2019 年 4 月,Gartner 首次推出零信任网络访问(ZTNA)的概念。研究发现,ZTNA是网络安全中增长最快的部分,预计到 2023 年将增长31%。Gartner 预测,到 2025 年,至少 70% 的远程访问部署将依赖 ZTNA 而不是 V**。
ZTNA 可根据已定义的访问控制策略对应用程序和服务进行远程安全访问。与V**不同,ZTNA 默认拒绝对LAN的完全访问,仅提供对用户明确授予服务的访问权限。简单来说,ZTNA 不相信任何内容,认为没有网络分段是生来安全的,其通过基于身份的验证来建立信任并提供访问,同时保持IP地址的隐藏。
ZTNA 是如何工作的?
ZTNA 架构包含几个组件:
SDP 代理:仅允许出站连接,以确保网络和应用程序对未授权用户不可见,代理可以是设备或云服务。
云网关:云部署的全球分布式网关安全连接至企业网络和云/SaaS 目的地。
客户端:用于最终用户设备的 SASE 客户端软件,还提供无客户端部署。
身份验证服务:与企业的现有用户、设备凭据管理和身份验证服务进行互动。
自我管理门户:提供对用户和应用程序的管理可见性和控制权。
传输:有线、无线、移动数据互联网或内部网连接。
与以网络为中心的解决方案不同,ZTNA 技术提供对特定应用程序的安全访问。这些安全解决方案基于四个核心原则工作:
#
最低权限原则
每个用户都拥有执行任务所需的最低权限级别,防止未经授权的用户访问敏感数据。
#
微分段
将网络划分为多个区域,为不同的区域定义不同的安全策略。
#
多因素身份验证
需要用户使用两种不同的方法来验证其身份。
#
监控
持续监控是 ZTNA 的另一个关键部分。零信任网络访问使用高级分析来监控网络和应用程序中的用户行为,当检测到异常行为时,会拒绝访问。
ZTNA 通过多种方法应用这些原则:
将应用程序与公共互联网隔离: ZTNA 的特点之一是将应用程序访问与网络访问隔离,并且仅授予经过验证的用户对特定应用程序的访问权限。
对未授权用户隐藏应用基础设施: ZTNA 确保对未授权用户隐藏网络和应用基础设施,不会将 IP 暴露给公共互联网。
在应用层代理的访问:与其他解决方案不同,ZTNA 访问发生在应用层。这意味着可以仅根据需要授予用户对应用程序的访问权限。
持续监控和自适应执行:当用户获得访问权限时,访问控制不会停止。ZTNA 解决方案将提供自适应身份验证,在整个会话期间都会检查用户的授权。
ZTNA vs. VPN vs. SDP vs. SASE/SSE
ZTNA 与 VPN
VPN 控制对网络的访问,而不是网络上的单个资源。VPN 是基于设备的,这意味着通过 VPN 控制器的访问后,也将被允许访问其背后受保护网络上的所有资源。传统上,如果要实现多个隔离环境,需要为每个环境配备一个 VPN 控制器,彼此分开管理。
相比之下,ZTNA 将通过一个策略引擎管理对所有资源集的访问,并通过同一组策略执行集合执行这些策略。
ZTNA 与 SDP
ZTNA与SDP ( 软件定义边界 ) 都有相同的目标:只有当策略明确允许数据包流动时,才允许数据包在网络实体之间流动。它们之间的区别很小,因此可以将 ZTNA 视为 SDP 2.0。
ZTNA 与 SASE/SSE
SASE 是一个更广泛的概念,ZTNA 只是SASE和SSE(安全服务边缘)相关的主要功能支柱之一。SASE 还包括云访问安全代理功能、安全 Web 网关功能、防火墙即服务功能和 SD-WAN 功能。
ZTNA厂商
国内外,从零信任政策及标准逐步落地,到互联网科技巨头厂商积极布局,市场逐渐开始内卷,收购兼并成为目前市场的主旋律。以下是一些零信任市场的玩家盘点(排名不分先后):
国 内
阿里云
阿里云远程办公零信任解决方案以可信、动态为核心,经过可信认证体系的IP、设备、应用,在进入办公网络进行权限获取和数据调用时,凭借可信认证获取权限,实现动态安全检测防护。
整个方案包含了三大核心模块:远程终端安全管理、云端动态决策管控、统一可信网络。
华为
华为HiSec零信任安全解决方案基于持续验证、动态授权和全局防御的三层架构,可以实现风险多维度精准评估、动态授权秒级响应、全局威胁自动化闭环处置。
腾讯
2020年6月,在中国产业互联网发展联盟标准专委会指导下,腾讯联合多家零信任机构企业联合成立“零信任产业标准工作组”。2021年5月,腾讯发布零信任安全解决方案(腾讯iOA),分为KA版、SaaS版和轻量版三种类型。其中,KA版采用集群部署形式,满足大型企业的零信任安全体系建设需求;SaaS版特别适配企业微信安全访问内网应用场景;轻量版则聚焦于提供轻量、高效的零信任安全接入能力,主要适用于远程安全运维、移动办公等业务场景。
