零信任網絡訪問 (ZTNA)是一種 IT 安全解決方案，可根據明確定義的訪問控制策略提供對組織應用程序、數據和服務的安全遠程訪問。ZTNA 與虛擬專用網絡的不同之處在于，它們僅授予對特定服務或應用程序的訪問權限，而虛擬專用網絡授予對整個網絡的訪問權限。隨著越來越多的用戶從家里或其他地方訪問資源，ZTNA 解決方案可以幫助消除其他安全遠程訪問技術和方法的差距。

ZTNA 是如何工作的？

在使用 ZTNA 時，只有在用戶通過 ZTNA 服務的身份驗證后，才能授予對特定應用程序或資源的訪問權限。一旦通過身份驗證，ZTNA 就會使用安全的加密隧道授予用戶對特定應用程序的訪問權限，該隧道通過將應用程序和服務與原本可見的 IP 地址屏蔽起來，提供額外的安全保護層。

通過這種方式，ZTNA 的行為非常類似于軟件定義邊界 (SDP)，依靠相同的“暗云”理念來防止用戶看到他們無權訪問的任何其他應用程序和服務。這也提供了針對橫向攻擊的保護，因為即使攻擊者獲得了訪問權限，他們也無法通過掃描來定位其他服務。

ZTNA 的用例是什么？

身份驗證和訪問 ——ZTNA 的主要用途是提供基于用戶身份的高度精細的訪問機制。一旦獲得授權，基于 IP 的虛擬專用網絡訪問可提供對網絡的廣泛訪問，而 ZTNA 則提供對特定應用程序和資源的有限、細粒度訪問。ZTNA 可以通過特定于位置或設備的訪問控制策略提供更高級別的安全性，這可以防止不需要或受損的設備訪問組織的資源。這種訪問可以與一些為員工擁有的設備提供相同訪問權限的虛擬專用網絡進行對比。授予本地管理員。

整體控制和可見性——由于 ZTNA 不會在身份驗證后檢查用戶流量，因此如果惡意員工將其訪問權限用于惡意目的，或者用戶的憑據丟失或被盜，則可能會出現問題。通過將 ZTNA 整合到安全訪問服務邊緣 ( SASE ) 解決方案中，組織可以受益于安全遠程訪問所需的安全性、可擴展性和網絡功能，以及防止數據丟失、惡意操作或受損的連接后監控用戶憑據。

ZTNA 的優勢

ZTNA 提供了一種連接用戶、應用程序和數據的方法，即使它們不駐留在組織的網絡上，這種情況在當今的多云環境中越來越普遍，基于微服務的應用程序可以駐留在多個云上以及前提。現代組織需要通過分布式用戶群隨時隨地從任何設備獲取其數字資產。

ZTNA 通過為關鍵業務應用程序提供精細的上下文感知訪問來滿足這一需求，而無需將其他服務暴露給可能的攻擊者。

ZTNA 模型由 Gartner 創造，旨在幫助消除對只需要非常有限訪問權限的雇主、承包商和其他用戶的過度信任。該模型表達了這樣一個概念，即在被證明可信之前，沒有任何東西是可信的，更重要的是，每當有關連接（位置、上下文、IP 地址等）的任何內容發生變化時，都必須重新驗證信任。

虛擬專用網絡和 ZTNA 有什么區別？

虛擬專用網絡和 ZTNA 之間有幾個不同之處。首先，虛擬專用網絡旨在提供網絡范圍的訪問，其中 ZTNA 授予對特定資源的訪問權限并需要經常重新驗證。

與 ZTNA 相比，虛擬專用網絡的一些缺點是：

資源利用率 ——隨著遠程用戶數量的增加，虛擬專用網絡上的負載可能會導致意外的高延遲，并且可能需要向虛擬專用網絡添加新資源以滿足不斷增長的需求或高峰使用時間。這也會使 IT 組織的人力緊張。

靈活性和敏捷性——虛擬專用網絡不提供 ZTNA 的粒度。此外，在需要連接到企業資源的所有最終用戶設備上安裝和配置虛擬專用網絡軟件可能具有挑戰性。相反，根據他們的直接業務需求添加或刪除安全策略和用戶授權要容易得多。ZTNA 中的 ABAC（基于屬性的訪問控制）和 RBAC（基于角色的訪問控制）簡化了這項任務。

粒度——一旦進入虛擬專用網絡邊界，用戶就可以訪問整個系統。ZTNA 采取相反的方法，根本不授予訪問權限，除非資產——應用程序、數據或服務——被專門授權給該用戶。與虛擬專用網絡相比，ZTNA 提供基于身份驗證的持續身份驗證。每個用戶和每個設備在被授予訪問特定應用程序、系統或其他資產之前都經過驗證和身份驗證。虛擬專用網絡和 ZTNA 可以相互結合使用，例如加強特別敏感網段的安全性，提供如果虛擬專用網絡受到威脅，則需要額外的安全層。

您如何實施 ZTNA？

ZTNA 實現有兩種方法，端點發起和服務發起。顧名思義，在端點發起的零信任網絡架構中，用戶從端點連接的設備發起對應用程序的訪問，類似于 SDP。安裝在設備上的代理與 ZTNA 控制器通信，后者提供身份驗證并連接到所需的服務。

相反，在服務發起的 ZTNA 中，連接由應用程序和用戶之間的代理發起。這需要一個輕量級的 ZTNA 連接器來放置在位于云提供商本地的業務應用程序的前面。一旦來自請求的應用程序的出站連接對用戶或其他應用程序進行身份驗證，流量將流經 ZTNA 服務提供商，從而將應用程序與通過代理的直接訪問隔離開來。此處的優勢是最終用戶設備上不需要代理，這使得它對于顧問或合作伙伴訪問的非托管或 BYOD 設備更具吸引力。

零信任網絡訪問還有兩種交付模式：獨立 ZTNA 或 ZTNA 即服務。以下是主要區別：

獨立 ZTNA 要求組織部署和管理 ZTNA 的所有元素，這些元素位于環境（云或數據中心）的邊緣，提供安全連接。盡管這非常適合不喜歡云的組織，但部署、管理和維護成為額外的負擔。

借助 ZTNA 作為云托管服務，組織可以利用云提供商的基礎架構進行從部署到策略執行的所有工作。在這種情況下，組織只需獲取用戶許可，在安全應用程序前部署連接器，并讓云提供商/ZTNA 供應商提供連接、容量和基礎設施。這簡化了管理和部署，云交付的 ZTNA 可以確保為所有用戶選擇最佳的流量路徑，以獲得最低的延遲。