零信任網路存取是什麼？

ZTNA 近期人氣漸增，你可能已經聽說過這個取代 VPN 的全新解決方案了。不過，ZTNA 的概念是什麼，它又是如何運作？不妨繼續看下去吧。

什麼是零信任架構？

首先讓我們談談「零信任網路存取」裡「零信任」的意思，美國國家標準暨技術研究院 NIST 將「零信任」定義為：

在假設網路已遭到入侵的環境中，集結不同理念與想法，依照資訊系統與服務請求給予權限，將導入最小權限原則的不確定性降至最低

換句話說，零信任的概念即「永不信任，一律驗證」。假設今天你的網路已遭到駭客入侵，而你需要針對每一項存取請求進行驗證，確保存取資源的人屬實並具備權限，零信任架構 (ZTA) 就是圍繞著這個概念、採取嚴謹存取政策與流程，並遵循延伸驗證每一項請求的原則而構思出的資安方案。起初的 ZTA 是透過下列概念來建構的：

• 「資源」泛指所有的服務、資料來源處，例如：SaaS 平台、儲存裝置、公發裝置和可存取企業資料的個人 BYOD 裝置
• 所有的通訊連線皆應受到妥善防護，不論在企業安全網外或任何網路據點都不例外
• 按照工作階段來批准存取請求
• 經查閱 App、使用者帳號、服務、裝置特性和/或行為屬性等屬性後，動態政策會進一步決定是否要批准存取連線
• 機構可監測和評估所有自有與相關資產的完整性與安全性，並評估或否決存取請求 (如果裝置不合規的話)
• 每一次發出的存取請求都須經過驗證，並且只有在通過嚴格的驗證和授權程序後才批准存取權
• 蒐集資產當前狀態、網路流量以及存取請求等這類背景資訊，以改善機構資安態勢

隱晦型的信任模型早已不堪用，許多機構都選擇了零信任架構。VPN 雖然已經風行了幾十年，但是只要使用者成功登入 VPN，就能就存取整個網路；若今天不幸是惡意人士成功入侵，那他們就能肆意橫向移動，直到取得他們想要的東西。遠距工作的增長趨勢消除了網路邊界，因為誰也無法確定今天使用者在哪裡，或是透過哪個網路連上線，這代表企業需要實施更嚴謹的存取政策，而解決方法無疑是——ZTNA。

ZTNA 的運作原理

ZTNA 仰賴兩個主要的概念：微分段和軟體定義邊界。

微分段

微分段技術是指將網路劃分為獨立的網段，進出每個網段的流量將受到監測與管控，以降低網路中橫向移動的可能性。若要實現微分段技術，導入的身分型政策不能仰賴網路參數或環境，而是要使用加密的方式，並且在每次請求存取時都需要互相驗證身分和取得授權。這個做法可限縮存取權，只允許經過驗證的裝置、使用者帳號以有效的網路流量存取企業資源。

軟體定義邊界

軟體定義邊界採取以下重點原則：

• 最小權限原則：使用者在成功驗證身分後，便可以存取特定資源，也只有存取該資源的連線
• 持續的重複性評估存取連線：在每個工作階段不斷重新評估使用者身分，若識別到可疑身分則會即時變更存取級別
• 減少攻擊面：透過微分段這樣的技術來防止橫向移動，蒐集背景資訊可讓任何未妥善修補、遭到入侵或缺乏強化配置設定的裝置，皆無法連線至或致使公司基礎架構損壞。

ZTNA 特點

那麼，微分段和軟體定義邊界實際上能發揮什麼作用呢？簡單來說：

1. 使用者試著存取企業資源
2. 使用者憑證、裝置健康度還有政策所規範的其他標準都將進行驗證
3. 如果使用者身分和合規性皆通過驗證，系統不會建立存取完整網路的連線，而是在裝置與資源之間建立微型通道
4. 持續監控身分和裝置狀態，如果出現任何可疑狀況，便隨即撤銷連線

總結

• 零信任模型假定所有存取網路的連線都是不可信的，並遵循最小權限原則來給予存取權，藉此避免網路中的橫向移動
• ZTNA 方案就是建築在零信任的基礎上
• ZTNA 採用微分段技術和軟體定義邊界，將網路資源與網路內外的主機隔離開來