销售中的一句老话是“一个困惑的头脑无能为力”。在零信任安全模型的情况下,这种Truism肯定适用。尽管很多人谈论零信任,但实际上,较小的百分比实际上在做任何事情。由于攻击的数量越来越多,从信任网络上的所有事物转向不信任任何东西(零信任)的哲学转变是有道理的。零信任访问(ZTA)基于以下假设,即在网络外部和内部的威胁都是永远存在的现实,并且可能已经妥协了每个用户和设备。它还将访问网络或应用程序访问的所有尝试视为威胁。
在零信托上进行思想和行动之间差异的部分原因是因为它经常与云应用程序以及远程工作的人相关联。增加基于云从基础架构到软件的所有操作都提供了灵活性和敏捷性。问题在于,许多组织不仅在云中运行。用户不仅需要访问云应用程序,而且需要访问位于数据中心或分支位置的应用程序。2020欧洲杯预赛零信任的哲学不应该仅仅降级给现场工作的人。它也应该为校园的人们提供保护。
在来自世界任何地方的工作中,无论应用程序或用户的位置如何,用户都需要访问其所有应用程序。在所有操作环境中,尤其是在各地多个云。
当今的网络具有许多边缘分布,并试图将另一点解决方案融合到已经复杂的网络情况下,充其量是令人困惑的。这种困惑正是为什么如此多的组织在其零信任计划中缓慢移动甚至完全忽略了这一组件的原因。不幸的是,忽略安全问题绝不让他们走开。
零信托模型应无处不在。它没有采用零碎的方法,而是更加安全,并且本质上更容易实现零信任,以使用包含旨在集成和自动化在一起的产品的平台来实现零信任。如果该平台收敛网络和安全功能以创建安全驱动的网络解决方案,例如固定SD-WAN。而且,如果它是网络安全网格体系结构的一部分,它提供了统一的可见性,自动控制和协调的保护,这是在任何网络边缘都保持一致且安全的体验所需的。
从任何地方支持工作
安全地支持任何时间,几乎从任何地方工作的能力,意味着零信任网络访问(ZTNA)现在更重要。ZTNA扩展了传统的零信任访问权限,因此系统管理员不仅知道谁在网络上,而且甚至他们当前正在使用哪些应用程序。ZTNA是VPN远程访问的演变。它简化了安全的连接,无论用户或应用程序的位置如何,都可以无缝访问应用程序。
与VPN不同,VPN假设可以信任使用加密连接传递网络外围控件的任何东西,ZTNA采用相反的方法:没有任何用户或设备可以信任访问任何内容,直到否则证明。ZTNA应用程序访问策略和验证过程是否相同,无论用户在网络上还是关闭网络。默认情况下,假定网络上的用户比网络之外的用户更值得信赖。
所有的交易和使用都在不断受到监控和检查。与传统的另一个区别VPN是ZTNA将零值模型扩展到网络之外。它通过将应用程序隐藏在代理点后面的Internet上,进一步降低了攻击表面,从而消除了它们作为潜在目标。
在安装ZTNA的情况下,一旦用户提供了适当的访问凭据,例如多因素身份验证和端点验证并已连接,就可以将其授予最低特权访问权限。用户只能访问他们有效地执行工作所需的那些应用程序,而无需其他。
访问控制不会在访问点结束。ZTNA是根据身份而不是在网络中确保位置的,这使策略可以遵循应用程序和其他交易端到头。通过建立更大级别的访问控制,ZTNA是最终用户的更有效解决方案,并在需要的任何地方提供政策执行。
设置ZTNA
实施ZTNA有两种主要方法:由客户端发射和服务发动。有时称为端点发射的ZTNA,客户端发射的ZTNA模型使用设备上的代理来创建安全隧道。服务发射或“无客户端” ZTNA模型使用反向型体系结构。与客户端发射的ZTNA的最大区别在于,它不需要端点代理。客户端ZTNA使用浏览器插件来创建安全隧道并执行设备评估和姿势检查。
ZTNA经常被认为是“仅云”解决方案的原因是因为许多供应商仅实现无客户端ZTNA,这仅限于基于云的应用程序。由于应用程序的协议必须基于HTTP/HTTP,因此它将方法限制为Web应用程序和协议,例如Seafe Shell(SSH)或HTTP上的远程桌面协议(RDP)。尽管一些较新的供应商正在提供额外的协议支持,但该模型并不适合具有组合的公司混合云和本地应用程序。
从IT的角度来看,设置基于客户端的ZTNA提供了更好的可见性和对设备的控制,您可以在代理中进行应用程序防火墙。此外,如果检测到安全问题,则可以将文件发送到沙箱或隔离区。
到处都是无处不在的
零信任不会消失,它应该是提供本地和云中的任何完整安全性的一部分。无论他们在哪里,全面的零信托实施都需要覆盖所有事物和所有人。一旦成功实施,零值得的安全模型就可以更好地控制,改进的用户体验以及到处都有更强的安全性。
发现如何Fortinet的零信任访问框架使组织可以识别,验证和监视网络上和网络的用户和设备。