為何我們的世界需要 ZTNA 2.0

This post is also available in: English (英語) 简体中文 (簡體中文) 日本語 (日語) 한국어 (韓語)

最近對於零信任感到興趣的人正在快速激增,部分原因可能是因為它吸引人的名稱以及整個網路安全產業的廣泛使用 (零信任風潮?)。但我相信帶動這股零信任風潮的另一個最有可能的原因是我們真的需要它。

最近在與客戶們談論相關議題時,有許多人告訴我他們對於混合工作方式以及「應用程式直連」連線感到非常棘手。最新的情況是由於網路攻擊不斷在數量和複雜度上快速成長,我們的攻擊範圍也跟著急遽擴展。但若我們仍採用打地鼠的方式來針對各種類型的應用程式或威脅部署新工具,則安全管理和執行會變得非常複雜。

大部分的企業都已發現,從安全性和效能的觀點來看,那些過於陳舊且笨重的 VPN 式解決方案早已不符需求。這些舊型解決方案並沒有脈絡的概念,因此不了解如何套用基於應用程式、使用者或裝置的最低權限存取。相反地,它們會將受信任的存取權限授予整個網路區段。在混合工作和雲端移轉的世界中,舊型 VPN 早已不管用。

零信任網路存取 (ZTNA) 方法也就是在這樣的背景下孕育而生,以解決舊型 VPN 所帶來的挑戰。不過,第一代的產品 (我們將它稱為 ZTNA 1.0) 已經證明它所帶來的危險往往比提供的協助還要大,這是因為其中存在幾個關鍵的限制:

  • 太多的存取權限並非零信任 – 僅支援粗略的存取控制,並根據 L3/L4 網路架構 (例如 IP 位址和連接埠號碼) 來分類應用程式。因此 ZTNA 1.0 往往提供過度的存取權限,尤其是對於使用動態連接埠或 IP 位址的應用程式來說更是如此。
  • 允許及忽略 – 一旦授予對於應用程式的存取權限,就會永遠信任相互之間的通訊。ZTNA 1.0 假設使用者和應用程式會一直以值得信任的方式行動,而這也就是造成災難的原因。
  • 安全性過低 – 僅支援一小部分的私有應用程式,也無法適當地保護基於微服務的雲端原生應用程式 – 像是語音和視訊應用程式等使用動態連接埠的應用程式,或者是服務台和修補系統等伺服器啟動的應用程式。此外,舊型 ZTNA 方法完全忽略 SaaS 應用程式,並且對於數據僅具有少部分或完全缺乏可視性或控制能力。

顯然,ZTNA 1.0 根本無法完全取代舊型的 VPN。我們必須採用不同的方法。

ZTNA 2.0 簡介

在 Palo Alto Networks,我們相信是時候採用我們稱為 ZTNA 2.0 的全新方法。透過 Prisma Access 所交付的 ZTNA 2.0 不但易於使用,也是一種統一的安全產品。ZTNA 2.0 已透過以下方式解決 ZTNA 1.0 的缺陷:

  • 最低權限存取 – 能夠識別第 7 層應用程式,在不受到 IP 和連接埠號碼等網路架構的影響之下,在應用程式和子應用程式層級啟用精確的存取控制。
  • 持續信任驗證 – 一旦賦予應用程式的存取權限,系統就會持續根據裝置狀況的變動、使用者行為和應用程式行為進行信任評估。
  • 持續安全檢查 – 可針對所有流量提供深入且持續的檢查,即使允許的連線也適用,以避免包括零時差威脅在內的所有威脅。
  • 保護所有數據 – 透過單一 DLP 政策,針對企業中使用的所有應用程式 (包括私有應用程式和 SaaS 在內) 提供持續的數據控制。
  • 確保所有應用程式的安全,保護企業中使用的所有應用程式,包括現代化雲端原生應用程式、舊型私有應用程式和 SaaS 應用程式。這些包括使用動態連接埠的應用程式以及利用伺服器啟動連線的應用程式。

如今,工作已經不再是指我們前往辦公地點,而是指我們所執行的活動。在疫情的高峰期,許多的企業都著重於 VPN 基礎結構擴充。不過這種做法早已不管用,因此他們很快就移轉至 ZTNA 1.0 解決方案,但也發現它並不符合期望。ZTNA 2.0 代表一種必要的典範轉移以克服 ZTNA 1.0 既有的限制,此外它也是一種適當的架構,可為您的企業提供長期的支援。

請參加我們將於 6 月15 日舉行的活動,我們將深入探討 ZTNA 2.0 與 Prisma Access 如何保護您的混合工作模式。