/ 解决方案 / 安全访问 / 什么是零信任安全?ZTNA的好处

什么是零信任安全?

零信任安全是一种默认情况下不信任任何人的安全模型。在零信任模型中,任何试图访问公司网络的人都必须通过多因素身份验证(MFA)等机制不断进行验证。这种企业安全体系结构使用这些技术来严格控制访问并防止数据泄露。

探索其他零信任安全主题:

零信任安全的历史是什么?

零信任安全模型的起源至少可以追溯到21世纪初,当时一套类似的网络安全概念被称为去边界化。Forrester分析师约翰·金德瓦格最终创造了“零信任安全”这个术语。零信任方法在2009年左右开始出现,当时谷歌创建了BeyondCorp零信任架构,以应对极光行动(operation Aurora)的网络攻击,该攻击涉及绕过传统网络安全架构的高级持续性威胁(apt)。

零信任架构概述

零信任架构的核心逻辑本质上是“信任,总是验证。”在一个充满复杂网络安全威胁和混合的劳动力零信任安全(zero trust security,简称ZTNA)配备了大量的应用程序和设备,旨在提供全面的保护,从不假设请求来自可信任的来源——即使它来自企业防火墙内部。一切都被视为来自不安全的开放网络,信任本身被视为零信任框架内的责任。

零信任安全也可以称为无边界安全。这个术语显示了它是如何与传统的安全模型截然相反的,传统的安全模型遵循“信任,但要验证”的原则,并认为公司网络边界内已经经过身份验证的用户和端点,或者通过虚拟专用网(VPN)连接的用户和端点是安全的。但这种隐性信任增加了内部威胁导致数据丢失的风险,因为它允许在网络中进行广泛的、不受限制的横向移动。

零信任架构是建立在以下基础之上的:

明确的验证和持续的验证

网络用户必须实时且持续地进行身份验证、授权和验证,以确保他们始终拥有适当的特权。许多数据点,如用户身份、地理位置和设备姿势,都可以用于此目的。对用户标识进行一次性验证已经不够了。

最低权限访问

零信任安全执行最少特权原则,因此在默认情况下,身份只能获得最低级别的网络访问权限。与其他网络安全实践(如网络微分段和自适应访问)相结合,最低特权访问在零信任安全模型中极大地限制了横向移动。

为什么零信任安全很重要?

零信任数据安全非常重要,因为它是防御复杂it环境中高级攻击的最可靠的网络安全框架,动态工作负载经常在位置和设备之间移动。零信任架构特别重要,因为多重云混合云部署变得更加普遍,并扩展了公司使用的应用程序的范围。

实际上,随着典型组织中端点数量的增加和员工使用BYOD个人设备访问云应用程序和公司数据,传统的网络安全方法无法可靠地阻止恶意行为者的访问。从那时起,一个已经通过VPN连接到公司网络的恶意内部人员将被信任,即使他们的行为不寻常——例如,他们下载了大量数据,从未经授权的位置访问,或者访问他们以前没有冒险接近的登录。

相比之下,零信任模型总是评估网络上的每个身份的风险,密切关注实时活动。这种方法的核心是最小权限访问的概念,这意味着每个用户只被授予执行手头任务所需的访问权限。零信任框架从不假设一个身份是值得信赖的,因此要求它在被允许通过网络之前证明自己。考虑零信任安全的另一种方式是将其视为软件定义的边界,该边界不断扩展和发展,以保护应用程序和敏感数据,而与用户、设备或位置无关。

解决方案简单

VPN连接的安全性如何?

了解传统VPN解决方案与零信任安全的不同之处,以及为什么强大的VPN替代方案可以使您的业务受益。

阅读解决方案摘要

零信任安全的好处是什么?

零信任模型的主要好处是:

  • 通过关闭安全漏洞和控制网络上的横向移动来降低风险
  • 改进了网络安全和对移动和远程员工的支持
  • 为应用程序和数据提供强大的保护,无论它们是在云中还是在本地数据中心
  • 可靠防御勒索软件、恶意软件、网络钓鱼攻击和高级威胁

零信任架构是如何工作的?

