ZTNA: Zero Trust Network Access

什麼是零信任網路存取(ZTNA)?

什麼是零信任網路存取(ZTNA)?

零信任網路存取(ZTNA),又稱為軟體定義邊界(SDP),是一種現代化的存取安全策略,適用於公司內部與外出行動用戶的應用程式與服務存取保護。ZTNA 的運作邏輯很簡單:在未明確允許的情況下,一律拒絕所有人與所有物的存取請求。這種方法透過微分段實現更嚴謹的網路安全與資料安全,當發生資安事件時,也能有效限制橫向移動的範圍。

傳統的 VPN 型網路解決方案中,只要用戶通過驗證,就可自動存取同一子網中的所有資源。僅靠密碼作為阻擋未授權用戶的最後防線。ZTNA 完全顛覆了這種舊有模式。用戶僅能「看見」根據公司安全政策所明確允許的特定應用程式與資源。

ZTNA 的優點

ZTNA 讓公司能將零信任安全策略套用至其網路環境。ZTNA 可應用於多種使用案例,協助強化公司的安全態勢:

  1. 實現微分段──ZTNA 允許公司將網路切分為更小的區塊,並針對每個區塊建立軟體定義的安全邊界。這種做法能降低攻擊面積,並防止橫向移動。
  2. 降低帳號外洩風險──ZTNA 能減少攻擊者透過帳號入侵所造成的損害。即使攻擊者成功入侵帳號,其存取權限仍受限,無法在網路中橫向移動或執行像是權限提升等敏感操作。
  3. 降低內部威脅風險──傳統安全解決方案無法有效識別或防範像是不法員工這類的內部威脅。零信任模型透過確保每位用戶僅擁有其角色所需的最小權限,有效限制內部威脅的潛在損害。ZTNA 也提供可見度,有助於追蹤惡意內部人員的行為。
  4. 隱蔽內部應用程式──ZTNA 讓應用程式不對公眾網際網路開放。這能協助公司防範資料外洩、勒索軟體,以及其他來自網際網路的威脅。
  5. 保護雲端存取──ZTNA 讓公司能根據業務需求,限制對其應用程式與雲端環境的存取權限。在 ZTNA 模型中,每個實體(例如用戶或應用程式)都被指派特定角色,並擁有明確定義的存取權限來使用雲端基礎架構。
  6. 支援法規遵循──最小權限原則有助於符合法規以及公司與產業標準的要求。公司能更有效控管員工如何使用各項應用程式與資料,並確認所有使用行為皆經授權。

ZTNA 使用案例

ZTNA 適用於多種使用案例。以下是幾個最常見的應用情境:

  • VPN 替代方案──比起傳統 VPN,ZTNA 能以更安全的方式連接行動與遠端用戶。ZTNA 更具擴充性,可在各地套用一致的安全政策,支援混合式 IT 環境,並提供更細緻的存取控制。 Gartner 預測,到 2023 年,將有 60% 的公司會從 VPN 遷移至 ZTNA。
  • 降低第三方風險──只授予承包商、供應商及其他第三方對特定內部應用程式的存取權限──且僅限於此。隱藏敏感應用程式──讓未授權的用戶與裝置無法「看見」應用程式。ZTNA 可大幅降低來自內部威脅的風險。
  • 安全整合併購──ZTNA 可縮短併購整合所需的時間與管理成本,並為公司立即帶來實際價值。

相關資源:

ZTNA 是如何運作的?

ZTNA 不僅比傳統的遠端存取解決方案更安全,它的設計更貼近當今公司的實際需求。傳統網路假設存在一個安全的網路邊界,邊界內是受信任的實體,邊界外則是不可信的對象。如今,傳統的網路邊界已不復存在。用戶的工作地點遍佈各處──不再侷限於辦公室──而應用程式與資料也正快速遷移至雲端。存取解決方案必須具備應對這些轉變的能力。

ZTNA 相較於其他安全遠端存取解決方案,具備多項優勢,包括:

  • 應用程式存取會根據用戶身分、位置、設備狀態等條件動態調整。
  • 雲端服務可同時支援受控與非受控裝置(透過反向代理)。
  • 在 ZTNA 服務與公司資源之間建立安全通道。
  • 進行身分驗證與授權,以控管對公司資產的存取──無論資產位於本地資料中心或雲端。

