在技术上,新的闪亮事物几乎总是比您目前所做的事情更令人兴奋。实际上,在编程中,甚至还有一个首字母缩写词在这里未发明综合症“(NIHS),这是假设如果您不开发的趋势,那么解决方案就不会有任何好处。亲密的表亲是“让我们重新发明轮子”综合症,这涉及重做可以正常工作的东西,又有光泽物体综合征,这仅仅是因为它看起来很酷。
在网络安全方面,一些供应商中有一些NIH,这些供应商确信我们都需要重新开始实施零值网络访问(ZTNA)。他们建议您丢弃现有的建筑并实施他们闪亮的新事物。
尽管很容易假设它是解决访问问题的最佳方法,但首先检查您所有的选项可能会少得多(而且便宜)。对于ZTNA,问题是由零愿意的单词以不同的方式抛弃了零信任的事实。这是自上而下的概述。
- 零信任:在最高级别,零信任是指明确确认其身份和状态后仅信任用户或设备的理念。它专注于用户,设备和要访问的特定资源,利用控制区域和控制区域。
- 零信任体系结构:零信任体系结构策略是一种系统的方法,可以在验证后用明确的信任代替隐性信任。设置零值架构需要多种技术来解决用户,设备,网络和云资源保护。
- 零信托计划:倡议是包含零信任理念的特定项目,例如远程访问或从任何地方工作。还可以执行零信任计划以进行网络分割或微分析。
- 零信任技术:用于将零信任计划变成现实的特定产品和功能。例如,ZTNA是零信任技术。
许多供应商放大了该技术,而不是从您想在零信任体系结构或主动级别上做的事情开始。但是,要提出任何事情的明智策略,您应该查看自己的位置,想要的位置以及已经可以使用的资源。
您现在的网络中有防火墙,一些仅云的ZTNA供应商会让您相信这些防火墙是责任。但是他们不必是。如果防火墙是集成的下一代防火墙(NGFW)借助ZTNA执法,其角色可以扩展以控制所有人的所有访问。NGFW不仅像在传统的外围网络上充当进入或出口点那样,还成为整个扩展网络的控制机制,包括云和基于本地的应用程序。请注意,当我参考NGFW时,可以在硬件设备,虚拟机,甚至是作为云传递的FWAA的一部分中实现的。
防火墙不是敌人
从历史上看,传统的网络和安全是分开的。网络包括路由器,交换机和接入点。安全解决方案包括防病毒,入侵预防,网络和内容过滤,DNS安全性和沙箱解决方案。网络和安全性是由无法通过单个设备管理和控制的不同点产品组成的,因为没有一个设备具有处理性能需求和分析网络和安全性的处理能力。
一些云供应商将当今的NGFW等同于过去用于基于周边网络方法的旧防火墙。但是,如果您从NGFW开始作为网络和安全性的基础,则可以作为可见性和控制的中心点。而且,如果NGFW与其他集成产品共享基本联系,则可以将零信任计划置于适当的位置。
诀窍是确保您选择支持零信任的NGFW。对齐零值模型意味着实施至少访问策略,该策略使用户角色所需的最低网络访问级别,并删除任何访问或查看网络其他部分的能力。通过建立动态和颗粒状访问,组织可以不断监视信任级别并相应地适应安全策略。
颗粒控制也需要扩展到应用程序访问。ZTNA允许组织将零值模型扩展到网络之外。与传统的VPN隧道提供了对网络和应用程序无限制访问的传统隧道不同,ZTNA连接是按每次会话授予各个应用程序的。仅在验证设备和用户后才授予访问。由于位置不再是可靠的访问指标,因为它使用VPN,因此无论用户在网络上还是关闭网络,都将应用ZTNA策略。
到处都是ZTNA
仅云的ZTNA的问题在于,它与在办公室工作的人一起工作,连接到云和本地资源都无法正常工作。ZTNA应在任何地方应用,无论应用程序或用户的位置如何。仅云的ZTNA做得不好。借助基于防火墙的ZTNA,可以扩展到每个外形(本地和云传递),可以在所有操作环境(包括跨多个云)上使用一致的策略和控件来确保一切。从防火墙开始,生态系统中的其他ZT技术将包括一个支持ZTNA的客户端,微分段,身份验证和网络访问控制的策略控制。
有了正确的防火墙,您可能比您想象的要更接近将ZTNA计划变成现实。而且,如果您拥有超过600万个Fortigate NGFW中的一个,那么ZTNA是免费的。您要做的就是将其打开。
发现Fortinet的零信任访问框架允许组织在网络上和网络上识别,身份验证和监视用户和设备。