如果实现得当,零信任安全模型与向公司网络发出的所有请求相关的行为模式和数据点密切相关。零信任安全解决方案可以根据以下标准授予或拒绝访问:

  • 用户身份
  • 地理位置
  • 一天中的时间
  • 操作系统和固件版本
  • 设备的姿势
  • 端点硬件类型

有效的零信任安全将高度自动化,其保护可以通过云和/或从内部部署实现交付。身份提供者和访问管理是任何零信任框架的关键组成部分,因为它们提供了各种关键措施,例如:

  • 自适应认证:基于用户身份、地理位置和设备姿态评估结果的认证类型和授权访问。
  • 多因素身份验证除了正确的密码外,可能还需要额外的设备和一次性密码等第二个因素。
  • 单点登录一组通用的凭证允许访问多个应用程序,并且可以在任何时候进行粒度管理和撤销。
  • 生命周期管理:通过评估和关联身份目录,可以简化员工入职和离职等工作流程。

除了这些基本功能之外,特定的零信任安全工具还可以通过以下方式提供高级保护:

网络分割交通隔离

下一代防火墙和安全浏览器等网络安全解决方案有助于将流量与主要企业网络隔离开来。这种分割控制了横向移动,降低了风险,即使发生了破坏,也可以将破坏的损害降到最低。因为有风险的用户被限制在网络的一个相对较小的子网中,他们无法在未经授权的情况下横向移动。在正常情况下,微段安全策略还有助于根据用户组和位置限制访问。

VPN-less代理

经典vpn不符合零信任原则,因为一次性访问给用户提供了进入王国的隐喻钥匙。零信任模型使用专用的无vpn代理,它位于用户设备和他们需要的所有应用程序之间,从web和SaaS应用程序到基于客户端/服务器(TCP和UDP)的应用程序,甚至是未经批准的web应用程序。该代理可以强制执行细粒度的网络安全措施,例如在端点上添加水印和禁用打印、复制和粘贴,如果上下文证据支持这样做的话。

自适应认证和自适应访问

自适应访问和身份验证允许组织了解最终用户设备的状态,而无需使用移动设备管理(MDM)解决方案。系统在对设备进行详细分析的基础上,根据用户的角色、地理位置和设备姿态,智能地为用户提供合适的认证机制。

统一端点管理

通过一个界面,管理员可以管理整个企业的所有应用程序和资源。统一端点管理有助于跟上不同应用程序和操作系统的快速更新步伐,而且它简化了合并和收购带来的复杂性。

远程浏览器隔离

当访问发生在非托管设备上时,远程浏览器隔离将用户会话从本地浏览器重定向到托管的安全浏览器服务。这确保了用户可以在沙盒环境中访问他们的应用程序,并允许他们保持生产力。同时,这可以通过浏览器隔离功能保护端点和网络免受来自互联网的恶意内容的攻击,从而与企业资源形成隔离。

安全分析

安全分析解决方案收集了确定网络上的异常活动所需的有价值的数据。网络可以智能地实时评估请求是否有风险,并根据用户行为和系统中检测到的异常情况自动执行安全措施。这有助于减少IT部门的手工工作,提供及时的实施,并降低违规的风险。

SD-WANs

软件定义广域网(sd - wan)提供云安全,包括对SaaS和流量加密的安全直接访问,以及可扩展带宽和智能流量控制的各种应用程序。

如何构建一个零信任的网络架构?

零信任安全性不是一个单一的产品,而是一个用于持续评估风险和控制跨环境安全访问的总体安全性框架。因此,可以同时部署多个解决方案,包括但不限于上述解决方案,以支持零信任模型。

设计和构建零信任安全的确切过程将因组织和解决方案集而异,但一个共同的进展将包括:

  1. 评估现有的网络安全控制,确定关键的网络流量和漏洞。
  2. 确定将通过零信任安全措施屏蔽伤害的受保护表面。
  3. 实现特定的技术,如自适应和多因素身份验证、无vpn代理和安全的嵌入式浏览器。
  4. 持续监控网络,密切关注可疑活动,并根据需要微调解决方案组合和整体网络安全方法

思杰零信任安全解决方案

Citrix为公司提供端到端解决方案,以实现零信任架构,保护受保护的表面。从Citrix安全分析Citrix网关,组织能够在一个安全的数字工作空间解决方案中实现零信任架构的所有关键任务组件。

  • Citrix安全私有访问是一种无vpn的解决方案,通过自适应身份验证和单点登录,为从托管设备和BYO设备访问的IT认可应用程序提供零信任访问。
  • Citrix端点管理通过隔离和保护他们的应用程序和内容来保持设备的安全。
  • 思杰安全互联网接入提供统一的云交付安全堆栈,为每个用户保护所有应用程序。

了解如何使用Citrix Workspace实现零信任安全