ZTNA 的四大功能

ZTNA 具備四項基本功能:

  1. 識別──盤點所有用戶可能從遠端需要存取的系統、應用程式與資源。
  2. 強制──定義存取條件政策,規範特定人員是否可存取特定資源。
  3. 監控──記錄並分析遠端用戶的所有存取行為,確保所執行的政策符合公司的業務需求。
  4. 調整──修正設定錯誤。可根據需求提升或降低存取權限,以支援最佳生產力,同時將風險與曝險降至最低。

ZTNA 使用流程

ZTNA 使用流程如下:

  1. 驗證階段:用戶會連接並驗證至零信任控制器(或控制器功能模組)。使用多重驗證(MFA)以強化帳號安全性。
  2. 政策強制執行階段:ZTNA 控制器會辨識並套用適當的安全政策,以判斷是否應授予該用戶存取權限。此階段可檢查裝置屬性──如數位憑證、是否具備最新的防毒軟體──與即時屬性──如所在地點──等資訊,以協助判定是否允許存取。
  3. 存取階段:控制器會根據所蒐集的屬性與安全政策,決定是否授權存取。若獲授權,用戶僅能存取其被允許的應用程式與資源。

相關資源

如何實施 ZTNA?

ZTNA 相較於其他遠端存取解決方案,能提供更細緻的存取管理能力。導入 ZTNA 時,請依照以下步驟進行:

  • 評估現有架構:ZTNA 的部署應根據公司的業務需求來設計。評估既有的網路架構以及需管理的終端裝置,有助於挑選合適的 ZTNA 解決方案。
  • 選擇 ZTNA 模型:ZTNA 解決方案可分為代理型或服務型。兩者各有優勢,應根據公司的環境與安全需求來決定採用哪一種模式。
  • 選擇解決方案:確定 ZTNA 類型後,下一步是挑選具體的 ZTNA 解決方案。選擇時需考量的重要因素包括安全性、易用性、擴充性以及法規遵循能力。
  • 制定政策:ZTNA 的設計目的在於支援並強制執行零信任存取控制。存取政策與用戶角色應根據各項資源的安全需求,以及公司內部用戶、應用程式、裝置等的角色加以定義。
  • 實施與測試:部署所選擇的 ZTNA 解決方案。進行測試,以確保該工具能正確管理對公司資源的存取行為。
  • 用戶訓練:教育用戶了解新系統。說明零信任安全對公司與個人資安所帶來的價值。
  • 監控與稽核:在系統整個生命週期中持續進行監控、稽核與維護。定期稽核安全政策與控制項,有助於確保解決方案能如預期般運作。

代理型 ZTNA 與服務型 ZTNA 的比較

代理型 ZTNA 服務型 ZTNA
部署位置 在用戶裝置上安裝軟體代理程式 在用戶網路中部署連接器
平台支援 特定平台支援 不受平台限制
離線存取 有限
終端裝置可見度 深入 有限
易用性 需更多維護 較具使用友善性
安全整合 與終端裝置安全解決方案整合 與網路安全解決方案整合

代理型 ZTNA 與服務型 ZTNA 的比較

代理型 ZTNA 服務型 ZTNA
部署位置 在用戶裝置上安裝軟體代理程式 在用戶網路中部署連接器
平台支援 特定平台支援 不受平台限制
離線存取 有限
終端裝置可見度 深入 有限
易用性 需更多維護 較具使用友善性
安全整合 與終端裝置安全解決方案整合 與網路安全解決方案整合

ZTNA 與VPN 的比較

ZTNA 和 VPN 是兩種常見的安全遠端存取選項。遠端存取 VPN 的設計目的是建立一條安全加密通道,用於在遠端用戶與公司網路之間傳輸流量。

ZTNA 與 VPN 在多個方面有明顯差異,包括:

  • 存取管理:ZTNA 採用零信任存取控制,而 VPN 則大多提供對公司網路的無限制存取權限。
  • 可擴展性:ZTNA 是雲端為基礎的解決方案,具備高度擴展能力,而 VPN 通常為實體設備架構,擴展性受限。
  • 網路效能:雲端型 ZTNA 能提供高效率、低延遲的連接至公司資源,而點對點的 VPN 通常會先將流量回傳至總部網路,再轉送至雲端目的地,導致效能下降。

