什么是零信任网络访问（ZTNA）？

远程工作很少会因为一次“黑客攻击”而破坏网络安全。更常见的情况是，因为人们将远程访问视为一个简单的开关——只需连接一次设备，就可以随时进行移动操作。正是这种做法，使得单个被攻破的账户或设备能够成为整个网络的威胁。

零信任网络访问（ZTNA）已经改变了远程访问的安全性模型。它采用以用户和设备为中心的访问控制机制，从而为应用程序提供安全的访问权限，而不是单纯地允许对网络的访问。

什么是ZTNA呢？

ZTNA（零信任网络访问）是一种访问控制方式。它会在允许用户访问应用程序和数据之前，先验证用户的身份以及其设备的合法性。系统还会检查用户的身份信息以及其他相关信息，比如地理位置或风险信号等。最后，系统会对特定资源实施细粒度的访问控制措施。

与其因为某人“成功进入网络”而信任他们，ZTNA则将所有访问请求都视为全新的决策。对应用程序的访问权限会被严格限制，同时也会受到监控；如果情况发生变化，访问权限也可以被轻易撤销。

主要要点/核心内容

• 零信任网络访问机制认为，信任是随着每个请求而逐步获得的，而不是默认就授予的——无论这些请求是在网络内部还是外部。
• ZTNA限制了应用程序的访问权限（包括私有应用程序），从而避免了内部网络被暴露的风险。
• 这些政策可以考虑到用户和设备的情况、设备的状态以及所处的环境等因素，从而确保安全的访问权限。
• ZTNA能够减少攻击面，有助于防止设备或账户被攻破后导致的信息泄露。
• ZTNA通常单独使用，或者作为SASE/SSE解决方案的一部分来部署，这种解决方案能够整合多种安全访问服务。

ZTNA是如何工作的呢？

零信任网络访问采用零信任安全模型来确保远程访问的安全性。与传统的网络访问方式不同，零信任网络访问在验证用户的身份和设备的状态之后，才允许其访问应用程序和服务。此外，该方式还会针对特定会话实施相应的策略控制。

这就是ZTNA与许多VPN解决方案之间的实际差距。A VPN 通常，成功登录后，系统会授予用户网络级访问权限。这可能会导致用户使用超过其实际需要的资源。ZTNA专注于应用程序的访问问题，这有助于在出现问题时缩小问题的影响范围。

从根本上说，零信任网络访问技术结合了两种理念：一种是隐藏那些不需要被显示的内容；另一种则是验证那些请求访问权限的请求的真实性。

• 是应用级别的访问，而非网络范围内的访问。ZTNA允许用户访问特定的应用程序和服务，而不是像许多传统VPN设置那样，让用户直接进入内部网络。
• 由出站发起的访问。这些应用程序被隐藏在外部连接之后，因此无法直接从公共互联网上访问到它们。这样一来，攻击的切入点就被减少了。
• 通过授予最低限度的权限来实现最小权限原则 网络分段.这些政策和限制措施确保每个用户（以及每台设备）只能使用他们真正需要的应用程序。这样一来，如果某个账户遭到攻击，那么用户的操作风险也会降低。
• 通过持续的检查，实现用户与应用程序之间的控制。访问决策的重点在于用户身份和所处环境。这些决策可以在会话过程中进行重新评估，而无需依赖于一次性的“网络上的信任模型”。

零信任网络访问符合现代远程访问的需求，因为它假设人们、设备和网络始终处于不断变化的状态。而正是这种假设，是传统安全模型所难以应对的问题所在。

ZTNA带来的好处

ZTNA能够支持网络的扩展，同时避免给予用户统一的访问权限。此外，当应用程序分布在不同的数据中心、多个云环境以及SaaS平台上时，ZTNA还能简化安全的访问流程。

更好的网络可见性

ZTNA解决方案通过统一的控制点来推动对应用程序的访问，这样一来，日志记录就会更加简洁明了。人们不必再猜测是谁访问了哪些内容，而是可以轻松地追踪诸如访问请求、策略决策、应用程序登录以及会话变化等事件。

这种详细的级别有助于提升网络的可见性，因为你可以清楚地知道是哪位用户、哪种设备处于何种状态，以及哪些私人应用程序和策略允许了连接的建立。

2. 加强数据保护措施

当用户只能访问某个特定的应用程序时，造成的损害就会得到有效的控制。如果某个账户被入侵，攻击者并不会自动获得对网络流量的全面监控能力，也无法了解内部资源的详细信息。

ZTNA解决方案还使得将单个访问点转变为多个访问点变得更加困难。细粒度的访问控制与分段功能能够有效减少横向移动的可能性，从而即使在出现意外情况的情况下，也能有效保护敏感系统。

3. 减轻远程员工所面临的风险

远程访问会迅速扩大攻击的渠道：家庭Wi-Fi网络、酒店的网络、个人设备、过时的补丁，以及被重复使用的密码等，都是潜在的攻击目标。传统的安全模型通常认为，一旦隧道建立起来之后，这种混合方式就相当于一种“可信连接”。

