什麼是零信任網路存取 (ZTNA)?

零信任模式描述了「絕不信任,永遠驗證」的安全原則。零信任網路存取 (ZTNA) 是一種在企業存取點上實施此安全模型的方法。實際上,這是基於最小特權原則 (PoLP),即使用者只能存取其日常工作所需的資源。

Forrester Wave 零信任報告 ZTNA解決方案簡介

什麼是零信任網路存取 (ZTNA)?

ZTNA 是如何運作的?

零信任旨在消除既有的信任關係,同時又不損害使用者體驗或生產力。

它通過允許使用者僅存取其角色需求的資源,且所有存取要求都經過嚴格和重複驗證。最低特權原則 (PoLP) 是 ZTNA 的核心:使用者的存取權限只授予完成工作所需的權限。

例如銷售部門的遠端使用者可能被授予 Salesforce 中客戶資料的唯讀權限,但無法與 GitHub 上的程式碼庫互動。

通用 PoLP 對開發營運人員則要求相反的配置。

若要在整個組織中簡化這項流程,就必須徹底瞭解每個帳戶的需求。這項原則同樣適用於非人力資源,例如:

  • 系統
  • Applications
  • 裝置
  • 流程

僅為這些資源指派其授權活動所需的權限,可以有效地將存取權降至最低並加以控制。這也是 ZTNA 和 VPN 之間的差異:

  • VPN只需在企業 VPN 伺服器與裝置上用戶端之間建立加密隧道,而無需考慮底層帳戶行為。
  • ZTNA 在授予單一資源的存取權之前,會考慮裝置的安全狀態

這也是不同之處 - ZTNA 並非授予對整個連線網路的存取權,而是只提供對所要求資源的隔離存取權。

如何實現零信任網路訪問

從 CISO 的角度來看,在高度安全驗證的同時,確保維持客戶和使用者體驗至關重要。ZTNA 安全的最終目標是對每個存取要求進行仔細評估,以符合既定的存取原則;這應該檢查下列因素:

 

  • 使用者憑證的目前狀態
  • 裝置狀態是否符合公司的安全標準。
  • 所要求的特定應用程式或服務

步驟 1:瞭解每個人的角色

零信任要求您知道誰在存取什麼。任何零信任實施的第一步都是著重於建立對構成企業網路的使用者、裝置和工作負載的清晰認知

為達成這項目標,許多組織會選擇企業身分識別供應商。 

這使所有員工、客戶和承包商能夠納入安全生態系統,並進行個別記錄。也為執行驗證的一致方法奠定了基礎。雖然這為使用者提供了精細化的可見性,但無法針對透過網路進行通訊的所有服務提供清單。

這可以透過 網路掃描 – 無論是內部或第三方資產管理工具來實現。有了這種精細的程度,就有可能識別您的攻擊面。在接下來的步驟中,請確保您優先處理最有價值的數位資產。

下方的 DAAS 方法將其分為四個步驟:

  1. 資料:哪些內容需要保護?
  2. 應用程式:哪些應用程式會處理敏感資訊?
  3. 資產:您最重要的資產是什麼?
  4. 服務: 惡意行為者可能會針對哪些服務來擾亂正常的 IT 作業?

第 2 步:利用安全的網路控制

零信任框架僅根據 PoLP 提供使用者存取權限。其他所有使用者基本上都隔絕在他們無權存取的整個網路範圍之外。

那麼,如何切斷所有不必要的輸入存取權限? 

Check Point SASE achieves this by establishing a secure gateway: all access requests are filtered via this gateway, which first establishes the role of the user and the associated resources they have access to. All unauthorized devices are automatically prevented from gaining access, and the individual nature of each connection means that no device has visibility into other ongoing connections.

實施這種安全連線通訊協定的方式,會因所保護的應用程式而略有不同。有兩種主要的應用程式類型:

  • 自託管。SASE 閘道器的零信任通道可以在應用程式和防火牆的政策層之間建立。
  • 軟體即服務。軟體即服務的存取可以透過 IP 位址 白名單來調整:這表示您的軟體即服務解決方案只能接受來自經驗證的 SASE 閘道器的要求。

第 3 步:實施 NGFW 防護

建立了安全的存取方式後,就該確定誰可以存取哪些內容。

無論是自託管還是基於軟體即服務,所有網路要求都透過防火牆進行路由。NGFW 可以採用 HTTPS 檢查和 TLS 解密來檢查每個資料封包。除此之外,狀態偵測允許在授予存取權限前檢查使用者和裝置的行為。

有了這些工具,就可以實現 ZTNA!

接下來,持續進行反覆調整至關重要:密切監控防火牆記錄,有助於判斷存取原則是否取得良好平衡。外向型的威脅情資鏡頭可以進一步精進,但這已經成為日益嚴苛的待辦事項。

這就是為什麼 安全存取服務邊緣 (SASE) 解決方案可能是實施 ZTNA 並在此基礎上創新的最高效方式。

ZTNA 的好處

ZTNA 使組織能夠在其網路生態系統中實施零信任安全模型。這可以應用於許多使用案例,並改善組織的安全狀態。

  • 遠端存取資安防護

在 COVID-19 疫情之後,大多數組織都轉向大部分或完全遠端的員工。 許多公司正在使用虛擬私人網路(VPN)來支援這一點。然而,VPN 有許多限制,包括可擴展性和缺乏整合安全性。

VPN 的最大問題之一是它們授予經過身份驗證的使用者對網路的完全存取權限,這增加了公司面臨網路威脅的風險。ZTNA 作為軟體定義廣域網路或安全存取服務邊緣 ( SASE ) 解決方案的一部分實施,能夠將 ZTNA 整合到遠端存取解決方案中,從而減少遠端工作人員對網路的存取他們需要工作。

  • 安全雲端存取

大多數組織都在擁抱雲端運算,許多企業擁有多個雲端平台。為了減少攻擊面,組織需要限制對這些基於雲端的資源的存取。

ZTNA 使組織能夠根據業務需求限制對其雲端環境和應用程式的存取。每個使用者和應用程式都可以在 ZTNA 解決方案中指派一個角色,並具有與組織的基於雲端的基礎架構相關的適當權利和權限。

  • 最大限度地降低賬戶入侵風險

帳戶入侵是網絡罪犯的共同目標。 攻擊者會嘗試竊取或猜測使用者的帳戶憑證,並使用它們以組織系統的使用者身份驗證。 這為攻擊者提供與合法使用者相同的存取層級。

實作 ZTNA 有助於最大程度地減少此等級的存取權,以及攻擊者使用受入侵的帳戶可能造成的損害。 攻擊者在組織生態系統橫向移動的能力受到指派給遭入侵的使用者帳戶的權限和權限所限制。

Choose Full-Enterprise Zero Trust with Check Point SASE

您的網路不是唯一需要遵守零信任原則的表面。

通訊管道和端點都需要持續、不間斷的保護 – 而零信任原則適用於所有管道和端點。

Check Point’s Check Point SASE goes one step further with a full-mesh network architecture that provides zero trust protection across every access point, for every user. Identity-centric security policies combine the real-term resource requirements of every team, with continuous verification to identify and stop suspicious behavior.

Discover how Check Point SASE grants zero-trust protection, in-depth reporting, and high performance with a demo today.