ZTNA是什么，零信任网络访问ZTNA原理解析

传统的基于边界的网络保护将普通用户和特权用户、不安全连接和安全连接，以及外部和内部基础设施，创造了可信区域的错觉，许多潜在的安全问题无法解决，越来越多的企业开始转向零信任网络访问来解决这个问题。

云计算、虚拟化、物联网(IoT)、BYOD随着远程办公的蓬勃发展，移动设备的数量急剧增加，网络的边界变得越来越模糊。不仅必须保护内部系统和设备，而且外部系统和设备还需要额外的防御层。因此，传统的以边界为中心的方法正在逐渐被淘汰。

零信任概念

2010年，ForresterResearch分析师JohnKindervag引入零信任(ZT)作为对传统网络边界保护方法的改进。它背后的基本思想是在公司网络内外没有安全区域或可信用户。以下是在企业生态系统中模拟模型的假设：

1. 企业内部网络不被视为信任区。

2. 企业人员以外的其他人可以安装和配置内部网络上的设备。

3. 任何用户和资源都不允许在默认情况下信任。

4. 并非所有企业数字资产都位于企业内部网络上。

5. 所有连接都可以拦截和修改。

6. 对所有设备和资产的安全状态进行监控，并验证是否符合既定策略。

需要注意的是，零信任本身只是一个概念，是建立企业基础设施安全和控制访问权限的模糊要求，可以以不同的方式实施。2018年，Forrester另一位专家ChaseCunningham提出零信任扩展(ZeroTrusteXtended,ZTX)零信任实施的效率可以从技术、结构和组织变化等方面进行评估。

此时，零信任网络访问（ZTNA）是几乎所有市场参与者都认可的模式。ZTNA实践中运用零信任的思想ZTNA之后，边界保护工具的范围将超过代理、网络访问控制等传统技术和身份验证机制(NAC)防火墙。此外，将继续监控工作站和节点是否符合已建立的安全策略。优异的可扩展性是ZTNA模型有别于传统模型的主要特征之一。

零信任网络访问

如前所述，零信任网络访问的目的是实现零信任的原则。换句话说，它是一种在网络边界内外提供最小资源范围内最可控访问的模型，以便用户能够完成其日常任务ZTNA基础设施的基本原则如下：

1. 受保护的区域分割。不要试图一次覆盖整个边界，而是将其划分为微边界（应用程序、设备、系统、网络等），针对每个微边界建立不同的安全策略、保护和控制。

2. 强制加密。必须加密所有通信和网络流量，防止恶意干扰。

3. 访问控制。扫描所有用户、系统、应用程序、设备和过程。

4. 各级最低特权原则。即使对用户或系统有害，也不会导致未经授权访问整个基础设施。

5. 完全控制。继续收集和分析所有基础设施组件的事件、行为和状态，确保对安全事件的早期响应。

ZTNA架构和组件

策略引擎(PE)战略管理员(PA)是ZTNA模型的基本逻辑元素。前者管理用户、设备、系统和应用程序的访问策略，后者控制资源访问，监控访问对象和主体的状态。

两者形成战略决策点(PDP)——检查用户或设备，以确定他们是否能进行下一步和战略执行点(PEP)——负责根据PA连接和切断企业资源的命令。这些组件构成了系统基础。用户与企业服务之间的良性屏障还包括下一代防火墙(NGFW)和云访问安全代理(CASB)。

ZTNA部署

部署ZTNA模型有两种常用的方法。它们的区别在于其他软件（代理）是否安装在访问公司资源的设备上，代理软件负责身份验证、建立连接、加密、状态监控等。

当有代理时，用户或设备使用预安装的代理来启动连接。该技术定义了软件的边界(SDP)模型有很多共同之处，SDP通过身份验证、基于身份的访问和动态生成的连接选项来控制访问。

这种ZTNA架构的主要优点是完全控制设备，禁止连接未经验证的设备。但从另一个角度来看，这对企业也不利，因为它有额外的限制。代理必须兼容不同的操作系统和平台版本，或者企业必须安装支持的操作系统版本，并及时安全更新设备。

另一种方法是提供基础ZTNA解决方案是云服务。在这种情况下，企业资源围绕云基础设施或数据中心创建了一个逻辑访问边界，以隐藏外部用户。管理员工访问、控制网络流量和扫描连接的系统是通过中介完成的，例如CASB。

ZTNA云服务的架构优势如下：

部署快捷简单。

成本相对较低。

集中管理。

可扩展性好。

因此，它消除了对连接设备的限制，并除了对连接设备和组织的限制BYOD原则或远程办公更方便。

主要缺点是缺乏对访问点的实时控制，降低了安全水平。此外，缺乏预装代理可能会增加DoS攻击概率。

ZTNA实践

将零信任原则完全集成到企业基础设施中，需要从零开始重建。这包括改变内部网络架构、设备、安全策略，甚至改变员工处理公司数字资产的方式。对于大多数大型组织来说，这是不可行的，过程非常耗时和昂贵。

另一种选择是基于当前的资源和功能来升级现有的基础设施。这似乎更合理和可行。在这种情况下成功实施ZTNA原则，必须首先对企业的信息安全战略进行微调，使其符合零信任的概念。

然后对IT分析基础设施组件，看看哪些已经使用的设备和技术可以成为ZTNA需要更换的基石有哪些？首先要落实以下机制:

识别所有用户和设备。

根据连接设备的状态、安全策略的合规性和漏洞扫描的结果，对连接设备进行访问控制。

包括数据中心在内的企业网络分段。

基于BYOD访问控制的原则。

各系统、设备和用户的身份验证和授权与企业网络托管服务和基础设施交互。

数据访问控制。

网络流量监控。

然后公司就可以开始实施了ZTNA该模型结合传统的保护企业边界的方法，保护云资源和远程连接。

全球ZTNA市场现状

虽然零信任的概念早在十几年前就出现了，但疫情带来的远程办公需求激增才是推动ZTNA发展的主要驱动力。

据Gartner到2023年，预计60%的公司将放弃使用VPN访问企业资源，使用零信任网络访问解决方案。PulseSecure根据2020年零信任访问报告，约72%的组织计划利用零信任降低信息安全风险。

ZTNA也是SASE关键组件，SASE是Gartner2019年提出的云安全综合方法除外ZTNA，还包括广域网的软件定义(SD-WAN)、安全Web网关(SWG)、云访问安全代理(CASB)和防火墙一起服务(FWaaS)。

零信任网络访问的概念是传统应当今环境的传统企业安全方法产生的。虽然零信任的概念越来越流行，但传统的信息安全方法仍然适用于一些企业，因为云技术和远程访问是不可接受的。例如，军事结构、政府和处理机密信息的公司。