VPN 替代

VPN 是較早期且成熟的安全遠端存取解決方案,但它的設計初衷是針對當時大多數公司 IT 資產皆位於內部、遠端工作者比例極少的情境。隨著公司 IT 基礎架構與業務模式的演進,ZTNA 成為更符合現代公司需求的 VPN 替代選項。

安全遠端存取

公司有越來越多的員工需要從公司區域網路以外連接公司 IT 資源。混合辦公、自攜裝置(BYOD)政策與外包合作,是遠端工作的三種常見形式。

安全遠端存取解決方案會保護這些遠端用戶的資料流量,在其穿越不受信任的公共網際網路連接至公司網路的過程中提供防護。最低限度的保護是對資料傳輸進行加密,但更先進的解決方案──例如 ZTNA與 SASE──則將存取控制與網路安全功能整合為一體,作為融合型安全遠端存取方案的一部分。

ZTNA 與微分段

網路區隔會根據用途與信任等級,將公司網路劃分為數個獨立區段。微分段更進一步,將每個應用程式獨立隔離,並針對所有橫越網路的流量套用安全政策與存取控制。

ZTNA 透過微分段機制來執行其零信任安全政策。微分段會在每個應用程式周圍建立信任邊界,使 ZTNA 能檢查並套用存取控制政策於針對該應用程式的請求上。

ZTNA 與 SASE

透過安全存取服務邊緣(SASE),ZTNA 控制器功能可整合為 SASE PoP 的一部分,無需額外部署 SDP 連接器。裝置會連接至 SASE PoP,通過驗證後,用戶僅能依據 SASE 次世代防火牆(NGFW)中的安全政策,存取被允許的應用程式(與網點)。

但 ZTNA 只是安全存取服務邊緣(SASE)的一小部分。當用戶獲得授權並連接至網路後,IT 領導者仍需防範來自網路層級的威脅。他們仍需要具備適當的基礎架構與最佳化能力,以確保用戶體驗。同時,他們仍需管理整體部署環境。

SASE 透過將 ZTNA 與完整的安全服務套件整合來應對這些挑戰,包括 NGFW、SWG、防惡意程式,以及託管式XDR──並搭配邊緣 SD-WAN、WAN最佳化與全球私有骨幹網絡等網路服務。

採用 SASE 的公司不僅可享有零信任網路存取的優點,還能取得一套完整的網路與安全解決方案,全部整合於一個易於管理、經過最佳化且高度可擴展的平台中。

相關資源:

未來展望:ZTNA 2.0

零信任安全模型仍相對新穎,許多公司仍在努力導入零信任,並探索其對自身環境的意涵。因此,許多公司正在以 ZTNA 取代傳統遠端存取技術,並將其整合進公司的安全架構中。

隨著時間推進,ZTNA 技術也將不斷演進,以因應公司不斷變化的需求。例如,未來的解決方案可能會導入 AI 以提升存取決策的準確性,或因邊緣運算的成長趨勢,催生出更去中心化的零信任存取管理模式。

零信任安全:原則與架構說明

探索零信任安全的深度見解,了解如何透過持續驗證與嚴謹的存取控制,強化網路對當代網路威脅的防禦韌性。深入認識這項策略的核心原則,進而為您的網路安全帶來轉型性的影響。

如何導入零信任:五大步驟與部署檢查清單

零信任安全模型能協助企業提升資料與 IT 資源的安全性,同時強化對整體生態系統的可見度。零信任的導入通常包含至少五個步驟,其中包括在網路中加入微區隔、啟用多重驗證,以及驗證終端裝置的安全性。

零信任解決方案:五大解決方案類別與選擇指南

零信任解決方案是一套包含網路存取控制與安全機制的安全工具組,旨在落實零信任原則。該原則認為所有用戶與實體在被證明安全之前,應被視為潛在的惡意對象。導入零信任網路通常需要企業結合多種工具與流程。

保護遠端工作者:導入零信任存取

Global Workplace Analytics 預估,到 2021 年底,將有 25% 至 30% 的勞動力每週有數天在家工作。這對遠端工作者意味著什麼呢?公司必須調整策略,以便能快速簡易地為所有遠端工作者提供高安全性的存取權限