮用戶身份、設(shè)備狀態(tài)和位置等上下文因素,提供了解決方案,這確保了用戶只能訪問其被授權(quán)的云資源。
根據(jù)Symantec的報告《ZTNA在多個數(shù)據(jù)中心的應(yīng)用》所述,一家總部位于倫敦的國際金融科技公司,專注于為金融機構(gòu)提供軟件即服務(wù)和分布式賬本技術(shù),該公司成功實施了ZTNA解決方案,以確保其多云環(huán)境的安全訪問,該公司復(fù)雜的監(jiān)管環(huán)境要求對其在英國、美國及其他地區(qū)運營的敏感客戶數(shù)據(jù)進行嚴(yán)格控制。
通過用ZTNA解決方案替代傳統(tǒng)VPN,該公司實現(xiàn)了基于身份的訪問控制,并與現(xiàn)有的身份和訪問管理(IAM)解決方案無縫集成,該部署無需終端代理,即可簡化對Web門戶、API和各類服務(wù)器的訪問,提升了其全球基礎(chǔ)設(shè)施的安全性、治理和運營靈活性。
案例二:ZTNA支持BYOD政策
疫情加速了“自帶設(shè)備”(BYOD)政策的采用,員工可以隨時隨地使用任何設(shè)備連接到企業(yè)網(wǎng)絡(luò)。ZTNA為個人設(shè)備提供了安全的、無需代理的企業(yè)應(yīng)用程序訪問,支持BYOD的實施。
根據(jù)SentryBay的白皮書《在零信任框架中優(yōu)先考慮安全以成功實現(xiàn)BYOD》所述,一家北美保險公司面臨著數(shù)以萬計的遠程代理使用公司筆記本電腦所帶來的高昂成本和合規(guī)挑戰(zhàn)。為降低開支,他們采用了BYOD策略并部署了虛擬桌面基礎(chǔ)設(shè)施(VDI)系統(tǒng),然而,這也引入了新的終端合規(guī)性風(fēng)險。
該公司實施了ZTNA解決方案來保護VDI客戶端,確保符合PCI DSS(支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn))的要求,該產(chǎn)品通過單點登錄(SSO)和基于證書的設(shè)備驗證來安裝,將不受管理的設(shè)備轉(zhuǎn)變?yōu)榘踩慕K端,這一方法降低了資本支出,簡化了設(shè)備管理,確保了合規(guī)性并保護了客戶數(shù)據(jù)。
案例三:ZTNA滿足監(jiān)管和合規(guī)要求
尤其是受法規(guī)約束的企業(yè),必須符合各種合規(guī)性和監(jiān)管要求,包括嚴(yán)格的訪問控制、詳細的審計日志和安全分析。傳統(tǒng)的安全解決方案往往缺乏所需的精細控制和文檔記錄來滿足這些要求。ZTNA提供了細粒度的訪問控制、詳細的日志記錄和實時的安全分析,從而解決了這些挑戰(zhàn)。
正如前文提到的SentryBay白皮書中所強調(diào)的,一家全球性投資銀行在應(yīng)對數(shù)千名遠程員工訪問公司網(wǎng)絡(luò)時,現(xiàn)有的安全解決方案難以滿足金融合規(guī)要求,為了解決這些問題,該銀行用ZTNA解決方案替代了之前的方案。
這款ZTNA解決方案為最初的7000個終端設(shè)備提供了高度定制的安全配置文件,后來擴展至20000個終端,這一方案確保了對全球金融監(jiān)管機構(gòu)的全面合規(guī),同時減少了支持電話的需求,消除了對新公司筆記本電腦的需求。ZTNA解決方案的無縫部署在全球范圍內(nèi)保護了遠程員工,通過專利技術(shù)在內(nèi)核級別抵御鍵盤記錄和屏幕捕獲,有效保護了敏感的金融數(shù)據(jù)。
評估ZTNA旅程的成功涉及與全球網(wǎng)絡(luò)安全戰(zhàn)略的對齊
零信任已在全球范圍內(nèi)獲得顯著認(rèn)可,美國和新加坡等國家將其納入了國家網(wǎng)絡(luò)安全計劃。新加坡2021年的網(wǎng)絡(luò)安全戰(zhàn)略強調(diào)了零信任方法在保護政府機構(gòu)系統(tǒng)和數(shù)據(jù)中的重要性。在美國,2023年4月發(fā)布的CISA零信任成熟度模型2.0版本進一步展示了ZTNA的日益普及和廣泛采用,這一全球趨勢表明,ZTNA原則的意識和實施正在成功提升。
ZTNA的采用在不同企業(yè)之間存在顯著差異,一些企業(yè)處于早期階段,另一些則更為先進,已經(jīng)有明確且實施到位的控制措施。ZTNA旅程的成功無法通過單一標(biāo)準(zhǔn)來衡量,應(yīng)該根據(jù)每個企業(yè)的具體性質(zhì)、規(guī)模和運營情況進行定制。
因此,回顧一下,以下是考慮ZTNA時的一些實用建議:
• 評估你當(dāng)前的安全狀態(tài)和ZTNA的成熟度。
• 確定關(guān)鍵資產(chǎn)(系統(tǒng)、數(shù)據(jù)、人員、業(yè)務(wù)流程等),并根據(jù)企業(yè)的獨特特征優(yōu)先實施ZTNA。
• 記住,ZTNA是一個持續(xù)的過程。應(yīng)優(yōu)先考慮持續(xù)的監(jiān)控、調(diào)整、創(chuàng)新、自動化以及用戶和客戶體驗的改進。
在當(dāng)今世界,安全不再是奢侈品,而是必要條件。每個企業(yè),無論是初創(chuàng)公司還是全球性企業(yè),都必須致力于保護其員工、客戶和聲譽。隨著AI繼續(xù)推動技術(shù)和業(yè)務(wù)的變革,零信任網(wǎng)絡(luò)訪問變得更加關(guān)鍵。
想一想:AI推動增長的潛力無可否認(rèn),但企業(yè)的未來也取決于其應(yīng)對數(shù)據(jù)泄露、勒索軟件、網(wǎng)絡(luò)釣魚和深度偽造等威脅的能力,一套強大的ZTNA解決方案是面對這些挑戰(zhàn)時的堅實基礎(chǔ)。
企業(yè)網(wǎng)D1net(hfnxjk.com):
國內(nèi)主流的to B IT門戶,旗下運營國內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_-信眾智(www.cioall.com)。旗下運營19個IT行業(yè)公眾號(微信搜索D1net即可關(guān)注)。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需在文章開頭注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號