以下文章来源于网络安全观
全文约1.1万字阅读约30分钟
数字业务的现实是,它需要随时随地访问任何应用程序,而不管用户及其设备的位置如何。而ZTNA(零信任网络访问)恰恰使能了本不适合传统访问方法的数字业务转型场景。尤其是对于那些寻求更灵活、更具响应性的方式与数字业务生态系统、远程工作者、外部合作伙伴进行连接和协作的组织,ZTNA再适合不过。
ZTNA削弱了网络位置的优势地位,消除了过度的隐式信任,代之以显式的基于身份的信任。从某种意义上说,ZTNA创建了个性化的“虚拟边界”,该边界仅包含用户、设备、应用程序。ZTNA还规范了用户体验,消除了在与不在企业网络中所存在的访问差异。最关键的是,它还将横向移动的能力降到最低。
Gartner旗帜鲜明地建议:安全和风险管理领导人应试点ZTNA项目以作为SASE(安全访问服务边缘)战略的一部分,或迅速扩大远程访问。同时也指出:尽管VPN替换是ZTNA采用的一个常见驱动因素,但ZTNA很少能完全替换VPN。版指南延续了版市场指南中关于ZTNA产品的实现方式(端点启动和服务启动)和ZTNA产品市场的分类方式(即服务产品和独立产品)。
虽然Gartner报告一贯前瞻,但该指南也罗列了一些务实的做法,即在零信任架构还无法全面实现的情况下,如何使用现用技术提升安全性。这样的技术包括:传统VPN、DMZ、PAM、WAF、虚拟桌面、远程浏览器隔离、CDN、API网关。可参见本文“ZTNA备选方案”小节。
综合该指南中“市场建议”和“评估因素”章节内容,可以看出:为了构建一套基于零信任的完整身份访问安全体系,应聚合人员、设备、程序等主体的数字身份、认证因素和IT服务资源属性、环境属性、数据资源安全属性等数据,结合访问控制策略数据,形成统一身份数据视图;应面向云、大数据平台、应用系统的服务与资源,建立基于资源属性的数字身份统一授权管控策略,实现人机交互、系统间互访的统一授权管理,以及基于零信任的细颗粒度访问控制;应集成多因素身份认证(MFA),支撑高强度身份认证;应集成用户行为分析(UEBA),支撑对异常行为的发现与处置。这些都是不可或缺的要素。
本报告译自年6月份发布《Gartner零信任网络访问市场指南(版)》。虽然从名称上看,这只是一篇市场指南,但其中言简意赅地反映了零信任的诸多技术要点和趋势,值得技术专家了解和
