为何 ZTNA 2.0 必不可少

This post is also available in: English (英语) 繁體中文 (繁体中文) 日本語 (日语) 한국어 (韩语)

最近，人们对零信任的兴趣激增，朗朗上口的名字是其中一个原因，而且似乎在整个网络安全行业中得到了广泛使用（零信任清理？）。但是，另一个更有说服力的原因是我们确实需要零信任。

我与客户交流时，很多客户称其正在努力控制与混合办公模式和直达应用的连接相关的风险。一个新问题是，我们的攻击面急剧扩大，而网络攻击的数量和复杂性也在持续增长。“打地鼠”方法是指为每种类型的应用或威胁部署新工具，但这种方法使安全管理和实施方式过于复杂。

大多数企业已发现，从安全和性能方面来看，基于 VPN 的传统笨重的解决方案并不能解决问题。这些传统解决方案没有情境概念，因此不了解如何运用基于应用、用户或设备的最低权限访问。相反，这些解决方案还会提供对整个网段的授权访问。在混合办公和云迁移的大环境下，传统 VPN 已消亡。

零信任网络访问 (ZTNA) 方法应运而生，以应对传统 VPN 带来的挑战。然而，第一代产品（我们称之为 ZTNA 1.0）已证明弊大于利，因为存在以下几个主要局限性：

• 授予过多访问权限，而非采取零信任 – 仅支持粗略的访问控制，同时根据 IP 地址和端口号等第 3 层和第 4 层网络架构对应用进行分类。因此，ZTNA 1.0 提供了过多访问权限，特别是对于使用动态端口或 IP 地址的应用而言。
• 允许并忽略 – 授予对应用的访问权限后，就会永远信任相应通信。ZTNA 1.0 假设用户和应用始终以值得信任的方式行动，而这正是导致灾难发生的罪魁祸首。
• 安全性太低 - 仅支持私有应用的子集，而无法保护以微服务为基础的云原生应用（指使用动态端口的应用，如语音和视频应用，或由服务器启动的应用，如 HelpDesk 和修补系统）。此外，传统的 ZTNA 方法完全忽略了 SaaS 应用，几乎无法查看或控制数据。

显然，ZTNA 1.0 没有实现取代传统 VPN 的承诺。我们需要一种全新的方法。

ZTNA 2.0 简介

Palo Alto Networks 认为是时候采用全新解决方案 ZTNA 2.0 了。ZTNA 2.0 由 Prisma Access 提供，专为易于使用的统一安全产品而设计。ZTNA 2.0 通过提供以下功能解决了 ZTNA 1.0 的缺点：

• 最低权限访问 - 通过在第 7 层识别应用来实现此功能，从而在应用和子应用级别实现精确的访问控制，而不依赖于 IP 和端口号等网络架构。
• 持续进行信任验证 – 授予对应用的访问权限后，就会根据设备状态、用户行为和应用行为的变化来持续评估信任状态。
• 持续进行安全检查 - 持续针对所有流量进行深入检查，包括已授权连接，以防止包括零日威胁在内的所有威胁。
• 保护所有数据 - 利用单一的 DLP 策略，为企业中使用的所有应用（包括私有应用和 SaaS）提供一致的数据控制。
• 保障所有应用的安全性 - 保护企业中使用的所有应用，包括现代云原生应用、传统私有应用和 SaaS 应用。其中包括使用动态端口的应用和利用服务器启动连接的应用。

如今，工作不再意味着上班打卡，而是一种比较灵活的活动。在疫情最严重的时候，许多企业都尝试扩展其 VPN 基础设施。当这一策略不起作用时，他们立即将目光转向 ZTNA 1.0 解决方案，结果发现也无法达到预期结果。ZTNA 2.0 是克服 ZTNA 1.0 现有局限性所必需的模式转变，是长期为您企业提供支持的正确架构。

请于 6 月 15 日参加活动，届时我将更深入地介绍 Prisma Access 的 ZTNA 2.0 如何为混合劳动力提供保护。