零信任网络访问通过在进行访问之前先检查用户和设备，然后将访问权限与设备和相关策略相关联来降低风险。如果设备未能通过姿态检查（或者某些信号显示异常），那么零信任网络访问可以立即拒绝访问，或者将访问权限限制在特定应用程序上。

4. 时间效率高的自动化流程

ZTNA解决方案依赖于可重复执行的策略决策：谁可以访问什么内容，从哪些设备来访问，以及在何种条件下进行访问。一旦这些规则被设定好，访问控制就会变得更加一致，且不需要过多的手动操作。

这种一致性减少了每天需要处理的重复性任务，比如“能否打开这个端口？”或“能否添加这条网络路由？”IT团队可以把更多时间用于完善相关政策和审查那些重要的事件。

ZTNA的主要应用场景

零信任网络访问功能在需要安全访问网络的同时，不会暴露网络的安全性。

限制远程访问权限

如果您正在考虑如何平衡在家工作与企业网络安全之间的关系，那么ZTNA可能会是一个不错的解决方案。零信任策略允许访问特定的应用程序，同时不会让员工在内部企业网络中拥有过多的自由操作权限。

这是一种效率更高的解决方案，不会占用内部带宽资源。用户可以直接连接到资源被存储的位置。此外，除非授权用户通过了身份验证，否则应用程序的访问会被默认拒绝。

2. 比VPN和MPLS更优的替代方案

在商业环境中，几乎没有哪种技术能够实现有效的封闭网络连接。例如，多协议标签交换技术虽然可以提供可预测的网络连接性，但通常会伴随着较高的成本和复杂的操作难度。而虚拟专用网络则相对便宜一些，不过许多情况下，这种技术会占用更多的带宽来处理回传流量，同时也会增加网络的复杂性。

ZTNA通常被视为访问各种应用程序的桥梁：它能够为用户提供对私有应用程序和内部系统的安全访问，同时不会让网络上的其他设备获得过多的访问权限。对于许多团队来说，这意味着他们没有太多理由去将VPN的覆盖范围扩展到那些本不应覆盖的区域。

3. 内部网络隔离

在许多环境中，远程访问所涉及的潜在风险远远超出了实际需求，因为维护网络分段机制是非常困难的。这样一来，一个被攻破的设备就变成了一个用于横向移动攻击的“跳板”。

零信任网络访问遵循“最小权限”原则，它通过针对每个用户、每台设备以及每种情境来限制对应用程序的访问。如果数据泄露是从某个账户开始的，那么零信任网络访问可以帮助防止这种漏洞在内部网络中扩散。

ZTNA的类型

ZTNA解决方案可以根据您需要保护的以及需要连接的资源，来选择合适的访问路径。

用于访问管理的ZTNA

这是最常见的模式：经过授权的用户可以通过身份验证、设备评估以及相关策略来确保对应用程序的安全访问。这种访问控制方式具有高度的灵活性，用户只能访问特定的私有应用程序或服务，而不是整个网络。

2. ZTNA用于资源保护

一些团队将零信任网络访问的概念扩展到工作负载之间的通信方面。这些策略限制了哪些服务可以与其他服务进行通信，从而有助于限制工作负载、环境或不同部分之间的横向传播。

3. ZTNA，用于终端安全保护

在混合式环境以及自带设备环境中，设备的状态信息与用户身份信息同样重要。ZTNA可以利用设备的健康状况、合规性状态以及风险信息来决定是否允许访问某些应用程序，或者是否需要进行更高级别的身份验证，甚至完全阻止用户的访问。

ZTNA 2.0

“ZTNA 2.0”是许多供应商用来描述其零信任网络访问功能的标签。实际上，这意味着更严格的持续监控、更丰富的上下文信息，以及与安全访问服务之间的更深入的集成。

在更严格的“2.0式”部署中，访问控制决策并不止于登录过程。系统会在会话期间持续监控各种信号，并且能够在风险发生变化时迅速调整访问权限。尤其是当ZTNA与能够监控和控制网络流量的安全服务协同运行时，这种灵活性就更加明显了。

ZTNA 1.0与2.0的区别

零信任网络访问的提供方式已经发生了演变。可以将其分为“早期的重点领域”和“扩展后的重点领域”两种概念来理解，因为具体的功能会因不同的供应商而有所差异。

ZTNA 1.0（典型应用场景）

ZTNA 2.0（典型应用场景）

如果您要评估“ZTNA 2.0”，那么请重点关注该产品所实现的以下功能：持续的监控、设备状态检测、完善的策略体系，以及它如何限制攻击面和横向移动。

如何实施ZTNA？

ZTNA可以通过在终端设备上使用的软件、与应用程序相连接的组件，或者结合这两种方式来实现。具体选择哪种方式取决于你的环境以及你需要保护的内容。