传统的基于边界的网络保护将普通用户和特权用户、不安全连接和安全连接，以及外部和内部基础设施部分结合在一起，创建了一个可信区域的假象，很多潜在的安全问题无法解决，越来越多的企业开始转向零信任网络访问来解决这个问题。

随着云计算、虚拟化、物联网 (IoT)、BYOD概念以及远程办公的蓬勃发展，移动设备数量剧增，网络的边界正变得越来越模糊。不仅内部系统和设备必须受到保护，外部系统和设备也需要额外的防御层。因此，传统的以边界为中心的方法正逐渐被淘汰。

零信任概念
2010 年，Forrester Research 分析师 John Kindervag 引入了零信任 (ZT) 的概念，作为对传统网络边界保护方法的改进。它背后的基本思想是，在公司网络内外部都不设任何安全区域或可信用户。以下是在企业生态系统中模拟该模型的假设：

企业内部网络不被视为受信任区域。
内部网络上的设备可以由企业人员以外的其他人安装和配置。
默认情况下，不允许信任任何用户和资源。
并非所有企业数字资产都位于企业内部网络上。
所有的连接都可以被拦截和修改。
必须监控所有设备和资产的安全状态，并验证是否符合既定策略。
需要注意的是，零信任本身只是一个概念，是一组用于构建企业基础设施安全和控制访问权限的模糊要求，其可以以不同的方式实施。 2018 年，Forrester的另一位专家 Chase Cunningham 提出了零信任扩展 (Zero Trust eXtended, ZTX) 方法，可以从技术、结构和组织变化方面评估零信任实施的效率。

在这一点上，零信任网络访问（ZTNA）是几乎所有市场参与者都认可的模式。ZTNA旨在将零信任的思想应用于实践。部署 ZTNA 后，边界保护工具的范围将超越传统技术和身份验证机制，例如代理、网络访问控制 (NAC) 和防火墙。此外，工作站和节点是否符合已建立的安全策略将受到持续监控。出色的可扩展性是 ZTNA 模型有别于传统模型的主要特征之一。

零信任网络访问
如前所述，零信任网络访问的目的是实现零信任原则。也就是说，它是一种模型，用于在网络边界内外提供对最小资源范围内的最可控访问，以便用户可以完成其日常任务。基于 ZTNA 的基础设施的基本原理如下：

受保护的区域分割。不要试图一次覆盖整个边界，而是将其划分为微边界（应用程序、设备、系统、网络等），针对每个微边界建立不同的安全策略、保护和控制。
强制加密。所有通信和网络流量都必须加密，防止恶意干扰。
访问控制。所有用户、系统、应用、设备和进程每次连接到任何受保护资源时都必须进行扫描。
各级最低特权原则。仅授予最低权限，即使对用户或系统有危害也不会导致对整个基础设施的未授权访问。
完全控制。持续收集和分析所有基础设施组件的事件、行为和状态，确保对安全事件的前期响应。
ZTNA 架构和组件
策略引擎 (PE) 和策略管理员 (PA) 是 ZTNA 模型的基本逻辑元素。前者在用户、设备、系统和应用四个层面管理访问策略，后者应用分配的策略，控制对资源的访问，并监控访问对象和主体的状态。

两者形成策略决策点 (PDP)——检查用户或设备以确定他们是否可以进行下一步，策略执行点 (PEP)——负责根据PA的命令连接和断开企业资源。这些组件构成了系统基础。用户和企业服务之间的良性屏障还包括下一代防火墙 (NGFW) 和云访问安全代理 (CASB)。

ZTNA部署
部署 ZTNA 模型有两种常用方法。它们的不同之处在于访问公司资源的设备上是否安装了其他软件（代理），由代理软件负责身份验证、建立连接、加密、状态监控等。

在有代理的情况下，用户或设备使用预先安装的代理启动连接。这种技术与软件定义边界 (SDP) 模型有很多共同之处，SDP旨在通过身份验证、基于身份的访问和动态生成的连接选项来控制访问。

