什么是通用的ZTNA呢？

网络威胁是现代企业始终面临的挑战，而网络访问权限则是一种严重的安全漏洞。零信任安全工具通过验证每一个请求来保护网络安全。Universal ZTNA则更进一步——确保无论用户身处何地，都能使用ZTNA服务。

本文将解释“通用零信任”实施方式的工作原理，探讨其关键组成部分，并提供一个简要的实施步骤清单，以帮助您保护自己的网络安全。

通用的ZTNA定义

Universal ZTNA是一种网络安全解决方案。将零信任网络访问原则应用于所有设备和用户。无论位于何处，也不管网络架构如何，Universal ZTNA都能在允许用户访问或批准用户的操作之前，验证用户的身份。它能够确保远程访问和本地连接的安全性，从而降低未经授权的网络访问风险。

ZTNA与通用型ZTNA的区别

Universal ZTNA是一种基于零信任原则所开发的技术。根据ZTNA的理念，安全策略必须遵循以下原则：持续验证用户的身份真实性为了确保能够安全地访问那些至关重要的资源，我们的指导原则就是“不信任任何人，必须对所有信息进行核实”。

访问管理工具在用户访问应用程序和登录门户时，会要求用户提供身份验证信息。此外，这些工具还可能要求对文件进行验证，或者在不活跃期间禁止访问网络资源。这些措施有助于减少恶意攻击者可利用的攻击面。

ZTNA

通用型ZTNA

范围/规模

设备支持情况

覆盖范围

管理员们的努力

总结/结论

Universal ZTNA能够将验证原则应用到所有用户和设备上。这解决了传统ZTNA所面临的许多问题。

例如，一种ZTNA解决方案可以允许某些类型的设备进行远程访问，同时阻止其他设备的访问。安全团队可能会发现与关键应用程序或网络架构相关的兼容性问题。

通用零信任网络访问解决方案能够解决这些问题。用户可以在任何地方进行连接，无论使用的是何种设备。这样，安全管理的复杂性就大大降低了。安全人员可以专注于验证用户的身份，而无需担心设备的兼容性问题。

通用ZTNA带来的好处

与传统的ZTNA解决方案相比，Universal ZTNA具有多种优势。这些优势非常适合那些采用混合式或远程工作模式的公司。选择Universal ZTNA的优势包括：

在所有终端设备上都能得到一致的防护。

零信任网络访问解决方案可能会为本地和云端的访问应用不同的安全策略。来自不同地点的用户可能会面临不同级别的验证和访问控制措施。

通用型ZTNA采用一致性的安全措施对于所有连接请求来说，都是如此。每个用户都会遇到相同的协议，这确保了一致性，同时也避免了潜在的漏洞。同样的安全政策在各地都适用。

从传统的VPN服务轻松过渡过来

Universal ZTNA实际上是用于实现安全远程访问的工具的天然继承者。比如虚拟专用网络（VPN）。虽然VPN可以加密通信数据，但如果攻击者获得了登录凭据，那么他们仍然有可能获得未经授权的访问权限。

用户可以使用基于软件的零信任网络访问方式来替代VPN的覆盖方式，同时还可以将访问控制功能与SD-WAN实现相结合。这样，所有网络用户都能获得安全的访问权限。

针对远程连接环境而设计的高效安全解决方案

Universal ZTNA不需要通过本地数据中心进行数据传输。远程用户可以直接连接到他们所需的资源。相关工具能够高效且可靠地验证用户的身份，从而提升用户体验，同时不会影响到安全性。

此外，用户无需为各种服务或应用程序而处理大量的登录凭证。每次连接网络时，只需进行一次验证即可。

简单的扩展性和成本效益

这种通用的ZTNA解决方案能够随着用户群体的扩大或缩小而平滑地扩展。企业可以为新用户添加许可证，并根据最小权限原则来配置用户的权限。用户无需为不同的网络环境购买不同的ZTNA解决方案。整个系统都遵循零信任原则，适用于所有网络资产。

