零信任网络访问ZTNA原理解析

传统的基于边界的网络保护，试图结合普通用户和特权用户、不安全连接和安全连接以及内外基础设施部分来构建可信区域，但未能解决众多潜在的安全问题。面对这一挑战，越来越多的企业开始转向零信任网络访问（ZTNA）。

随着云计算、虚拟化、物联网（IoT）、BYOD概念的普及以及远程办公的兴起，移动设备数量激增，网络边界日益模糊。保护内部和外部系统、设备的需求同等重要，传统的边界中心方法已逐渐失去效用。

零信任概念，由Forrester Research分析师John Kindervag在2010年引入，旨在改进传统的网络边界保护方法。其核心思想是：无论在企业网络内外，都不设定任何安全区域或可信任用户。在实施零信任时，需要遵循以下假设：

1. 企业内部网络不被视为受信任区域。

2. 内部网络上的设备可能由非企业人员安装和配置。

3. 默认不允许信任任何用户和资源。

4. 企业数字资产不局限于企业内部网络。

5. 所有连接都可能被拦截和修改。

6. 必须持续监控所有设备和资产的安全状态，并验证是否符合既定策略。

值得注意的是，零信任不仅仅是一个概念，它是一组要求，用于构建企业基础设施的安全和控制访问权限。Forrester的另一位专家Chase Cunningham提出了零信任扩展（ZTX）方法，用于评估零信任实施的效果，涵盖了技术、架构和组织变革的多个方面。

在这种背景下，ZTNA（零信任网络访问）受到了广泛认可。它将零信任原则应用于实践，超越了传统的边界保护工具和技术身份验证机制，如代理、网络访问控制（NAC）和防火墙。ZTNA强调持续监控工作站和节点是否符合安全策略，并具有出色的可扩展性。

ZTNA模型的基本原理包括：

1. 受保护的区域分割：将网络划分为微边界，并为每个边界制定不同的安全策略。

2. 强制加密：所有通信和网络流量必须加密。

3. 访问控制：所有用户和设备在连接到任何受保护资源时都必须接受扫描。

4. 最低特权原则：仅授予必要的最低权限。

5. 完全控制：收集和分析所有基础设施组件的事件和行为，确保对安全事件做出迅速响应。

在ZTNA架构中，策略引擎（PE）和策略管理员（PA）是核心逻辑元素。PE管理访问策略，而PA应用策略，控制资源访问并监控对象状态。它们共同构成策略决策点（PDP）和策略执行点（PEP）。系统还包括用户和企业服务之间的组件，如下一代防火墙（NGFW）和云访问安全代理（CASB）。

部署ZTNA模型有两种常用方法。一种是通过在设备上安装代理来实施ZTNA。这种方法的优势在于对设备的完全控制，但也可能限制企业操作，因为需要兼容的操作系统版本和及时的安全更新。另一种方法是将ZTNA作为云服务提供，围绕云基础设施或数据中心的企业资源创建逻辑访问边界。

无论采用哪种方法，ZTNA都为企业提供了一种更加安全、精细的网络访问控制机制，有助于保护敏感数据和资源，同时提高网络的灵活性和可扩展性。ZTNA架构：云服务之优势尽显

一、显著优势：

ZTNA架构为云服务带来了显著的优势。其快速、简单的部署令人印象深刻，成本相对较低，更便于企业集中管理。不仅如此，其良好的可扩展性为企业的成长提供了强大的支持。最方便的莫过于其无需安装额外软件的特点，这消除了对连接设备的限制，完美适应BYOD原则及远程办公的需求。

二、微探其不足：

ZTNA也存在一些不可忽视的缺点。其中最主要的是缺乏对访问点的实时控制，这在一定程度上降低了安全级别。缺少预装代理可能会增加遭受DoS攻击的风险，企业在实施时需格外注意。

三、实践之道：

将零信任原则完全融入企业基础设施并非易事，需要从头开始重建。这涉及到内部网络架构、设备、安全策略的全面改变，甚至可能影响到员工处理公司数字资产的方式。对于大多数大型组织而言，这个过程既耗时又成本高昂。

一个更合理的选择似乎是基于现有资源和功能对基础设施进行升级。成功实施ZTNA原则的关键在于微调企业的信息安全战略，使其符合零信任的概念。随后，对IT基础设施组件进行深入分析，明确哪些设备和技术可以继续使用，哪些需要更换。关键机制包括：

识别所有用户和设备。

根据设备状态、安全策略合规性及漏洞扫描结果，严格实施访问控制。

对企业网络进行分段，包括数据中心。

实施基于BYOD原则的访问控制。

对每个系统、设备及用户的身份验证和授权进行严格把关。

实施数据访问控制。

严密监控网络流量。

在此基础上，企业可以开始实施ZTNA模型，通过结合传统方法保护云资源和远程连接。

四、全球ZTNA市场洞察：

尽管零信任的概念早已存在，但远程办公需求的激增才是推动ZTNA发展的主要动力。据Gartner预测，到2023年，60%的企业将放弃使用VPN，转而采用零信任网络访问解决方案。Pulse Secure的报告指出，大约72%的组织计划利用零信任来降低信息安全风险。

ZTNA是SASE的关键组件之一，而SASE是Gartner提出的云安全综合方法，还包括软件定义广域网(SD-WAN)、安全Web网关(SWG)、云访问安全代理(CASB)和防火墙即服务(FWaaS)。零信任网络访问的概念是传统企业安全方法适应现代环境的结果。尽管零信任受到越来越多企业的欢迎，但某些企业可能仍坚守传统信息安全方法，特别是在云技术和远程访问尚未普及的领域，如军事、及机密信息处理公司。