傳統(tǒng)的基于邊界的網(wǎng)絡(luò)保護(hù)將普通用戶和特權(quán)用戶、不安全連接和安全連接，以及外部和內(nèi)部基礎(chǔ)設(shè)施部分結(jié)合在一起，創(chuàng)建了一個(gè)可信區(qū)域的假象，很多潛在的安全問題無法解決，越來越多的企業(yè)開始轉(zhuǎn)向零信任網(wǎng)絡(luò)訪問來解決這個(gè)問題。

[[431649]]

隨著云計(jì)算、虛擬化、物聯(lián)網(wǎng) (IoT)、BYOD概念以及遠(yuǎn)程辦公的蓬勃發(fā)展，移動(dòng)設(shè)備數(shù)量劇增，網(wǎng)絡(luò)的邊界正變得越來越模糊。不僅內(nèi)部系統(tǒng)和設(shè)備必須受到保護(hù)，外部系統(tǒng)和設(shè)備也需要額外的防御層。因此，傳統(tǒng)的以邊界為中心的方法正逐漸被淘汰。

零信任概念

2010 年，F(xiàn)orrester Research 分析師 John Kindervag 引入了零信任 (ZT) 的概念，作為對(duì)傳統(tǒng)網(wǎng)絡(luò)邊界保護(hù)方法的改進(jìn)。它背后的基本思想是，在公司網(wǎng)絡(luò)內(nèi)外部都不設(shè)任何安全區(qū)域或可信用戶。

以下是在企業(yè)生態(tài)系統(tǒng)中模擬該模型的假設(shè)：

• 企業(yè)內(nèi)部網(wǎng)絡(luò)不被視為受信任區(qū)域。
• 內(nèi)部網(wǎng)絡(luò)上的設(shè)備可以由企業(yè)人員以外的其他人安裝和配置。
• 默認(rèn)情況下，不允許信任任何用戶和資源。
• 并非所有企業(yè)數(shù)字資產(chǎn)都位于企業(yè)內(nèi)部網(wǎng)絡(luò)上。
• 所有的連接都可以被攔截和修改。
• 必須監(jiān)控所有設(shè)備和資產(chǎn)的安全狀態(tài)，并驗(yàn)證是否符合既定策略。

需要注意的是，零信任本身只是一個(gè)概念，是一組用于構(gòu)建企業(yè)基礎(chǔ)設(shè)施安全和控制訪問權(quán)限的模糊要求，其可以以不同的方式實(shí)施。2018 年，F(xiàn)orrester的另一位專家 Chase Cunningham 提出了零信任擴(kuò)展 (Zero Trust eXtended, ZTX) 方法，可以從技術(shù)、結(jié)構(gòu)和組織變化方面評(píng)估零信任實(shí)施的效率。

在這一點(diǎn)上，零信任網(wǎng)絡(luò)訪問(ZTNA)是幾乎所有市場參與者都認(rèn)可的模式。ZTNA旨在將零信任的思想應(yīng)用于實(shí)踐。部署 ZTNA 后，邊界保護(hù)工具的范圍將超越傳統(tǒng)技術(shù)和身份驗(yàn)證機(jī)制，例如代理、網(wǎng)絡(luò)訪問控制 (NAC) 和防火墻。此外，工作站和節(jié)點(diǎn)是否符合已建立的安全策略將受到持續(xù)監(jiān)控。出色的可擴(kuò)展性是 ZTNA 模型有別于傳統(tǒng)模型的主要特征之一。

零信任網(wǎng)絡(luò)訪問

如前所述，零信任網(wǎng)絡(luò)訪問的目的是實(shí)現(xiàn)零信任原則。

也就是說，它是一種模型，用于在網(wǎng)絡(luò)邊界內(nèi)外提供對(duì)最小資源范圍內(nèi)的最可控訪問，以便用戶可以完成其日常任務(wù)。

