新闻资讯

专注深耕企业数字网络领域,致力于助力企业数字化转型

无缝集成零信任网络访问方案,凌锐蓝信网络安全体系再增强

发布时间:2021-06-04
浏览:978

1.     什么是零信任网络访问(Zero Trust Network Access,ZTNA)?


零信任是一种安全模型,该模型是由Forrester Research Inc.的前首席分析师约翰·金德瓦格(John Kindervag)于2010年创建的。零信任安全概念的核心是公司永远不应该自动信任任何人、设备、系统和应用,无论它们是在公司网络内部还是公司网络外部,而是应该基于认证、授权和加密等技术构建动态访问控制机制,实现对访问主体的信任评估进行动态调整。零信任架构不是在企业网络边界上进行粗粒度的访问控制,而是对企业的人员、设备、应用、数据之间的所有访问请求进行细粒度的访问控制,并且访问控制策略需要基于对请求上下文的信任评估进行动态调整,是一种应对IT网络中已知和未知威胁的新型“内生安全机制”。这与传统安全解决方案(如虚拟专用网络VPN)提供的方法截然不同,VPN允许用户具有对整个目标网络的所有访问权限。


零信任网络访问(ZTNA)解决方案,也称为软件定义的边界(SDP),旨在实施和执行公司的零信任策略。ZTNA围绕一个或一组应用程序创建基于身份和上下文的逻辑访问边界,应用程序不会被发现,并且通过信任代理将访问权限限制为一组访问主体。信任代理验证用户的身份、上下文和策略遵守情况,授予用户一定的权限,然后才会允许用户访问。这样,就将应用资产在网络中隐藏起来,大大降低了网络风险和威胁暴露面。


      2.     ZTNA如何实施?


ZTNA通过身份和权限管理、业务安全访问、持续信任评估、动态访问控制等功能模块构建了一组相互交互的核心架构组件,实现了确保用户只有在合法和需要时才可以访问应用程序等公司资源。用户的权限是根据角色设计的,这些角色会将员工映射到他们在公司中的职位。当用户尝试访问网络时,第一步是身份验证。ZTNA解决方案将验证用户的身份,并将该身份链接到他们在公司系统的角色集合中。ZTNA通过确保访问公司资源的所有流量都通过ZTNA系统来实施访问控制。随着流量进入ZTNA系统,流量将根据预定义的访问控制策略被允许通过或被阻止。

图1.png


                                                                                                                                      图1:ZTNA逻辑架构图


3.     ZTNA的应用场景


ZTNA使公司能够在其网络系统内实施零信任安全架构,可以应用于业务访问、数据交换、服务网格等多种应用场景,通过最小权限、动态授权、精确访问控制、细颗粒度隔离管控等手段,持续、不间断改善公司的安全态势。

  • 安全的远程访问

由于新冠疫情的原因,不少公司已经要求大部分或全部员工远程工作。许多公司在使用VPN来实现远程办公。但是,VPN具有许多局限性,包括不可伸缩性和缺乏集成的安全性。而VPN的最大问题是,经过身份验证的用户具有对整个网络的完全访问权限,这增加了公司遭受网络攻击的风险。ZTNA实现了更加安全的远程访问,使远程员工仅具有对其工作需要的网络资源的访问权限。

图2.png


图2:ZTNA安全远程访问架构图


  • 安全的云访问

很多公司都在采用云计算和SaaS应用,其中不少企业同时使用多个云平台。为了减少攻击面,需要限制用户对这些云端资源的访问。ZTNA使公司可以根据业务需求限制其员工对云资源和应用程序的访问。ZTNA解决方案可以为每个用户分配一个角色,并赋予其访问公司云端资源的适当权限。

图3.png

图3:ZTNA安全云访问架构图


  • 最小化账户泄露风险

网络犯罪分子试图通过窃取或猜测用户的账户信息,来盗取合法用户的账号,并使用它们以合法用户身份验证登录,这就为攻击者提供了与合法用户相同的系统级别访问。实施ZTNA有助于最大程度地减少攻击者使用盗取账号可能造成的损害,因为攻击者在公司的网络系统中横向渗透的能力受到ZTNA系统分配给用户账号的权限限制。


4.     如何部署ZTNA?


ZTNA功能可以通过多种不同方式在公司的网络系统内实现:


  • 网关集成

ZTNA功能可以集成到网关中。任何尝试通过带有网关设备的网络边界的流量都将根据预定义的访问控制策略进行过滤。


  • 安全的SD-WAN(软件定义广域网)

SD-WAN在企业的WAN上实现了优化的网络连接,而安全的SD-WAN将安全功能集成到SD-WAN边缘设备上。ZTNA可以作为一个安全功能模块,来提供集中式的访问控制。


  • SASE(安全访问服务边缘)

SASE将网络和安全功能(包括ZTNA)结合在一起,作为虚拟设备托管在云中,使公司可以最大化网络连接效率和安全性,是一种全新的云原生网络安全架构。


5.     总结


在公司网络中部署ZTNA将大大降低公司所面临的网络安全风险。通过将用户的访问权限限制为执行其职责所需的、基于角色的最小权限,公司可以减少恶意内部人员或外部黑客盗取合法用户账号可能造成的危害。而且,部署ZTNA不需要改变现有网络架构,并可以采用多种不同的方式来实现,包括将ZTNA功能作为独立解决方案集成到现有安全设备中,或者作为用SD-WAN或SASE取代VPN的数字化转型计划的一部分。

图4.png图4:凌锐蓝信ZTNA解决方案架构图

凌锐蓝信作为国内最早的SD-WAN提供商之一,非常重视网络安全,在已经内嵌构建了下一代防火墙(NGFW)、入侵检测/防御系统(IDS/IPS)、分布式拒绝服务攻击(DDoS)、网络防病毒(Anti-Virus)等立体网络安全防护体系的基础上,又成功的把ZTNA解决方案集成到了我们的SD-WAN和SASE产品中。可以为企业打造随时随地、在任何云网端边进行安全接入与访问的防御体系,帮助企业在例如本地互联网接入、云端SaaS访问、分支机构互联等网络数字化转型过程中,实现网络隐身、动态信任,深度防范安全风险。