这种 ZTNA 架构的主要优势包括对设备的完全控制以及禁止连接未经验证的设备。但从另一个角度来看，这对企业来说也是不利的，因为它施加了额外的限制。代理必须兼容不同的操作系统和平台版本，或者企业必须在设备上安装支持的操作系统版本并及时进行安全更新。

另一种方法是提供基于 ZTNA 的解决方案作为云服务。在这种情况下，围绕云基础设施或数据中心中的企业资源创建了一个逻辑访问边界，以便它们对外部用户隐藏。管理员工访问、控制网络流量和扫描连接的系统都是通过中介完成的，例如 CASB。

ZTNA架构作为云服务的优势如下：

快速、简单的部署。
成本相对较低。
集中管理。
良好的可扩展性。
无需安装额外的软件——因此，这消除了对连接设备的限制，并且在组织 BYOD 原则或远程办公时更方便。
主要缺点是缺乏对访问点的实时控制，这降低了安全级别。此外，缺少预装代理可能会增加DoS攻击的几率。

ZTNA实践
将零信任原则完全集成到企业基础设施中需要从头开始重建。这包括改变内部网络架构、设备、安全策略，甚至可能改变员工处理公司数字资产的方式。对于大多数大型组织而言，这样是行不通的，过程非常耗时且成本高昂。

另一种选择是基于当前资源和功能升级现有的基础设施。这似乎更合理，也更可行。为了在这种情况下成功地实施ZTNA原则，必须首先对企业的信息安全战略进行微调，使其符合零信任的概念。

然后对 IT 基础设施组件进行分析，看看哪些已经在使用的设备和技术可以成为 ZTNA 的基石，哪些需要更换。首先需要落实以下机制：

识别所有用户和设备。
根据连接设备的状态、所采用的安全策略的合规性以及漏洞扫描的结果，对连接设备进行访问控制。
企业网络的分段，包括数据中心。
基于 BYOD 原则的访问控制。
与企业网络托管服务和基础设施交互的每个系统、设备和用户的身份验证和授权。
数据访问控制。
网络流量监控。
接着公司就可以开始实施 ZTNA 模型，通过将其与保护企业边界的传统方法相结合来保护云资源和远程连接。

全球 ZTNA 市场现状
尽管零信任的概念早在十多年前就出现了，但疫情带来的远程办公需求激增才是促使ZTNA发展的主要驱动力。

据 Gartner 称，到 2023 年，预计 60% 的公司将放弃使用 VPN 访问企业资源，转而使用零信任网络访问解决方案。 Pulse Secure 在其 2020 年零信任访问报告中表示，大约 72% 的组织计划利用零信任来降低信息安全风险。

ZTNA 也是SASE的关键组件，SASE 是Gartner 在 2019 年提出的云安全综合方法。 除了 ZTNA，还包括软件定义广域网 (SD-WAN)、安全 Web 网关(SWG)、云访问安全代理 (CASB) 和防火墙即服务 (FWaaS) 。

零信任网络访问的概念是传统企业安全方法适应当今环境而产生的。尽管零信任概念越来越受欢迎，但对于某些企业而言，传统的信息安全方法仍然适用，因为云技术和远程访问对他们来说都是不可接受的。例如，这军事结构、政府以及处理机密信息的公司。

智安网络详解：零信任网络访问 (ZTNA)原理相关推荐

1. 深度学习网络模型——RepVGG网络详解、RepVGG网络训练花分类数据集整体项目实现

   深度学习网络模型--RepVGG网络详解.RepVGG网络训练花分类数据集整体项目实现 0 前言 1 RepVGG Block详解 2 结构重参数化 2.1 融合Conv2d和BN 2.2 Conv2 ...