基于 ZTNA 的基礎(chǔ)設(shè)施的基本原理如下：

• 受保護(hù)的區(qū)域分割。不要試圖一次覆蓋整個(gè)邊界，而是將其劃分為微邊界(應(yīng)用程序、設(shè)備、系統(tǒng)、網(wǎng)絡(luò)等)，針對(duì)每個(gè)微邊界建立不同的安全策略、保護(hù)和控制。
• 強(qiáng)制加密。所有通信和網(wǎng)絡(luò)流量都必須加密，防止惡意干擾。
• 訪問控制。所有用戶、系統(tǒng)、應(yīng)用、設(shè)備和進(jìn)程每次連接到任何受保護(hù)資源時(shí)都必須進(jìn)行掃描。
• 各級(jí)最低特權(quán)原則。僅授予最低權(quán)限，即使對(duì)用戶或系統(tǒng)有危害也不會(huì)導(dǎo)致對(duì)整個(gè)基礎(chǔ)設(shè)施的未授權(quán)訪問。
• 完全控制。持續(xù)收集和分析所有基礎(chǔ)設(shè)施組件的事件、行為和狀態(tài)，確保對(duì)安全事件的前期響應(yīng)。

ZTNA 架構(gòu)和組件

策略引擎 (PE) 和策略管理員 (PA) 是 ZTNA 模型的基本邏輯元素。前者在用戶、設(shè)備、系統(tǒng)和應(yīng)用四個(gè)層面管理訪問策略，后者應(yīng)用分配的策略，控制對(duì)資源的訪問，并監(jiān)控訪問對(duì)象和主體的狀態(tài)。

兩者形成策略決策點(diǎn) (PDP)——檢查用戶或設(shè)備以確定他們是否可以進(jìn)行下一步，策略執(zhí)行點(diǎn) (PEP)——負(fù)責(zé)根據(jù)PA的命令連接和斷開企業(yè)資源。這些組件構(gòu)成了系統(tǒng)基礎(chǔ)。用戶和企業(yè)服務(wù)之間的良性屏障還包括下一代防火墻 (NGFW) 和云訪問安全代理 (CASB)。

ZTNA部署

部署 ZTNA 模型有兩種常用方法。它們的不同之處在于訪問公司資源的設(shè)備上是否安裝了其他軟件(代理)，由代理軟件負(fù)責(zé)身份驗(yàn)證、建立連接、加密、狀態(tài)監(jiān)控等。

在有代理的情況下，用戶或設(shè)備使用預(yù)先安裝的代理啟動(dòng)連接。這種技術(shù)與軟件定義邊界 (SDP) 模型有很多共同之處，SDP旨在通過身份驗(yàn)證、基于身份的訪問和動(dòng)態(tài)生成的連接選項(xiàng)來控制訪問。

這種 ZTNA 架構(gòu)的主要優(yōu)勢包括對(duì)設(shè)備的完全控制以及禁止連接未經(jīng)驗(yàn)證的設(shè)備。但從另一個(gè)角度來看，這對(duì)企業(yè)來說也是不利的，因?yàn)樗┘恿祟~外的限制。代理必須兼容不同的操作系統(tǒng)和平臺(tái)版本，或者企業(yè)必須在設(shè)備上安裝支持的操作系統(tǒng)版本并及時(shí)進(jìn)行安全更新。

另一種方法是提供基于 ZTNA 的解決方案作為云服務(wù)。在這種情況下，圍繞云基礎(chǔ)設(shè)施或數(shù)據(jù)中心中的企業(yè)資源創(chuàng)建了一個(gè)邏輯訪問邊界，以便它們對(duì)外部用戶隱藏。管理員工訪問、控制網(wǎng)絡(luò)流量和掃描連接的系統(tǒng)都是通過中介完成的，例如 CASB。

ZTNA架構(gòu)作為云服務(wù)的優(yōu)勢如下：

• 快速、簡單的部署。
• 成本相對(duì)較低。
• 集中管理。
• 良好的可擴(kuò)展性。
• 無需安裝額外的軟件——因此，這消除了對(duì)連接設(shè)備的限制，并且在組織 BYOD 原則或遠(yuǎn)程辦公時(shí)更方便。

