/ 解决方案 / 安全访问 / 什么是零信任安全?ZTNA的好处

什么是零信任安全?

零信任安全性是默认情况下不信任任何人的安全模型。在零信任模型中,任何试图访问公司网络的人都必须通过多因素身份验证(MFA)等机制进行持续验证。这种企业安全体系结构使用这些技术来严格控制访问并防止数据泄露。

探索附加的零信任安全主题:

零信任安全的历史是什么?

零信任安全模式的起源至少可以追溯到21世纪初,当时一套类似的网络安全概念被称为去边界化。Forrester分析师John Kindervag最终创造了“零信任安全”这个词。2009年左右,谷歌创建了BeyondCorp的零信任架构,以应对Aurora网络攻击,其中涉及传统网络安全架构无法解决的高级持久威胁(APTs)。

零信任架构概述

零信任体系结构的核心逻辑本质上是“不要信任,总是验证。”在一个充满复杂网络安全威胁的世界里混合的劳动力zero trust security(简称ZTNA)配备了大量应用程序和设备,旨在通过从不假设请求来自可靠来源(即使来自公司防火墙)来提供全面保护。一切都被视为来自一个不安全的开放网络,而信任本身被视为零信任框架内的一种责任。

零信任安全也可以称为无边界安全。这个术语表明了它是如何与传统安全模型背道而驰的,传统安全模型遵循“信任但验证”的原则,并将公司网络范围内或通过虚拟专用网(VPN)连接的已经过身份验证的用户和端点视为安全的。但这种隐性信任增加了内部威胁造成的数据丢失的风险,因为它允许在网络上进行广泛的、不受限制的横向移动。

相反,零信任体系结构是建立在以下基础上的:

明确验证和持续验证

必须实时并持续地对网络用户进行身份验证、授权和验证,以确保他们始终拥有适当的特权。许多数据点,如用户身份、地理位置和设备姿态,都可以用于此目的。一次性验证用户身份已经不够了。

最低特权访问

零信任安全性强制执行最小特权原则,因此默认情况下,身份只能获得最低级别的网络访问权限。与网络微分段和自适应访问等其他网络安全实践相结合,最低特权访问极大地限制了零信任安全模型中的横向移动。

为什么零信任安全很重要?

零信任数据安全非常重要,因为它是最可靠的网络安全框架,用于防御跨复杂it环境的高级攻击,动态工作负载经常在地点和设备之间移动。零信任体系结构尤其重要多云混合云部署变得更加普遍,并扩大了公司使用的应用程序的范围。

事实上,随着典型组织中端点数量的增加和员工使用拜厄德对于个人设备访问云应用程序和公司数据,传统的网络安全方法无法可靠地阻止坏人的访问。从那时起,已经通过VPN连接到公司网络的恶意内部人员将被信任,即使他们的行为不寻常——例如,他们下载了大量数据,从一个未经授权的位置访问,或访问了他们以前从未尝试过的登录。

相反,零信任模型总是评估网络上的每个身份的风险,密切关注实时活动。这种方法的核心是最小权限访问的概念,这意味着每个用户只获得执行手头任务所需的访问权限。零信任框架从不认为身份是可信的,因此要求它在被允许通过网络之前证明自己。另一种认为零信任安全性的方法是将其视为软件定义的周界,它不断扩展和演变,以保护应用程序和敏感数据,无论用户、设备或位置如何。

解决方案简介

VPN连接的安全性如何?

了解传统VPN解决方案与零信任安全性的区别,以及为什么强大的VPN替代方案可以使您的业务受益。

阅读解决方案概要

零信任安全的好处是什么?

零信任模型的主要好处是:

  • 通过关闭安全漏洞和控制网络上的横向移动,可以更好地降低风险
  • 改进了对移动和远程员工的网络安全和支持
  • 对应用程序和数据提供强大的保护,无论它们是在云中还是在本地数据中心
  • 可靠的防御勒索软件,恶意软件,钓鱼攻击,和先进的威胁

零信任架构是如何工作的?

