您好!欢迎光临云杰通信官网,本公司专业提供企业网络优化、企业MPLS-VPN、SD-WAN加速上网等网络接入服务。
服务热线:13631779516

企业网络优化专家

智能网络互联综合解决方案

行业知识 NEWS

云杰通信助您了解行业,全方位掌握国际互联网最新资讯

您当前的位置:首页 > 资讯中心 > 行业知识

什么是零信任网络访问(ZTNA)?

2020-08-26 12:12云杰小编阅读:231

什么是零信任网络访问(ZTNA)?

零信任网络访问(ZTNA)是一种安全体系结构,其中仅将来自经过身份验证的用户,设备和应用程序的流量授予组织内其他用户,设备和应用程序的访问权限。

作为身份验证过程的一部分,任何流量或流量来源都不会受到恶意意图的信任。除未知的互联网流量外,来自已知设备和应用程序的所有流量均受到同等怀疑。

一、零信任网络访问原则

ZTNA哲学最重要的方面是零信任的概念。这个概念可以用经常引用的短语“永远不要信任,永远要验证”来概括。基本上,管理员及其系统在未经检查恶意内容的情况下,切勿让任何人查看或访问设备,应用程序或网络。这意味着这些元素的内容对黑客和恶意程序是隐藏的。

零信任原则与传统的安全性方法背道而驰,在传统的安全性方法中,仅因为用户,设备和应用程序在网络范围内而被认为是安全的。

具有隐式信任的网络外围方法存在弊端。黑客需要做的就是穿越边界,使网络自由横向移动,并访问许多设备甚至数据库上的数据。还有一个内部威胁问题,即已经受到信任的个人可以滥用信任并访问他们不应该访问的应用程序或数据。

类似于ZTNA的另一种哲学是最小特权原则。本质上,该原则规定应仅向用户授予他们有效执行工作所需的对应用程序,数据和资源的访问权限。

ZTNA和最低特权原则都依赖于用户,设备和应用程序身份。当ZTNA软件知道这三个中的任何一个时,它们将被授权进行网络访问。在某些情况下,用户,设备和应用程序具有相同或相似的角色或功能时会被分组。

二、ZTNA体系结构

ZTNA有两种主要架构:端点启动的ZTNA和服务启动的ZTNA。端点启动的ZTNA的特点是在用户设备上使用代理。服务启动的ZTNA的特点是基于云。

在组织开始使用ZTNA之前,它必须为其员工,他们的设备以及他们使用的应用程序创建一组身份。可以提供帮助的一些工具是身份访问管理(IAM)和单点登录工具。

设置好身份后,就可以制定与身份有关的策略,以限制每个员工和设备对组织网络和应用程序的访问。

三、端点启动的ZTNA

根据Gartner的“ 零信任网络访问市场指南 ”,端点发起的ZTNA接近Cloud Security Alliance的软件定义边界(SDP)规范。ZTNA是SDP的一种,它在用户,设备和应用程序周围创建较小的边界,并进行了虚拟化。

端点启动的ZTNA中的信息传输过程如下,从上面提到的用户设备上的代理开始。代理将用户的安全上下文发送到ZTNA控制器。安全上下文包括地理位置,时间或日期。例如,上下文可以告诉ZTNA控制器什么是用户是否正在尝试从台式PC和来自不同国家/地区的移动设备访问应用程序,这意味着这些设备之一受到了损害。

ZTNA控制器还查看用户和设备的身份,以确定它们是否被识别以及用户是否正在请求访问他们被授权访问的应用程序。如果没有红色标记,则对用户和设备进行身份验证。然后,控制器将连接授予网关,网关可以是能够执行多种安全策略的下一代防火墙(NGFW)。网关可以防止应用程序直接从Internet访问。

授予访问权限后,流量可以通过端到端加密连接前往网关,然后转到应用程序。在一般的ZTNA体系结构中,网关描绘在网络的中心。

四、什么是零信任网络访问(ZTNA)?

零信任网络架构的此图将网关放置在网络的中心,各种元素在连接到彼此或公共互联网之前都先与它连接。每个元素都在其自己的外围。

五、服务启动的ZTNA

同样根据Gartner市场指南,由服务启动的ZTNA与Google BeyondCorp技术类似。服务启动的体系结构基于云,并且不需要将代理放在设备上。

在Gartner的描述中,使用的是连接器而不是控制器。该文件没有解释差异。无论如何,连接器都与应用程序存在于同一网络上,并维持与应用程序云的连接。

请求访问该应用程序的用户将通过云中的服务进行身份验证,然后通过身份管理产品(如单点登录工具)进行验证。此时,用户现在可以访问应用程序的代理,从而使应用程序免受直接访问和攻击。

六、零信任网络访问:要点

零信任网络访问(ZTNA)的概念在2010年由John Kindervag巩固,他当时是Forrester Research的副总裁兼首席分析师。

1.用于描述ZTNA方法的最常用短语是“永远不要信任,永远要验证”;

2.ZTNA的理念是最低特权原则,软件定义的边界以及高级安全工具和策略的结合;

3.ZTNA有两种主要的体系结构:端点发起的和服务发起的;

4.端点启动的ZTNA使用设备代理,而服务启动的ZTNA使用云。


文章标题:《什么是零信任网络访问(ZTNA)?》

作  者:云杰小编。本文部分资料来源于网络,转载目的在于传递更多信息及学习参考:https://www.gdyunjie.cn/showinfo-114-2860-0.html

主要业务
企业专线网络MPLS-VPNSD-WAN云专线
行业解决方案
跨境电商智能制造业互联网医疗国际教育
关于我们
公司简介服务支持商务合作联系我们
热门专题:阿里云专线多少钱一年阿里云专线价格表阿里云专线申请阿里云专线服务器阿里云专线价格阿里云专线接入专线和阿里云阿里云专线云专线广域网特点广域网接口什么是广域网广域网优化广域网访问广域网加速广域网协议广域网端口无线广域网局域网广域网广域网上海iplc网络建设MPLS-VPN网络远程组网网络加速视频会议ebayAliExpresAmazonInstagramTwitterFacebookgooglevklineSkypeWhatsAppzoom视频会议网站加速mpls iplc 价格mpls专线价格mplsvpn专线sdn和sdwansdwan公司sdwan价格电信sdwan免费sdwan东莞mplsvpnsdwan安装sdwan电信sdwanmpls华为mpls配置三层mplsmpls工作
Copyright @ 版权所有2012-2019 广东云杰通信有限公司 粤ICP备18062193号-2

在线咨询

在线咨询真诚为您提供专业解答服务

咨询热线

13631779516欢迎致电咨询

微信咨询

二维码微信扫一扫咨询
返回顶部