深信服
深信服零信任访问控制系统aTrust,是深信服基于零信任安全理念推出的一款以“流量身份化”和“动态自适应访问控制“为核心的创新安全产品。产品通过网络隐身、动态自适应认证、终端动态环境检测、全周期业务准入、智能权限基线、动态访问控制、多源信任评估等核心能力,满足新形势下多场景的企业应用安全访问需求。
同时,aTrust是零信任安全架构整体解决方案的核心组成部分,支持对接态势感知等多种安全设备,安全能力持续成长,助力客户网络安全体系向零信任架构迁移,帮助客户实现流量身份化、权限智能化、访问控制动态化、运维管理极简化的新一代网络安全架构。
核心能力:
奇安信
奇安信零信任身份安全解决方案通过以身份为基石、业务安全访问、持续信任评估和动态访问控制这四大关键能力,对所有访问请求进行加密、认证和强制授权,汇聚关联各种数据源进行持续信任评估,并根据信任的程度动态对权限进行调整,从而在访问主体和访问客体之间建立一种动态的信任关系。
天融信
天融信零信任网络访问解决方案融合零信任业务安全策略控制服务系统、零信任应用代理系统、零信任身份服务系统、零信任服务代理系统、零信任审批中心系统等产品,从控制层面提供机动灵活的安全策略控制,并不断从持续监控中获得访问主体的信息,及时动态调整数据平台的访问策略,强化访问过程的安全。
启明星辰
启明星辰在国内外零信任架构的基础上,结合IAM、SOC、访问代理和大数据分析等领域十多年的积累,形成了其自身特点的零信任架构。架构的左边是访问主体,终端包括主机、PC、移动和物联网。在访问企业资源时,需要通过零信任架构核心组件中的身份与访问控制、风险管理中心、策略中心和访问代理中的各种能力,授予应用资源、系统资源和数据资源客体的访问权限。
启明星辰零信任架构特征:
绿盟
绿盟科技零信任安全解决方案,遵循零信任安全理念,组合终端安全,身份识别与管理,网络安全,应用和数据安全,安全分析协作与响应等模块,构建以用户信任和设备信任为基础,持续评估访问过程的行为可信,自适应访问控制的零信任安全架构。
特性:
国 外
Akamai
Akamai 在 ZTNA 类别中的核心产品是 Enterprise Application Access (EAA) 和 Enterprise Threat Protector (ETP)。Akamai EAA旨在支持随时随地安全地远程访问内部资源,它是一种身份识别代理。EAA 使组织能够在需要时从任何地方为正确的用户提供对正确应用程序的正确访问权限。
Akamai ETP是一种安全 Web 网关 (SWG),用于保护云中的应用程序免受网络钓鱼、恶意软件、零日攻击和其他威胁。
在Akamai的零信任安全方案里,远程访问不再需要VPN设备。通过反向代理的方法,结合身份管控模式,可以将用户在内部或在云端的应用进行反向的代理控制,把应用的访问主动推送到一个平台上,这个平台实际上就成为了终端用户访问的接口。原来用户直接向企业应用的访问被拆分成用户向平台的访问和内部connector向平台的访问两种。经此拆分,Akamai可以通过其智能边缘平台的能力化解黑客网络攻击。
Zscaler
Zscaler Private Access是一个基于安全服务边缘框架的云原生服务,旨在为在本地或公共云中运行的企业应用程序提供直接连接。该服务包括防止未经授权的访问,确保应用程序只能通过平台访问。对企业应用程序的访问仅限于获得授权并通过身份验证的用户,才能访问特定应用程序或服务。
特性:
Cloudflare
Cloudflare 的 ZTNA 产品是一项托管服务,旨在为组织提供一种使用通用策略替换 VPN 连接的方法,该通用策略允许用户基于身份和上下文访问内部应用程序。该服务允许组织以两种方式连接到公司资源。一种是通过设备上的客户端模型访问非 HTTP 应用程序、路由到私有 IP 地址、 IP 地址和远程桌面协议 (RDP) 连接。
另一种模型是无客户端的,Web 浏览器用于连接到 Web、安全外壳协议 (SSH) 和虚拟网络计算 (VNC) 应用程序。
访问公司资源的请求通过 Cloudflare 的 Anycast 网络私下路由,在该网络中,使用有关用户身份、设备和其他基于上下文的数据的遥测,根据零信任规则对它们进行评估。对于用户身份验证,Cloudflare Access支持多种身份和访问管理平台,包括 Azure Active Directory、Okta、Citrix、Centrify 和 Google Workspace。
