ZTNA 1.0 怎样违反了最低权限原则

This post is also available in: English (英语) 繁體中文 (繁体中文) 日本語 (日语) 한국어 (韩语)

利用 ZTNA 2.0 的精细访问控制降低风险

这是“ZTNA Straight Talk”五篇系列文章中的第一篇,我们将详细介绍 ZTNA 2.0 的五个原则,ZTNA 2.0 是用于确保访问安全的新标准。

零信任的概念是指消除网络和数字交易中的所有默认信任,被普遍认为是当今保护企业安全的最佳方法。然而,正如 Nir Zuk 最近所说,现有的零信任网络访问解决方案有五个将企业安全置于风险之中的惊人漏洞:

1) 违反了最低权限原则。

2) 采用“允许并忽略”模式。

3) 不进行安全检查。

4) 数据保护不力。

5) 仅保护企业的应用子集。

本文将主要解释第一个漏洞,探讨 ZTNA 1.0 怎样违反了最低权限原则。

最低权限原则是一个信息安全概念,规定了应向用户或实体授予办公所需的最低限度的访问权限。这一原则的逻辑是,如果出现问题,将访问权限限制在最低限度可减少暴露风险。

最低权限原则是零信任态势的基础,ZTNA 1.0 提供商通常称其为解决方案的“内置”工具。然而,ZTNA 1.0 的架构漏洞导致这些提供商远远无法落实这一概念。

ZTNA 1.0 违反了最低权限原则(与 VPN 不相上下)。

在探讨 ZTNA 1.0 的问题之前,首先需要提到远程访问 VPN。长期以来,VPN 一直用以远程访问企业网络。这种方法会广泛授予整个网络的访问权限,实在不尽理想,但由于没有实用的替代办法,业界只能一直使用这一方法,因为只有少量用户偶尔会使用这种方法,这些用户连接之后就会“获得信任”。然而,向混合办公模式的快速转变和现代威胁的复杂性(尤其是涉及横向移动的攻击)最终导致传统 VPN 过时。

ZTNA 旨在通过限制用户仅访问所需特定应用而非整个网络来解决 VPN 最大的挑战之一。然而,供应商实施 ZTNA 1.0 解决方案的方式基本上是将应用转换为 IP(或 FQDN)和端口号等第 3 层或第 4 层的网络结构。这一局限性要求管理员在编写访问控制策略时只能使用泛泛的说辞,最终授予了远远超出预期的访问权限。

应用组件使用静态 IP 地址和端口号的传统应用可以使用 IP/端口来识别应用。然而,如今几乎每个企业都使用提供多种功能的云原生应用,每个功能均通过单独的 URL 或更高级的概念提供。同样,业务应用通常使用动态 IP 和端口、服务器发起的连接以及创建基于 IP 和端口的静态访问控制策略的其他场景。

现代应用的访问控制

正如上文所述,最低权限原则指尽量为用户提供办公所需的最少权限。为了应对 SaaS 应用和其他使用动态 IP 和端口的现代应用,ZTNA 1.0 解决方案要求您授予大量 IP 和端口的访问权限,以便访问控制(和应用)正常运作。这显然违反了最低权限原则,因为它在您的网络中创建了一个可被攻击者或恶意软件利用的巨大漏洞。

借助 ZTNA 2.0,无论应用使用的是什么 IP 和端口,系统皆可利用 App-ID 在所有协议和端口中动态识别应用和应用中的特定功能。因此,管理员无需考虑网络架构,并实现了非常精细的访问控制,最终实施了名副其实的最低权限访问。

使用服务器发起的连接的应用无法与 ZTNA 1.0 完美配合

需要在服务器和客户端之间建立连接的应用也无法与 ZTNA 1.0 解决方案完美协作。这类应用包括任务关键应用,如更新和补丁管理解决方案、设备管理应用和帮助台应用。许多供应商已经实施了 ZTNA 1.0,但该解决方案仅在您的用户发起此类连接时才起作用,而对于应用或服务器发起的连接根本不起作用。我们发现许多客户尝试实施 ZTNA 1.0 解决方案,但最终被迫保留其传统 VPN 解决方案,而 VPN 的用途却是解决这一新用例的问题!

Prisma Access 等 ZTNA 2.0 解决方案允许使用 App-ID 定义应用访问策略以进行双向访问控制,还可以轻松为所有类型的应用启用最低权限访问,包括使用服务器发起的连接的应用。

针对私有应用的子应用控制

许多私有应用缺乏大多数现代 SaaS 应用中的内置精细访问控制功能。ZTNA 1.0 解决方案仅根据 IP 地址和端口号来识别应用,仅授予用户应用访问权限查看数据而不可上传或下载数据这样的简单操作是无法实现的。而在利用 App-ID 架构识别应用和子应用的 ZTNA 2.0 解决方案中,可轻松在子应用级别提供此类精细控制(即指定应用的访问权限,但限制上传/下载)。

有效实施最低权限需要 ZTNA 2.0 的精细控制功能。

如今,应用和用户无处不在,采用最低权限原则对于有效实施零信任及降低企业风险而言至关重要。如前所述,ZTNA 2.0 支持对所有类型的应用进行精细访问控制,独立于 IP 地址和端口号等网络架构。这是在确保访问安全并最终摆脱传统远程访问 VPN 方面的重大飞跃。

请于 6 月 15 日和 16 日参加我们的特别活动,活动期间我们将讨论利用 ZTNA 2.0 保障混合劳动力安全的创新和最佳实践。请继续关注下周的 Palo Alto Networks 博客,我将在其中介绍 ZTNA 2.0 的第二个原则。