什么是零信任网络访问 (ZTNA)？VPN和ZTNA有什么区别？

什么是零信任网络访问？(ZTNA)？

零信任网络访问(ZTNA)是一种IT组织应用程序、数据和服务的安全远程访问可以根据明确定义的访问控制策略提供。ZTNA虚拟专用网络(VPN)不同之处在于，它们只授予访问特定服务或应用程序的权限VPN授予整个网络的访问权限。随着越来越多的用户从家里或其他地方访问资源，ZTNA解决方案有助于消除其他安全远程访问技术和方法之间的差距。

ZTNA怎样工作？

在使用ZTNA只有在用户通过时ZTNA只有在服务的身份验证后，才能获得访问特定应用程序或资源的权限。一旦通过身份验证，ZTNA使用安全的加密隧道授予用户访问特定应用程序的权限，隧道通过应用程序和服务与原始可见性IP屏蔽地址，提供额外的安全保护层。

通过这种方式，ZTNA的行为非常类似于软件定义边界(SDP)，依靠相同的暗云概念，防止用户看到任何其他无权访问的应用程序和服务。这也为横向攻击提供了保护，因为即使攻击者获得了访问权限，他们也无法通过扫描来定位其他服务。

前2个ZTNA用例

身份验证和访问——ZTNA主要用途是提供基于用户身份的高度精细的访问机制。一旦授权，基于IP的VPN访问可提供对网络的广泛访问，而ZTNA对特定的应用程序和资源提供有限的细粒度访问。ZTNA可通过特定位置或设备的访问控制策略提供更高水平的安全性，防止设备访问组织的资源不需要或损坏。这种访问可以与一些为员工拥有的设备提供相同的访问权限VPN对比。授予当地管理员。

由于整体控制和可见性ZTNA身份验证后不会检查用户流量。因此，如果恶意员工将其访问权限用于恶意目的，或用户凭证丢失或被盗，可能会出现问题ZTNA整合到安全访问服务的边缘(SASE)在解决方案中，组织可以从安全远程访问所需的安全性、可扩展性和网络功能中受益，并在连接后监控用户凭证，以防止数据丢失、恶意操作或损坏。

ZTNA的优势

ZTNA它为连接用户、应用程序和数据提供了一种方法。即使它们不停留在组织网络上，这种情况在当今多云环境中也越来越普遍。基于微服务的应用程序可以停留在多个云和前提下。现代组织需要通过分布式用户群随时随地从任何设备获取数字资产。

ZTNA在不向可能的攻击者暴露其他服务的情况下，为关键业务应用程序提供精细的上下文感知访问。

ZTNA模型由Gartner创建旨在帮助消除对雇主、承包商和其他只需要非常有限访问权限的用户的过度信任。该模型表达了一个概念，在被证明是可信的之前，没有什么是可信的，更重要的是，每当连接（位置、上下文、IP当地址等）的任何内容发生变化时，必须重新验证信任。

VPN和ZTNA有什么区别？

VPN和ZTNA有几个区别。VPN在网络范围内提供访问ZTNA需要经常重新验证对特定资源的访问权。

与ZTNA相比，VPN一些缺点是：

资源利用率-随着远程用户数量的增加，VPN负载可能会导致意想不到的高延迟，并且可能需要方向VPN为了满足不断增长的需求或高峰使用时间，增加新的资源。这也会使IT组织人力紧张。

灵活性和敏捷性——VPN不提供ZTNA粒度。此外，安装和配置所有需要连接到企业资源的最终用户设备VPN该软件可能具有挑战性。相反，根据其直接业务需要添加或删除安全策略和用户授权要容易得多。ZTNA中的ABAC(基于属性的访问控制)和RBAC(基于角色访问控制)简化了这项任务。

粒度-一旦进入VPN用户可以访问整个系统。ZTNA除非资产-应用程序、数据或服务-专门授权给用户，否则采用相反的方法根本不授予访问权限VPN相比，ZTNA提供基于身份验证的持续身份验证。每个用户和设备在被授予访问特定的应用程序、系统或其他资产之前都经过验证和身份验证。VPN和ZTNA如果提供的话，可以结合使用，比如加强特殊敏感网段的安全性VPN如果受到威胁，需要额外的安全层。

您如何实施ZTNA？

ZTNA实现端点启动和服务启动有两种方法。顾名思义，在端点启动的零信任网络架构中，用户从端点连接的设备访问应用程序，类似于SDP。代理和安装在设备上ZTNA提供身份验证并连接到所需服务的控制器通信。

相反，它是由服务发起的ZTNA连接由应用程序和用户之间的代理发起。这需要一个轻量级ZTNA连接器放置在云提供商本地业务应用程序的前面。一旦来自请求应用程序的出连接验证了用户或其他应用程序的身份，流量就会流通ZTNA服务提供商将应用程序与代理的直接访问隔离开来。这里的优点是最终用户设备不需要代理，这使得它非托管或访问顾问或合作伙伴BYOD该设备更具吸引力。

还有两种交付方式：独立性ZTNA或ZTNA即服务。主要区别如下：

独立ZTNA要求组织部署和管理ZTNA位于环境（云或数据中心）边缘的所有元素都提供安全连接。虽然这非常适合不喜欢云的组织，但部署、管理和维护已经成为一个额外的负担。

借助ZTNA作为云托管服务，组织可以利用云提供商的基础设施从部署到战略执行。在这种情况下，组织只需获得用户许可，在安全应用程序前部署连接器，并允许云提供商/ZTNA供应商提供连接、容量和基础设施。这简化了云交付的管理和部署ZTNA为所有用户选择最佳流量路径，以获得最低延迟。

Gartner据估计，90%以上的组织正在实施ZTNA即服务。