Appgate
Appgate 的 ZTNA 产品称为 AppGate SDP。与其他零信任访问技术一样,AppGate SDP 使用设备、身份和基于上下文的信息(例如访问请求可能来自何处)来提供对企业资源的最低特权访问。Appgate SDP架构专为混合、多云和本地企业而设计,由两个核心组件组成,可以作为服务或自托管设备使用。
其中核心组件之一是 Appgate SDP 控制器,它充当策略引擎和策略决策点。SDP 控制器为寻求访问企业资源的用户管理诸如用户身份验证、访问策略和权利等任务。
AppGate SDP 的特性包括:
思科
思科是网络领域的佼佼者,近年来通过一系列收购展现了其在安全领域的雄心壮志。尤其是2018年对Duo Security 的收购大大增强了思科安全产品的功能。此外,结合思科的网络和设备工具,针对分析和云负载的新产品以及Duo对用户和端点的关注,支持多组件、部署和易用性成为了整个产品组合的特点。
收购后的思科推出了多项先进的零信任功能,例如跨网络、用户和设备的自动安全更新。它的功能倾向于管理员的高安全性和最终用户的高可用性。思科主张因地制宜而非一刀切式地进行安全性管控,通过思科零信任安全成熟度模型制定思科零信任框架,保护企业三大关键领域,且系统性地解决安全问题:
Citrix
Citrix 的Secure Private Access是一种云交付的 ZTNA 产品,该服务定位为给组织提供一种实施自适应身份验证和访问策略的方法,这些策略可以根据位置、行为和设备等因素控制用户访问的内容。
Citrix Secure Private Access利用新的自适应身份验证、访问策略以及安全控制措施(包括水印、防止剪贴板访问、防止键盘记录器、屏幕捕获恶意软件的攻击以及浏览器隔离等),使员工能够以一致、可靠的方式实现对所有应用程序和数据简单、可关联到上下文环境的访问,从而发挥出最佳工作状态。通过使用该服务,IT 部门能够:
Forcepoint
Forcepoint 的 ZTNA 产品是其Forcepoint ONE平台的一部分,该平台还包括 Forcepoint 的云访问安全代理 (CASB) 技术及其安全 Web 网关 (SWG) 服务。
Forcepoint的ZTNA产品可以让企业无需代理即可访问本地数据中心和云端的私有应用程序;拥有托管和非托管设备的用户可以通过浏览器快捷方式或通过Ping Networks和Okta等单点登录门户网站,连接到企业应用程序。Forcepoint还为使用传统架构和胖客户端的企业提供基于代理的方案。
企业可以选择添加Forcepoint的CASB和SWG以支持其实施的ZTNA。CASB组件有助于保护和简化SaaS和IaaS租户的访问,同时防止恶意软件攻击和敏感数据泄露等。企业可以使用Forcepoint的SWG,根据风险和可疑活动等因素来监控与网站之间的交互。
Palo Alto Prisma® Access
从 2018 年到 2020 年,Palo Alto Networks收购了至少9家零信任和安全公司,并将不同公司提供的不同的安全解决方案与添加自己的内容相结合,打造了完整的零信任组合。
2021年6月,Palo Alto Networks宣布,作为The Forrester Wave 2020年第三季度零信任扩展生态系统平台供应商的领导者,Palo Alto Networks推出SaaS安全、高级URL过滤、DNS安全、云身份引擎和新型机器学习防火墙五项创新功能,让企业能够轻松、有效地实施零信任网络安全,并获得四项重要优势:
* 原文链接:
https://www.techtarget.com/searchnetworking/tip/The-basics-of-zero-trust-network-access-explained
https://www.networkworld.com/article/3663011/who-is-selling-zero-trust-network-access-ztna-and-what-do-you-get.html?page=2
【转载须知】
若转载文章为原创文章,可在相应文章下或公众号后台留言;其他非转载类文章须在文首以不小于14号字体标明转载自SDNLAB。
【投稿】
欢迎智能网卡/DPU、SDN、SD-WAN、确定性网络、TSN、5G、网络切片等网络方向的观点类、新闻类、技术类稿件。
投稿邮箱:pub@sdnlab.com
详情请参考:SDNLAB原创文章奖励