零信任不仅是一个流行词汇,而是安全的必要措施,零信任网络访问(ZTNA)可以保护你的企业免受现代威胁并确保无缝的远程访问。
零信任网络访问(ZTNA)是一种安全模型,遵循“永不信任,始终验证”的原则。与依赖传统网络边界安全不同,ZTNA要求所有访问请求,无论其来源,都必须经过严格验证后才允许访问,这意味着每个用户、设备和应用程序都必须持续进行身份验证和授权,以确保只有具备合法凭据的人才能访问网络资源。
“零信任”这一术语在十多年前由Forrester Research的一位分析师提出,并迅速在行业内获得广泛认可。随后,商业化的零信任安全解决方案逐渐出现,其在全球各行业的采用率稳步上升。
ZTNA近年来的日益流行,特别是在全球疫情之后,可以归因于工作环境的变化。如今,员工经常在不同地点、使用各种设备远程访问公司网络、应用程序和数据。这一趋势,加上对云服务和数字化转型的日益增长的需求,使得传统的基于边界的安全模型失效。
例如,许多银行客户已经多年没有去过实体网点,为什么呢?因为互联网和移动银行的功能和便利性让实体网点对大多数人来说变得无关紧要,这些后台技术的实现依赖于云计算和开放银行带来的能力。
旧有的静态安全方法,即盲目信任网络内部实体并不信任外部实体,已经无法有效保护现代企业。为应对这一挑战,需要一种新的框架,该框架关注用户身份、设备、应用程序、数据和网络的安全,提供持续、动态和安全的访问,这正是ZTNA的作用所在。
ZTNA不是独立的解决方案
零信任是一个综合框架的一部分,该框架涵盖了用户身份、设备、应用程序、数据和网络安全。作为首席信息安全官(CISOs),评估我们在这些领域的当前状况,了解现有的访问控制机制,并确定如何进行初始和持续的验证至关重要。优先考虑关键资产的ZTNA实施,以及创建用户友好、以客户为中心的安全体验,是ZTNA成功的关键。
那么,ZTNA如何帮助我们满足支持远程工作和推动数字化转型的需求呢?虽然数字化转型通常涉及技术进步,但它始于文化的变革,并涵盖基础设施、治理、业务运营、客户互动等多方面的变化。ZTNA是这一变革旅程中的关键组成部分,事实上,它是驱动整个旅程的引擎!
重要的是,不要仅将ZTNA视为远程工作的解决方案。在疫情之前,世界已经日益互联,ZTNA为这个全球村庄提供了基础性的理念。自疫情以来,随着越来越多的人群开始远程工作,ZTNA的重要性也呈指数级增长。
ZTNA增强了从用户身份、设备到应用程序、数据和网络的全面安全性。通过持续演进和适应,ZTNA提供了一种动态且强大的访问控制方法。
让我们看看一些行业中ZTNA实施的真实案例。
案例一:ZTNA在多云访问控制中的应用
越来越多的企业采用多云策略,以利用多个云环境的优势。安全访问这些环境中的资源已经成为一项关键需求。零信任网络访问(ZTNA)通过实施最小特权访问控制,并考虑用户身份、设备状态和位置等上下文因素,提供了解决方案,这确保了用户只能访问其被授权的云资源。
根据Symantec的报告《ZTNA在多个数据中心的应用》所述,一家总部位于伦敦的国际金融科技公司,专注于为金融机构提供软件即服务和分布式账本技术,该公司成功实施了ZTNA解决方案,以确保其多云环境的安全访问,该公司复杂的监管环境要求对其在英国、美国及其他地区运营的敏感客户数据进行严格控制。
通过用ZTNA解决方案替代传统VPN,该公司实现了基于身份的访问控制,并与现有的身份和访问管理(IAM)解决方案无缝集成,该部署无需终端代理,即可简化对Web门户、API和各类服务器的访问,提升了其全球基础设施的安全性、治理和运营灵活性。
案例二:ZTNA支持BYOD政策
疫情加速了“自带设备”(BYOD)政策的采用,员工可以随时随地使用任何设备连接到企业网络。ZTNA为个人设备提供了安全的、无需代理的企业应用程序访问,支持BYOD的实施。
根据SentryBay的白皮书《在零信任框架中优先考虑安全以成功实现BYOD》所述,一家北美保险公司面临着数以万计的远程代理使用公司笔记本电脑所带来的高昂成本和合规挑战。为降低开支,他们采用了BYOD策略并部署了虚拟桌面基础设施(VDI)系统,然而,这也引入了新的终端合规性风险。
该公司实施了ZTNA解决方案来保护VDI客户端,确保符合PCI DSS(支付卡行业数据安全标准)的要求,该产品通过单点登录(SSO)和基于证书的设备验证来安装,将不受管理的设备转变为安全的终端,这一方法降低了资本支出,简化了设备管理,确保了合规性并保护了客户数据。
案例三:ZTNA满足监管和合规要求
尤其是受法规约束的企业,必须符合各种合规性和监管要求,包括严格的访问控制、详细的审计日志和安全分析。传统的安全解决方案往往缺乏所需的精细控制和文档记录来满足这些要求。ZTNA提供了细粒度的访问控制、详细的日志记录和实时的安全分析,从而解决了这些挑战。
正如前文提到的SentryBay白皮书中所强调的,一家全球性投资银行在应对数千名远程员工访问公司网络时,现有的安全解决方案难以满足金融合规要求,为了解决这些问题,该银行用ZTNA解决方案替代了之前的方案。
这款ZTNA解决方案为最初的7000个终端设备提供了高度定制的安全配置文件,后来扩展至20000个终端,这一方案确保了对全球金融监管机构的全面合规,同时减少了支持电话的需求,消除了对新公司笔记本电脑的需求。ZTNA解决方案的无缝部署在全球范围内保护了远程员工,通过专利技术在内核级别抵御键盘记录和屏幕捕获,有效保护了敏感的金融数据。
评估ZTNA旅程的成功涉及与全球网络安全战略的对齐
零信任已在全球范围内获得显著认可,美国和新加坡等国家将其纳入了国家网络安全计划。新加坡2021年的网络安全战略强调了零信任方法在保护政府机构系统和数据中的重要性。在美国,2023年4月发布的CISA零信任成熟度模型2.0版本进一步展示了ZTNA的日益普及和广泛采用,这一全球趋势表明,ZTNA原则的意识和实施正在成功提升。
ZTNA的采用在不同企业之间存在显著差异,一些企业处于早期阶段,另一些则更为先进,已经有明确且实施到位的控制措施。ZTNA旅程的成功无法通过单一标准来衡量,应该根据每个企业的具体性质、规模和运营情况进行定制。
因此,回顾一下,以下是考虑ZTNA时的一些实用建议:
• 评估你当前的安全状态和ZTNA的成熟度。
• 确定关键资产(系统、数据、人员、业务流程等),并根据企业的独特特征优先实施ZTNA。
• 记住,ZTNA是一个持续的过程。应优先考虑持续的监控、调整、创新、自动化以及用户和客户体验的改进。
在当今世界,安全不再是奢侈品,而是必要条件。每个企业,无论是初创公司还是全球性企业,都必须致力于保护其员工、客户和声誉。随着AI继续推动技术和业务的变革,零信任网络访问变得更加关键。
想一想:AI推动增长的潜力无可否认,但企业的未来也取决于其应对数据泄露、勒索软件、网络钓鱼和深度伪造等威胁的能力,一套强大的ZTNA解决方案是面对这些挑战时的坚实基础。