零信任網(wǎng)絡(luò)訪問(wèn)（ZTNA）不僅是應(yīng)對(duì)現(xiàn)代威脅的安全措施，更是企業(yè)推動(dòng)數(shù)字化轉(zhuǎn)型和應(yīng)對(duì)遠(yuǎn)程工作需求的關(guān)鍵工具。

零信任不僅是一個(gè)流行詞匯，而是安全的必要措施，零信任網(wǎng)絡(luò)訪問(wèn)(ZTNA)可以保護(hù)你的企業(yè)免受現(xiàn)代威脅并確保無(wú)縫的遠(yuǎn)程訪問(wèn)。

零信任網(wǎng)絡(luò)訪問(wèn)(ZTNA)是一種安全模型，遵循“永不信任，始終驗(yàn)證”的原則。與依賴(lài)傳統(tǒng)網(wǎng)絡(luò)邊界安全不同，ZTNA要求所有訪問(wèn)請(qǐng)求，無(wú)論其來(lái)源，都必須經(jīng)過(guò)嚴(yán)格驗(yàn)證后才允許訪問(wèn)，這意味著每個(gè)用戶(hù)、設(shè)備和應(yīng)用程序都必須持續(xù)進(jìn)行身份驗(yàn)證和授權(quán)，以確保只有具備合法憑據(jù)的人才能訪問(wèn)網(wǎng)絡(luò)資源。

“零信任”這一術(shù)語(yǔ)在十多年前由Forrester Research的一位分析師提出，并迅速在行業(yè)內(nèi)獲得廣泛認(rèn)可。隨后，商業(yè)化的零信任安全解決方案逐漸出現(xiàn)，其在全球各行業(yè)的采用率穩(wěn)步上升。

ZTNA近年來(lái)的日益流行，特別是在全球疫情之后，可以歸因于工作環(huán)境的變化。如今，員工經(jīng)常在不同地點(diǎn)、使用各種設(shè)備遠(yuǎn)程訪問(wèn)公司網(wǎng)絡(luò)、應(yīng)用程序和數(shù)據(jù)。這一趨勢(shì)，加上對(duì)云服務(wù)和數(shù)字化轉(zhuǎn)型的日益增長(zhǎng)的需求，使得傳統(tǒng)的基于邊界的安全模型失效。

例如，許多銀行客戶(hù)已經(jīng)多年沒(méi)有去過(guò)實(shí)體網(wǎng)點(diǎn)，為什么呢?因?yàn)榛ヂ?lián)網(wǎng)和移動(dòng)銀行的功能和便利性讓實(shí)體網(wǎng)點(diǎn)對(duì)大多數(shù)人來(lái)說(shuō)變得無(wú)關(guān)緊要，這些后臺(tái)技術(shù)的實(shí)現(xiàn)依賴(lài)于云計(jì)算和開(kāi)放銀行帶來(lái)的能力。

舊有的靜態(tài)安全方法，即盲目信任網(wǎng)絡(luò)內(nèi)部實(shí)體并不信任外部實(shí)體，已經(jīng)無(wú)法有效保護(hù)現(xiàn)代企業(yè)。為應(yīng)對(duì)這一挑戰(zhàn)，需要一種新的框架，該框架關(guān)注用戶(hù)身份、設(shè)備、應(yīng)用程序、數(shù)據(jù)和網(wǎng)絡(luò)的安全，提供持續(xù)、動(dòng)態(tài)和安全的訪問(wèn)，這正是ZTNA的作用所在。

ZTNA不是獨(dú)立的解決方案

零信任是一個(gè)綜合框架的一部分，該框架涵蓋了用戶(hù)身份、設(shè)備、應(yīng)用程序、數(shù)據(jù)和網(wǎng)絡(luò)安全。作為首席信息安全官(CISOs)，評(píng)估我們?cè)谶@些領(lǐng)域的當(dāng)前狀況，了解現(xiàn)有的訪問(wèn)控制機(jī)制，并確定如何進(jìn)行初始和持續(xù)的驗(yàn)證至關(guān)重要。優(yōu)先考慮關(guān)鍵資產(chǎn)的ZTNA實(shí)施，以及創(chuàng)建用戶(hù)友好、以客戶(hù)為中心的安全體驗(yàn)，是ZTNA成功的關(guān)鍵。

那么，ZTNA如何幫助我們滿(mǎn)足支持遠(yuǎn)程工作和推動(dòng)數(shù)字化轉(zhuǎn)型的需求呢?雖然數(shù)字化轉(zhuǎn)型通常涉及技術(shù)進(jìn)步，但它始于文化的變革，并涵蓋基礎(chǔ)設(shè)施、治理、業(yè)務(wù)運(yùn)營(yíng)、客戶(hù)互動(dòng)等多方面的變化。ZTNA是這一變革旅程中的關(guān)鍵組成部分，事實(shí)上，它是驅(qū)動(dòng)整個(gè)旅程的引擎!