通用ZTNA的关键组成部分

那么，究竟有哪些因素使得通用型零信任网络访问与传统零信任网络访问有所不同呢？要被认定为“通用型”解决方案，ZTNA解决方案必须包含以下组件：

安全的交通检查

许多公司依赖防火墙的穿透功能来检测进入网络的流量，从而发现安全威胁。不过，这种方法会让网络变得脆弱，因为入侵行为可能在检测到威胁之前就发生了，而此时根本无法采取任何应对措施。

通用零信任网络访问采用了不同的方法。零信任工具终止与网站或云应用程序的连接。他们使用……内联代理在流量到达网络设备之前对其进行检查，同时解密这些流量，以便发现潜在的威胁。

情境化访问管理

通用ZTNA系统会根据各种访问请求来进行评估。情境因素访问管理工具会创建一个受保护的入口点，该入口点会检查进入网络的用户的身份凭证。这些凭证包括用户的地理位置、设备状态、用户名和密码等信息，以及用户希望批准的操作类型。

访问管理工具利用丰富的上下文信息来判断用户是否真的符合其声称的身份，以及他们的请求是否符合其用户权限。

情境验证还有另一个优点。适应性它会对外部环境的变化做出反应。一个典型的例子是，当同一用户尝试通过多种设备登录时。在这种情况下，自适应控制机制能够检测到这种变化，并请求进行额外的验证步骤。

最小化攻击面

通用型零信任解决方案应用/使用 最小特权原则 所有用户的请求都将被处理。如果用户有正当理由的话，他们可以访问这些资源。不过，未经许可的情况下，所有其他资源的访问都会被阻止。

ZTNA有效地分割了网络架构。用户可以直接连接到他们需要的应用程序，而不是整个网络。这种系统限制了恶意软件或黑客的横向移动，从而切断了他们入侵的途径。

此外，零信任网络访问技术也非常重要。将网络资产隐藏在外部互联网之外。在外部组织的环境中，恶意行为者要扫描出那些存在安全漏洞的终端设备，或者绘制出网络结构图以准备发动攻击，会变得更加困难。

如何实施一种通用的ZTNA解决方案

为小型、中型以及大型企业实施通用的ZTNA系统，是一种既实用又可行的选择。具体的实施过程会因不同的环境而有所差异，但通常包括以下几个步骤：

1. 定义并映射网络资产首先，需要明确需要保护的资产类型，包括云应用程序、数据库以及本地资源。
2. 实施多因素认证和身份管理功能。通过强制实施多因素认证来加强网络访问门户的安全性。选择合适的身份提供者来管理访问权限以及用户的各项权限设置。
3. 分配关键资源创建包含易受攻击资源的安全区域。根据“最小权限”原则，限制各个微区域之间的横向移动，同时采用基于角色的访问控制机制来实施权限管理。
4. 请选择一家具有通用性的零信任网络接入服务提供商。通用的ZTNA解决方案适用于在线流量检查、上下文控制以及用户分组等功能。这些解决方案提供了集中式的云原生管理界面，从而方便用户对ZTNA系统进行管理和配置修改。请选择能够满足您安全需求的可靠合作伙伴。
5. 培训员工如何使用通用的ZTNA网关。用户可能熟悉传统的访问系统，包括VPN技术。应教育员工遵守安全政策，确保访问过程的安全性。
6. 实施监控和安全审计措施请设置实时事件和活动日志。定期进行审计，以确保您的解决方案符合ZTNA的要求。

通用型ZTNA为现代企业带来了许多好处。那些依赖远程访问和混合办公模式的公司，可以平衡网络访问与网络安全之间的关系。通用型ZTNA能够解决传统ZTNA和VPN解决方案所面临的诸多安全与性能问题，从而让企业能够在不同的地点和环境中实现灵活的网络访问。