主要缺點(diǎn)是缺乏對(duì)訪問點(diǎn)的實(shí)時(shí)控制，這降低了安全級(jí)別。此外，缺少預(yù)裝代理可能會(huì)增加DoS攻擊的幾率。

ZTNA實(shí)踐

將零信任原則完全集成到企業(yè)基礎(chǔ)設(shè)施中需要從頭開始重建。這包括改變內(nèi)部網(wǎng)絡(luò)架構(gòu)、設(shè)備、安全策略，甚至可能改變員工處理公司數(shù)字資產(chǎn)的方式。對(duì)于大多數(shù)大型組織而言，這樣是行不通的，過程非常耗時(shí)且成本高昂。

另一種選擇是基于當(dāng)前資源和功能升級(jí)現(xiàn)有的基礎(chǔ)設(shè)施。這似乎更合理，也更可行。為了在這種情況下成功地實(shí)施ZTNA原則，必須首先對(duì)企業(yè)的信息安全戰(zhàn)略進(jìn)行微調(diào)，使其符合零信任的概念。

然后對(duì) IT 基礎(chǔ)設(shè)施組件進(jìn)行分析，看看哪些已經(jīng)在使用的設(shè)備和技術(shù)可以成為 ZTNA 的基石，哪些需要更換。

首先需要落實(shí)以下機(jī)制：

• 識(shí)別所有用戶和設(shè)備。
• 根據(jù)連接設(shè)備的狀態(tài)、所采用的安全策略的合規(guī)性以及漏洞掃描的結(jié)果，對(duì)連接設(shè)備進(jìn)行訪問控制。
• 企業(yè)網(wǎng)絡(luò)的分段，包括數(shù)據(jù)中心。
• 基于 BYOD 原則的訪問控制。
• 與企業(yè)網(wǎng)絡(luò)托管服務(wù)和基礎(chǔ)設(shè)施交互的每個(gè)系統(tǒng)、設(shè)備和用戶的身份驗(yàn)證和授權(quán)。
• 數(shù)據(jù)訪問控制。
• 網(wǎng)絡(luò)流量監(jiān)控。

接著公司就可以開始實(shí)施 ZTNA 模型，通過將其與保護(hù)企業(yè)邊界的傳統(tǒng)方法相結(jié)合來保護(hù)云資源和遠(yuǎn)程連接。

全球 ZTNA 市場現(xiàn)狀

盡管零信任的概念早在十多年前就出現(xiàn)了，但疫情帶來的遠(yuǎn)程辦公需求激增才是促使ZTNA發(fā)展的主要驅(qū)動(dòng)力。

據(jù) Gartner 稱，到 2023 年，預(yù)計(jì) 60% 的公司將放棄使用虛擬專用網(wǎng)訪問企業(yè)資源，轉(zhuǎn)而使用零信任網(wǎng)絡(luò)訪問解決方案。Pulse Secure 在其 2020 年零信任訪問報(bào)告中表示，大約 72% 的組織計(jì)劃利用零信任來降低信息安全風(fēng)險(xiǎn)。

ZTNA也是SASE的關(guān)鍵組件，SASE是Gartner 在 2019 年提出的云安全綜合方法。除了ZTNA，還包括軟件定義廣域網(wǎng) (SD-WAN)、安全 Web 網(wǎng)關(guān)(SWG)、云訪問安全代理 (CASB) 和防火墻即服務(wù) (FWaaS) 。

零信任網(wǎng)絡(luò)訪問的概念是傳統(tǒng)企業(yè)安全方法適應(yīng)當(dāng)今環(huán)境而產(chǎn)生的。盡管零信任概念越來越受歡迎，但對(duì)于某些企業(yè)而言，傳統(tǒng)的信息安全方法仍然適用，因?yàn)樵萍夹g(shù)和遠(yuǎn)程訪問對(duì)他們來說都是不可接受的。例如，這軍事結(jié)構(gòu)、政府以及處理機(jī)密信息的公司。

原文：Zooming Into Zero Trust Network Access (ZTNA) Philosophy