重要的是，不要僅將ZTNA視為遠(yuǎn)程工作的解決方案。在疫情之前，世界已經(jīng)日益互聯(lián)，ZTNA為這個(gè)全球村莊提供了基礎(chǔ)性的理念。自疫情以來(lái)，隨著越來(lái)越多的人群開(kāi)始遠(yuǎn)程工作，ZTNA的重要性也呈指數(shù)級(jí)增長(zhǎng)。

ZTNA增強(qiáng)了從用戶(hù)身份、設(shè)備到應(yīng)用程序、數(shù)據(jù)和網(wǎng)絡(luò)的全面安全性。通過(guò)持續(xù)演進(jìn)和適應(yīng)，ZTNA提供了一種動(dòng)態(tài)且強(qiáng)大的訪問(wèn)控制方法。

讓我們看看一些行業(yè)中ZTNA實(shí)施的真實(shí)案例。

案例一：ZTNA在多云訪問(wèn)控制中的應(yīng)用

越來(lái)越多的企業(yè)采用多云策略，以利用多個(gè)云環(huán)境的優(yōu)勢(shì)。安全訪問(wèn)這些環(huán)境中的資源已經(jīng)成為一項(xiàng)關(guān)鍵需求。零信任網(wǎng)絡(luò)訪問(wèn)(ZTNA)通過(guò)實(shí)施最小特權(quán)訪問(wèn)控制，并考慮用戶(hù)身份、設(shè)備狀態(tài)和位置等上下文因素，提供了解決方案，這確保了用戶(hù)只能訪問(wèn)其被授權(quán)的云資源。

根據(jù)Symantec的報(bào)告《ZTNA在多個(gè)數(shù)據(jù)中心的應(yīng)用》所述，一家總部位于倫敦的國(guó)際金融科技公司，專(zhuān)注于為金融機(jī)構(gòu)提供軟件即服務(wù)和分布式賬本技術(shù)，該公司成功實(shí)施了ZTNA解決方案，以確保其多云環(huán)境的安全訪問(wèn)，該公司復(fù)雜的監(jiān)管環(huán)境要求對(duì)其在英國(guó)、美國(guó)及其他地區(qū)運(yùn)營(yíng)的敏感客戶(hù)數(shù)據(jù)進(jìn)行嚴(yán)格控制。

通過(guò)用ZTNA解決方案替代傳統(tǒng)VPN，該公司實(shí)現(xiàn)了基于身份的訪問(wèn)控制，并與現(xiàn)有的身份和訪問(wèn)管理(IAM)解決方案無(wú)縫集成，該部署無(wú)需終端代理，即可簡(jiǎn)化對(duì)Web門(mén)戶(hù)、API和各類(lèi)服務(wù)器的訪問(wèn)，提升了其全球基礎(chǔ)設(shè)施的安全性、治理和運(yùn)營(yíng)靈活性。

案例二：ZTNA支持BYOD政策

疫情加速了“自帶設(shè)備”(BYOD)政策的采用，員工可以隨時(shí)隨地使用任何設(shè)備連接到企業(yè)網(wǎng)絡(luò)。ZTNA為個(gè)人設(shè)備提供了安全的、無(wú)需代理的企業(yè)應(yīng)用程序訪問(wèn)，支持BYOD的實(shí)施。

根據(jù)SentryBay的白皮書(shū)《在零信任框架中優(yōu)先考慮安全以成功實(shí)現(xiàn)BYOD》所述，一家北美保險(xiǎn)公司面臨著數(shù)以萬(wàn)計(jì)的遠(yuǎn)程代理使用公司筆記本電腦所帶來(lái)的高昂成本和合規(guī)挑戰(zhàn)。為降低開(kāi)支，他們采用了BYOD策略并部署了虛擬桌面基礎(chǔ)設(shè)施(VDI)系統(tǒng)，然而，這也引入了新的終端合規(guī)性風(fēng)險(xiǎn)。

該公司實(shí)施了ZTNA解決方案來(lái)保護(hù)VDI客戶(hù)端，確保符合PCI DSS(支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn))的要求，該產(chǎn)品通過(guò)單點(diǎn)登錄(SSO)和基于證書(shū)的設(shè)備驗(yàn)證來(lái)安裝，將不受管理的設(shè)備轉(zhuǎn)變?yōu)榘踩慕K端，這一方法降低了資本支出，簡(jiǎn)化了設(shè)備管理，確保了合規(guī)性并保護(hù)了客戶(hù)數(shù)據(jù)。