2. 语义分割之FCN网络详解 全卷积网络

   1. FCN网络结构图 原论文链接:https://paperswithcode.com/paper/fully-convolutional-networks-for-semantic 参考B站视频: ...

3. 计算机基础--网络详解

   网络详解 零.文章目录 一.概述 1.协议 ​ 计算机之间通信是依靠互联网,互联网的核心是一系列协议. ​ 协议,网络协议的简称,网络协议是通信计算机双方必须共同遵从的一组约定.如怎么样建立连接.怎么 ...

4. ResNet、ResNeXt网络详解及复现

   网络详解: ResNet网络详解 ResNeXt网络详解 torch复现: import torch.nn as nn import torch''' 对应着18层和34层的残差结构 既要拥有实现部分 ...

5. 为什么零信任网络的设计需求有优先级列表？

   为了确定零信任网络的实现范围,我们有必要将本书前面章节描述的零信任网络特性排出一个优先级列表.本书给出如下RFC-格式的优先级建议. 基于上述零信任网络的设计需求优先级列表,下面将深入探讨为这些设计需 ...

6. 零信任网络ZTNA及SDP概念理解 身份认证 安当加密

   本文是对云安全联盟发布的<NIST零信任架构>及<SDP标准规范>的学习记录,用一句话总结:零信任是一种安全理念,SDP是一种落地方案. 一.什么是零信任网络 传统模型假设:组 ...

7. 这本《零信任网络》上架两个月，一直是程序员们最青睐的网络安全书

   <零信任网络>上架两个月了,在京东30日新书热销榜中位列第13位.因为这本书一直稳定的受到程序员们的青睐,所以诚挚的推荐给大家. 零信任网络 在不可信网络中构建安全系统 在充斥着威胁的网络 ...

8. ResNet网络详解与keras实现

   ResNet网络详解与keras实现 ResNet网络详解与keras实现 Resnet网络的概览 Pascal_VOC数据集 第一层目录 第二层目录 第三层目录 梯度退化 Residual Lear ...

9. IFM网络详解及torch复现

   文章目录 IFM网络详解 网络结构代码 训练代码 main IFM网络详解 https://mp.weixin.qq.com/s?__biz=Mzk0MzIzODM5MA==&mid=2247 ...

最新文章

1. php 长短字符串转换,将php的数组按照字符串长短进行排序
2. 那个博士生以死控告的教授，被ACM撤销了会员资格
3. leetcode - 4Sum
4. Dataset之Knifey-Spoony：Knifey-Spoony数据集的简介、下载、使用方法之详细攻略
5. linux编译安装的报错,linux编译安装时常见错误解决办法
6. HTML参考系列(1)－文本格式化标签
7. 词法分析程序实验报告
8. linux shell 获取系统当前时间 毫秒
9. Mybatis通过原生sql查询Map结果集注意事项
10. git安装包百度网盘下载
11. xp系统itunes无法连接服务器失败,xp系统iTunes无法连接到iTunes store的修复步骤
12. 付费推广的投入产出比达到多少才合理？
13. window用户切换
14. Qt 实现按钮点击切换按钮图片
15. 如何查找app启动页面
16. 精读：REDQUEEN: Fuzzing with Input-to-State Correspondence
17. Python函数进阶（11）
18. tpproxy-tcp透明代理
19. 【02】中国县区以上行政区划经纬度坐标
20. 微型计算机原理及应用考题,2008年1月全国自学考试微型计算机原理及应用试题...

热门文章

1. 【转】推送消息推送机制
2. 个推-消息推送工具类
3. 为什么说社群团购时代来临了？
4. windows html封装,怎样win7自带的sysprep封装系统
5. Hadoop性能调优全面总结
6. 【Android studio】使用小米手机（MIUI8）真机调试
7. 基因编辑最新研究进展（2021年8月）
8. Allegro阻抗分析指导书
9. 创建一个背景色为蓝色的Pygame窗口
10. 2022款Thinkphp家政上门预约系统-全开源系统源码