如果实现得当,零信任安全模型将与向公司网络发出的所有请求相关联的行为模式和数据点紧密匹配。零信任安全解决方案可能会基于以下标准授予或拒绝访问:

  • 用户身份
  • 地理位置
  • 一天中的时间
  • 操作系统和固件版本
  • 设备的姿势
  • 端点硬件类型

有效的零信任安全将高度自动化,其保护可能通过云和/或内部部署实现。身份提供者和访问管理是任何零信任框架的关键组件,因为它们提供了各种关键措施,例如:

  • 自适应认证:基于用户身份、地理位置和设备姿态评估结果的认证类型和授权访问。
  • 多因素身份验证第二,除了正确的密码外,还需要额外的设备和一次性代码。
  • 单点登录:一组公共的凭据允许访问多个应用程序,并且可以在任何时候进行粒度管理和撤销。
  • 生命周期管理:通过评估和关联身份目录,可以简化员工入职和离职等工作流程。

除了这些基本功能之外,特定的零信任安全工具还可以通过以下方式提供高级保护:

网络分段和交通隔离

网络安全解决方案,如下一代防火墙和安全浏览器,有助于将流量与企业主网络隔离。这种分割限制横向移动,降低风险,并最大限度地减少破坏,即使它发生了。因为有风险的用户被限制在一个相对较小的网络子网内,他们不能在未经授权的情况下横向移动。在正常情况下,微细分安全策略也有助于限制用户组和位置的访问。

无VPN代理

经典的vpn不符合零信任原则,因为一次性访问给用户提供了进入王国的隐喻性钥匙。与这种城堡和护城河的安全方法不同,零信任模型使用专用的VPN-less代理,它位于用户设备和他们需要的所有应用程序之间,从web和SaaS应用程序到基于客户机/服务器(TCP和UDP)的应用程序,甚至是未经批准的web应用程序。该代理可以执行细粒度的网络安全措施,例如添加水印并在上下文证据支持的情况下禁止在端点上打印、复制和粘贴。

自适应认证和自适应访问

自适应访问和身份验证允许组织了解最终用户设备的状态,而无需使用移动设备管理(MDM)解决方案。系统通过对设备的详细分析,根据用户的角色、地理位置和设备姿态,智能地为用户提供合适的认证机制。

统一端点管理

通过一个界面,管理员可以管理整个企业中的所有应用程序和资源。统一的端点管理有助于跟上不同应用程序和操作系统的快速更新步伐,此外,它还简化了合并和收购带来的任何复杂性。

远程浏览器隔离

当在非托管设备上进行访问时,远程浏览器隔离将用户会话从本地浏览器重定向到托管的安全浏览器服务。这确保了用户可以在沙箱环境中访问他们的应用程序,并使他们保持高效。与此同时,通过浏览器隔离功能,可以保护终端和网络免受来自互联网的恶意内容,从而与企业资源形成空白。

安全分析

安全分析解决方案收集有价值的数据,用于确定网络上的异常活动。网络可以智能地实时评估一个请求是否有风险,并根据在系统中检测到的用户行为和异常情况,帮助自动化安全实施。这有助于减少IT的手工工作,提供及时的执行,并降低违规的风险。

SD-WANs

软件定义的广域网(sd - wan)提供云安全,包括安全直接访问SaaS和流量加密,以及各种应用的可伸缩带宽和智能流量控制。

如何构建零信任网络体系结构?

零信任安全不是单个产品,而是一个总体安全框架,用于持续评估风险和控制跨环境的安全访问。因此,可以同时部署多个解决方案,包括但不限于上述解决方案,以支持零信任模型。

设计和构建零信任安全的确切过程将因组织和解决方案集而异,但一个共同的过程将涉及:

  1. 评估现有网络安全控制,确定关键网络流量和漏洞。
  2. 确定通过零信任安全措施免受伤害的受保护表面。
  3. 实现特定的技术,如自适应和多因素身份验证、VPN-less代理和安全嵌入式浏览器。
  4. 持续监控网络,密切关注可疑活动,并根据需要微调解决方案组合和整体网络安全方法

思杰解决方案零信任安全

思杰为企业提供端到端的解决方案,以实现保护受保护表面的零信任架构。从Citrix Analytics for SecurityCitrix网关,组织能够在一个安全的数字工作空间解决方案中实现零信任体系结构的所有关键任务组件。

  • Citrix安全私有访问是一个无vpn解决方案,通过自适应身份验证和单点登录,为从托管和BYO设备访问的IT认可的应用程序提供零信任访问。
  • Citrix端点管理通过隔离和保护设备的应用程序和内容,确保设备安全。
  • Citrix安全上网为每个用户提供统一的、云交付的安全堆栈,以保护所有应用程序。

看看如何使用Citrix Workspace实现零信任安全