案例三：ZTNA滿(mǎn)足監(jiān)管和合規(guī)要求

尤其是受法規(guī)約束的企業(yè)，必須符合各種合規(guī)性和監(jiān)管要求，包括嚴(yán)格的訪問(wèn)控制、詳細(xì)的審計(jì)日志和安全分析。傳統(tǒng)的安全解決方案往往缺乏所需的精細(xì)控制和文檔記錄來(lái)滿(mǎn)足這些要求。ZTNA提供了細(xì)粒度的訪問(wèn)控制、詳細(xì)的日志記錄和實(shí)時(shí)的安全分析，從而解決了這些挑戰(zhàn)。

正如前文提到的SentryBay白皮書(shū)中所強(qiáng)調(diào)的，一家全球性投資銀行在應(yīng)對(duì)數(shù)千名遠(yuǎn)程員工訪問(wèn)公司網(wǎng)絡(luò)時(shí)，現(xiàn)有的安全解決方案難以滿(mǎn)足金融合規(guī)要求，為了解決這些問(wèn)題，該銀行用ZTNA解決方案替代了之前的方案。

這款ZTNA解決方案為最初的7000個(gè)終端設(shè)備提供了高度定制的安全配置文件，后來(lái)擴(kuò)展至20000個(gè)終端，這一方案確保了對(duì)全球金融監(jiān)管機(jī)構(gòu)的全面合規(guī)，同時(shí)減少了支持電話(huà)的需求，消除了對(duì)新公司筆記本電腦的需求。ZTNA解決方案的無(wú)縫部署在全球范圍內(nèi)保護(hù)了遠(yuǎn)程員工，通過(guò)專(zhuān)利技術(shù)在內(nèi)核級(jí)別抵御鍵盤(pán)記錄和屏幕捕獲，有效保護(hù)了敏感的金融數(shù)據(jù)。

評(píng)估ZTNA旅程的成功涉及與全球網(wǎng)絡(luò)安全戰(zhàn)略的對(duì)齊

零信任已在全球范圍內(nèi)獲得顯著認(rèn)可，美國(guó)和新加坡等國(guó)家將其納入了國(guó)家網(wǎng)絡(luò)安全計(jì)劃。新加坡2021年的網(wǎng)絡(luò)安全戰(zhàn)略強(qiáng)調(diào)了零信任方法在保護(hù)政府機(jī)構(gòu)系統(tǒng)和數(shù)據(jù)中的重要性。在美國(guó)，2023年4月發(fā)布的CISA零信任成熟度模型2.0版本進(jìn)一步展示了ZTNA的日益普及和廣泛采用，這一全球趨勢(shì)表明，ZTNA原則的意識(shí)和實(shí)施正在成功提升。

ZTNA的采用在不同企業(yè)之間存在顯著差異，一些企業(yè)處于早期階段，另一些則更為先進(jìn)，已經(jīng)有明確且實(shí)施到位的控制措施。ZTNA旅程的成功無(wú)法通過(guò)單一標(biāo)準(zhǔn)來(lái)衡量，應(yīng)該根據(jù)每個(gè)企業(yè)的具體性質(zhì)、規(guī)模和運(yùn)營(yíng)情況進(jìn)行定制。

因此，回顧一下，以下是考慮ZTNA時(shí)的一些實(shí)用建議：

? 評(píng)估你當(dāng)前的安全狀態(tài)和ZTNA的成熟度。

? 確定關(guān)鍵資產(chǎn)(系統(tǒng)、數(shù)據(jù)、人員、業(yè)務(wù)流程等)，并根據(jù)企業(yè)的獨(dú)特特征優(yōu)先實(shí)施ZTNA。

? 記住，ZTNA是一個(gè)持續(xù)的過(guò)程。應(yīng)優(yōu)先考慮持續(xù)的監(jiān)控、調(diào)整、創(chuàng)新、自動(dòng)化以及用戶(hù)和客戶(hù)體驗(yàn)的改進(jìn)。

在當(dāng)今世界，安全不再是奢侈品，而是必要條件。每個(gè)企業(yè)，無(wú)論是初創(chuàng)公司還是全球性企業(yè)，都必須致力于保護(hù)其員工、客戶(hù)和聲譽(yù)。隨著AI繼續(xù)推動(dòng)技術(shù)和業(yè)務(wù)的變革，零信任網(wǎng)絡(luò)訪問(wèn)變得更加關(guān)鍵。

想一想：AI推動(dòng)增長(zhǎng)的潛力無(wú)可否認(rèn)，但企業(yè)的未來(lái)也取決于其應(yīng)對(duì)數(shù)據(jù)泄露、勒索軟件、網(wǎng)絡(luò)釣魚(yú)和深度偽造等威脅的能力，一套強(qiáng)大的ZTNA解決方案是面對(duì)這些挑戰(zhàn)時(shí)的堅(jiān)實(shí)基礎(chǔ)。