ZTNA: Zero Trust Network Access

零信任解決方案:五大解決方案類別與選擇指南

什麼是零信任解決方案?

零信任解決方案是一套包含網路存取控制與安全機制的安全工具組,旨在落實零信任原則。該原則認為所有用戶與實體在被證明安全之前,應被視為潛在的惡意對象。導入零信任網路通常需要企業結合多種工具與流程。

零信任安全解決方案提供一系列安全與監控功能,可保護網路免於遭受入侵行為或其他安全威脅。例如,零信任安全解決方案會結合多種流程來驗證用戶身分,並提供多重安全機制,如多網路管理、區隔化管理與監控功能。

五大零信任解決方案類別

零信任不是一項技術──而是一種安全理念。這代表許多現有技術都能用來實現零信任架構。此外,近年也出現了全新類別的解決方案,從架構設計階段就以零信任安全模型為核心打造。

1.多重驗證(MFA)與單一登入(SSO)

零信任實作中的一個關鍵重點,是確保信任基礎不再依賴用戶所處的網路區段,而是建立在明確的身分驗證上。此外,使用者名稱與密碼容易遭到攻擊者破解,已不再適合作為唯一的驗證方式。為了實現零信任,您可以運用以下方式:

  • MFA──結合多種驗證方式,以確保用戶身分驗證的強度,同時降低憑證遭竊所帶來的風險。
  • SSO──讓用戶只需使用一組憑證登入,便可依據其帳號授權存取所有企業應用程式。這樣不僅免除了多組密碼的需求,還能集中管理用戶帳號,同時也為用戶帶來更高的便利性。

2.身分與存取管理(IAM)

零信任的一項核心要求是以身分為基礎的安全性。這項機制由身分與存取管理(IAM)系統提供支援,這類系統通常是以雲端為基礎。IAM 系統可提供以下功能:

  • 內部與外部用戶的生命週期管理
  • 集中式身分治理
  • 特權存取管理(PAM)
  • 以角色為基礎與以屬性為基礎的存取控制(RBAC 與 ABAC)
  • 即時存取(JIT),讓人員能依實際需求存取系統,並支援緊急或例外情況下的存取需求

透過這些功能,現代 IAM 系統能協助您在整個組織內部落實最小權限存取原則。您也可以根據用戶的時間與位置來強制執行權限設定,以降低攻擊面。這可確保每位用戶──無論是內部員工、第三方承包商,或是客戶──僅能存取其角色實際所需的系統與作業。

3.通用零信任網路存取(ZTNA)

ZTNA,前身為軟體定義邊界(SDP),是一種進階的存取解決方案,僅允許用戶在執行其職責所需時連接至特定應用程式。用戶權限會根據其在組織中的職務角色來設定,並以對應的角色進行權限對應。

ZTNA 解決方案會先驗證用戶身分,確認其真實性,並將其對應至組織中已定義的角色。所有對內部網路系統的存取都必須經由 ZTNA 系統進行控管。ZTNA 會根據驗證結果與用戶預先設定的角色,決定是否允許流量通過至特定系統,或是封鎖存取。

ZTNA 解決方案可取代虛擬私人網路(VPN)。VPN 提供了一種安全的網路連線方式,但會讓用戶存取整個網路及其所有資源,這與零信任的原則不相容。ZTNA 建立一個軟體定義的邊界,可細緻地規範用戶可存取哪些資料中心、環境與特定應用程式。

4.安全存取服務邊緣(SASE)

安全接入服务边缘(SASE)是一項雲端服務,結合廣域網路(WAN)、遠端存取與安全功能。SASE 可將網路能力延伸至組織營運的各個位置──包括本地資料中心以及一個或多個公有雲環境。

SASE 是一項整合多種技術解決方案的服務,包含以下內容:

  • ZTNA──如前所述。
  • SD-WAN──一種虛擬的廣域網路架構,可提升廣域網路的靈活性並降低成本,能善用各種可用的資料服務,包括 MPLS、寬頻與無線網路。
  • 防火牆服務(FWaaS)──在組織運行軟體服務的各個位置提供受管理的防火牆功能。
  • 安全網關(SWG)──管理用戶的遠端存取。
  • 雲端存取安全代理(CASB)──負責對本地資源或存取雲端的用戶執行安全性政策的強制管理。

零信任網路 vs.虛擬私人網路(VPN)

虛擬私人網路(VPN)可讓用戶遠端存取企業網路。部署在用戶裝置上的用戶端軟體,會透過加密通道與企業網路中的 VPN 伺服器或設備進行通訊。

雖然 VPN 能透過安全通道進行通訊,但其弱點在於預設信任用戶的裝置。只要用戶提供正確的憑證,就能獲得對整個網路的完整存取權限。因此,若用戶的裝置或帳號遭到入侵,或攻擊者利用 VPN 漏洞進行攻擊,就可能在企業網路中橫向移動。

VPN 不符合零信任安全模型的原則。為實現零信任,ZTNA 取代了 VPN,能夠對網路資源進行細緻化的存取控制。每位用戶的存取權限會依其角色及當前的安全情境來決定──例如所使用的裝置與登入的時間。ZTNA 會針對每一次存取請求進行授權,並持續驗證用戶是否具備存取網路資源的授權資格。

如何選擇零信任解決方案?

為了找出最適合您的零信任解決方案,請考量以下幾個重點:

  • 廠商支援──您是否需要安裝終端裝置代理程式,並支援所有作業系統與行動裝置?監控代理程式在與其他代理程式共存時的行為,並確認廠商支援哪些裝置與作業系統。
  • 零信任技術的類型──例如需要自行安裝與管理的 ZTNA 中介系統,或是以服務形式提供的零信任網路存取(ZTNAaaS)。
  • 安全態勢評估──廠商是否提供對受管與非受管裝置的安全態勢評估功能,還是您需要額外使用統一終端管理(UEM)工具?
  • 用戶與實體行為分析(UEBA)──該解決方案是否包含 UEBA 功能,以偵測受保護網路中的可疑行為?
  • 全球部署能力──入口與出口點(例如邊緣節點與服務據點)的地理分布多樣性。請確認該廠商使用哪些邊緣/實體基礎設施供應商或共置機房設施。
  • 傳統應用程式支援──除了網頁應用程式之外,請確認是否也提供對傳統應用程式的安全支援。
  • 符合產業標準──優先選擇符合嚴格安全標準的廠商。零信任服務提供商至少應具備 ISO 27001 認證,並最好符合 SOC 2 的安全要求。
  • 授權模式──請確認授權類型(例如按頻寬或每位用戶計費),並了解合約期間若超出使用量時的處理方式(例如是否有寬限期、是否需補足差額或是否會被停用存取權限)。